۱۴ نکته برای افزایش امنیت پنل مدیریتی وردپرس

ممکن است در قسمت پنل مدیریتی وردپرسی شما حملاتی صورت گیرد که امنیت پنل مدیریتی سایت شما را تهدید کند. محافظت از پنل مدیریتی یکی از حیاتی ترین کارهایی است که یک مدیر سایت باید انجام دهد و دسترسی های غیر مجاز را مسدود نماید. در این مقاله به معرفی چند نکته به منظور حصول اطمینان از امنیت بخش پنل مدیریتی می پردازم. لازم به ذکر است هر چه در به‌کارگیری این موارد پیشرفت کنید، کار را برای هکرها سخت‌تر خواهید کرد‌.

در ادامه با ما همراه باشید…

معرفی چند نکته برای امنیت پنل مدیریتی

۱. استفاده از فایروال برنامه های کاربردی تحت وب

این برنامه یا WAF، نظارت بر ترافیک و درخواست های بلاک مشکوک که وارد وب سایت شما می شوند، می کند. ما برای فایروال وردپرس، افزونه sucuri را به شما توصیه می کنیم. یک امنیت ابری براساس WAF(دیواره آتش وب) برای حفاظت وب سایت شما، سرویس نظارت و امنیت است که ارائه می کند.

در مرحله اول تمام ترافیک وب سایت شما سراسر پروکسی ابری قرار می گیرد،مکانی که هر درخواست و بلاک مشکوکی که به وب سایت شما وارد می شود را تجزیه تحلیل کرده و از حملات فیشینگ، هک کردن یا بدافزارها و دیگر فعالیت های مخرب در درون وب سایت شما جلوگیری می کند.

۲. رمز عبور ایمن شده مسیر پنل مدیریتی وردپرس

با اضافه کردن رمز عبور ایمن برای مسیر پنل مدیریت وردپرس لایه های امنیتی دیگری به وب سایت شما افزوده می شود. حال به بخش هاستینگ وردپرس خود وارد شوید و در داشبورد سی پنل روی “directory privacy” کلیک نمایید.

سپس پوشه “wp-admin “را انتخاب نمایید، باکس بعدی گزینه “password protect this directory” را چک کنید و یک نام برای مسیر محافظت شده وارد و دخیره نمایید.

سپس یک کاربر ایجاد کنید و نام کاربری،رمز عبور وارد و ذخیره کنید. از این پس هر شخصی بخواهد وارد پنل مدیریت یا مسیر wp-admin وب سایت شما شود نام کاربری و رمز عبور از آن ها پرسیده می شود.

۳. انتخاب یک رمز عبور قوی

به عنوان مثال:

این مرحله یک مرحله بدیهی است؛ اما پیشنهاد می کنیم که آن را دست کم نگیرید. همیشه از کلمه عبور قوی برای تمام اکانت های آنلاین از جمله سایت وردپرس استفاده کنید. بهتر است ترکیبی از حروف و اعداد،کاراکترهای خاص برای پسورد خود استفاده کنید. به صورتی که حدس آن‌ها فوق‌العاده سخت باشد. برای اطمینان از اینکه کلمه عبور انتخابی قوی و حدس آن سخت است، از شناسایی کننده قوی بودن کلمه عبور وردپرس (WPSD) استفاده کنید‌. و هم چنین می توانید کلمه ی عبور خود را بعد از مدتی به صورت دوره ای تغییر دهید، با این وجود حتی اگر کسی کلمه عبور شما را حدس زده باشد با توجه به تغییر آن امکان عبور از آن را ندارد.

۴. استفاده کردن از دو گام تایید برای ورود به صفحه وردپرس

استفاده از دو گام تایید برای ورود به صفحه وردپرس لایه امنیتی دیگری را به رمز عبور خود اضافه می کنید. به جای استفاده از یک پسورد، باید پسورد کد تایید گوگل هم برای ورود به پنل مدیریت وردپرس وارد کنید. این کار باعث امنیت بیشتر برای بخش پنل مدیریتی شما می شود.

۵. محدود کردن تعداد دفعات تلاش برای ورود به پنل مدیریتی

گاهی اوقات هکر‌ها از اسکریپت‌هایی برای حدس کلمه عبور شما استفاده می‌کنند‌. در این حالت تنها کاری که می‌توانید برای جلوگیری از آن به کار ببرید، محدود کردن تعداد دفعات تلاش برای ورود به پنل مدیریتی سایت است. شما می‌توانید این کار را به آسانی و با استفاده از افزونه محدود کردن تلاش برای ورود (Limit Login Attempts) انجام دهید. در این صورت با تعیین تعداد دفعات تلاش برای ورود می‌توانید بعد از وارد شدن چند بار کلمه عبور غلط، حساب کاربری خود را برای مدت زمان معینی مسدود کنید. شما می‌توانید این تنظیمات را در پنل مدیریتی خود انجام دهید‌.

۶. استفاده از صفحات ورود SSL امن

شما می‌توانید برای ورود به پنل کاربری خود از کانال‌های رمزگذاری شده و ایمن SSL که از URL های //:https استفاده می‌کنند، سود ببرید. در این صورت یا باید تاییدیه این کار را از میزبان وب خود بگیرید یا اینکه خودتان یک مجوز SSL داشته باشید. بعد از به دست آوردن این مجوز با قرار دادن کد زیر در فایل  wp-config.php می‌توانید از این ویژگی استفاده کنید‌.

define(“FORCE_SSL_ADMIN”, true);

۷. محدودیت دسترسی از طریق IP آدرس

شما می‌توانید اجازه دسترسی به پنل مدیریتی خود را به یک یا چند IP اختصاص دهید‌. کلیه این IP‌ها در فایل .htaccess در پوشه wp-admin قرار می‌گیرند؛ البته در صورتی که نمونه‌ای از آن‌ها وجود نداشته باشد، می‌توانید کد زیر را قرار دهید.

بعد از تغییر IP آدرس، این کد کار می کند. فراموش نکنید مقدار “xx” با IP آدرس خودتان جایگزین کنید. نکته مفید این کار آن است که اگر بخواهید از جایی دیگر به پنل خود دسترسی داشته باشید، تنها در صورتی می‌توانید این کار را انجام دهید که IP فعلی را به فایل .htaccess افزوده باشید‌.

۸. غیر فعال کردن راهنمای ورود به سیستم

به عنوان مثال:

با وارد کردن رمز عبور نامعتبر وقتی که دیگر وارد پنل مدیریتی نمی شوید وردپرس علت خطا را نمایش می دهد، این کار برای هکرها کمک قابل توجهی می باشد، برای مخفی کردن راهنمای ورود می توانید کد زیر را به فایل function.php یا افزونه site-specific را اضافه نمایید.

۹. عدم استفاده از نام کاربری admin

این نام کاربری اولین نامی است که در هنگام نصب وردپرس ایجاد می‌شود‌. شما هرگز نباید از این نام کاربری استفاده کنید یا آن را حفظ کنید؛ چرا که در نقاط ضعف چندگانه قبلی‌، یافته شد که این مسئله به حمله قدرت بی رحم (BFA ) و نام کاربری ADMIN  مرتبط است؛ بنابراین نباید از این نام کاربری استفاده کنید‌. شما می‌توانید در پنل کاربری خود نام کاربری دیگری را ایجاد و نقش مدیر را به آن اختصاص دهید‌. از نامی برای نام کاربری استفاده کنید که به سادگی توسط هکران قابل حدس زدن نباشد‌. سپس نام کاربری ADMIN را حذف کنید‌.

۱۰. نیاز کاربران برای استفاده از رمز عبورهای قوی

اگر چند نویسنده سایت شما را اجرا می کنند سپس می توانند پروفایل خود را ویرایش کنند و رمز عبور ضعیف به کار ببرند،این رمز عبورها می توانند کرک شوند و اشخاص دیگری وارد پنل مدیریت شما شوند.برای جلوگیری از این مشکل افزونه force strong passwords نصب و فعال کنید.این افزونه تنظیمات ندارد،پس از فعالسازی کاربرانی که رمز عبور ضعیف استفاده کردند را متوقف می کند و پسوردهای قوی را بررسی نمی کند.

۱۱. ریست کردن رمز عبور برای همه کاربران

افزونه Emergency Password Reset نصب و فعال کنید،پس از فعال سازی منو کاربران را انتخاب و Emergency Password Reset را کلیک کنید و بر روی دکمه “reset all passwords” کلیک نمایید.

۱۲. استفاده از آخرین نسخه و به‌روز‌ترین نسخه ورد‌پرس

همیشه از آخرین نسخه‌های ورد‌پرس استفاده کنید؛ چراکه در هر نسخه جدید‌، ورد‌پرس اشکلات و خطاهای نسخه قبلی خود را برطرف می‌کند‌. استفاده از نسخه قدیمی وردپرس اجازه می دهد تروجان و بد افزارها وارد سایت شما شود،برای حل این مشکل حتما از اخرین نسخه وردپرس استفاده کنید.همچنین افزونه های وردپرس شما اخرین نسخه باشند.

۱۳. حفاظت آنتی‌ویروس ورد‌پرس‌

آنتی ویروس نیز راه‌حلی هوشمندانه و موثر برای حفاظت سایتتان در برابر حملات متعددی است که پاسخ آنی به فایل‌های مزاحم‌، بررسی خودکار به صورت روزانه و اعلام نتایج از طریق ایمیل را برای شما فراهم می‌کند.

۱۴. محدودیت دسترسی پیشخوان

در برخی از سایت های وردپرس بعضی از کاربران خاص نیاز به دسترسی پیشخوان داشته و بعضی دیگر از کاربران نیاز به دسترسی پیشخوان ندارند. با این حال، به طور پیش فرض همه کاربران می توانند به پنل مدیریت وردپرس دسترسی داشته باشند.با نصب وفعال سازی افزونه Remove Dashboard Access می توانید مشخص کنید چه کاربری به پنل مدیریت سایت شما دسترسی داشته باشد.

مطالب مرتبط:

افزونه حفاظت از محتوا در وردپرس

چند عمل ساده که امنیت وردپرس شما را بیشتر می کند

شخصی سازی و بالا بردن سطح امنیت در وردپرس

منبع: تیک تم– ارائه دهنده مقالات: ویدیو آموزشی– خطاهای وردپرس– وبلاگ