ورود امن وردپرس و راه کارهای آن

امنیت، یکی از موارد مهم در طراحی سایت و مدیریت آن است. زمانی‌که شما به این پارامتر، بی‌توجهی کنید، به احتمال زیاد وب‌سایتتان طعمه‌ی هکرها قرار می‌گیرد. ورود امن به پنل مدیریتی سایت، یکی از روش‌های ارتقای امنیت وب‌سایت است. در این مطلب به آموزش ورود امن وردپرس خواهیم پرداخت.

امنیت در وردپرس

وردپرس (wordpress) محبوب‌ترین سیستم مدیریت وب‌سایت است. بیش‌تر از یک چهارم وب‌سایت‌های موجود در اینترنت، از CMS وردپرس استفاده می‌کنند. با وردپرس، می‌توان سایت‌های متعددی مانند سایت خبری، آموزشی، فروشگاه اینترنتی و غیره را پیاده‌سازی نمود.

دوره پیشنهادی: آموزش طراحی سایت بدون کدنویسی

بعد از راه‌اندازی وب‌سایت (از هر مدلی که باشد)،‌ اولین و مهم‌ترین دغدغه، نگرانی و حفاظت از سایت و اطلاعات آن در برابر حملات متعدد خواهد بود. از سوی دیگر، محبوبیت وردپرس سبب شده است تا این سیستم مدیریت محتوا، بیش‌تر در معرض توجه و خطر حمله‌ی هکرها قرار گیرد. بنابراین اگر از وردپرس استفاده می‌کنید، ضروری است تا با تکنیک‌های امنیتی آن نیز آشنا باشید. در ادامه، به اختصار در رابطه با چک لیست امنیت وردپرس صحبت کرده‌ایم. به‌کارگیری این تکنیک‌ها کمک می‌کند تا سایتهای وردپرسی، امنیت بالاتری داشته باشد.

ورود امن وردپرس با هاستینگ معتبر

تمام کدها و پوشه‌های مربوط به وب‌سایت شما، روی «هاست» قرار می‌گیرد. هاست فضایی از سرور است که به‌صورت اجاره‌ای در اختیار شما قرار می‌گیرد. اگر از سرویس‌دهنده‌هایی استفاده کنید که چند لایه امنیتی برای سرور و هاست‌های خود فراهم می‌کند، سایت شما امنیت بالاتری دارد. استفاده از هاستینگ رایگان وردپرس، به هیچ وجه توصیه نمی‌شود مگر آن‌که موضوع «امنیت» مطرح نباشد.

هاستینگ‌ معتبر هم‌چنین با پشتیبانی ۲۴ ساعته، می‌تواند به محض مشاهده‌ی کوچک‌ترین مشکل امنیتی، آن را برطرف کند. پشتیبان‌گیری از داده‌ها و وب‌سایت نیز از مزایای یک هاستینگ با اعتبار بالا است. بهتر است قبل از خرید هاست، این نکات را در نظر بگیرید تا در آینده، امنیت بیش‌تری برای سایت خود فراهم کنید.

Update و به‌روزرسانی مرتب

در هر نسخه‌ی به‌روزرسانی شده از وردپرس، باگ‌ها و ایرادات نسخه‌های قبلی، برطرف شده است. بنابراین اگر به موضوع انجام آن بی‌اعتنا باشید، حفره‌های امنیتی و باگ‌ها در دل وب‌سایتتان باقی می‌ماند. لازم است بگوییم که بسیاری از هکرها، وب‌سایت‌هایی را تحت نظر دارند که از نسخ قدیمی CMS استفاده می‌کنند. آن‌ها حفره‌های امنیتی نسخ قدیمی CMS را می‌دانند و بهتر می‌توانند حمله کنند. پس لطفاً به‌روزرسانی (وردپرس، پوسته، افزونه‌ها و …) را جدی بگیرید.

عدم استفاده از قالب‌ها و افزونه‌های رایگان

واژه‌ی «رایگان» بسیار گول‌زننده و در تضاد با ورود امن وردپرس است. بسیاری از افراد سودجو، با همین تکنیک، قالب سایت آلوده و مخرب به شما می‌دهند. توصیه می‌کنیم برای امنیت بیش‌تر صفحات وردپرس، از قالب‌ها و افزونه‌های اصل استفاده کنید. فراموش نکنید که قالب‌های رایگان، شکل هک شده و کرک شده‌ی قالب‌های اصل هستند.

اگر به هر دلیلی ناچار به استفاده از قالب‌ها و افزونه‌های رایگان هستید، بهتر است آن را از وب‌سایت‌های معتبر تهیه کنید. بسیاری از سایت‌های معتبر، پیش از ارائه‌ی قالب و افزونه به مشتریان خود، آن‌ها را تست می‌کنند و در خصوص سالم بودن فایل‌ها، اطمینان می‌دهند. مخزن وردپرس، منبع امنی برای تهیه‌ی قالب و افزونه است.

دوره پیشنهادی: آموزش جامع طراحی سایت با وردپرس

استفاده از افزونه امنیت وردپرس

شما می‌توانید از پلاگین‌ها و افزونه‌های حوزه‌ی امنیت (security) در وردپرس استفاده کنید. این افزونه‌ها، سایت را برای وجود بدافزار و حمله مرتب اسکن می‌کنند و سبب افزایش امنیت سایت می‌شوند. برخی از این افزونه‌ها، به‌غیر از اسکن سایت، خدمات دیگری هم ارائه‌ می‌دهند.

مزیت استفاده از افزونه‌های امنیتی، ساده بودن کار با آن‌هاست. افزونه‌ها واسط کاربری ساده‌‌ای دارند و اگر شما با کدنویسی و طراحی سایت آشنایی نداشته باشید، از طریق این افزونه‌ها، می‌توانید تغییرات مهم در راستای امنیت سایت را در کدهای آن اعمال کنید.

پیشنهاد مطالعه: افزونه وردپرس چیست؟ + معرفی برترین افزونه‌ها

بکاپ‌گیری مرتب

توصیه می‌کنیم به‌صورت مرتب و دوره‌ای، از سایتتان بکاپ تهیه کنید. نسخه‌های پشتیبان یا همان بکاپ‌ها، در مواقع حمله، به شما کمک می‌کنند تا اطلاعات سایت را (ورژن پیش از حمله)، بازگردانی کنید.

همان‌طور که در قسمت‌های قبلی اشاره کردیم، برخی از هاستینگ‌های معتبر، فایل‌های پشتیبان از وب‌سایت‌ها تهیه می‌کنند که در مواقع حساس با ارسال تیکت و درخواست از پشتیبانی، قابل بازیابی خواهد بود.

پسوردگذاری روی پوشه‌ها

همان‌طور که پیش‌تر نیز اشاره کردیم، وب‌سایت، مجموعه‌ای از کدها و فایل‌ها روی هاست است. اگر بتوانید این پوشه‌ها را رمزگذاری کنید، قدم مهمی برای افزایش امنیت وردپرس برداشته‌اید. پوشه‌ی wp-admin از مهم‌ترین پوشه‌هایی است که هدف هکرها قرار می‌گیرد. وجود پسورد برای دسترسی به این پوشه،‌ هکر را با چالش سخت‌تری روبه‌رو می‌کند.

دوره پیشنهادی: آموزش طراحی سایت مقدماتی

غیرفعال‌سازی ویرایش در داشبورد پنل وردپرس

توصیه می‌کنیم دسترسی به ویرایش تم و پلاگین از داشبورد وردپرس را غیرفعال کنید. این کار کمک می‌کند تا اگر خدایی ناکرده، وب‌سایت دچار حمله شود؛ امکان تغییر کدها یا ورود کد مخرب به پوسته و پلاگین‌ها وجود نداشته باشد.

امن‌سازی صفحات ورود وردپرس

همان‌طور که اشاره کردیم، صفحات ورود وردپرس، در حقیقت دروازه‌ی ورود هکرها به سایت هستند. بنابراین رعایت نکات مختلف برای اعمال ورود امن وردپرس، سبب می‌شود تا هکرها راه پیچیده‌تری را در پیش‌رو داشته باشند.

ورود به وردپرس با آدرس مخصوص، نام کاربری و رمز عبور انجام می‌شود. پس ایجاد امنیت در صفحات ورود نیز با امن‌سازی آدرس ورود، نام کاربری و رمز عبور قابل پیاده‌سازی خواهد بود. در ادامه، این سه گزینه را بررسی کرده‌ایم.

نام کاربری

به‌طور پیش‌فرض از نام کاربری admin برای ورود به پنل مدیریتی وردپرس استفاده می‌شود. احتمالاً admin، اولین حدس هکر برای ورود به سایت شما خواهد بود! پس شما می‌بایست نام کاربری پیش‌فرض را تغییر دهید. بهتر است اسامی و عباراتی را برای ان منظور انتخاب کنید که به راحتی قابل حدس زدن نباشد.

پسوردهای پیچیده

راه دیگری که استفاده از آن، در امنیت سایت وردپرسی تأثیر دارد، استفاده از پسوردهای پیچیده است. بیش‌تر از ۸ درصد از سایت‌های وردپرسی که هک شده‌اند، پسوردهای بسیار ساده داشته‌اند. پسورد صفحات ورود وردپرس نباید ساده و ضعیف باشد. هرچقدر پسور پیچیده‌تری برای این منظور استفاده کنید، هکرها بیش‌تر از هک سایتتان ناامید می‌شوند.

برای داشتن پسورد امن و پیچیده، می‌بایست یک رشته (حداقل ۸ کاراکتر) متشکل از کاراکترهای کوچک و بزرگ، اعداد و نشانه‌هایی مثل ($، #،@، ! و …) استفاده کنید. اگر به‌خاطرسپاری پسوردهای پیچیده برایتان دشوار است، می‌توانید از نرم‌افزارهای مدیریت پسورد استفاده کنید.

پیشنهاد مطالعه: خطای 403 در وردپرس چیست + علل و راهکار

کدهای CAPTCHA

استفاده از کدهای CAPTCHA نیز سبب امنیت سایت وردپرسی می‌شوند. کد CAPTCHA کمک می‌کند تا مطمئن شویم که ورود به سایت توسط ربات‌ها اتفاق نیوفتاده باشد. در واقع استفاده از کدهای CAPTCHA یک مرحله‌ی امنیتی یا یک لایه امنیتی دیگر را به صفحات ورود وردپرس اضافه می‌کند.

تغییر url ورود به مدیریت وردپرس

بهترین کاری که می‌توانید برای افزایش امنیت سایت انجام دهید، این است که به فکر تغییر آدرس ورود به وردپرس باشید. منظورمان این است که آدرس صفحه‌ی ورود به پنل مدیریت سایتی که با وردپرس ساخته شده است را تغییر دهید. به‌صورت پیش فرض، این صفحه در آدرس /wp-login یا /wp-admin بعد از انتهای دامنه‌ی سایت، قرار می‌گیرد. بنابراین چیز دشواری نیست که هر شخصی، بتواند به آدرس ورود به پنل مدیریت وردپرس دست یابد.

اگر این آدرس را تغییر دهید، هکر برای حدس آدرس جدید، وارد یک فاز پیچیده‌تر خواهد شد! به عبارت دیگر پیش از آن‌که هکر بتواند به حدس درباره‌ی نام کاربری و رمز عبور بپردازد، می‌بایست حدس بزند که پنل مدیریت از چه آدرسی قابل دسترس است. در نظر بگیرید که آدرس جدید را به‌نوعی انتخاب کنید که به سادگی قابل حدس نباشد، در این صورت دشواری این url هکر را از ادامه‌ی تلاش منصرف می‌کند.

تغییر url ورود به مدیریت وردپرس از چند روش قابل انجام است. ما این روش‌ها را در مطلبی مجزا در مکتب خونه بررسی کرده‌ایم. در این‌جا صرفاً یادآور می‌شویم که امکان تغییر url ورود به مدیریت وردپرس از طریق برخی افزونه‌های امنیتی و یا دستکاری در فایل‌های وردپرس وجود دارد. آموزش دقیق چگونگی این کار را از مطلب آموزش تغییر آدرس ورود به مدیریت وردپرس دنبال کنید.

محدودیت در ورود به وردپرس

راه دیگری که برای ارتقای امنیت سایت وردپرسی توصیه می‌شود، ایجاد محدودیت در دفعات ورود به وردپرس است. این روش، بدین صورت است که به هر کاربر، تعداد دفعات معینی برای ورود به سایت را می‌دهد. بنابراین اگر هکر بخواهد برای حدس پسورد، بیش‌تر از تعداد دفعات مجاز تلاش کند، وردپرس جلوی ورود وی را بگیرد. اگر این محدودیت وجود نداشته باشد، هکر به تعداد دفعات بی‌شمار می‌تواند نام کاربری و رمز عبور را حدس بزند. بنابراین شانس وی برای نفوذ به پنل افزایش می‌یابد.

اصلاح متن خطای ورود به پنل

در وردپرس، زمانی که شما نام کاربری یا رمز عبور را به اشتباه وارد کنید، یک پیغام نمایش داده می‌شود که به شما می‌گوید کدام پارامتر، اشتباه وارد شده است. شاید در نگاه اول، این موضوع بی‌خطر به نظر برسد اما اگر کمی عمیق‌تر بررسی کنیم می‌بینیم که این پیغام خطا می‌تواند در حکم یک راهنمایی برای هکر باشد.

در نظر بگیرید که پیغام اشتباه بودن رمز عبور به هکر نشان داده شود. در این صورت، هکر متوجه خواهد شد که نام کاربری وارد شده، صحیح است. بنابراین حداقل ۵۰ درصد از تلاش وی برای ورود به سایت، موفق بوده است. اما اگر پیغام خطا، دقیق تعیین نکند که کدام بخش از نام کاربری یا گذرواژه اشتباه است، احتمالاً هکر نمی‌تواند تعیین کند که کجای کار اشتباه است.

پیشنهاد مطالعه: طراحی فرم ثبت نام وردپرس به‌صورت سفارشی

احراز هویت دو عاملی (two factor authentication)

یکی دیگر از روش‌های ورود امن وردپرس، استفاده از اهراز هویت دو عاملی است. این کار، در واقع ورود به پنل مدیریت را با دو صفحه پسورد انجام می‌دهد. مرحله‌ی اول، شما نام کاربری و رمز عبور را وارد می‌کنید. در مرحله‌ی دوم، در صفحه‌ی جدید از شما کدی خواسته می‌شود که به شماره همراه صاحب نام کاربری، ارسال شده است. هرچند ارسال پیامک، حاوی هزینه است اما امنیت این روش بسیار بالاست.

وب‌سایت‌هایی که اطلاعات مهم و حساسی دارند مانند بسیاری از سایت‌های دولتی مهم، از روش اهراز هویت دو عاملی استفاده می‌کنند. در این روش، بسیار دشوارتر است که هکر بتواند راهی برای ورود کد ارسال شده به شماره همراه شما، بیابد. برای پیاده‌سازی این روش می‌توان از افزونه‌ی clef استفاده کرد.

دوره پیشنهادی: آموزش ساخت فروشگاه اینترنتی با وردپرس

استفاده از SSL در وردپرس

SSL یک گواهی‌نامه است که برای انتقال امن داده‌ها بین کاربر کلاینت و سرور وب استفاده می‌شود. به این صورت که داده‌های حساس، مانند گذرواژه، رمز کارت اعتباری و غیره، رمزنگاری‌شده و به‌صورت امن منتقل می‌شوند.

اگر گواهی‌نامه‌ی SSL را برای سایت خود فعال کنید، داده‌های حساس و مهم رمزنگاری شده و ارسال می‌شوند. این‌گونه کاربر هکر، با رشته‌ای از کاراکترهای رمزی و غیرقابل مفهوم روبه‌رو خواهد بود. بنابراین دسترسی به اطلاعات، محدود می‌شود.

کلام آخر

در این مطلب به معرفی روش‌های مختلف برای امن‌سازی سایت وردپرسی پرداختیم. هم‌چنین تکنیک‌هایی را تحت عنوان آموزش ورود امن وردپرس معرفی کردیم که از ورود هکر و افراد غیرمجاز به وب‌سایت، جلوگیری می‌کند.

توجه کنید که پیاده‌سازی هر یک از این روش‌ها، تا حد قابل توجهی جلوی نفوذ و حملات هکرها را می‌گیرد. بنابراین این نکات را جدی بگیرید و حتماً در سایت خود استفاده کنید. عدم توجه به این نکات، سایت شما را در معرض حمله قرار می‌دهد. این حمله می‌تواند به‌صورت مخدوش کردن سایت، از بین بردن اطلاعات و یا نمایش داده‌های غیرمرتبط و خارج شدن از دسترس شما دیده شود.

هرچقدر که تعداد بیش‌تری از این روش‌ها را اعمال کنید، هکر در مواجه با بخش‌های مختلف، با چالش‌های زیادی روبه‌رو می‌شود. این‌طور دیوارهای امنیتی سایت شما قوی‌تر و مستحکم‌تر می‌شود. فراموش نکنید که چیزی به نام امنیت ۱۰۰ درصد در وب‌سایت وجود ندارد. شما فقط می‌توانید دیوارهای امنیتی بیش‌تر و محکم‌تری را برای حفاظت از وب‌سایت خود ایجاد کنید.

دوره پیشنهادی:  آموزش راه اندازی فروشگاه اینترنتی

آموزش وردپرس در مکتب خونه

بیش‌تر وب‌سایت‌ها، از سیستم مدیریت وردپرس استفاده می‌کنند. بنابراین یادگیری این سیستم مدیریت محتوا، در حرفه‌های وابسته به طراحی سایت، الزامی به‌نظر می‌رسد. اگر به‌دنبال آموزش وردپرس هستید، سری به وب‌سایت مکتب خونه بزنید. مکتب خونه، پر است از مقاله‌های آموزش وردپرس رایگان، که با زبانی ساده و در عین حال به‌صورت جامع، نکات و تکنیک‌های مهم این سیستم مدیریت محتوا را آموزش می‌دهد. هم‌چنین در این آکادمی، انواع دوره‌های آموزش وردپرس، ورود امن وردپرس، آموزش امنیت وردپرس، دوره‌های جامع طراحی سایت، دوره‌های آموزش طراحی فروشگاه اینترنتی و  غیره قرار گرفته است.

مزیت شرکت در دروه آموزش وردپرس مکتب خونه، آموزش این CMS از صفر تا صد است. بنابراین این دوره‌ها حتی برای افرادی که هیچ تجربه و آشنایی در زمینه‌ی طراحی سایت ندارند، نیز مفید و کاربردی خواهد بود. امکان ارتقای مهارت با شرکت در دوره‌های حرفه‌ای‌تر نیز وجود دارد.

شما می‌توانید بعد از ثبت نام در دوره‌ی آموزشی و گذراندن دروس مربوطه، برای اخذ گواهی‌نامه‌ی اختصاصی آکادمی مکتب خونه نیز اقدام کنید. وقتی گواهی‌نامه‌ی مهارت آموخته شده را داشته باشید، برای صحت و اعتبار ادعای خود مبنی بر تسلط بر مهارت، راحت‌تر خواهید بود. ضمن این‌که گواهی‌نامه‌ی پایان دوره، اعتبار رزومه‌ی شما را نیز ارتقا می‌دهد.