سلام به دوستای وردپرسی؛
اگه خاطرتون باشه جلسه ی پیش در مورد یک صفحه ی معمولی سفید که بیشتر مواقع خالی هست و هیچی داخلش وجود نداره صحبت کردیم و گفتیم که باید چطوری امنیت کار رو با همین صفحه ی ساده بالا ببریم.
اما امروز بحث بر سر رمز ورود و نام کاربری هست! چیزی که شاید در نگاه اول خیلی ساده به نظر برسه و هر کسی بگه که چه فرقی میکنه حالا نام کاربری و پسوردم رو چی بذارم! اصلا مگه انتخاب رمز عبور سخت فایده ای هم داره جز اینکه خودم رو خسته میکنه؟!
حتما فایده داره که هر جا حتی در عملیات بانکی هم به شما میگن که رمز عبور مناسبی انتخاب کنید! پس گوش بدید و همین کار رو انجام بدید.
همین ابتدای کار نکته ی مهم همیشگی رو خدمت دوستان متذکر بشم؛ عزیزان، دوستان، خوبان وردپرسی برای انجام دادن هر کاری که در هسته ی وردپرس و ویرایشگر هست از قبل نسخه ی پشتیبان تهیه کنید تا بعد پشیمون نشید!!!
غیر فعال کردن XML-RPC
از زمانی که وردپرس ۳٫۵ روی کار اومد این مورد به صورت پیش فرض فعال شد. این خصیصه به شما اجازه ی اتصال از راه دور توسط مشتریان یا کاربران رو میده. این مورد برای دیدگاه ها و بازتاب ها نیز استفاده میشه!
متاسفانه هکرها از این امکان برای عمل DDoS استفاده می کنند.
برای رفع این مشکل و مقابله با این حملات دو افزونه ی بسیار قدرتمند رو پیشنهاد میکنم:
Disable XML-RPC pingback
Disable XML- RPC
من افزونه ی اول رو ترجیح میدم و به شما پیشنهاد میکنم چون کارایی بهتری داره.
استفاده از اطلاعات ورودی قوی تر
استفاده از رمز های عبوری ضعیف به هکرها اجازه ی دسترسی ساده به سایت رو میده و میتونه از تمامی اسکریپت ها استفاده کنه. بنابراین شما باید:
رمز ورود خود را تغییر دهید
رمز های عبوری قوی با استفاده از سایت های strong password generator ، passwords Generators ، Norton pass Generators قرار دهید.
ذخیره پسوردها با استفاده از پسورد منیجرهایی مانند one password ، keePass ، Robo Form ، pass back ، last pass
چندین سال پیش، وردپرس به صورت پیش فرض از نام کاربری admin برای اکانت اصلی (administrator) استفاده میکرد اما در حال حاضر به کاربران خود اجازه میده تا نام کاربری و پسورد دلخواهشون رو قرار بدند اگه چه همچنان افراد زیادی از همان نام کاربری admin استفاده می کنند!!!
این کار رو با ورود به جداول پایگاه داده در phpmyadmin انجام بدید. زیرا دسترسی هکرها به این بخش سخت تر میشه و به صورت قطعه کد زیر قابل تغییره :
UPDATE wp_users SET user_login = 'newusername' WHERE user_login = 'admin';
تلاش برای ورود به سیستم
هکرها تلاش زیادی برای ورود به ناحیه ی مدیریتی انجام میدن و به صورت رندم رمزهایی رو امتحان می کنند! برای مقابله با این امر می تونید افزونه ی login Lockdown یا login security solution رو استفاده کنید!
افزونه ی login Lockdown
افزونه ی login security solution
اگر کاربری چندین بار پسوردی رو امتحان کنه و دسترسی او برای مدتی غیر فعال خواهد شد.
دو مرحله از راه حل های تایید اعتبار
مراحل تایید و اعتبار کار هکر ها رو سخت میکنه پس پیشنهاد میشه هر کسی برای سایت خودش از این کدهای اعتبار و تایید استفاده کنه!
افزونه های مفیدی که به شما این امکان رو میده عبارت است از :
Google Authenticators
Clock work sms
Open ID
پنهان کردن صفحه ی ورودی
به صورت پیش فرض برای ورود به پنل ادمین باید انتهای آدرس سایت از wp-admin/ استفاده کنیم. با این فرآیند راحت وارد صفحه ی ادمین سایت میشیم نه تنها ما بلکه هکر ها هم این این امکان رو دارند!
باید سعی کنیم این مورد رو تغییر بدیم!
افزونه هایی که این کار رو انجام میدن عبارت است از :
Rename wp-login.php
+Hide login
Lockdown wp-admin
تمامی افزونه هایی که برای این منظور اینجا آورده شده کارایی و کیفیت خوبی دارند و میتونید بهشون اعتماد کنید.
خب در این جلسه هم یاد گرفتیم که تا چه حد باید به اطلاعات ورودی سایتمون توجه کنیم. این موضوع رو حتما جدی بگیرید دوستان!
روزهایتان زیبا
