آنچه در این مقاله میخوانید
۴ افزونه برتر وردپرس برای ایمن کردن صفحهی ورود و wp-admin
۱۸ مرداد ۱۳۹۹
بسیاری از حملههای سایبری که روی سایتهای وردپرسی انجام میشوند، از نقطهای ساده آغاز میشوند: صفحه ورود به سایت. هکرها با استفاده از حملات Brute Force و اسکریپتهای خودکار، سعی میکنند رمز عبور ادمین را حدس بزنند و به سایت نفوذ کنند. اگر هنوز صفحه ورود سایت شما بدون لایههای امنیتی اضافی در دسترس باشد، در معرض یکی از بزرگترین تهدیدهای امنیتی دنیای وب هستید.
در این مقاله با چند افزونه کاربردی آشنا میشویم که میتوانند این نقطه آسیبپذیر را به یکی از امنترین قسمتهای سایت تبدیل کنند.
در ادامه خواهید خواند:
- افزونههای امنیتی ورود در وردپرس
- جدول مقایسه افزونههای ورود وردپرس
- نکات امنیتی مکمل که باید در نظر بگیرید
- سوالات متداول
- جمع بندی

افزونههای امنیتی ورود در وردپرس
این چهار افزونه، از ایمن بودن صفحه ورود وردپرس شما، اطمینان حاصل میکنند. افزونه Google Authenticator، یک حفاظ شخصیسازی شده برای ورود به وبسایت وردپرسی شما ایجاد میکند، یا افزونه دیگری بهنام Limit Login Attempts Reloaded، تعداد ورودهای ناموفق را محدود میکند. با استفاده از افزونه WP Security میتوانید یک سوال را بهعنوان یکی از پارامترهای مورد نیاز برای ورود به سایت اضاف کنید و افزونه WPS Hide، آدرس /wp-admin
را به هرچه که شما میخواهید تغییر میدهد.
Google Authenticator – WordPress Two Factor Authentication (2FA)

احراز هویت دومرحلهای یکی از بهترین ابزارهای موجود برای ایمن کردن بخش ورود به سایت وردپرسی است، با استفاده از این ابزار یک لایه امنیتی اضافه میشود که فقط کاربران واقعی میتوانند از آن عبور کنند.
احراز هویت دومرحلهای چیست؟
احراز هویت دومرحلهای یا به عبارت دیگر TFA، یک لایه امنیتی دیگر را اضافه و تضمین میکند، شخصی که قصد ورود به سیستم را دارد، دقیقا همان شخصی است که باید آن نام کاربری و رمزعبور را بداند.
در بیشتر سیستمهای احراز هویت، پس از وارد کردن نام کاربری و رمز عبور، کاربران وارد سیستم میشوند. با TFA برای ورود به سیستم، نیاز به اطلاعات بیشتری است. این اطلاعات ایمنتر هستند، زیرا فقط میتوانند متعلق به آن شخص باشند.
روشهای احراز هویت:
- آخرین رمزعبور تایید شده (Last Pass Authenticator)
- سوال امنیتی
- ارسال اعلان
- OTP با ایمیل یا sms
- QR Code
- Soft Token
ویژگیهای افزونه Google Authenticator:
- سوالهای امنیتی سفارشیسازی شده
- پشتیبانی از ترجمه زبان
- محافظت در مقابل حملههای Brute Force
- مسدودسازی IP
- نظارت بر ورود کاربر
Limit Login Attempts Reloaded

همانطور که از نام این افزونه پیداست، تعداد تلاشهای ناموفق برای ورود به سیستم را محدود میکند. بهصورت پیشفرض وردپرس این اجازه را میدهد که بهصورت نامحدود، برای ورود به سیستم تلاش کنید. این قابلیت وردپرس، برای هکرها در انجام حملههای Brute Force بسیار مفید واقع میشود.
هکرها با ترکیب کلمهها سعی میکنند به سیستم وارد شوند، همچنین باید افزود که تمام این کارها بهصورت خودکار انجام میشود. پس تنها چیزی که برای پیدا کردن نامکاربری و رمزعبور شما نیاز میشود، زمان است.
برای جلوگیری از این حملهها باید بعد از چند تلاش ناموفق، IP کاربر را مسدود کنید و اینجاست که افزونه Limit Login، مفید واقع میشود. با استفاده از این افزونه، شما تصمیم میگیرید که چند تلاش، برای ورود به سیستم معقول است و پساز آن دسترسی IP را به وبسایت خود مسدود کنید.
ویژگیهای این افزونه:
- محدود کردن تعداد تلاشها، برای ورود به سیستم.
- تعداد تلاشهایی که کاربر میتواند انجام دهد را به او نشان میدهد.
- سازگاری با Sucuri Website Firewall
- محافظت از صفحه ورود WooCommerce
- سازگار با GDPR
- محافظت از XMLRPC gateway
برای اطلاعات بیشتر در مورد XMLRPC، مقاله کارایی Xmlrpc.php در وردپرس چیست و چرا باید آن را غیرفعال کنیم؟ را دنبال کنید.
این یکی از افزونههای سبک و ساده برای ایمن کردن ورود به سیستم وردپرسی است که میتواند از وبسایت شما در برابر حملههای Brute Force محافظت کند.
WP Security Question

این یک افزونه کوچک ولی مفید است. با استفاده از این افزونه میتوانید، سوالی را در صفحه ورود اضافه کنید. به این معنی که علاوه بر نام کاربری و رمزعبور، کاربر موظف است به سوال امنیتی پاسخ دهد. در صورت فراموش کردن رمزعبور، این پلاگین به بازیابی حساب کاربری کمک میکند.
ویژگیهای این افزونه:
- ایجاد کردن چندین سوال امنیتی
- نمایش سوال امنیتی بهصورت همیشگی/تصادفی/یک-باره
- نشان دادن Hint
- میتوانید پاسخ به سوال امنیتی را required کنید
بسیاری از کاربران، معمولا از رمزعبورهای ضعیف استفاده میکنند. این افزونه میتواند امنیت ورود به حسابهای کاربران را بهبود ببخشد. یکی دیگر از مواردی که رخ میدهد، کاربران رمزعبورهای خود را فراموش میکنند و با پاسخ به این سوال امنیتی، سریعتر میتوانند به حسابشان دسترسی پیدا کنند.
WPS Hide Login

بهترین روش برای مخفی کردن صفحه ورود به سیتم وردپرس، استفاده از افزونه WPS Hide Login است و با استفاده از این افزونه میتوانید آدرس URL ورود به سیستم خود را تغییر دهید.
URL پیشفرض برای ورود به سیستم وردپرس، /wp-admin
است. اما میتوانید با استفاده از این افزونه، wp-admin به مورد دلخواه خود تغییر دهید. این افزونه، فایلهای بخش core را تغییر نمیدهد و یا قوانین را بازنویسی نمیکند. فقط درخواست را رهگیری میکند.
این افزونه کوچک، مزایای باارزشی را در مقابل هکرهای تازهکار یا حملههای Dictionary توسط رباتها که صفحه ورود شما را مورد هدف قرار میدهند، در اختیار شما قرار میدهد.
با مخفی کردن صفحه ورود، راه را برای نفوذ هکرها سختتر میکنید.
جدول مقایسه افزونههای ورود وردپرس
افزونه | نوع امنیت | سبک بودن | نصب فعال | ویژگی شاخص | بهروزرسانی منظم |
---|---|---|---|---|---|
Google Authenticator | احراز هویت دومرحلهای | متوسط | +30,000 | لایه امنیتی اضافه با TFA | ✔️ |
Limit Login Attempts Reloaded | محدودسازی تلاش ورود | ✔️ | +2,000,000 | مسدودسازی IP | ✔️ |
WP Security Question | سوال امنیتی | ✔️ | +10,000 | امنیت اضافی برای کاربران عمومی | ✔️ |
WPS Hide Login | مخفیسازی URL ورود | ✔️ | +1,000,000 | مخفیسازی wp-admin | ✔️ |
Login No Captcha reCAPTCHA | CAPTCHA | ✔️ | +200,000 | حفاظت در برابر رباتها | ✔️ |
WPForms + reCAPTCHA | CAPTCHA روی فرمهای دلخواه | متوسط | +5,000,000 (نصب WPForms) | reCAPTCHA با فرم سفارشی | ✔️ |
نکات امنیتی مکمل که باید در نظر بگیرید
- استفاده از رمزهای عبور قوی و پیچیده: رمز عبور ضعیف یا ساده، حتی با داشتن افزونه امنیتی هم خطر بزرگی برای سایت شماست.
- اجباریکردن رمز قوی برای کاربران: با استفاده از افزونههایی مانند “Password Policy Manager” یا تنظیمات امنیتی، کاربران را وادار کنید از رمزهای امن استفاده کنند.
- فعالسازی CAPTCHA در فرمهای ورود و ثبتنام: سادهترین و مؤثرترین راه برای جلوگیری از رباتها و اسپمرها.
- بررسی لاگهای ورود کاربران: افزونههایی مثل “Activity Log” یا “WP Security Audit Log” را نصب کنید تا بتوانید پیگیری کنید چه کسی، کی و از کجا وارد سایت شما شده.
- محدود کردن دسترسی به /wp-login.php با htaccess: برای سایتهایی که کاربران عمومی ندارند (مثل سایت شرکتی)، میتوانید به صورت کامل این URL را برای آیپیهای غیرمجاز ببندید.
با هاست وردپرس لیارا، وبسایت خود را با سرعت و امنیت بالا راهاندازی کنید.
✅ نصب و راهاندازی آسان✅ منابع اختصاصی و پشتیبانی از HTTP/2✅ پشتیبانگیری خودکار
خرید و راهاندازی هاست وردپرس
سوالات متداول
در ادامه برخی از سوالات شما در رابطه با امنیت وردپرس و سایتهای وردپرسی بررسی و پاسخ داده شده است.
چگونه صفحه ورود وردپرس را از دید هکرها مخفی کنیم؟
میتوانید از افزونههایی مانند WPS Hide Login استفاده کنید تا مسیر پیشفرض /wp-admin را به یک آدرس دلخواه تغییر دهید.
چرا احراز هویت دومرحلهای در وردپرس مهم است؟
افزودن لایه دوم احراز هویت باعث میشود حتی اگر رمز عبور شما لو برود، باز هم بدون دسترسی به کد تایید موقت، امکان ورود به سیستم وجود نداشته باشد.
آیا فقط نصب افزونه کافی است؟
خیر، باید بهطور منظم لاگهای ورود را بررسی کنید، افزونهها را بهروز نگه دارید و رمزهای عبور قوی برای همه کاربران تنظیم کنید.
چطور از حملات Brute Force جلوگیری کنیم؟
با محدود کردن تعداد تلاشهای ورود (مثلاً با افزونه Limit Login Attempts Reloaded) و فعالسازی CAPTCHA میتوان جلوی این حملات را گرفت.
کدام افزونه امنیت ورود برای سایتهای فروشگاهی مناسبتر است؟
اگر از WooCommerce استفاده میکنید، باید افزونهای انتخاب کنید که از صفحه ورود کاربران فروشگاه نیز محافظت کند. افزونههایی مثل Wordfence یا iThemes Security میتوانند گزینه مناسبی باشند.
افزونههایی که قابلیت بررسی IP دارند چه مزیتی دارند؟
این افزونهها میتوانند آیپیهایی که رفتار مشکوک دارند را بهطور موقت یا دائم مسدود کنند و از دسترسی غیرمجاز جلوگیری کنند.
چگونه وردپرس را روی سرور مجازی اوبونتو Ubuntu بهینه کنیم؟
بهینهسازی وردپرس روی VPS
جمع بندی
ایمنسازی صفحه ورود در وردپرس، یکی از اولین و مهمترین قدمها برای محافظت از سایت شما در برابر تهدیدهای رایج اینترنتی است. افزونههایی که معرفی کردیم، کمک میکنند تا با افزودن لایههای امنیتی مانند احراز هویت دومرحلهای، محدود کردن تعداد تلاشهای ورود و مخفیسازی آدرس لاگین، جلوی نفوذهای ساده را بگیرید.
البته نباید فراموش کنید که این افزونهها تنها بخشی از راهکارهای امنیتی هستند. برای امنیت کامل، به یک استراتژی جامع نیاز دارید که شامل آپدیتهای منظم، استفاده از رمزهای قوی، گرفتن نسخه پشتیبان و بررسی فعالیتهای کاربران باشد.
منبع: https://serverguy.com/wordpress/wordpress-login-security-plugins