- موضوع نویسنده
- #1
پیشخوان وردپرس قلب مرکز مدیریت سایت شماست و اگر دست هکرها به آن برسد، امنیت کل مجموعه به خطر میافتد. بسیاری از حملات موفق اینترنتی صرفاً به دلیل رعایت نکردن نکات ساده اما حیاتی اتفاق میافتند. در این آموزش تخصصی که برای مدیران سایتهای وردپرسی و وبمستران حرفهای نوشته شده، به صورت گامبهگام با روشهای ارتقای امنیت پیشخوان وردپرس آشنا میشوید. هدف، افزایش امنیت واقعی و عملی است؛ نه فقط چند ترفند کلیشهای.
اولین قدم برای جلوگیری از نفوذ، شناخت نقاط ضعف رایج است.
هیچوقت از نام کاربری
احراز هویت دو مرحلهای یک سد بسیار قدرتمند در برابر تلاشهای نفوذگرهاست، چون ورود فقط با رمز عبور کافی نیست. با افزونههایی مانند WP 2FA یا Wordfence Login Security میتوانید به راحتی این قابلیت را فعال کنید.
نحوه فعالسازی:
با افزونههایی مثل Limit Login Attempts Reloaded میتوانید مثلاً ورود اشتباهی را تا 5 بار قبول کنید و بعد آیپی را بلاک کنید. این کار جلوی حملات Brute-Force را میگیرد.
همچنین با افزونه WP Activity Log یا پلاگینهای مشابه، فعالیتهای ورود و تغییرات کاربران را به دقت زیر نظر بگیرید.
آدرس پیشفرض
حتماً گواهی SSL بر روی سایت فعال باشد تا اطلاعات ورود شما رمزنگاری شود. میتوانید SSL رایگان از Let’s Encrypt یا از طریق هاست دریافت کنید، و مطمئن باشید که آدرس ورود با https آغاز میشود.
اضافه کردن قطعات کد ساده در
بجای
کمترین تاخیر در بروزرسانی افزونهها یا خود وردپرس، راه نفوذ را برای هکرها باز میگذارد. همیشه بروزرسانیهای امنیتی را بلافاصله نصب کنید و از افزونههایی که آپدیت نمیشوند یا ناشناس هستند پرهیز نمایید.
از منوی بهروزرسانی پیشخوان، وضعیت بروزرسانی کل سایت را به صورت دستی یا خودکار بررسی کنید.
غیرفعال کردن ویرایش فایلها از طریق پیشخوان یک تکنیک مهم دیگر است:
این کد را به
هیچ وقت به افراد غیرمطمئن یا ناشناس "نقش مدیرکل" ندهید. کاربران قدیمی و بیمصرف را پاک کنید. همینطور با افزونه User Role Editor میتوانید سطوح دسترسی را ریزتر تنظیم کنید.
برای آموزشهای امنیتی جدید، مقالات تخصصی و پاسخ به سوالات شما، پیشنهاد میکنم در انجمن تخصصی احمدرضا کریمی عضو شوید یا راهنماییهای جدید را در سایت اصلی بخوانید.
امنیت پیشخوان وردپرس به عادات شما و توجه دائمی به نکات امنیتی وابسته است. با رعایت این ترفندها، مسیر هک و نفوذ تا حد زیادی بسته میشود و با خیال راحت میتوانید مدیریت سایت را ادامه دهید. هوشیار باشید و بکاپهای منظم فراموش نشود!
مبانی امنیت پیشخوان وردپرس
اولین قدم برای جلوگیری از نفوذ، شناخت نقاط ضعف رایج است.
- استفاده از پسوردهای ضعیف و تکراری
- استفاده از نام کاربری قابل حدس مانند
admin - عدم فعالسازی احراز هویت دو مرحلهای
- آپدیت نبودن وردپرس و افزونهها
- نبود محدودیت برای ورودهای اشتباه مکرر
گام اول: تعویض نام کاربری اصلی و انتخاب رمز عبور قوی
هیچوقت از نام کاربری
admin یا اسامی قابل حدس استفاده نکنید. هنگام ساخت کاربر جدید، نامی غیرقابل پیشبینی برگزینید و رمز عبوری کاملاً قوی و بلند (شامل حروف بزرگ، کوچک، اعداد و نمادها) تعیین کنید. استفاده از ابزار مدیریت رمز عبور توصیه میشود.گام دوم: فعالسازی احراز هویت دو مرحلهای (2FA) برای ورود
احراز هویت دو مرحلهای یک سد بسیار قدرتمند در برابر تلاشهای نفوذگرهاست، چون ورود فقط با رمز عبور کافی نیست. با افزونههایی مانند WP 2FA یا Wordfence Login Security میتوانید به راحتی این قابلیت را فعال کنید.
نحوه فعالسازی:
کد:
// 1. افزونه WP 2FA را نصب و فعال کنید.
// 2. وارد پیشخوان شوید، از بخش تنظیمات افزونه گزینه Two-Factor Authentication را پیدا کنید.
// 3. QR-code را با اپلیکیشن Google Authenticator یا مشابه آن اسکن نمایید.
// 4. ورودتان حالا ایمنتر خواهد بود.گام سوم: محدود کردن تعداد تلاش ورود ناموفق و اطلاعرسانی رخدادها
با افزونههایی مثل Limit Login Attempts Reloaded میتوانید مثلاً ورود اشتباهی را تا 5 بار قبول کنید و بعد آیپی را بلاک کنید. این کار جلوی حملات Brute-Force را میگیرد.
همچنین با افزونه WP Activity Log یا پلاگینهای مشابه، فعالیتهای ورود و تغییرات کاربران را به دقت زیر نظر بگیرید.
گام چهارم: مخفیسازی و تغییر آدرس پیشخوان ورود
آدرس پیشفرض
wp-login.php بسیار هدف حملات است. میتوانید با افزونه WPS Hide Login آدرس ورود به پیشخوان را مثلا به mysecret-admin یا عبارتی غیرقابل حدس تغییر دهید تا ریسک کاهش یابد.گام پنجم: استفاده از SSL و تامین امنیت ارتباط
حتماً گواهی SSL بر روی سایت فعال باشد تا اطلاعات ورود شما رمزنگاری شود. میتوانید SSL رایگان از Let’s Encrypt یا از طریق هاست دریافت کنید، و مطمئن باشید که آدرس ورود با https آغاز میشود.
کد پیشنهادی برای افزایش امنیت فایل wp-config و پیشخوان
اضافه کردن قطعات کد ساده در
.htaccess یا wp-config.php امنیت پیشخوان شما را چند برابر خواهد کرد:
کد:
# محدود کردن دسترسی فقط به IP خودتان به صفحه مدیریت
<Files wp-login.php>
order deny,allow
Deny from all
Allow from XX.XX.XX.XX
</Files>XX.XX.XX.XX، آیپی خود را وارد کنید. این کار فقط برای مدیرانی که آیپی ثابت دارند مناسب است.گام ششم: بروزرسانی مداوم وردپرس، افزونهها و قالبها
کمترین تاخیر در بروزرسانی افزونهها یا خود وردپرس، راه نفوذ را برای هکرها باز میگذارد. همیشه بروزرسانیهای امنیتی را بلافاصله نصب کنید و از افزونههایی که آپدیت نمیشوند یا ناشناس هستند پرهیز نمایید.
از منوی بهروزرسانی پیشخوان، وضعیت بروزرسانی کل سایت را به صورت دستی یا خودکار بررسی کنید.
کد غیر فعال کردن قابلیت ویرایش افزونه و قالب از پیشخوان وردپرس
غیرفعال کردن ویرایش فایلها از طریق پیشخوان یک تکنیک مهم دیگر است:
PHP:
define('DISALLOW_FILE_EDIT', true);wp-config.php اضافه کنید تا ویرایشگر قالب و افزونه غیرفعال شود.محدودیت سطح دسترسی کاربران و حذف یوزرهای بلااستفاده
هیچ وقت به افراد غیرمطمئن یا ناشناس "نقش مدیرکل" ندهید. کاربران قدیمی و بیمصرف را پاک کنید. همینطور با افزونه User Role Editor میتوانید سطوح دسترسی را ریزتر تنظیم کنید.
لینک به منابع بیشتر و درخواست مشاوره
برای آموزشهای امنیتی جدید، مقالات تخصصی و پاسخ به سوالات شما، پیشنهاد میکنم در انجمن تخصصی احمدرضا کریمی عضو شوید یا راهنماییهای جدید را در سایت اصلی بخوانید.
جمعبندی: مسیر یک پیشخوان امن و حرفهای
امنیت پیشخوان وردپرس به عادات شما و توجه دائمی به نکات امنیتی وابسته است. با رعایت این ترفندها، مسیر هک و نفوذ تا حد زیادی بسته میشود و با خیال راحت میتوانید مدیریت سایت را ادامه دهید. هوشیار باشید و بکاپهای منظم فراموش نشود!
آخرین ویرایش:
