منو

وبلاگ

خانه » آموزش وردپرس » امنیت وردپرس »

آموزش کامل محافظت از پسورد وردپرس (ویژه مدیران وردپرسی)

آموزش کامل محافظت از پسورد وردپرس برای مدیران و صاحبان وب سایت های تجاری که  وب سایت های وردپرسی را مدیریت می کنند بسیار حیاتی است.

به گفته نویسندگان وردپرس: یکی از آسیب پذیرترین راه های وردپرس که  به سادگی باعث هک می شود « رمز عبور ضعیف » است.

هرکسی که با حساب کاربری و پسورد شما وارد شود می تواند خرابکاری جبران ناپذیری به بار بیاورد اگر دسترسی مدیرکل (ادمین) باشد که بسیار خطرناک تر است.

این آموزش یک دستورالعمل کامل برای حفاظت از پسورد وردپرس است که کسب و کار شما را می تواند نجات دهد.

 

سیاست امنیت پسورد

ایجاد سیاست امنیت پسورد برای مدیر وب سایت وردپرس مسولیت مهمی است. اعمال این سیاست برای حساب مدیران  و کاربران، وب سایت در برابر طیف وسیعی از حملات محافظت خواهد کرد.

نکته بسیار مهم : کنترل دسترسی

بسیار مهم است که کاربران به اطلاعات بیشتر از نیازشان دسترسی نداشته باشند.

به طور مثال : نیاز نیست که مدیران فروشگاه سایت به نصب افزونه ها دسترسی داشته باشند و یا نویسندگان سایت به اطلاعات مشتریان وب سایت دسترسی داشته باشند لطفا دقت شودکه  به همه دسترسی مدیرکل ندهید.

 

حداقل های حفاظت از هک پسورد:

  1. طول پسوردهای انتخابی نباید کمتر از 19 کاراکتر باشد.
  2. رمزهای عبور ترکیبی – از ترکیب تصادفی حروف (هم حروف بزرگ و هم کوچک)، اعداد و کاراکترهای خاص استفاده کنید.
  3. رمزهای عبور تصادفی – رمزهای عبور خود بصورت انتخاب کنید که هیچ ربطی به نام یا مشخصات شما و موارد قابل حدس نداشته باشد.
  4. تغییر رمزهای عبور – رمزهای عبور خود را مرتباً تغییر دهید (هر سه ماه یکبار توصیه می‌شود.)

نقش های کاربران وردپرس و معانی امنیتی آنها

پیکربندی نقش های کاربری تاثیر زیادی در امنیت وب سایت وردپرس دارد. امنیت وردپرس نسبت مستقیمی به سطح دسترسی ها دارد.

ابتدا به نقش مدیرکل نگاه می کنیم:

مدیرکل – به طور خودکار به مالک سایت که غالبا هنگام نصب اختصاص داده می شود.

کاربر مدیر کل کنترل کامل بر روی وب سایت از جمله نصب و حذف را می دهد، با این دسترسی می توانید: نصب، ویرایش و حذف تم ها و افزونه ها انجام دهید.

به روز رسانی؛ ایجاد، ویرایش و حذف صفحات و پست های وبلاگ؛

افزودن، ویرایش و حذف کاربران از جمله مدیران دیگر؛

و رسانه اضافه، ویرایش و حذف کنید.

سایر نقش‌های کاربر به ترتیب کاهش اختیارات، فهرست شده‌اند:

ویرایشگر Editor – می تواند صفحات جدید، پست های وبلاگ، رسانه ها را اضافه، ویرایش و حذف کند.

ایجاد دسته ها و برچسب ها؛

انتشار محتوای نوشته شده توسط خود و دیگران؛

و مدیریت نظرات

نویسنده  Author – می تواند فقط محتوای خود را اضافه،  ویرایش و منتشر کند.

بارگذاری رسانه؛ و دسته ها و برچسب های موجود را به پست های وبلاگ اختصاص دهد.

 

مشارکت کننده Contributor – می تواند فقط محتوای خود را اضافه و ویرایش کند.

دسته ها و برچسب های موجود را به پست های وبلاگ خود اختصاص دهید.

 

مشترک Subscriber – فقط می تواند پروفایل کاربری خود را به روز کند.

خواندن مطالب دیگران؛ و نظر ثبت کند.

نکته بسیار مهم : از دادن دسترسی مدیر (Super) بدون بررسی دقیق به دیگران خودداری کنید، مگر اینکه واقعا نیاز به داشتن این سطح از کنترل روی وب‌سایت، ویژگی‌ها و کاربران آن داشته باشند.

 

استفاده از مدیر پسورد

مدیریت پسورد یک سرویس آنلاین است که به طور ایمن اطلاعات کاربری را ذخیره و مدیریت می کند.

این اطلاعات با یک رمز عبور اصلی قابل دسترسی است. سایت های معروف عبارتند از lastpass و KeePass.

ثبت نام واستفاده رایگان :

https://lastpass.com/create-account.php

مزایای استفاده از سرویس های  مدیریت پسورد

  1. مجبور نیستید رمز عبور خود را برای هر وب سایت به خاطر بسپارید

یکی از بزرگترین نقاط دردناک استفاده از پسوردهای یکسان در بسیاری از وب سایت ها و بانک ها و… “حل” می شود.

  1. دیگر نیاز نیست که رمز عبورهارو بصورت کتبی ( برگه، دفتر و…) یادداشت کنید.
  2. از فکر کردن برای ساخت پسوردهای پیچیده و متفاوت آزاد می شوید. بسیاری از برنامه های مدیریت پسورد، برای زمان های که نیاز به رمز عبور جدید دارید یک پیشنهاد عالی و سخت انجام می دهند.
  3. برنامه های مدیریت پسورد در مقابله هک و ربات بسیار قدرتمند و حفاظت شده هستند.

احراز هویت دو مرحله ای

احراز هویت دو مرحله ای یک لایه اضافی امنیت است که علاوه بر کاربری و پسورد بایستی کدکاربری یک بار مصرف که توسط افزونه ها ایمیل می شود یا حتی توسط برنامه های موبایلی ایجاد می گردد ( من خودم از google authenticator استفاده می کنم) در قسمت مربوطه وارد کنیم.

غالبا سرقت یوزر و پسورد ممکن است اتفاق بیفته اما ایجاد کدتایید دومرحله ی توسط هکرها تقریبا غیرممکن است. همین عامل موفقیت شمارو چندین برابر می کند.

با افزونه های امنیتی مثل وردفنسwordfence  و آیتمز سکوریتی 2FA یا احراز هویت دو مرحله ای بسیار ساده میشه ایجاد کرد.

 

نقض های مهم :

پسوردهای ضعیف یکی از بزرگترین تهدیدات برای امنیت وب سایت های وردپرسی هستند.  می دانیدچرا؟

پسوردهای ضعیف – که به راحتی با یک حمله brute-force  کشف می شود – یکی از دلایل اصلی نقض امنیت اطلاعات است.

 

هکرها بر روی وب سایت ها چیکار می کنند؟

در بهترین حالت ، می توانند تنظیمات را تغییر دهند یا بدافزار را نصب کنند.

ترافیک های مخرب و ناخواسته به سمت وب سایت هدایت کنند.

در اکثر مواقع از سئو شما دزدی می کنند و از اعتبار وب سایت شما به نفع افزایش اعتبارشان استفاده می کنند.

در جدی‌ترین حملات، اطلاعات حساس را می دزدند و از آنها سوء استفاده می کنند، به سادگی اطلاعات مشتریان را در وب تاریک بفروش برسانند.

فراتر از این فعالیت‌های تجاری،  جملات یا عکس های سیاسی از طریق وب سایت انتشار دهند  و فاجعه های برایتان ایجاد کنند.

 

آموزش کامل محافظت از پسورد وردپرس برای ایجاد سیاست های پسورد قوی

  1. با آموزش و تاکید به کاربران برای استفاده از رمز عبور قوی، خیلی وقت نتیجه نمی دهد بهترین کار الزامی کردن استفاده از رمز عبور قوی با استفاده از نرم افزارها می باشد. البته که سیاست های سخت گیرانه برای مدیران و افرادی که از دسترسی بیشتری برخوردارند بیشتر باشد.
  2. در تنظیم سیاست های پسورد حتما دوره منقضی شدن رمز عبور مدیران را بین 45 تا 60 روز تنظیم کنید تا مجبور به تغییر رمز عبور باشند
  3. به نظر من بهترین رمز عبور باید بیشتر از 18 رقم و ترکیبی از حروف و اعداد و کلمات خاص باشد.
  4. افزونه وردفنس بعداز اسکن سایت، کاربرانی که رمز عبور ضعیفی دارند گزارش می دهد حتما برای این کاربران ریست رمز بزنید.

پیشنهادهای آخر برای جلوگیری از هک وردپرس  :

در انتها پیشنهادهای دارم  برای مدیران سایت و کارشناس های امنیت :

  1. رمز عبور ضعیف یک نقض بزرگ امنیت است پس نیاز است که جدی بگیرید.
  2. استفاده از احراز هویت دو مرحله ای کمک زیادی به حفظ امنیت می نماید.
  3. حتما از افزونه های لاگ گیری مثل wp activity log plugin استفاده کنید تا بتوانید گزارش های مشکوک شناسایی و ردیابی کنید.

    آموزش کامل محافظت از پسورد وردپرس

    wp activity log plugin

  4. تعیین سیاست های پسورد رو جدی بگیرید و حتی برای کاربران هم اعمال کنید.

برداشت آزاد از مقاله زیر :

WordPress Password Protection – A Complete Guide

 

 

 

 

 

حمید حاجتی

حمید حاجتی

دیدگاهتان را بنویسید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *

امنیت سایت های وردپرسی

آخرین مقالات رایگان امنیت وردپرس

لوگو شهر امنیت وردپرس مدیریک

به شهر امنیت وردپرس 

خوش آمدید

اینجا کمک می کنیم تا سایت ضد هک با امنیت بالا ایجاد کنی

Instagram Facebook-f Youtube

خدمات

  • افزایش امنیت وردپرس
  • پاکسازی سایت ویروسی

آموزش های جذاب رایگان

دسترسی سریع

  • خانه
  • درباره ما
  • تماس با ما
منوی دسته های خود را در هدرساز -> موبایل -> منوی اصلی موبایل -> نمایش/مخفی -> انتخاب منو، تنظیم کنید.