قرار دادن تایید هویت دو مرحله ای در وردپرس
فهرست مطالب:
قرار دادن تایید هویت دو مرحله ای در وردپرس
با افزایش خطرات مربوط به وبسایت و بالا رفتن اهمیت موضوع امنیت در وبسایت، توسعه دهندهها باید همواره متوجه موضوعات امنیتی باشند. مخصوصا اگر فردی از پلتفرم خاصی مانند وردپرس استفاده کند به این دلیل که همیشه مورد توجه هکرها و باتهای مخرب است، باید بیشتر مراقب باشد.
- درباره امنیت در وردپرس بیشتر مطالعه کنید: ۱۴ مورد از بهترین پلاگینهای امنیتی وردپرس
در رابطه با باتهای مخرب باید بگویم که برای آن ها هیچ اهمیتی ندارد که یک وبسایت چه میزان حجمی دارد و یا اینکه به چه مقدار محبوب است، آنها کل فضای اینترنت را دنبال میکنند و وبسایتهای وردپرسی را صرفنظر از میزان بزرگیشان مورد حمله قرار میدهند. پس با این وجود اهمیت ندارد که شرکت و تجارت شما بزرگ یا کوچک باشد در نهایت باید قدمهایی برای بهتر کردن امنیت وبسایتتان بردارید.
یکی از راههای معمولی باتها برای حمله به وبسایت از طریق حمله معروف به brute-force است. یکی دیگر از راههای حمله باتها برای اینکار ارسال اسپم و پیامهای مخرب است؛ اما حمله brute-force معمولا یکی از حملاتی است که وبسایتهای بسیاری قربانی آن شده است. مؤثرترین راه برای خنثی کردن چنین حملاتی استفاده از تایید هویت دو عامله یا two-factor authentication است.
دوبرابر بهتر
در این راهکار که میخواهیم توضیح دهیم از two-factor authentication تنها برای قرار دادن مرحلهای جدید برای ورود به وبسایت وردپرسی استفاده میکنیم. البته احتمال نیز دارد که قبلا از چنین چیزی استفاده کرده باشید. برای مثال در شرکتهای بزرگی مانند گوگل، فیسبوک و حتی در برخی از بانکها. شما رمز عبور را در اختیار دارید اما وبسایت از شما سوال دیگری نیز میپرسد. برای مثال اسم پدرتان چیست؟ و … . حال در این مقاله قصد داریم تا به شما راجع به چگونگی اضافه کردن چنین تایید هویتی در وبسایت های وردپرسی بگوییم. خبر خوب این است که انجام چنین کاری بسیار ساده است و نیازمند تبحر خاصی نیست.
بیشتر وقتها آسانترین راه برای پیادهسازی چنین حالتی در وبسایت که مطمئناً دیدهاید استفاده از یک تصویر است که در آن از کلمات و عبارتهایی استفاده شده است. تا زمانی که کاربر نتواند کلمات را تشخیص دهد نمیتواند به مرحله بعدی برود. در حالتهای دیگری نیز از کاربر شماره تلفنی را در هنگام ثبتنام درخواست میکنند و بعد از آن برای ورود به اپلیکیشن برای کاربر پیامی ارسال میکنند و از وی درخواست میکنند که در اپلیکیشن کد ارسال شده را قرار دهند. “تلگرام یک نمونه ساده از چنین حالتی است”.
در حالتی که چنین مواردی ممکن است بعضی وقتها دردسر ساز باشند “برای مثال وقتی که موبایل در دسترس شما نیست” اما برای افرادی که روی امنیت حساس هستند بسیار مهم است. از طرفی فکرش را بکنید که مدیریت یک وبسایت وردپرسی به دست یک بات بیافتد. پس استفاده از چنین راه حلی واقعا میتواند مفید و مؤثر باشد و از نفوذ باتها جلوگیری کند.
اضافه کردن TWO-FACTOR AUTHENTICATION به وردپرس
خوشبختانه اضافه کردن این لایه امنیتی به وبسایت وردپرسی واقعا ساده است. چندین افزونه مختلف در این زمینه وجود دارند که چنین کاری را برای شما انجام میدهند. البته تفاوتهایی در بین این افزونهها وجود دارد پس بهتر است بسته به نیاز خودتان و موارد دیگری یکی از آنها را انتخاب کنید.
خب بیاید با هم نگاهی به این افزونه ها بیاندازیم:
WORDFENCE
WordFence یکی از افزونه های پرکاربرد در زمینه امنیت است که با آن می توانید دیواره آتش داشته باشید و وبسایت را برای پیدا کردن اسپم ها و بدافزارها کاوش کنید. اگر از ورژن تجاری یا نسخه حرفه ای آن استفاده کنید یکی از مزایای آن توانایی پیاده سازی TWO-FACTOR AUTHENTICATION است. WordFence حتی به شما این اجازه را می دهد که کاربرانی که لازم است به این ویژگی دسترسی داشته باشند را به صورت دستی انتخاب کنید. این افزونه به کاربران هر وقت که بخواهند وارد شوند پیام ارسال میکند و پس از تایید کردن آن اجازه ورود را می دهد. با توجه به تجربه شخصی که از این افزونه داشته ام با وجود تمام امکانات خوب آن متوجه شدم که کاربرپسند نیست.
GOOGLE AUTHENTICATOR
Google Authenticator نیز درست از چنین حالتی بهره میبرد با این تفاوت که بسیار سادهتر و کاربردیتر است. در این افزونه گوگل از سرویسهای خود استفاده میکند. شما ابتدا باید این افزونه را روی وبسایت نصب کنید بعد از آن این اپلیکیشن را روی موبایل خود نصب نمایید. بعد از آن هر بار کاربر درخواست کرد که وارد وبسایت شود نیاز دارد که کد موقت را از اپلیکیشن دریافت و در وبسایت وارد کند. مخالف با افزونه قبلی این افزونه کاربرپسندتر و سادهتر است.
CLEF
Clef یکی از رویکردهای بسیار متفاوت برای ساختن TWO-FACTOR AUTHENTICATION است که در آن نیازی به رمز عبور نیست. شما به سادگی افزونه CLEF را روی وبسایت خود نصب کرده و اپلیکیشن موبایل را نیز نصب میکنید. بعد از آنکه بخواهید وارد وبسایت شوید یک «Clef Wave» روی وبسایت ظاهر میشود که باید آن را با موبایلتان اسکن نمایید. فاکتورهای دیگر برای ورود از طریق این افزونه میتواند پین کد یا اثر انگشت باشد که به نوبت خود بسیار منحصر به فرد و مورد جدیدی است. این افزونه هم دارای نسخه رایگان و هم دارای نسخه پولی است. قبل از اقدام به خرید بهتر است نسخه رایگان آن را امتحان کنید تا ببینید که آیا به نیازهایتان پاسخ خواهد داد یا خیر.
WP Limit Login attempts Lite (مترجم)
شاید باور نکنید از میان تمام افزونههای موجود در این زمینه، این افزونه سادهترین، سریعترین و یکی از کاربردیترین آن هاست. در این افزونه هیچگونه پیچیدگی وجود ندارد و شما تنها باید آن را فعال کنید. بعد از آن همه چیز درست است. سه گزینه تنظیم در این افزونه نیز وجود دارد که به صورت پیشفرض مقداردهی شدهاند و اگر بخواهید مقداردهی را تغییر دهید نیاز دارید تا نسخه تجاری آن را خریداری کنید. البته به نظر بنده هیچ نیازی به نسخه تجاری نخواهید داشت چون تمام مقدارها به صورت عادی و استاندارد قرار گرفتهاند پس نیازی نیست که آنها را تغییر دهید. برای دانلود این افزونه کافیست به این صفحه مراجعه کنید.
قدم های اضافه ارزشش را دارد
متاسفانه روزهای تایید هویت با یک پسورد ساده به سر رفته است. در دنیای واقعی امروزه ما ممکن است هر اتفاق بدی برای وبسایتها بیافتد حال چه مقصر آن انسان باشد و چه یک بات. بنابراین در چنین شرایطی تایید کردن حساب کاربری از راههای مختلف و قرار دادن راههای اضافه مطمئنا مهم و ضروری خواهد بود.
هیچ شکی از این بابت وجود ندارد که وردپرس از لحاظ حمله brute-force یکی از اهداف محبوب است. خب با خواندن این مطلب امیدوارم متوجه شده باشید که هیچ احتیاجی ندارید تا لایه بسیار حرفهای برای امنیت وبسایت درست کنید. افزونه هایی که در این مطلب بحث شد واقعا موارد ساده ای هستند و نیاز به انجام هیچ کار حرفهای ندارند.
منبع: راکت