۱۴ نکته کلیدی برای حفاظت از پنل مدیریتی وردپرس

آموزش مدیریت سایت وردپرس

آیا حملات زیادی در بخش پنل مدیریتی وردپرس شما اتفاق می افتد؟ حفاظت پنل مدیریتی از دسترسی های غیر مجاز به شما این امکان را می دهد تا بسیاری از تهدیدات امنیتی رایج را مسدود کرده و باعث افزایش امنیت وب سایت خود شوید. در این مقاله به معرفی ۱۴ نکته کلیدی خواهیم پرداخت که با بکارگیری این نکات به راحتی می توانید از پنل مدیریتی وردپرس خود محافطت کنید. بنابراین در ادامه با آموزش مدیریت سایت وردپرس و نحوه حفاظت از پنل مدیریتی با ما باشید.

آموزش مدیریت سایت وردپرس ، امنیت وب سایت ، افزونه های کاربردی وردپرس ، افزونه های وردپرس ، امنیت در وردپرس ، افزونه وردپرس

۱- استفاده از فایروال یک برنامه ی تحت وب

فایروال یک نرم افزار تحت وب یا همان WAF ، ترافیک سایت را مورد بررسی قرار داده و از رسیدن درخواست مشکوک و ورود کاربران ناخواسته به سایت شما جلوگیری می کند. در حالی که افزونه های وردپرس فایروال متعددی وجود دارد اما توصیه می شود از افزونه Sucuri به عنوان فایروال استفاده کنید. این افزونه وردپرس یک سرویس امنیتی و نظارت وب سایت است که یک فضای ابری مبتنی بر وب را برای محافظت از سایت شما ارائه می دهد.

کل ترافیک سایت، ابتدا وارد پروکسی ابری sucuri می شود، سپس این ترافیک، تجزیه و تحلیل شده و اگر درخواست مشکوکی وجود داشته باشد توسط پروکسی مسدود می گردد. این امر از هک شدن، فیشینگ، حملات بدافزارها و دیگر فعالیت های مخرب در درون وب سایت شما جلوگیری می کند.

۲- محافظت از پوشه مدیریت وردپرس با گذاشتن رمز عبور بر روی آن

پنل مدیریتی وردپرس شما از قبل به وسیله پسورد یا همان رمز عبور محافظت شده است. با این حال شما می توانید با گذاشتن پسورد روی پوشه مدیریت وردپرس، یک لایه امنیتی دیگر را به وب سایت خود اضافه کنید.

برای این کار ابتدا وارد محیط کاربری سی پنل شوید و سپس روی آیکون ” Password Protect Directories ” و یا “Directory Privacy” کلیک کنید.

سپس  فولدر wp-admin خود را انتخاب کنید که معمولا داخل پوشه /public_html/ یا htdocs قرار دارد.

اکنون باید تیک گزینه “Password protect this directory” را فعال کرده و یک نام دلخواه برای پوشه محافظت شده در کادر زیر Enter a name for the protected directory تایپ کنید. سپس برای ذخیره کردن روی دکمه Save کلیک کنید.

حال روی دکمه back یا همان بازگشت مرورگر کلیک کرده تا مجددا به فولدر ادمین خود بازگردید. سپس زیر کادرهای username و password یک نام کاربری و پسورد انتخاب کرده و در نهایت روی دکمه Save کلیک کنید.

از این پس هر فردی بخواهد از بخش ادمین سایت یا پوشه مدیریت وردپرس بازدید کند باید نام کاربری و پسوردی که شما قرار داده اید را وارد نماید.

۳- آموزش مدیریت سایت وردپرس – انتخاب یک رمز عبور قوی

همیشه برای تمام اکانت های آنلاین از جمله سایت وردپرسی خود یک رمز عبور قوی انتخاب کنید. توصیه می شود از ترکیب اعداد، حروف و کاراکترهای خاص در پسورد خود استفاده نمایید. این موضوع باعث می شود حدس زدن پسورد توسط هکرها دشوارتر شده و امنیت وب سایت شما افزایش یابد.

برای اینکه رمز عبور انتخابی خود را فراموش نکنید بهتر است از یک نرم افزار مدیریت پسورد خوب که قابلیت نصب روی کامپیوتر و موبایل را دارد، استفاده کنید.

۴- استفاده از تایید هویت دو مرحله ای برای ورود به وردپرس

در ادامه آموزش مدیریت سایت وردپرس باید بدانید که تایید هویت دو مرحله ای باعث افزایش امنیت در وردپرس شده و لایه امنیتی دیگری را به سایت شما اضافه می کند. با فعال کردن این قابلیت برای ورود به پنل سایت خود به جای اینکه تنها از نام کاربری و رمز عبور استفاده کنید، باید یک کد دیگر را که از اپلیکیشن Google Authenticator که روی موبایل نصب و اجرا می شود دریافت نموده و در کادر Google Authenticator code وارد نمایید. (این اپلیکیشن را باید از گوگل پلی دانلود و نصب نماییید.)

در این شرایط حتی اگر فردی بتواند پسورد سایت وردپرس شما را حدس بزند باز هم باید به کد تایید دسترسی داشته باشد.

۵- محدود کردن تعداد دفعات تلاش برای ورود به پنل مدیریتی

به طور پیش فرض، وردپرس به کاربران اجازه می دهد پسورد خود را هر چند بار که خواستند وارد نمایند. این موضوع بدین معنی است که فردی می تواند با وارد کردن ترکیب های مختلفی از پسوردها، احتمالا آن را حدس بزند. همچنین این امکان برای هکرها فراهم می شود تا به کمک اسکریپت های خودکار یا نرم افزارهای خاص به پسورد سایت شما دسترسی پیدا کنند.

برای اینکه جلوی چنین خطراتی را بگیرید، بهتر است افزونه Login LockDown را که یکی از افزونه های کاربردی وردپرس می باشد نصب و فعال کنید. پس از فعالسازی این افزونه وردپرس ، به صفحه تنظیمات و سپس Login LockDown بروید و تنظیمات ان را پیکربندی کنید.

۶- محدود کردن دسترسی ورود به سیستم با آی پی آدرس

یکی دیگر از راه های عالی برای ایمن کردن ورود به وردپرس، محدود کردن دسترسی با IP آدرس های خاص است. این ترفند زمانی مفید خواهد بود که فقط شما و تعداد کمی از کاربران مورد اعتمادتان دسترسی به پنل مدیریت وردپرس داشته باشند. برای این کار تنها کافی است کد زیر را به فایل htaccess. اضافه کنید:

AuthUserFile /dev/null

AuthGroupFile /dev/null

AuthName "WordPress Admin Access Control"

AuthType Basic

<LIMIT GET>

order deny,allow

deny from all

# whitelist Syed's IP address

allow from xx.xx.xx.xxx

# whitelist David's IP address

allow from xx.xx.xx.xxx

</LIMIT>

حتما توجه کنید به جای xx.xx.xx.xxx آی پی آدرس خود را وارد کنید. نکته دیگر اینکه اگر بخواهید از کامپیوتر و اکانت اینترنت دیگری به پنل خود دسترسی داشته باشید، حتما باید IP آن را نیز به فایل htaccess. اضافه کنید‌.

۷- غیر فعال کردن راهنمای ورود به وردپرس

در ادامه آموزش مدیریت سایت وردپرس یکی دیگر از راهکارهای افزایش امنیت در وردپرس غیر فعال کردن راهنمای ورود به  آن می باشد. زمانی که برای ورود به وردپرس نام کاربری و یا رمز عبور خود را اشتباه وارد کنید، وردپرس علت خطا را نشان داده و می گوید کدام یک نادرست می باشد. این راهنمایی جهت ورود به وردپرس خطرناک بوده و می تواند مورد سو استفاده هکرها قرار گیرد.

شما می توانید این راهنمایی های ورود را با اضافه کردن کد زیر به فایل function.php به راحتی پنهان کنید.

function no_wordpress_errors(){

  return 'Something is wrong!';

}

add_filter( 'login_errors', 'no_wordpress_errors' );

۸- ملزم کردن کاربران به استفاده از رمز قوی

اگر در سایت خود چندین نویسنده دارید، آنها این امکان را دارند تا با ویرایش پروفایل خود از یک رمز عبور ضعیف استفاده کنند. چنین رمزهایی به راحتی قابل حدس هستند و می توانند به دیگران امکان دسترسی به پنل مدیریتی وردپرس شما را بدهند.

برای رفع این مشکل شما می توانید افزونه force strong passwords را نصب و فعال کنید. این افزونه وردپرس به خوبی کار می کند و لازم نیست تنظیماتی را برای آن پیکربندی کنید. بعد از فعالسازی، کاربران را ملزم می کند پسوردهای قوی تری داشته باشند. البته این افزونه وردپرس کاربرانی که از قبل از پسوردهایی ضعیف استفاده می کردند را مورد بررسی قرار نمی دهد و آنها همچنان می توانند با همان رمزها وارد پنل مدیریتی شوند.

۹- ریست کردن رمز عبور تمامی کاربران

آیا در مورد امنیت پسوردها در سایت خود که دارای چند کاربر و نویسنده است، نگران هستید؟ شما به راحتی می توانید از کاربران بخواهید پسورد خود را ریست کنند. برای اینکار ابتدا افزونه Emergency Password Reset که یکی از افزونه های کاربردی وردپرس است را نصب و فعال کنید. بعد از فعالسازی به قسمت کاربران و سپس صفحه افزونه بروید و بر روی Reset All Passwords کلیک نمایید.

۱۰- وردپرس خود را همیشه به روز نگه دارید

وردپرس اغلب نسخه جدیدی از این نرم افزار را منتشر می کند. هر نسخه جدیدی که منتشر می شود در برگیرنده رفع اشکالات مهم، قابلیت های جدید و افزایش امنیت در وردپرس است. استفاده از نسخه قدیمی وردپرس، راه را برای سوء استفاده و آسیب پذیری های احتمالی باز می گذارد. برای حل چنین مشکلاتی باید از آخرین نسخه وردپرس استفاده کنید. همچنین بهتر است که افزونه های وردپرس نیز همیشه به روز باشند.

۱۱- ایجاد صفحه سفارشی ثبت نام و ورود کاربران

در بسیاری از سایت های وردپرس نیاز است کاربران ثبت نام کنند. به عنوان مثال فروشگاه های آنلاین، سیستم های آموزشی و غیره. کاربران باید در اینگونه سایت ها حساب کاربری ایجاد نمایند. این کاربران می توانند از حساب کاربری خود برای ورود به پنل مدیریتی وردپرس استفاده کنند. این مشکل بزرگی نیست زیرا آنها تنها قادر به انجام کارهایی هستند که به یک کاربر معمولی سایت اجازه دسترسی داده شده است. با این حال این موضوع ، دسترسی شما به صفحات ثبت نام و ورود کاربران را محدود می کند. یک راه حل آسان برای جلوگیری از چنین مشکلاتی، ایجاد صفحه ورود و ثبت نام سفارشی (فرونت اند) برای کاربران است.

۱۲- در مورد سطوح دسترسی کاربران و مجوز آنها در وردپرس بیشتر بدانید

وردپرس دارای سیستم مدیریتی قدرتمند برای کاربران با نقش های مختلف برای آنها می باشد. زمانی که کاربر جدیدی را به سایت خود اضافه می کنید می توانید از میان نقش های موجود مانند نویسنده، ویرایشگر، مدیر کل و غیره یکی را به دلخواه انتخاب کنید. این نقش، کاری که فرد می تواند در سایت انجام دهد را توصیف می کند.

اگر برای یک کاربر نقش نامناسبی را تعریف کنید، توانایی های بیشتری را در اختیار آنها قرار خواهید داد و این امکان برای آنها فراهم می شود تا بتوانند از سایت شما سوء استفاده کرده و مشکلاتی را به وجود آورند. به همین خاطر باید در مورد سطوح دسترسی کاربران و مجوز آنها در وردپرس اطلاعات بیشتری داشته باشید.

۱۳- محدود کردن دسترسی به پیشخوان

برخی از سایت های وردپرسی کاربران خاصی دارند که باید به پیشخوان دسترسی داشته باشند. با اینحال به طور پیش فرض همه کاربران می توانند به پیشخوان مدیریتی دسترسی داشته باشند. برای حل این مشکل، باید افزونه Remove Dashboard Access که یکی دیگر از افزونه های کاربردی وردپرس است را نصب و فعال کنید. بعد از فعالسازی به قسمت تنظیمات وردپرس و سپس Dashboard Access بروید و نقش کاربرانی که می خواهید به داشبورد دسترسی داشته باشند را انتخاب نمایید.

۱۴- خارج کردن کاربران بیکار

وردپرس تا زمانی که کاربر خودش مرورگر را نبندد یا Log out نکند او را به طور خودکار log out نمی کند. این موضوع می تواند در سایت های وردپرسی که اطلاعات حساسی دارند کمی نگران کننده باشد. به همین دلیل است سایت هایی که به موسسات مالی مربوط بوده و پول در آنها جابجا می شود، اگر کاربران در آن فعال نباشند به صورت خودکار آنها را از سایت خارج می کنند.

برای حل چنین مشکلاتی افزونه Idle User Logout را نصب و فعال کنید. بعد از فعالسازی به قسمت تنظیمات و سپس Idle User Logout بروید و مدت زمانی را که یک کاربر در صورت بیکار بودن در سایت به صورت خودکار از آن خارج شود را وارد کنید.

در این مقاله سعی بر آن شد جهت آموزش مدیریت سایت وردپرس و نحوه حفاظت از پنل مدیریتی آن ۱۴ نکته کلیدی بصورت کامل شرح داده شود. با بکارگیری این نکات می توانید امنیت وب سایت خود را به راحتی افزایش دهید.

آموزش مدیریت سایت وردپرس

آموزش مدیریت سایت وردپرس ، امنیت وب سایت ، افزونه های کاربردی وردپرس ، افزونه های وردپرس ، امنیت در وردپرس ، افزونه وردپرس