14 نکته مهم برای محافظت از منطقه مدیر وردپرس (به روز شده)

از

آیا حملات زیادی به منطقه مدیر وردپرس خود مشاهده می کنید؟ محافظت از منطقه مدیر از دسترسی غیر مجاز به شما امکان می دهد بسیاری از تهدیدات امنیتی رایج را مسدود کنید. در این مقاله ، ما برخی از نکات مهم و هک ها را برای محافظت از منطقه مدیر وردپرس به شما نشان خواهیم داد.

Tips and hacks to protect WordPress admin area

1 از فایروال برنامه وب سایت h4> استفاده کنید

فایروال برنامه وب سایت یا WAF بر ترافیک وب سایت نظارت کرده و درخواست های مشکوک را از دسترسی به وب سایت شما جلوگیری می کند.

در حالی که چندین افزونه های فایروال وردپرس وجود دارد در آنجا ، توصیه می کنیم از Sucuri استفاده کنید . این یک سرویس امنیت و نظارت بر وب سایت است که WAF مبتنی بر ابر را برای محافظت از وب سایت شما ارائه می دهد.

Website Application Firewall

تمام بازدیدهای وب سایت شما از طریق پروکسی ابری آنها انجام می شود ، جایی که آنها هر درخواست را تجزیه و تحلیل می کنند و دسترسی مشکوک به وب سایت شما را مسدود می کنند. این وب سایت شما را از تلاش های احتمالی هک کردن ، فیشینگ ، بدافزار و سایر فعالیت های مخرب جلوگیری می کند.

برای جزئیات بیشتر ، ببینید چگونه Sucuri به ما کمک کرد 450،000 حمله را در یک ماه مسدود کنیم.

2. محافظت از رمز عبور دایرکتوری وردپرس h4>

قسمت سرپرست وردپرس شما قبلاً با رمز ورود وردپرس شما محافظت می شود. با این حال ، افزودن حفاظت از رمز عبور به فهرست مدیریت وردپرس ، یک لایه امنیتی دیگر به وب سایت شما اضافه می کند.

ابتدا وارد میزبانی وردپرس داشبورد cPanel و سپس بر روی نماد “Password Protect Directories” یا “حریم خصوصی دایرکتوری” کلیک کنید.

Directory privacy

بعد ، شما باید پوشه wp-admin خود را انتخاب کنید ، که به طور معمول در فهرست / public_html / قرار دارد.

در صفحه بعدی ، باید کادر کنار گزینه “Password protection this Directory” را علامت بزنید و نامی برای فهرست محافظت شده ارائه دهید.

بعد از آن ، روی دکمه ذخیره کلیک کنید تا مجوزها تنظیم شود.

Password protect directory settings

بعد ، باید دکمه برگشت را فشار دهید و سپس یک کاربر ایجاد کنید. از شما خواسته می شود نام کاربری / گذرواژه خود را ارائه دهید و سپس بر روی دکمه ذخیره کلیک کنید.

حال وقتی کسی می خواهد از فهرست مدیر WordPress یا wp-admin در وب سایت شما بازدید کند ، از او خواسته می شود نام کاربری و رمز عبور را وارد کند.

Enter password

برای جزئیات بیشتر ، به راهنمای ما در نحوه محافظت از رمز عبور مدیر وردپرس (wp-admin)

3 همیشه از رمزهای عبور قوی استفاده کنید h4>

Always use strong passwords

همیشه از کلمات عبور قوی برای همه حساب های آنلاین خود از جمله سایت وردپرس خود استفاده کنید. ما توصیه می کنیم از ترکیبی از حروف ، اعداد و نویسه های خاص در رمزهای عبور خود استفاده کنید. این مسئله حدس رمز ورود شما را برای هکرها دشوارتر می کند.

اغلب مبتدیان از ما می پرسند که چگونه همه آن گذرواژه ها را به خاطر بسپاریم. ساده ترین پاسخ این است که شما نیازی به آن ندارید. برنامه های مدیریت رمز عبور بسیار خوبی هستند که می توانید آنها را روی رایانه و تلفن خود نصب کنید.

برای کسب اطلاعات بیشتر در مورد این موضوع ، به راهنمای ما در بهترین راه مدیریت رمزهای عبور برای مبتدیان وردپرس.

4. از تأیید دو مرحله ای برای صفحه ورود به وردپرس استفاده کنید h4>

WordPress login screen with Google Authenticator enabled

را فعال کرد

تأیید دو مرحله ای یک لایه امنیتی دیگر به رمزهای عبور شما اضافه می کند. به جای استفاده از گذرواژه به تنهایی ، از شما می خواهد یک کد تأیید تولید شده توسط برنامه Google Authenticator را در تلفن خود وارد کنید.

حتی اگر کسی بتواند رمز ورود وردپرس شما را حدس بزند ، باز هم برای ورود به آن به کد Google Authenticator احتیاج دارد.

برای جزئیات دستورالعمل گام به گام ، به راهنمای ما در مورد نحوه تأیید صحت 2 مرحله ای را در WordPress با استفاده از Google Authenticator تنظیم کنید .

5. محدود کردن تلاشهای ورود h4>

Limit login attempts

به طور پیش فرض ، وردپرس به کاربران این امکان را می دهد تا هر تعداد دفعه که بخواهند گذرواژه وارد کنند. این بدان معنی است که کسی می تواند با وارد کردن ترکیبات مختلف سعی در حدس زدن رمز ورود وردپرس شما داشته باشد. همچنین به هکرها اجازه می دهد تا از اسکریپت های خودکار برای شکستن رمزهای عبور استفاده کنند.

برای رفع این مشکل ، باید پلاگین ورود به سیستم LockDown . پس از فعال سازی ، برای پیکربندی تنظیمات افزونه به صفحه تنظیمات »ورود به سیستم LockDown بروید.

برای دستورالعمل های دقیق ، به راهنمای ما در چرا باید تلاش برای ورود به سیستم را در وردپرس محدود کنید .

6. دسترسی ورود به آدرس های IP را محدود کنید h4>

راه خوب دیگر برای ایجاد امنیت در ورود به وردپرس ، محدود کردن دسترسی به آدرس های خاص IP است. این نکته به ویژه اگر شما یا فقط چند کاربر معتمد نیاز به دسترسی به قسمت سرپرست دارید بسیار مفید است.

به سادگی این کد را به پرونده .htaccess خود اضافه کنید. 

AuthUserFile / dev / null
AuthGroupFile / dev / null
AuthName "WordPress Admin Access Control"
AuthType Basic

سفارش انکار ، اجازه
انکار از همه
# لیست سفید آدرس IP سید
اجازه از xx.xx.xx.xxx
# لیست سفید آدرس IP دیوید
اجازه از xx.xx.xx.xxx

فراموش نکنید که مقادیر xx را با آدرس IP خود جایگزین کنید. اگر برای دسترسی به اینترنت از بیش از یک آدرس IP استفاده می کنید ، مطمئن شوید که آنها را نیز اضافه کنید.

برای دستورالعمل های دقیق ، به راهنمای ما در مورد نحوه

در تلاش برای ورود ناموفق ، وردپرس خطاهایی را نشان می دهد که به کاربران می گوید نام کاربری آنها نادرست است یا رمز عبور. این نکات ورود به سیستم توسط کسی برای تلاشهای مخرب قابل استفاده است.

با افزودن این کد به موضوع توابع.php فایل یا افزونه اختصاصی سایت . 

تابع no_wordpress_errors () {
  بازگشت 'مشکلی پیش آمده است!'؛
}
add_filter ('خطاهای ورود به سیستم' ، 'no_wordpress_errors')؛

8. از کاربران بخواهید از رمزهای عبور قوی استفاده کنند h4>

اگر یک سایت وردپرس چند نویسنده اجرا می کنید ، آن دسته از کاربران می توانند مشخصات خود را ویرایش کنند و از یک رمز عبور ضعیف استفاده کنند. این رمزهای عبور می توانند شکسته شوند و به کسی امکان دسترسی به قسمت مدیریت وردپرس را بدهند.

برای رفع این مشکل می توانید مجوز گذرواژه های قوی . خارج از جعبه کار می کند و هیچ تنظیماتی برای پیکربندی شما وجود ندارد. پس از فعال شدن ، کاربران از ذخیره گذرواژه های ضعیف تر جلوگیری خواهند کرد.

با این کار قدرت رمز عبور برای حساب های کاربری موجود بررسی نمی شود. اگر کاربری قبلاً از گذرواژه ضعیفی استفاده کرده باشد ، پس می تواند به استفاده از گذرواژه خود ادامه دهد.

9. بازنشانی گذرواژه برای همه کاربران h4>

آیا در مورد امنیت رمز عبور در سایت چند کاربره وردپرس خود نگران هستید؟ به راحتی می توانید از همه کاربران خود بخواهید که گذرواژه های خود را تنظیم کنند.

ابتدا باید پلاگین تنظیم مجدد رمز عبور اضطراری. پس از فعال شدن ، به صفحه کاربران »تنظیم مجدد رمز عبور اضطراری بروید و روی دکمه” بازنشانی همه گذرواژه ها “کلیک کنید.

Reset all passwords

برای دستورالعمل های دقیق ، به راهنمای ما در مورد چگونگی عنوان نحوه بازنشانی رمزهای عبور برای همه کاربران در وردپرس

10. وردپرس را به روز کنید h4>

وردپرس اغلب نسخه های جدید نرم افزار را منتشر می کند. هر نسخه جدید وردپرس حاوی رفع اشکالات مهم ، ویژگی های جدید و رفع مشکلات امنیتی است.

استفاده از نسخه قدیمی وردپرس در سایت شما را در معرض سوits استفاده ها و آسیب پذیری های احتمالی قرار می دهد. برای رفع این مشکل ، باید مطمئن شوید که از آخرین نسخه وردپرس استفاده می کنید. برای اطلاعات بیشتر در مورد این موضوع ، به راهنمای ما در مورد اینکه چرا باید همیشه از آخرین نسخه وردپرس استفاده کنید .

به همین ترتیب ، افزونه های وردپرس نیز اغلب برای معرفی ویژگی های جدید یا رفع مشکلات امنیتی و سایر موارد به روز می شوند. اطمینان حاصل کنید که افزونه های وردپرس شما نیز به روز هستند.

11 ایجاد صفحات ورود و ثبت نام سفارشی h4>

بسیاری از سایت های وردپرس برای ثبت نام به کاربران نیاز دارند. به عنوان مثال ، ، یادگیری سایت های مدیریت ، یا فروشگاه های آنلاین برای ایجاد حساب کاربری به کاربران نیاز دارند.

با این حال ، این کاربران می توانند از حساب های خود برای ورود به قسمت مدیریت وردپرس استفاده کنند. این مسئله مهمی نیست ، زیرا آنها فقط قادر به انجام کارهایی هستند که توسط نقش کاربر و توانایی هایشان مجاز است. با این وجود مانع دسترسی صحیح به صفحات ورود و ثبت نام از شما می شود زیرا برای ثبت نام ، مدیریت نمایه و ورود کاربران به آن صفحات نیاز دارید.

راه آسان برای رفع این مشکل ایجاد صفحات ورود به سیستم و ثبت نام سفارشی است ، به طوری که کاربران می توانند مستقیماً از وب سایت شما ثبت نام کرده و وارد سیستم شوند.

برای جزئیات دستورالعمل گام به گام ، به راهنمای ما در مورد نحوه ایجاد صفحات ورود و ثبت نام سفارشی در وردپرس .

12 درباره نقش و وردپرس کاربر وردپرس h4> اطلاعات کسب کنید

وردپرس با یک سیستم مدیریت کاربر با نقشها و قابلیتهای مختلف کاربر. هنگام اضافه کردن کاربر جدید به سایت وردپرس خود ، می توانید نقش کاربر را انتخاب کنید برای آنها. این نقش کاربر مشخص می کند که آنها چه کاری می توانند در سایت وردپرس شما انجام دهند.

تخصیص نقش نادرست کاربر می تواند قابلیت های بیشتری نسبت به نیاز افراد داشته باشد. برای جلوگیری از این موضوع باید درک کنید که چه توانایی هایی با نقش های مختلف کاربر در وردپرس وجود دارد. برای اطلاعات بیشتر در مورد این موضوع به مراجعه کنید راهنمای مبتدیان برای نقش ها و مجوزهای کاربر وردپرس .

13. دسترسی داشبورد را محدود کنید h4>

برخی از سایت های وردپرس کاربران خاصی دارند که به داشبورد دسترسی دارند و برخی دیگر که این امکان را ندارند. با این حال ، به طور پیش فرض همه آنها می توانند به منطقه مدیر دسترسی پیدا کنند.

برای رفع این مشکل ، باید حذف Dashboard Access . پس از فعال شدن ، به صفحه تنظیمات »دسترسی داشبورد بروید و انتخاب کنید که کدام نقش کاربران به قسمت مدیر سایت شما دسترسی داشته باشد.

برای جزئیات بیشتر ، به راهنمای ما در نحوه محدود کردن دسترسی به داشبورد در وردپرس .

14. از کاربران بیکار خارج شوید h4>

Idle user logout

وردپرس تا زمانی که کاربران به طور صریح از سیستم خارج نشوند یا پنجره مرورگر خود را نبندند ، به طور خودکار از سیستم خارج نمی شود. این می تواند باعث نگرانی سایت های وردپرسی با اطلاعات حساس شود. به همین دلیل وب سایت ها و برنامه های موسسه مالی در صورت فعال نبودن ، به طور خودکار از کاربران خارج می شوند.

برای رفع این مشکل ، می توانید خروج کاربر بیکار افزونه. پس از فعال شدن ، به صفحه تنظیمات »خروج کاربر بیکار بروید و زمانی را وارد کنید که می خواهید کاربران به طور خودکار از سیستم خارج شوند.

برای جزئیات بیشتر ، به مقاله ما در نحوه ورود خودکار کاربران بیکار در وردپرس .

امیدواریم این مقاله به شما کمک کند نکات و هک های جدیدی را برای محافظت از منطقه مدیر وردپرس خود بیاموزید. همچنین ممکن است بخواهید مرحله به مرحله نهایی ما را ببینید امنیت وردپرس راهنما برای مبتدیان.

اگر این مقاله را دوست داشتید ، لطفاً در کانال YouTube برای آموزش های ویدئویی وردپرس. همچنین می توانید ما را در Twitter و فیس بوک .

منبع:
https://www.wpbeginner.com/wp-tutorials/11-vital-tips-and-hacks-to-protect-your-wordpress-admin-area/.

دیدگاهتان را بنویسید