جهش به محتوا
ورود کاربران
وبلاگوردپرسورود دو مرحله ای در وردپرس ؛ یک التزام امنیتی
هر زمان نیاز به کمک داشتید، در کنار شما هستیم . با ما تماس بگیرید ( 031-3626 0000 ) یا درخواست خود را به صورت آنلاین ثبت نمایید.

ورود دو مرحله ای در وردپرس ؛ یک التزام امنیتی

برقرار کردن امنیت در یک سیستم رایانه ای و یک سایت اینترنتی سابقه ای به اندازه سن همین سیستم ها دارد و می توان گفت یکی از مواردی بوده است که همیشه قابل توجه بوده و خیلی از تلاش ها و پیشرفت های صورت گرفته در علوم کامپیوتر در همین راستا بوده است. وقتی که شما مدیریت یک سایت اینترنتی را بر عهده داشته باشید و بخواهید آن را به بهترین شکل ممکن از نظر امنیتی محافظت کنید راه های زیادی در پیش روی شما خواهد بود که به این نسبت که سایت شما چه کاری را انجام می دهد و آسیب های رخنه های امنیتی در آن تا چه اندازه خسارت به بار می آورد، می تواند متغیر باشد. در این میان استفاده از المان های مختلف امنیتی مانند به کار گرفتن ورود دو مرحله ای در وردپرس اقدامی عمومی و لازم برای همه سایت ها تلقی می شود. 

در این مقاله قصد داریم تا به صورت اختصاصی در مورد اینکه چگونه ورود دو مرحله ای در وردپرس را فعال کنیم تا از سایت خود در برابر حملات مختلفی که به صفحه ورود انجام می شود محافظت کنیم صحبت خواهیم کرد و با هم این موضوع را بررسی می کنیم که برای پیاده سازی ورود دو مرحله ای در وردپرس به چه ابزار هایی نیاز داریم. قبل از اینکه به سراغ این موضوع برویم که چطور باید این قابلیت را پیاده سازی کنیم، لازم است کمی در مورد اینکه هدف از این کار چیست و ورود دو مرحله ای در وردپرس قرار است سایت ما را از چه چیزی نجات دهد صحبت کنیم تا بدانیم برای این هدف باید چگونه کار را دنبال کنیم.

 

هدف از ایجاد ورود دو مرحله ای در وردپرس

ورود دو مرحله ای در وردپرس و یا در هر پلتفرم دیگر به این منظور صورت می گیرد که عملیات ورود و لاگین به سایت را قوی تر کرده و شرایط شکسته شدن سد های امنیتی به حداقل برسد. به طور کلی می توانیم بگوییم که وقتی از ورود دو مرحله ای در وردپرس استفاده می کنیم، یک المان کمکی را برای رمز عبور در نظر گرفته ایم که می تواند بسیار مفید باشد و تقریبا راه ورود به سایت را ببندد.

در صورتی که با ساختار سایت های وردپرسی آشنا باشید قطعا این موضوع را می دانید که وردپرس یک سیستم قوی و تقریبا ضد هک است که با استفاده از کمی تدابیر امنیتی می توان آن را به حد خوبی از امنیت رساند. البته باید این موضوع را در نظر گرفت که در صورتی که همه چیز به حالت پیش فرض باشد و تغییری ایجاد نشود کار کمی سخت خواهد بود و نمی توان ادعا کرد که سایت وردپرسی یک سایت کاملا امن است. یکی از نقطه ضعف های امنیتی در وردپرس صفحه لاگین ادمین آن است که به صورت پیش فرض در آدرس yoursite.com/wp-admin قرار گرفته است و مدیران سایت می توانند با استفاده از این آدرس که در آن yoursite نام دامنه سایت است به پیشخوان وردپرس خود وارد شوند.

دلیل استفاده از ورود دو مرحله ای در وردپرس

یکی از اولین اقدامات امنیتی که به صورت پایه و در اولین تنظیمات امنیتی برای سایت های وردپرسی انجام می شود تغییر دادن آدرس ورود ادمین است که می تواند توسط افزونه های امنیتی مختلف و یا تغییر در فایل های سیستم مدیریت محتوای وردپرس این کار را انجام دهد. این تنظیم امنیتی را می توان یکی از الزامات مهم برای برقراری امنیت طراحی کرد که می تواند از خیلی از حمله ها سایت را نجات دهد. اما در مورد این اقدام باید بگوییم که خیلی از اسکنر ها و موارد مختلف می توانند موقعیت این صفحه را پیدا کرده و حملات خود را روی آن اجرا کنند.

هر چند خیلی از افزونه های امنیتی می توانند این صفحه را از مهاجمان مخفی کنند اما با مخفی سازی این دروازه ورود نمی توان مطمئن بود که کسی از آن عبور نمی کند و روش های مختلفی مانند استفاده از ربات های اسکنر برای آن وجود دارد و حتی اگر این صفحه را از سایرین مخفی کنید شاید حملات از طرف کارمندان سابق شما صورت گیرد و در صورتی که فکر می کنید این اتفاق نمی افتد شاید برای شما جالب باشد که بعد از هکر هایی که برای تفریح و به چالش کشیدن خودشان حملات خود را روی سایت های مختلف پیاده سازی می کنند، پرتعدادترین انواع حملات اینترنتی مربوط به حملاتی است که کارمندان اخراجی که از کار بیکار شده اند و یا به حرف آنها گوش نداده اند، ترتیب می دهند.

در این صورت دیگر این تغییر آدرس ها فایده ای ندارد و باید خود بخش عبور را در برابر حملات قوی کنید. جملاتی از نوع Brute Force که در فارسی به حملات جست و جوی فراگیر ترجمه می شود. را می توان از آن دست حملاتی معرفی کرد که می تواند از این معابر عبور کند و اگر شما فکری به حال تقویت صفحه ورود و استفاده از ورود دو مرحله ای در وردپرس نکنید، می تواند از صفحه ورود شما عبور کرده و آسیب های بدی را به شما بزند. در ادامه در مورد اینکه این جملات به چه صورتی کار می کنند بیشتر صحبت خواهیم کرد.

 

حمله Brute Force چیست

در مورد اینکه حمله جست و جوی فراگیر یا همان Brute Force چیست باید گفت که این حمله دقیقا به این معنی است که بخواهند به زور وارد جایی شوند و از هر کاری برای پیدا کردن رمز استفاده کنند. مکانیزم اصلی این نوع از حملات به این صورت است که یک ربات صفحه ورود را اسکن کرده و ریکوئست ها و درخواست هایی که از کد های HTML و CSS صفحه برای سایت ارسال می شود را پیدا می کند. بعد این ریکوئست ها به صورت پر تکرار با یوزر و پسورد هایی که احتمال دارد یوزر و پس مدیریت در بین آنها باشد به صورت خودکار توسط این ربات تولید یا همان Generate شده و برای سرور ارسال می شود.

همزمان با ارسال انبوه این ریکوئست ها از طرف این ربات، یک واحد Listener در حال چک کردن خط می باشد تا ببیند کدام یک از ریکوئست ها موفق باز می گردد و در صورتی که یک پاسخ از سرور دریافت شود حمله موفقیت آمیز انجام شده و حمله کنندگان روش وارد شدن به سایت را پیدا کرده اند.

حمله brute Force چیست

اما در مورد اینکه این پسورد ها بر چه اساس و چه معیاری تولید می شوند باید گفت که هم می توان آنها را به صورت فایل به این ربات داد و هم امکانی وجود دارد که شما الگوهایی مانند یوزرنیم مورد استفاده عمومی مدیر و یا اطلاعاتی مانند کد ملی که احتمال می رود یوزرنیم و پسورد بر اساس آنها و ترکیبی از این موارد تولید شود در اختیار ربات ها قرار گرفته و با استفاده از این اطلاعات میلیون ها پسورد تولید می شود که می توان آنها را استفاده کرد.

این نوع از حملات قبلا به صورت ساده تر و با نام Dictionary Attack مورد استفاده قرار می گرفت که این موارد با استفاده از ایجاد یک تاخیر در چک کردن پسورد ها و یا استفاده از کد کپچا در صفحه لاگین قابل برطرف کردن بود. اما نوع پیشرفته از Brute Force نیاز به موارد دیگری دارد که می توان مهمترین آن را استفاده از ورود های دو مرحله ای دانست و در ادامه این مقاله در مورد اینکه چگونه باید کار ورود دو مرحله ای در وردپرس را پیاده سازی کنیم صحبت خواهیم کرد.

اکنون که می دانیم چرا و به چه علتی باید ورود دو مرحله ای در وردپرس را فعال کنیم و می خواهیم با این کار از دست چه نوعی از حملات نجات پیدا کنیم، وقت آن رسیده است که ببینیم چطور می توان از ورود دو مرحله ای در وردپرس استفاده کرد. اما قبل از اینکه این موضوع را مشخص کنیم که با استفاده از چه روش هایی می توان ورود دو مرحله ای در وردپرس را پیاده سازی کرد و باید به سراغ چه ابزاری برویم باید کمی در مورد اینکه انواع ورود دو مرحله ای در وردپرس به چه صورت هستند هم صحبت کنیم.

 

انواع ورود دو مرحله ای در وردپرس کدامند

در صورتی که با وب و اینترنت آشنایی کامل داشته باشید که قطعا به این صورت بوده و این آشنایی را دارید، با پسورد هایی که به صورت دو مرحله ای کار می کنند آشنا شده اید. خیلی از سیستم ها از این روش برای ورود استفاده می کنند و بعضی از سیستم هایی که به صورت تک مرحله ای می توان به آنها وارد شد برای کارهایی مهم مانند تغییر رمز عبور و یا پاک کردن اکانت از شما مجددا رمز عبور می خواهند. از معروف ترین این سرویس ها می توان به گوگل ارائه کرد که در مواقع حساس حتی ممکن است با شما تماس گرفته و کدی را برای شما بخواند.

انواع ورود دو مرحله ای در وردپرس

در وردپرس هم مانند خیلی از سایت های بزرگ شما می توانید یک سیستم ورود دو مرحله ای خوب و حرفه ای را داشته باشید که بسته به اینکه بخواهید چه نوعی از سرویس را پیاده سازی کنید می توانید از ابزار های مختلفی برای پیاده سازی این روش ها استفاده کنید. به صورت کلی می توانیم انواع ورود دو مرحله ای در وردپرس را به این صورت معرفی کنیم:

ورود دو مرحله ای با ایمیل: یکی از ساده ترین و بهترین روش های پیاده سازی ورود دو مرحله ای در وردپرس است که با استفاده از خیلی از افزونه های امنیتی می توان آن را پیاده سازی کرد و در این روش برای ورود یک کد به ایمیل ادمین ارسال شده و این کد می تواند برای ورود به سایت مورد استفاده قرار گیرد.

ورود دو مرحله ای با SMS: نوع دیگری از ورود دو مرحله ای در وردپرس که می توان آن را پر طرفدارترین روش دانست استفاده از ورود دو مرحله ای با بهره گیری از SMS است که در آن یک پیامک حاوی رمز به شماره ای که در سایت ثبت شده است ارسال می شود و در زمان ورود باید وارد شود. از این روش برای تولید رمزهای یکبار مصرف هم استفاده می شود و خیلی از سایت ها حتی رمز قبلی را هم برای ورود دریافت نمی کنند و صرفا ورود را با استفاده از SMS انجام می دهند.

ورود دو مرحله ای با استفاده از برنامه های رمز ساز: اگر بخواهیم بگوییم که معروف ترین و اصلی ترین روش پیاده سازی ورود دو مرحله ای در وردپرس و یا در هر پلتفرم طراحی سایت دیگری چیست می توان از این روش یاد گرفت و برنامه های رمزساز و توکن هایی نام برد که رمز های یکبار مصرف رندوم و زماندار تولید می کند که با استفاده از آن می توان به سایت وارد شد. حتما شما سایت هایی که از Google Authenticator برای ورود استفاده می کنند را دیده اید. برای ثبت نام در این سایت ها لازم است که یک اپلیکیشن روی موبایل شما نصب شده و با سایت هماهنگ شود و از آن به بعد رمزی که به صورت زماندار در این برنامه نشان داده می شود راه ورود به برنامه شما خواهد بود.

ویژگی های ورود دو مرحله ای در وردپرس

انواع ورود دو مرحله ای در وردپرس به همین سه دسته معطوف می شود و در ادامه روش اینکه ورود دو مرحله ای در وردپرس برای هر کدام از این انواع ورود های ذکر شده به چه روشی خواهد بود را با هم بررسی می کنیم.

 

پیاده سازی ورود دو مرحله ای در وردپرس

اصولا وقتی صحبت از پیاده سازی قابلیت های دست بالا و موضوعات امنیتی در وردپرس در میان باشد، باید به سراغ افزونه ها رفت و برای اجرا و ساخت ورود دو مرحله ای در وردپرس هم باید از همین اصل تبعیت کنیم و به سراغ افزونه هایی که برای این کار ارائه شده اند برویم. اما این مورد بسته به اینکه شما می خواهید از چه روشی برای ورود دو مرحله ای سایت وردپرسی خود استفاده کنید می تواند تفاوت های زیادی داشته باشد. خیلی از افزونه های امنیتی بزرگ هستند که بیشتر این قابلیت ها را پوشش می دهند، اما برای موارد خاصی مانند استفاده از Google Authenticator لازم است که از افزونه های خاص استفاده شود.

در ادامه در مورد اینکه برای پیاده سازی هر کدام از انواع ورود دو مرحله ای در وردپرس باید از چه افزونه ای استفاده کرد صحبت خواهیم کرد.

 

پیاده سازی ورود دو مرحله ای در وردپرس با SMS

یکی از متداول ترین روش ها برای ورود دو مرحله ای در وردپرس استفاده از SMS است و با توجه به اینکه امکانات پنل های پیامکی در وردپرس همیشه خوب بوده است می توان از این مورد هم استفاده کرد. در مورد اینکه ورود دو مرحله ای در وردپرس با استفاده از SMS چیست قبلا توضیح داده بودیم و اگر بخواهیم اکنون روش پیاده سازی آن را به صورت صریح معرفی کنیم می توانیم بگوییم که افزونه Duo Two Factor Authentication می تواند در این کار به ما کمک ویژه ای بکند.

برای اینکار ابتدا باید از مخزن وردپرس این افزونه را جست و جو کرده و نصب کنید. بعد از نصب و فعالسازی شما می توانید به قسمت تنظیمات رفته و گزینه Duo Two Factor Authentication را انتخاب کنید که با انتخاب این گزینه می توانید کار تنظیم ورود دو مرحله ای در وردپرس به وسیله SMS را انجام داده و این قابلیت را برای سایت خود فعال کنید.

ورود دو مرحله ای در وردپرس با SMS

 

پیاده سازی ورود دو مرحله ای در وردپرس با ایمیل

مورد دیگری که می توان آن را یکی از بهترین و امن ترین روش های ورود به سایت وردپرسی معرفی کرد استفاده از ورود دو مرحله ای در وردپرس با ایمیل است. در این قابلیت شما با استفاده از یک ایمیل حاوی رمز یکبار مصرف که به آن OTP Email هم گفته می شود می توانید به سایت  خود وارد شوید. در اینجا افزونه های مورد نظر این ایمیل را طراحی کرده و رمزی که باید آن را وارد کنید تا وارد سایت شوید را برای شما ایمیل می کند.

افزونه های امنیتی مختلفی هستند که می توانند این قابلیت را برای شما پیاده سازی کنند که بهترین آنها را می توان افزونه جامع iThemes Security معرفی کرد که در مقاله افزونه iThemes Security آن را به صورت کامل مورد بررسی قرار دادیم و دیدیم که برای استفاده از آن چه کاری را باید انجام دهیم و این افزونه می تواند چه کارهایی را برای ما انجام دهد.

با نصب این افزونه شما قادر خواهید بود تا به راحتی به سراغ تنظیمات آن در پیشخوان وردپرس رفته و تنظیمات مربوط به ورود به ایمیل را پیاده سازی کنید.

 

پیاده سازی ورود دو مرحله ای در وردپرس با برنامه

برای اینکه بتوانید ورود دو مرحله ای در وردپرس با برنامه های مختلفی که برای پسورد های یک بار مصرف ارائه شده اند را پیاده سازی کنید می توانید از افزونه Wordfence برای این کار استفاده کنید. این افزونه را می توان یکی از معروف ترین و مهمترین افزونه های امنیتی در وردپرس معرفی کرد که با بیش از 4 میلیون نصب فعال یک مهره مهم برای تامین امنیت خیلی از سایت های ساخته شده با وردپرس می باشد. این افزونه به صورت کامل در مقاله افزونه Wordfence معرفی شد و کار با آن را آموزش دادیم.

ورود دو مرحله ای در وردپرس با برنامه

برای فعال سازی ورود دو مرحله ای در وردپرس با استفاده از این افزونه کافی است که آن را نصب کرده و از طریق گزینه ای که در پیشخوان وردپرس در اختیار شما قرار می دهد روی گزینه Login Security کلیک کنید. با این کار شما به صفحه ای منتقل می شوید که به شما یک کد QR برای اسکن داده شده و از شما می خواهد که کد مربوط به اپلیکیشن موبایل خود را وارد کنید. در صورتی که این کار را انجام دهید و روی دکمه Active کلیک کنید از این پس صفحه لاگین شما به صورت ورود دو مرحله ای نمایش داده خواهد شد و شما باید با یکی از برنامه هایی که برای این کار ارائه شده اند مانند G-Authenticator و یا Microsoft Authenticator که در زمان ورود اطلاعات از آنها استفاده کرده اید به سایت لاگین کنید.

 

نتیجه گیری

در این مقاله با هم وضعیت ورود دو مرحله ای در وردپرس را بررسی کردیم و دیدیم که برای اینکار باید چه مراحل و مواردی را دنبال کرد. ورود دو مرحله ای در وردپرس یکی از  قابلیت های خوبی است که شما با استفاده از آن می توانید رمز ورود خود را به امن ترین حالتی که برای لاگین وجود دارد تغییر دهید و از این که سایت شما با استفاده از حملاتی مانند ملات Brute Force یا جست و جوی گسترده آسیب پذیر باشد راحت باشد.

این مقاله برای شما مفید بود؟
بلهخیر

دیدگاهتان را بنویسید

Solve : *
27 − 20 =