یکی از راههای نفوذ به سایتهای وردپرسی، هک کردن رمز عبور یا نام کاربری اشخاص در ورود به پنل وردپرس میباشد که وردپرس در این زمینه ضعف بزرگی دارد.
برای اینکه متوجه این ضعف امنیتی وردپرس بشوید به صفحه لاگین سایت خود مراجعه کنید، نام کاربری خود را درست و رمز عبور را اشتباه وارد کنید.
با خطای زیر احتمالا مواجه خواهید شد:
رمز عبوری که برای نام کاربری …. وارد کرده اید، صحیح نیست.
دیگه چی از این بهتر برای هکر وردپرس وجود دارد؟
خیلی راحت خود وردپرس به هکر میگه نام کاربری را درست وارد کردی ولی پسورد را نه، دوباره تلاش کن، یک پسورد جدید امتحان کن شاید موفق شدی.
دقت می کنید چه راحت وردپرس هکر را با خبر می کنه؟
حالا نام کاربری را اشتباه تایپ کنید ببینید چه اتفاقی میافتد
بله دقیق به شما میگه که نام کاربری را اشتباه وارد کردید.
خب حالا باید چه کار کنیم؟
نگران نباشید دو تا راه حل برای این ضعف امنیتی وجود دارد:
۱- استفاده از پلاگین
۲- قرار دادن کد در فایل functions.php (توصیه ترمینت استفاده از این راه حل است)
۱- جلوگیری از ورود به پنل وردپرس با نصب پلاگین secure wordpress
وارد پیشخوان وردپرس شوید قسمت افزونه ها -> افزودن شویدو پلاگین Acunetix Secure WordPress را جستجو کنید.
بعد از نصب پلاگین به قسمت Secure wp و بخش تنظیمات مراجعه کنید در نهایت تیک گزینه Remove login error notifications from front-end را بزنید.
به همین سادگی توانستید این ضعف امنیتی را رفع کنید، دوباره امتحان می کنیم، یک نام کاربری اشتباه وارد می کنم:
همانطور که در تصویر فوق مشاهده می کنید اتفاقی رخ نداد و هیچ پیغام خطایی به کاربر نمایش داده نشد، عالیه!!!
اما بهتر هست از این روش استفاده نکنید به این خاطر که پلاگین های امنیتی جامعتر و کاملتری وجود دارد که این ضعفها را میپوشاند و در آموزشهای بعدی در دوره امنیت وردپرس به این پلاگینها اشاره خواهیم کرد.
۲- قرار دادن کد در فایل functions.php
برای بالا بردن امنیت ما مستقیم از فایل functions.php استفاده نمی کنیم، بلکه از افزونه code-snippets برای ویرایش فایل functions.php استفاده خواهیم کرد.
اگر می خواهید بدانید که چرا باید از code snippets استفاده کنیم قسمت چهارم از دورهی آموزش امنیت وردپرس را مشاهده کنید.
بعد از نصب پلاگین code snippets روی add new کلیک کنید:
بعد از کلیک بر روی add new به صفحه زیر منتقل میشوید:
در قسمت add new snippet یک نام برای کد خود وارد کنید.
و در قسمت code کد زیر را قرار دهید:
function no_wordpress_errors(){ return 'نام کاربری یا پسورد خود را اشتباه وارد می کنید'; } add_filter( 'login_errors', 'no_wordpress_errors' );
این کد میگوید که هر موقع کاربری پسورد و نام کاربری خود را اشتباه وارد کرد دیگر پیغام بالا را نمایش ندهد تا کاربر از این طریف بفهمد که کدام فیلد را اشتباه وارد کرده است.
به جای پیغام بالا، پیغام “نام کاربری یا پسورد خود را اشتباه وارد می کنید” یا هر پیغام دیگهای به کاربر نمایش داده خواهد شد.
اگر دوباره من نام کاربری خودم را اشتباه وارد کنم با خطای زیر مواجه خواهم میشوم:
این قسمت از دوره آموزش امنیت وردپرس به پایان میرسد لطفاً همین الان نسبت به مخفی کردن پیغام ارور در صفحه لاگین وردپرس اقدام کنید و سایت خود را امن نگه دارید، اگر سوالی بود در نظرات برای ما بنویسید.
راستی میتوانید در کانال تلگرامی ما عضو شوید.
شما میتوانید قسمت های قبلی دوره آموزش امنیت وردپرس را با کلیک بر روی لینکهای زیر مشاهده کنید:
آموزش امنیت وردپرس بدون دانش امنیتی [قسمت – اول]
روش انتخاب پسورد برای وردپرس در ۵ قدم[قسمت – دوم]
تغییر نام کاربری در وردپرس قدم به قدم – [قسمت – سوم]
بالا بردن امنیت سایت با مخفی کردن نام نویسنده در وردپرس – [قسمت – چهارم]