۴ افزونه برتر وردپرس برای ایمن کردن صفحه‌ی ورود و wp-admin


۱۸ مرداد ۱۳۹۹
۴ افزونه برتر وردپرس برای ایمن کردن صفحه‌ی ورود و wp-admin

اولین قدمی که می‌توان برای ایمن کردن برنامه‌های وردپرس بردارید، ایمن کردن بخش ورود به سایت است. در این مقاله به ۴ افزونه امنیتی که در این امر به ما کمک می‌کنند، می‌پردازیم.

افزونه‌های امنیتی ورود در وردپرس

این چهار افزونه، از ایمن بودن صفحه ورود وردپرس شما، اطمینان حاصل می‌کنند. افزونه Google Authenticator، یک حفاظ شخصی‌سازی شده برای ورود به وبسایت وردپرسی شما ایجاد می‌کند، یا افزونه دیگری به‌نام Limit Login Attempts Reloaded، تعداد ورودهای ناموفق را محدود می‌کند. با استفاده از افزونه WP Security می‌توانید یک سوال را به‌عنوان یکی از پارامترهای مورد نیاز برای ورود به سایت اضاف کنید و افزونه WPS Hide، آدرس /wp-admin را به هرچه که شما می‌خواهید تغییر می‌دهد.

Google Authenticator – WordPress Two Factor Authentication (2FA)

افزونه google authenticator

احراز هویت دومرحله‌ای یکی از بهترین ابزارهای موجود برای ایمن کردن بخش ورود به سایت وردپرسی است، با استفاده از این ابزار یک لایه امنیتی اضافه می‌شود که فقط کاربران واقعی می‌توانند از آن عبور کنند.

احراز هویت دومرحله‌ای چیست؟

احراز هویت دومرحله‌ای یا به عبارت دیگر TFA، یک لایه امنیتی دیگر را اضافه و تضمین می‌کند، شخصی که قصد ورود به سیستم را دارد، دقیقا همان شخصی است که باید آن نام کاربری و رمزعبور را بداند.

در بیشتر سیستم‌های احراز هویت، پس از وارد کردن نام کاربری و رمز عبور، کاربران وارد سیستم می‌شوند. با TFA برای ورود به سیستم، نیاز به اطلاعات بیشتری است. این اطلاعات ایمن‌تر هستند، زیرا فقط می‌توانند متعلق به آن شخص باشند.

روش‌های احراز هویت:

  • آخرین رمزعبور تایید شده (Last Pass Authenticator)
  • سوال امنیتی
  • ارسال اعلان
  • OTP با ایمیل یا sms
  • QR Code
  • Soft Token

ویژگی‌های افزونه Google Authenticator:

  • سوال‌های امنیتی سفارشی‌سازی شده
  • پشتیبانی از ترجمه زبان
  • محافظت در مقابل حمله‌های Brute Force
  • مسدودسازی IP
  • نظارت بر ورود کاربر

Limit Login Attempts Reloaded

افزونه Limit Login Attempts Reloaded

همان‌طور که از نام این افزونه پیداست، تعداد تلاش‌های ناموفق برای ورود به سیستم را محدود می‌کند. به‌صورت پیش‌فرض وردپرس این اجازه را می‌دهد که به‌صورت نامحدود، برای ورود به سیستم تلاش کنید. این قابلیت وردپرس، برای هکرها در انجام حمله‌های Brute Force بسیار مفید واقع می‌شود.

هکرها با ترکیب کلمه‌ها سعی می‌کنند به سیستم وارد شوند، همچنین باید افزود که تمام این کارها به‌صورت خودکار انجام می‌شود. پس تنها چیزی که برای پیدا کردن نام‌کاربری و رمزعبور شما نیاز می‌شود، زمان است.

برای جلوگیری از این حمله‌ها باید بعد از چند تلاش ناموفق، IP کاربر را مسدود کنید و اینجاست که افزونه Limit Login، مفید واقع می‌شود. با استفاده از این افزونه، شما تصمیم می‌گیرید که چند تلاش، برای ورود به سیستم معقول است و پس‌از آن دسترسی IP را به وبسایت خود مسدود کنید.

ویژگی‌های این افزونه:

  • محدود کردن تعداد تلاش‌ها، برای ورود به سیستم.
  • تعداد تلاش‌هایی که کاربر می‌تواند انجام دهد را به او نشان می‌دهد.
  • سازگاری با Sucuri Website Firewall
  • محافظت از صفحه ورود WooCommerce
  • سازگار با GDPR
  • محافظت از XMLRPC gateway

برای اطلاعات بیشتر در مورد XMLRPC، مقاله کارایی Xmlrpc.php در وردپرس چیست و چرا باید آن را غیرفعال کنیم؟ را دنبال کنید.

این یکی از افزونه‌های سبک و ساده برای ایمن کردن ورود به سیستم وردپرسی است که می‌تواند از وبسایت شما در برابر حمله‌های Brute Force محافظت کند.

WP Security Question

افزونه WP Security Question

این یک افزونه کوچک ولی مفید است. با استفاده از این افزونه می‌توانید، سوالی را در صفحه ورود اضافه کنید. به این معنی که علاوه بر نام کاربری و رمزعبور، کاربر موظف است به سوال امنیتی پاسخ دهد. در صورت فراموش کردن رمزعبور، این پلاگین به بازیابی حساب کاربری کمک می‌کند.

ویژگی‌های این افزونه:

  • ایجاد کردن چندین سوال امنیتی
  • نمایش سوال امنیتی به‌صورت همیشگی/تصادفی/یک-باره
  • نشان دادن Hint
  • می‌توانید پاسخ به سوال امنیتی را required کنید

بسیاری از کاربران، معمولا از رمزعبورهای ضعیف استفاده می‌کنند. این افزونه می‌تواند امنیت ورود به حساب‌های کاربران را بهبود ببخشد. یکی دیگر از مواردی که رخ می‌دهد، کاربران رمزعبور‌های خود را فراموش می‌کنند و با پاسخ به این سوال امنیتی، سریع‌تر می‌توانند به حساب‌شان دسترسی پیدا کنند.

WPS Hide Login

افزونه WPS Hide Login

بهترین روش برای مخفی کردن صفحه ورود به سیتم وردپرس، استفاده از افزونه WPS Hide Login است و با استفاده از این افزونه می‌توانید آدرس URL ورود به سیستم خود را تغییر دهید.

URL پیش‌فرض برای ورود به سیستم وردپرس، /wp-admin است. اما می‌توانید با استفاده از این افزونه، wp-admin به مورد دلخواه خود تغییر دهید. این افزونه، فایل‌های بخش core را تغییر نمی‌دهد و یا قوانین را بازنویسی نمی‌کند. فقط درخواست‌ را رهگیری می‌کند.

این افزونه کوچک، مزایای باارزشی را در مقابل هکرهای تازه‌کار یا حمله‌های Dictionary توسط ربات‌ها که صفحه ورود شما را مورد هدف قرار می‌دهند، در اختیار شما قرار می‌دهد.

با مخفی کردن صفحه ورود، راه را برای نفوذ هکرها سخت‌تر می‌کنید.

پرسش و پاسخ

چگونه وبسایت وردپرسی خود را ایمن کنیم؟

اولین قدم برای، ایمن کردن سایت وردپرسی‌تان، ایمن کردن صفحه ورود به داشبورد مدیریت سایت است که برای این کار می‌توانید از ورود دومرحله‌ای و محدودسازی تلاش‌های ورود استفاده کنید.

آیا خود وردپرس دارای مشکل‌های امنیتی است؟

وردپرس یک پلتفرم متن‌باز برای همه است که می‌توانند کدهای آن را بخوانند. افراد می‌توانند با خواندن کدها، آسیب‌پذیری‌های موجود را پیدا کنند و از آن برای هک کردن وبسایت‌های وردپرسی بهره ببرند. هرچند که تیم وردپرس، به سرعت آسیب‌پذیری‌ها را برطرف می‌کند. اما این پلتفرم همیشه در معرض خطر است و شما باید امنیت را از طرف خودتان هم به دست بگیرید.

نتیجه پایانی

شما می‌توانید هر یک از افزونه‌های نام‌برده شده را نصب و استفاده کنید. اما به یاد داشته باشید که این افزونه‌ها دربرابر ربات‌ها و هکرهای تازه‌کار مفید واقع می‌شوند و برای هکرهای باهوش، پیدا کردن آدرس صفحه ورود شما، دشوار نخواهد بود.

ایمن سازی ورود به وردپرس را باید به برنامه‌ای که برای ایمن کردن وبسایت‌تان دارید اضافه کنید و کاملا به ایمن بودن وردپرس، اعتماد نکنید. آن‌ها فقط اولین خط دفاعی شما در برابر حمله‌های مهاجمین هستند.

منبع: https://serverguy.com/wordpress/wordpress-login-security-plugins

برچسب‌ها:

خدمات رایگان لیارا

۲.۵ گیگابایت فضای ذخیره‌سازی ابری رایگان

۲.۵ گیگابایت Object Storage سازگار با پروتکل S3 با دیسک‌های SSD به‌صورت رایگان دریافت کنید.

هاست رایگان برای دیتابیس‌

دیتابیس‌های MariaDB، PostgreSQL و Redis را فقط با یک کلیک و به‌صورت رایگان تهیه کنید.

سرویس DNS رایگان

به سادگی دامنه‌تان را اضافه کنید و به صورت رایگان رکورد‌های آن را مدیریت کنید.

۱۰۰ هزار تومان اعتبار اولیه

بعد از ثبت نام در لیارا مبلغ ۱۰۰ هزار تومان اعتبار هدیه دریافت می‌کنید که با توجه به ساعتی بودن هزینه سرویس‌ها، می‌توانید تمامی خدمات پولی را برای چندین هفته رایگان استفاده کنید.

ارسال ۱۰۰ ایمیل تراکنشی رایگان در هر ماه

در سرویس ایمیل لیارا شما می‌توانید تا ۱۰۰ ایمیل رایگان در هر ماه ارسال کنید و فقط برای بیش از آن هزینه پرداخت کنید. (به‌همراه دسترسی SMTP)

هاست رایگان برای انواع وبسایت

تفاوتی ندارد برای وبسایت خود از Node استفاده می‌کنید یا Laravel و Django، در لیارا می‌توانید به صورت کاملا رایگان آن را میزبانی کنید.

توسعه‌دهندگان درباره‌ی ما چه می‌گویند

تجربه کار باliara_cloud@امروز خیلی خوب بود. یکی از سرویس هام رو منتقل کردم روش و راضیم. انقد سریع و جذاب کارم راه افتادم اصن باورم نمیشد! برعکس سرویس های PaaS دیگه با اون همه پیچیدگیشون. دمتون گرم
...

MohammadReza
liara testimonial
keikaavousi

بعد از بسته شدن @fandoghpaas و ناراحتی همه‌مون از اینکه یه سرویس خوب و صادق نمی‌تونه از پس هزینه‌ها بر بیاد، سرویسم رو منتقل کردم به پاس لیارا (https://liara.ir @liara_cloud) . تجربه راحت و خوب. تفاوت‌هایی داشت که کمی کار می‌خواست ولی تا الان کاملا راضی.

jadi
liara testimonial
jadi

یه خسته نباشید باید به تصمیمliara_cloud@بگم،
بعد از چندین روز سرکله زدن با سرویس های مشابه بالاخره تصمیم گرفتم لیارا رو امتحان کنم و باور نمیشه ۱۰ دقیقه بیشتر وقت نبرد،
دمتون گرم.

Arch
liara testimonial
EbadiDev

واسه سرویس PaaS با اختلاف لیارا بهترین رابط کاربری داره و یکی از مزیت‌های سرویس دیتابیس‌شون اینه که خودشون به صورت دوره‌ای بکآپ میگیرن.
...

Ali Najafi
liara testimonial
me_ali_najafi

یکی از کارهای خوبی که جدیداً میکنم اینه که یه دیتابیس روی لیارا میسازم و به پروژه وصل میکنم اینطوری هم خونه و هم محل کار دیتابیس بروز رو دارم و راحت میتونم ادامه بدم کار روliara_cloud@

Navid
liara testimonial
1navid

عاشقliara_cloud@شدم درسته در حد AWS نیست ولی خب تجربه خوبی واسه پروژه های داخل ایران ارائه میده، میتونم رو CD هم اجراش کنم

Amir H Shekari
liara testimonial
vanenshi