ورود دو مرحله‌ای در وردپرس؛ یک التزام امنیتی

ورود دو مرحله ای در وردپرس
خرید هاست

برقرار کردن امنیت در یک سیستم رایانه‌ای و یک سایت اینترنتی سابقه‌ای به اندازه سن همین سیستم‌ها دارد و یکی از مواردی که همیشه قابل توجه بوده و خیلی از تلاش‌ها و پیشرفت‌های صورت گرفته در علوم کامپیوتر در همین راستا بوده است. وقتی که شما مدیریت یک سایت اینترنتی را بر عهده داشته باشید و بخواهید آن را به بهترین شکل ممکن از نظر امنیتی محافظت کنید راه‌های زیادی در پیش روی شما خواهد بود که به این نسبت که سایت شما چه کاری را انجام می‌دهد و آسیب‌های رخنه‌های امنیتی در آن تا چه اندازه خسارت به بار می‌آورد، می‌تواند متغیر باشد. در این میان استفاده از المان‌های مختلف امنیتی مانند به کار گرفتن ورود دو مرحله‌ای در وردپرس اقدامی عمومی و لازم برای همه سایت‌ها تلقی می‌شود. 

در این مقاله قصد داریم تا به‌صورت اختصاصی در مورد اینکه چگونه ورود دو مرحله‌ای در وردپرس را فعال کنیم تا از سایت خود در برابر حملات مختلفی که به صفحه ورود انجام می‌شود محافظت کنیم صحبت کنیم. قبل از اینکه به‌سراغ این موضوع برویم لازم است کمی در مورد اینکه هدف از این کار چیست و ورود دو مرحله‌ای در وردپرس قرار است سایت ما را از چه چیزی نجات دهد صحبت کنیم.

هدف از ایجاد ورود دو مرحله‌ای در وردپرس

ورود دو مرحله‌ای در وردپرس و یا در هر پلتفرم دیگر به این منظور صورت می‌گیرد که عملیات ورود به سایت را قوی‌تر کرده و شرایط شکسته شدن سدهای امنیتی به حداقل برسد. به‌طورکلی وقتی از ورود دو مرحله‌ای در وردپرس استفاده می‌کنیم، یک المان کمکی را برای رمزعبور در نظر گرفته‌ایم که بسیار مفید می‌باشد و تقریبا راه ورود به سایت را می‌بندد.

در صورتی که با ساختار سایت‌های وردپرسی آشنا باشید قطعا این موضوع را می‌دانید که وردپرس یک سیستم قوی و تقریبا ضد هک است که با استفاده از کمی تدابیر امنیتی می‌توان آن را به حد خوبی از امنیت رساند. البته باید این موضوع را در نظر گرفت در صورتی که همه‌ چیز به حالت پیش‌فرض باشد و تغییری ایجاد نشود کار کمی سخت خواهد بود و نمی‌توان ادعا کرد که سایت وردپرسی یک سایت کاملا امن است. یکی از نقطه ضعف‌های امنیتی در وردپرس صفحه لاگین ادمین آن است که به‌صورت پیش‌فرض در آدرس yoursite.com/wp-admin قرار گرفته است و مدیران سایت می‌توانند با استفاده از این آدرس که در آن yoursite نام دامنه سایت است به پیشخوان وردپرس خود وارد شوند.

دلیل استفاده از ورود دو مرحله ای در وردپرس

یکی از اولین اقدامات امنیتی که به‌صورت پایه و در اولین تنظیمات امنیتی برای سایت‌های وردپرسی انجام می‌شود تغییر دادن آدرس ورود ادمین است که توسط افزونه‌های امنیتی مختلف و یا تغییر در فایل‌های سیستم مدیریت محتوای وردپرس این کار را انجام می‌شود. این تنظیم امنیتی را می‌توان یکی از الزامات مهم برای برقراری امنیت طراحی کرد که از خیلی حمله‌ها سایت را نجات می‌دهد. اما در مورد این اقدام باید بگوییم که خیلی از اسکنرها و موارد مختلف می‌توانند موقعیت این صفحه را پیدا کرده و حملات خود را روی آن اجرا کنند.

هرچند خیلی از افزونه‌های امنیتی این صفحه را از مهاجمان مخفی می‌کنند اما با مخفی‌سازی این دروازه ورود نمی‌توان مطمئن بود که کسی از آن عبور نمی‌کند و روش‌های مختلفی مانند استفاده از ربات‌های اسکنر برای آن وجود دارد و حتی اگر این صفحه را از سایرین مخفی کنید شاید حملات از طرف کارمندان سابق شما صورت گیرد و در صورتی که فکر می‌کنید این اتفاق نمی‌افتد شاید برای شما جالب باشد که بعد از هکرهایی که برای تفریح و به چالش کشیدن خودشان حملات خود را روی سایت‌های مختلف پیاده‌سازی می‌کنند، پرتعدادترین انواع حملات اینترنتی مربوط به حملاتی است که کارمندان اخراجی که از کار بیکار شده‌اند و یا به حرف آنها گوش نداده‌اند، ترتیب می‌دهند.

در این صورت دیگر این تغییر آدرس‌ها فایده‌ای ندارد و باید خود بخش عبور را در برابر حملات قوی کنید. حملاتی از نوع Brute Force که در فارسی به حملات جستجوی فراگیر ترجمه می‌شود. از آن دست حملاتی است که از این معابر عبور می‌کند و اگر شما فکری به حال تقویت صفحه ورود و استفاده از ورود دو مرحله‌ای در وردپرس نکنید، می‌تواند از صفحه ورود شما عبور کرده و آسیب‌های بدی را به شما بزند. 

حمله Brute Force چیست؟

در مورد اینکه حمله جستجوی فراگیر یا همان Brute Force چیست باید گفت که این حمله دقیقا به این معنی است که بخواهند به زور وارد جایی شوند و از هر کاری برای پیدا کردن رمز استفاده کنند. مکانیزم اصلی این نوع از حملات به این صورت است که یک ربات صفحه ورود را اسکن کرده و درخواست‌هایی که از کدهای HTML و CSS صفحه برای سایت ارسال می‌شود را پیدا می‌کند. بعد این ریکوئست‌ها به‌صورت پرتکرار با یوزر و پسوردهایی که احتمال دارد یوزر و پس مدیریت در بین آنها باشد به‌صورت خودکار توسط این ربات تولید یا همان Generate شده و برای سرور ارسال می‌شود.

هم‌زمان با ارسال انبوه این درخواست‌ها از طرف این ربات، یک واحد Listener در حال چک کردن خط می‌باشد تا ببیند کدام یک از ریکوئست‌ها موفق باز می‌گردد و در صورتی که یک پاسخ از سرور دریافت شود حمله موفقیت‌آمیز انجام شده و حمله‌کنندگان روش وارد شدن به سایت را پیدا کرده‌اند.

حمله brute Force چیست

اما در مورد اینکه این پسوردها بر چه اساس و چه معیاری تولید می‌شوند باید گفت که هم می‌توان آنها را به‌صورت فایل به این ربات داد و هم امکانی وجود دارد که شما الگوهایی مانند یوزرنیم مورد استفاده عمومی مدیر و یا اطلاعاتی مانند کدملی که احتمال می‌رود یوزرنیم و پسورد بر اساس آنها و ترکیبی از این موارد تولید شود در اختیار ربات ها قرار گرفته و با استفاده از این اطلاعات میلیون‌ها پسورد تولید می‌شود که می‌توان آنها را استفاده کرد.

این نوع از حملات قبلا به‌صورت ساده‌تر و با نام Dictionary Attack مورد استفاده قرار می‌گرفت که این موارد با استفاده از ایجاد یک تاخیر در چک کردن پسوردها و یا استفاده از کد کپچا در صفحه لاگین قابل برطرف کردن بود. اما نوع پیشرفته از Brute Force نیاز به موارد دیگری دارد که می‌توان مهمترین آن را استفاده از ورودهای دو مرحله‌ای دانست. 

انواع ورود دو مرحله‌ای در وردپرس کدامند؟

در صورتی که با وب و اینترنت آشنایی کامل داشته باشید که قطعا به این صورت بوده و این آشنایی را دارید با پسوردهایی که به‌صورت دو مرحله‌ای کار می‌کنند. خیلی از سیستم‌ها از این روش برای ورود استفاده می‌کنند و بعضی از سیستم‌هایی که به صورت تک‌مرحله‌ای می‌توان به آنها وارد شد برای کارهایی مهم مانند تغییر رمزعبور و یا پاک کردن اکانت از شما مجددا رمزعبور می‌خواهند. از معروف‌ترین این سرویس‌ها می‌توان به گوگل اشاره کرد که در مواقع حساس حتی ممکن است با شما تماس گرفته و کدی را برای شما بخواند. در وردپرس هم مانند خیلی از سایت‌های بزرگ شما یک سیستم ورود دو مرحله‌ای خوب و حرفه‌ای را دارید.

انواع ورود دو مرحله ای در وردپرس

ورود دو مرحله‌ای با ایمیل: یکی از ساده‌ترین و بهترین روش‌های پیاده‌سازی ورود دو مرحله‌ای در وردپرس است که با استفاده از خیلی از افزونه‌های امنیتی می‌شود آن را پیاده‌سازی کرد و در این روش برای ورود یک کد به ایمیل ادمین ارسال شده و این کد برای ورود به سایت مورد استفاده قرار می‌گیرد.

ورود دو مرحله‌ای با SMS: نوع دیگری از ورود دو مرحله‌ای در وردپرس که می‌توان آن را پرطرفدارترین روش دانست استفاده از ورود دو مرحله‌ای با بهره‌گیری از SMS است که در آن یک پیامک حاوی رمز به شماره‌ای که در سایت ثبت شده است ارسال می‌شود و در زمان ورود باید وارد شود. از این روش برای تولید رمزهای یک‌بارمصرف هم استفاده می‌شود و خیلی از سایت‌ها حتی رمز قبلی را هم برای ورود دریافت نمی‌کنند و صرفا ورود را با استفاده از SMS انجام می‌دهند.

ورود دو مرحله‌ای با استفاده از برنامه‌های رمز ساز: اگر بخواهیم بگوییم که معروف‌ترین و اصلی‌ترین روش پیاده‌سازی ورود دو مرحله‌ای در وردپرس و یا در هر پلتفرم طراحی سایت دیگری چیست می‌توان از این روش یاد گرفت و برنامه‌های رمزساز و توکن‌هایی را نام برد که رمزهای یک‌بارمصرف رندوم و زمان‌دار تولید می‌کند که با استفاده از آن به سایت وارد می‌شوید. حتما شما سایت‌هایی که از Google Authenticator برای ورود استفاده می‌کنند را دیده‌اید. برای ثبت‌نام در این سایت‌ها لازم است که یک اپلیکیشن روی موبایل شما نصب شده و با سایت هماهنگ شود و از آن به بعد رمزی که به‌صورت زمان‌دار در این برنامه نشان داده می‌شود راه ورود به برنامه شما خواهد بود.

ویژگی های ورود دو مرحله ای در وردپرس

پیاده‌سازی ورود دو مرحله‌ای در وردپرس

اصولا وقتی صحبت از پیاده‌سازی قابلیت‌های دست بالا و موضوعات امنیتی در وردپرس در میان باشد، باید به‌سراغ افزونه‌ها رفت و برای اجرا و ساخت ورود دو‌ مرحله‌‌ای در وردپرس هم باید از همین اصل تبعیت کنیم و به‌سراغ افزونه‌هایی که برای این کار ارائه شده‌اند برویم. اما این مورد بسته به اینکه شما می‌خواهید از چه روشی برای ورود دو مرحله‌ای سایت وردپرسی خود استفاده کنید تفاوت‌های زیادی دارد. خیلی از افزونه‌های امنیتی بزرگ هستند که بیشتر این قابلیت‌ها را پوشش می‌دهند، اما برای موارد خاصی مانند استفاده از Google Authenticator لازم است که از افزونه‌های خاص استفاده شود.

پیاده‌سازی ورود دو مرحله ای در وردپرس با SMS

یکی از متداول‌ترین روش‌ها برای ورود دو مرحله‌ای در وردپرس استفاده از SMS است و با توجه به اینکه امکانات پنل‌های پیامکی در وردپرس همیشه خوب بوده است می‌شود از این مورد هم استفاده کرد. در مورد اینکه ورود دو مرحله‌ای در وردپرس با استفاده از SMS چیست قبلا توضیح داده بودیم و اگر بخواهیم اکنون روش پیاده‌سازی آن را به‌صورت صریح معرفی کنیم باید بگوییم که افزونه Duo Two Factor Authentication در این کار به ما کمک ویژه‌ای می‌کند.

برای این کار ابتدا باید از مخزن وردپرس این افزونه را جستجو کرده و نصب کنید. بعد از نصب و فعال‌سازی به قسمت تنظیمات بروید و گزینه Duo Two Factor Authentication را انتخاب کنید که با انتخاب این گزینه کار تنظیم ورود دو مرحله‌ای در وردپرس به وسیله SMS را برای سایت خود فعال می‌کنید.

ورود دو مرحله ای در وردپرس با SMS

پیاده‌سازی ورود دو مرحله‌ای در وردپرس با ایمیل

مورد دیگر استفاده از ورود دو مرحله‌ای در وردپرس با ایمیل است. در این قابلیت شما با استفاده از یک ایمیل حاوی رمز یک‌بارمصرف که به آن OTP Email هم گفته می‌شود می‌توانید به سایت  خود وارد شوید. در اینجا افزونه‌های موردنظر این ایمیل را طراحی کرده و رمزی که باید برای ورود به سایت وارد کنید را برای شما ایمیل می‌کند.

افزونه‌های امنیتی مختلفی هستند که می‌توانند این قابلیت را برای شما پیاده‌سازی کنند که بهترین آنها را افزونه جامع iThemes Security است که در مقاله افزونه iThemes Security آن را به‌صورت کامل مورد بررسی قرار دادیم. با نصب این افزونه شما قادر خواهید بود تا به‌راحتی به‌سراغ تنظیمات آن در پیشخوان وردپرس رفته و تنظیمات مربوطه ورود به ایمیل را پیاده‌سازی کنید.

پیاده‌سازی ورود دو مرحله‌ای در وردپرس با برنامه

برای اینکه بتوانید ورود دو مرحله‌ای در وردپرس را با برنامه‌های مختلفی که برای پسوردهای یک‌بارمصرف ارائه شده‌اند پیاده‌سازی کنید از افزونه Wordfence برای این کار استفاده کنید. این افزونه یکی از معروف‌ترین و مهمترین افزونه‌های امنیتی در وردپرس است که با بیش از 4 میلیون نصب فعال یک مهره مهم برای تامین امنیت خیلی از سایت‌های ساخته شده با وردپرس می‌باشد. این افزونه را به‌صورت کامل در مقاله افزونه Wordfence معرفی و کار با آن را آموزش دادیم.

ورود دو مرحله ای در وردپرس با برنامه

برای فعال‌سازی ورود دو مرحله‌ای در وردپرس با استفاده از این افزونه کافی است که آن را نصب کرده و از طریق گزینه‌ای که در پیشخوان وردپرس در اختیار شما قرار می‌دهد روی گزینه Login Security کلیک کنید. با این کار شما به صفحه‌ای منتقل می‌شوید که به شما یک کد QR برای اسکن داده شده و از شما می‌خواهد که کد مربوط به اپلیکیشن موبایل خود را وارد کنید. در صورتی که این کار را انجام دهید و روی دکمه Active کلیک کنید از این پس صفحه لاگین شما به‌صورت ورود دو مرحله‌ای نمایش داده خواهد شد و شما باید با یکی از برنامه‌هایی که برای این کار ارائه شده‌اند مانند G-Authenticator و یا Microsoft Authenticator که در زمان ورود اطلاعات از آنها استفاده کرده‌اید به سایت لاگین کنید.

نتیجه‌گیری

در این مقاله با هم وضعیت ورود دو مرحله‌ای در وردپرس را بررسی کردیم و دیدیم که برای این کار باید چه مراحلی را دنبال کرد. ورود دو مرحله‌ای در وردپرس یکی از  قابلیت‌های خوبی است که شما با استفاده از آن می‌توانید رمز ورود خود را به امن‌ترین حالتی که برای لاگین وجود دارد تغییر دهید و از اینکه سایت شما با استفاده از حملاتی مانند حملات Brute Force یا جستجوی گسترده آسیب‌پذیر باشد راحت باشید.

خرید سرور اختصاصی

اشتراک گذاری

برچسب‌ها

دیدگاهتان را بنویسید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *

Fill out this field
Fill out this field
لطفاً یک نشانی ایمیل معتبر بنویسید.
You need to agree with the terms to proceed

خرید سرور مجازی

🔥 پربازدیدترین مطالب

دسته‌بندی

جدید‌ترین‌ها