English 
العربية 
از آنجایی که وردپرس یک سیستم مدیریت محتوای متن باز (Open Source) است و یک طراحی با ساختار عمومی و البته کاربر پسند دارد، ممکن است از طرق مختلفی بتوان از ضعفهای امنیتی آن سو استفاده کرد. البته این ضعفهای امنیتی طبیعی هستند و بسته به نوع کار هر سایت نیز ممکن است درجه خطرناک بودن آنها تغییر کند.
در این مطلب قصد داریم تا آدرس صفحه ادمین وردپرس را به شما معرفی کنیم و چند نکته برای حفظ امنیت آن بیان کنیم.
آدرس صفحه ادمین وردپرس
اولین چیزی که هر ادمین وردپرسی باید بداند آدرس صفحه ادمین وردپرس است. آدرس پیش فرض برای صفحه ادمین وردپرس روی wp-admin تنظیم شده است. به عنوان مثال:
- example.com/wp-admin
البته قبل از اینکه شما صفحه wp-admin را مشاهده کنید به صفحه wp-login.php هدایت میشوید که باید اطلاعات حساب کاربری خود را وارد کنید تا بتوانید به پنل مدیریت وردپرس ورود پیدا کنید.
یک راه دیگر نیز برای ورود به صفحه ادمین وردپرس یا ورود به صفحه لاگین استفاده از آدرسهای /admin و /login است که در نهایت به همان آدرسهای ذکر شده در بالا هدایت میشوید. (برای مثال: example.com/admin و یا example.com/login)
اگر وردپرس در ساب دامین یا ساب دایرکتوری (فولدر دیگری) باشد
اگر وردپرس در ساب دامین یا ساب دایرکتوری (فولدر دیگری) باشد، همین مسیر باید در ادرس جدید طی شود. یعنی اگر یک ساب دایرکتوری با نام betterstudio در دامنه example.com داشته باشیم برای وارد شدن به بخش ادمین آن باید از آدرس example.com/betterstudio/wp-admin یا example.com/betterstudio/admin استفاده کنیم. برای ورود به صفحه لاگین هم باز از همان آدرس /login یا /wp-login.php باید استفاده کرد.
اگر وردپرس در ساب دامین باشد نیز تفاوتی ندارد و ساب دامین در واقع همانند یک سایت جداست و شما برای ورود به پنل مدیریت وردپرس باید نام ساب دامنه را وارد و سپس همان الگوریتم را به کار ببرید. (برای مثال: subdomain.example.com/admin یا subdomain.example.com/wp-admin)
دو راهکار برای افزایش امنیت صفحه ورود به پیشخوان وردپرس
۱. تغییر آدرس صفحه ادمین وردپرس
یکی از ساده ترین کارهایی که هکرها برای هک کردن یک سایت انجام میدهند، امتحان کردن یوزرنیم و پسوردهای مختلف در فرم صفحه لاگین یک سایت است تا بتوانند بدون دردسر به سایت وارد شوند و به آن آسیب بزنند.
یکی از ایرادات امنیتی وردپرس را دسترسی بسیار راحت به نامهای کاربری از طریق صفحهی آرشیو نویسنده دانست. بنابراین هکر میتواند به راحتی از روی یکی از مطالب شما وارد صفحه نویسنده مطلب شوند (که ممکن است مدیر اصلی سایت با تمام دسترسی ها باشد) و نام کاربری آن را پیدا کند. سپس وارد صفحه wp-admin شده و پسوردهای مختلف را امتحان کند تا بتواند به صفحه ادمین وارد شود.
یکی از راههای مقابله با این موضوع، پنهان کردن صفحه ادمین از دسترس عموم است. باید برای امنیت بیشتر سایت خود، برای صفحه ادمین، آدرسی تنظیم کنید که فقط خودتان از آن مطلع باشید. اینگونه کار هکرها بسیار سختتر خواهد شد.
برای تغییر آدرس صفحه ادمین وردپرس افزونههای مختلفی وجود دارند که این تغییر را انجام داده و از آن پس آدرس ورود به پنل مدیریت وردپرس آدرس دلخواه شما خواهد بود. WPS Hide Login یکی از این افزونههای کاربردی است که از طریق جستجوی نام آن، در قسمت افزودن افزونه، میتوانید از مخزن وردپرس آن را پیدا و نصب کنید تا بتوانید آدرس ورود به وردپرس را روی آدرس دلخواه خود تنظیم کنید.
اما پیشنهاد ما استفاده از افزونهی All In One WP Security & Firewall است. این افزونه غیر از امکان تغییر آدرس ورود به وردپرس بسیاری از نکات امنیتی دیگر، مثل محدودیت تعداد دفعات اشتباه وارد کردن رمز عبور، مسدود کردن حسابهای کاربری و آی پیهای مختلف و فایروال را پوشش میدهد و کارکردن با آن نیز بسیار آسان است. این افزونه به زبان فارسی نیز ترجمه شده و برای فارسی زبانان کارکرد راحتتر و بهتری دارد.
این افزونه بخشهای مختلف سایت را از نظر امنیتی ارزیابی میکند و به سایت امتیاز میدهد و نکات مختلفی را برای بالاتر بردن امتیاز امنیتی سایت به مدیر سایت نمایش میدهد که با دنبال کردن مراحل مخلتف و اعمال تنظیمات امنیتی میتوانید تا حد بسیار زیادی امنیت وردپرس را افزایش دهید.
۲. اضافه کردن تصویر امنیتی (کپچا) به صفحه ادمین وردپرس
اضافه کردن تصویر امنیتی (کپچا) به فرم ورود وردپرس از ورود رباتها جلوگیری میکند و باعث امنیت بیشتر سایت میشود. برای اضافه کردن تصویر امنیتی به سایت میتوانید از افزونه Better WordPress reCAPCHA استفاده کنید.
این نکته را در نظر داشته باشید که بعد از نصب پلاگین باید به گوگل مراجعه کنید و با جستجوی Google reCAPCHA به سایت مربوط به آن بروید و سپس با وارد شدن به اکانت گوگل خود، فرم مربوط به کپچای جدید را برای سایت مد نظرتان تکمیل کنید تا Public Key و Private Key دریافت کنید. با وارد کردن این دو کلید در تنظیمات افزونه، کپچای شما به درستی کار خواهد کرد.
استفاده از افزونه Better WordPress reCAPCHA در حالتی نیاز است که شما در قسمت قبلی صرفا از افزونههای تغییر آدرس ادمین مثل WPS Hide Login استفاده کرده باشید. اما اگر افزونهی All In One WP Security & Firewall را نصب و فعال کنید، این افزونه در تنظیمات خود، الگوریتمی برای ارزیابی رباتها شبیه به کپچا دارد که میتوانید آن را در فرم ورود خود فعال کنید.
البته در نظر داشته باشید همانطور که قبلا هم اشاره کردیم، سیاستهای امنیتی برای هر سایت با توجه به ساز و کار سایت و موضوع آن مشخص میشود. یعنی ممکن است اعمال یک سیاست امنیتی برای یک سایت بسیار مفید باشد و جلوی بسیاری از خطرات امنیتی را بگیرد، اما برای یک سایت دیگر که ساز و کاری متفاوت دارد، این سیاست امنیتی خود موجب به وجود آمدن یک ایراد امنیتی یا منطقی دیگر در سایت شود. بنابراین باید سیاستهای امنیتی مختلف را با دقت اعمال کنید تا بهترین وضعیت امنیتی را داشته باشید.