راهنمای نهایی و جامع کلیدهای امنیتی وردپرس

• سایت افزون
• دسته بندی ها: آموزش, وردپرس

وردپرس یکی از رده بالاترین و مشهورترین سیستم‌های مدیریت محتوا در جهان است.پس طبیعی است که مداوم هدف بهره برداری و رخنه‌های امنیتی مانند حملات Brute Force، تزریق SQL، بدافزارها، حملاتCross-Site Scripting و حملات DDoS باشد. درحقیقت، به همین تازگی، بدافزار  جدیدی به نام Clipsa در سایتهای وردپرس حملات Brute Force را از طریق ربودن اطلاعات رمزنگاری شده راه اندازی میکند.کلیدهای امنیتی وردپرس چه نقشی در این موضوع دارند؟

وردپرس تنها به اندازه تلاش شما برای بهبود امنیت سایتتان ایمن است. به عنوان صاحب یک وبسایت، وظیفه  شماست که گوش به زنگ باشید و یک استراتژی امنیت فعال پیاده‌سازی کنید تا از حملات مخرب جلوگیری نمائید. استفاده از نامهای کاربری و رمزعبور های ضعیف، عدم  روز رسانی هسته  وردپرس و پلاگین ها، و هاست‌های بی کیفیت از جمله معمول ترین اشتباه های امنیتی هستند که صاحبان وبسایت با ارتکاب به آنها به هکرهای مخرب اجازه  دسترسی ساده میدهند.

وردپرس در نوع خودش بسیار امن است، هرچند محفوظ نگهداشتن سایت وردپرس شما از مجرمان سایبری نیازمند بهبود وضعیت ایمنی و افزایش اعتبار آنلاین شما است. قدم‍‌های ساده ای مانند به روز رسانی کردن هسته وردپرس، انتخاب سرور میزبان ایمن، توجه به نام دامنه (Domain Name) امنیتی، و استفاده از رمزعبورهای ایمن میتواند جلوی بات‌ها و مهاجمان مخرب را بگیرد.

در این مقاله ما بر روی کلیدهای امنیتی وردپرس و WordPress Salts و نقش آنها در مطمئن کردن شما از این جهت که نیازی به رویارویی با تخریب ناشی از حملات بدافزار نخواهید داشت، تمرکز کرده ایم.

کلیدهای امنیتی وردپرس و WordPress Salts چه هستند؟

وقتی یک کاربر وارد سایت وردپرس میشود، تعدادی کوکی بر روی کامپیوتر ایجاد میشوند که برای تایید هویت کاربری که وارد سایت شده است استفاده میشود. اگر یک هکر وارد دیتابیس شما شود و یا کوکی‌های شما را پیدا کند، ممکن است بتواند رمزهای عبور شما را خوانده و بدین صورت سایت شما را نسبت به حملات آسیب پذیر کند.
ودپرس از کلیدهای امنیتی و نمک ها استفاده میکند تا به شما یک خروجی رمزنگاری شده که در دیتابیس و یا کوکی ها ذخیره شده است بدهد تا یک لایه حفاظتی دیگر به وبسایت شما اضافه کند.

دو نوع از این کوکی ها به شرح زیر هستند:

•  WordPress_ [hash] که فقط بر روی ادمین صفحه و پیشخوان وردپرس استفاده میشود.
•  WordPress_logged_in_[hash] که در وردپرس جهت تعیین کردن اینکه آیا وارد سایت شده‌اید یا خیر استفاده میشود.

کلیدهای امنیتی وردپرس یک رمز عبور شامل یک سری متغیرهای تصادفی و طولانی است که رمزنگاری را بهبود بخشیده و تقریبا کرک کردن رمز عبورتان را غیرممکن میکند. آخرین نسخ وردپرس از چهار کلید امنیتی که هرکدام یک نمک متناظر با خود را که میتوانند امنیت وبسایت وردپرس شما را ارتقا دهد استفاده میکند.

این چهار کلید امنیتی شامل موارد زیر هستند:

1. AUTH_KEY میتواند برای ایجاد تغییر بر روی سایت استفاده شود و به شما اجازه میدهد به non-SSL کوکی‌های احراز هویتی اختصاص دهید.
2. SECURE_AUTH_KEY برای اختصاص دادن کوکی‌های احراز هویتی به ادمین‌های SSL و ایجاد تغییر در سایت استفاده میشود.
3. LOGGED_IN_KEY در ایجاد کوکی برای کاربری که وارد سایت شده است استفاده میشود و نمیتواند جهت تغییر ایجاد کردن در سایت استفاده شود.
4. NONCE_KEY برای اختصاص دادن کلید nonce استفاده میشود. این کلید از nonceها در برابر فعال شدن حفاظت کرده و بدین ترتیب از سایت شما در برابر هک شدن حفاظت میکند.
   شما این کلیدهای احراز هویتی و سالت ها را در فایل wp-config.php که در فولدر روت وردپرس قرار دارد پیدا میکنید.
   نمکهای وردپرس رشته های اطلاعاتی تصادفی هستند که کلیدهای امنیتی را هش کرده و یک لایه حفاظتی اضافه به سایت و اعتبارنامه شما میدهد.

چرا از نمک‌ها و کلیدهای امنیتی وردپرس استفاده کنیم؟

وردپرس از کوکی برای ردیابی هویت کاربرانی که وارد وبسایت شده اند استفاده میکند. این کوکی‌‎ها در پیشخوان حساب کاربری شما، که از جانب مشتری است ذخیره شده‌‌اند. برای رمزنگاری بهتر، جزئیات احراز هویت (هردوی اسم کاربری و رمز عبور) مابین یک سری متغیر های تصادفی که توسط کلیدهای امنیتی وردپرس مشخص شده اند، هش میشود.
پس یک رمز عبور تصادفی رمزنگاری شده مانند “65a3ds2873ba27us36sd89s0fc” نسبت به نسخه رمزنگاری نشده‌اش بسیار دشوارتر کرک یا شکسته میشود. به این دلیل صاحبان وبسایت باید از کلید های امنیتی وردپرس جهت ایمن کردن کوکی‌‎های سایت و جلوگیری کردن از دسترسی هکرهای مخرب به سایت استفاده کنند.

چگونه کلیدهای امنیتی وردپرس و نمک‌ها را به صورت دستی تغییر دهیم؟

شما میتوانید کلیدهای سری و نمکها را به دو روش دستی یا از طریق افزونه های امنیتی وردپرس پیکربندی کنید. اگر سایت ورد پرس شما Self-hosted( بدین معنی که خودتان سرور میزبان آن هستید) میباشد، شما باید کلیدهای امنیتی را خودتان اضافه کنید.
به یاد داشته باشید: ما روش دستی ویرایش فایل های وردپرس را زمانی پیشنهاد میکنیم که شما یک توسعه دهنده (developer)  و یا با برنامه ‌ویسی درحد متوسط رو به بالا آشنا باشید؛ اگر شما یک مبتدی هستید پس لطفا به افزونه های توصیه شده در پایین رجوع کنید.

ابتدا، از  GENERATE KEY وردپرس برای ایجاد یک Secret Key منحصر به فرد استفاده کنید

سپس وارد file manager در کنترل پنل شده و یا ازطریق FTP اقدام کنید. از اینجا فایل wp-config.php را برای تغییر دادن آن پیدا کنید.

فایل را باز کرده و به قسمت “Authentication Unique Keys and Salts” در پایین بروید. اینجا میتوانید secret key هایی که ساخته اید را اضافه کنید.

پس از اینکه فایل را ذخیره کردید، باید مجددا ورود نمائید.

از یک پلاگین برای به روز رسانی کردن کلیدهای امنیتی و نمک‌ها استفاده کنید

مثل بسیاری از اجزای دیگر وردپرس شما مجبور نیستید اینکار را به صورت دستی انجام دهید. چندین پلاگین وردپرس برای انجام این روند به صورت خودکار وجود دارند. آنها راه های سریع و آسانی برای تغییر دادن کلیدهای وردپرس و سالت ها هستند. در اینجا ما دو تا را توصیه میکنیم:

• iThemes Security

ورژن فعلی iThemes Security (نسخۀ رایگان v4.6+ یا iThemes Security Pro v.1.14+) با یک ویژگی که به آسانی و بدون هدر دادن زمان کلیدهای امنیتی وردپرس و سالت ها را به روز رسانی میکند. همچنین هرماه به روز رسانی ها را به شما یادآوری کرده و از اینکه خودتان به صورت دستی سری جدیدی کلید بسازید و یا اینکه فایل wp-config.php را ویرایش کنید جلوگیری میکند.
برای به روز رسانی کردن کلیدها و سالت ها به قسمت “WordPress Salts”در ‘Advanced Tab’ بروید و چک باکس مقابل’Change WordPress Salts’ را بزنید. در نهایت بر روی دکمۀ ‘Change WordPress Salts’ کلیک کنید.

iThemes Security Pro ویژگی های بیشتری مانند احراز هویت دو مرحله ای یاtwo-factor Vertification ، اسکن بدافزارها به صورت برنامه ریزی شده، و reCAPTCHA برای شناسایی نرم افزار های مخرب و اضافه کردن لایۀ محافظتی دیگری به صفحه لاگ این وردپرس شما ارائه میدهد.

• Salt Shaker

Salt Shaker ویژگی‌های چشمگیری از جمله تغییر دادن دستی و سریع کلیدهای امنیتی وردپرس و نمکها را جهت بهبود امنیت وردپرس شما ارائه میدهد.

در هر دو مورد، افزونه ها برنامه ریزی شده‌اند تا یادآورهای خودکاری برای به روز رسانی کردن کلیدهای وردپرس ارسال نمایند. در نتیجه تمام کاربرانی که از قبل وارد سایت شده‌اند را مجبور میکند مجددا وارد شوند. تمام این ویژگی‌ها کمک میکنند که وبسایت را از حملات Brute Force Attack و سایر تلاشها برای هک شدن محافطت کند.

وقتی پای امنیت سایت وردپرس شما در میان باشد، پیشگیری بهترین کار است. ترکیب سفت و سخت کلیدهای امنیتی وردپرس و نمک‌ها کار هکر ها را برای شکستن رمزهای وبسایت سخت میکند. وردپرس اینگونه امنیت بهبود یافته برای بخش کاربران ارائه داده و داده ها را ایمن میکند.

به عنوان خلاصه، اینها چند نکته ای هستند که باید حین به روز رسانی کردن کلید های امنیتی وردپرس و سالتها به یاد داشته باشید.

• بعد از اجرا کردن سایت وردپرس، کلیدهای امنیتی و سالت ها را تغییر دهید.
• همیشه از Key Generator برای ساختن کلیدهای امنیتی استفاده کنید. خودتان این کار را انجام ندهید. البته شما میتوانید این کار را به کمک یک پلاگین وردپرس به صورت خودکار هم انجام دهید.
• به روز رسانی کردن کلیدهای امنیتی وردپرس و سالتها تمام کوکی‌های قبلی را منسوخ کرده و تمام کاربران را بلافاصله از وبسایت خارج میکند. پس، هنگام تغییر دادنشان به یاد داشته باشید که تعدادی از کاربران ممکن است آنلاین باشند.
• اگر نشانه‌ای مبتنی بر اینکه به سایت شما حمله شده است، دیدید، کلید های امنیتی وردپرس را به روز رسانی کرده و کاربران خود را تشویق به تغییر دادن رمز عبورشان کنید.

آیا درمورد کلیدهای امنیتی وردپرس و سالت ها سوالی دارید؟ یا نکته ای برای اضافه کردن وجود دارد؟
می‌توانید در شبکه‌های اجتماعی با عبارت addwebsite ما را دنبال کنید