چگونه امنیت سایت وردپرسی خود را افزایش دهید؟

به گزارش پایگاه اطلاع رسانی دیارمیرزا، در حوزه امنیت وردپرس، دو تکنولوژی مهم به نام “Salts” و “Security Keys” وجود دارند که به صورت مخفیانه در پشت صحنه سایت شما مشغول به کار هستند تا فرایند ورود به سایتتان را امن نگه دارند. این دو تکنولوژی از رمزنگاری استفاده کرده و از اطلاعات حساسی که درون کوکی‌های وردپرس استفاده می‌شوند، محافظت می‌کنند.

وقتی وارد سایت وردپرسی خود می شوید و گزینه “مرا به خاطر بسپار” را انتخاب می کنید، دیگر نیازی به وارد کردن مجدد اطلاعات در هر بار ورود به پیشخوان وردپرس نخواهید داشت. این عملکرد ساده و بهینه شده، به کاربر تجربه کاربری بهتری ارائه می کند اما در عین حال سایت شما را در معرض خطراتی مانند سرقت کوکی قرار می‌دهد.

WordPress Salts و Security Keys، دو عنصر برای تقویت دفاعی وب سایت شما هستند که با یکدیگر همکاری کرده و مانعی را ایجاد می کنند تا هکرها امکان نفوذ به مدیریت سایت را نداشته باشند. در این پست، به نقش حیاتی WordPress Salts و Security Keys در وردپرس و نحوه عملکرد آنها پرداخته شده است.

تصویر(۱)

WordPress Salts چیست؟

در دنیای وردپرس، salt ها (به همراه کلیدهای امنیتی) نقشی حیاتی در تضمین امنیت فرآیند ورود به وب سایت شما دارند. این ابزارهای رمزنگاری از اطلاعات موجود در کوکی‌هایی که وردپرس برای احراز هویت به آنها متکی است، محافظت می‌کنند. همانطور که ذکر شد، با انتخاب گزینه “مرا به خاطر بسپار”، دیگر نیازی به وارد کردن مجدد اطلاعات در هر بار ورود به پیشخوان وردپرس نخواهید داشت. این قابلیت زمانی در دسترس قرار می گیرد که وردپرس به جای استفاده از سشن PHP. اطلاعات ورود شما را در کوکی‌ها ذخیره کند.

در حالی که این کار بدون شک باعث بهبود تجربه کاربری می شود اما یک خطر امنیتی را نیز به همراه دارد. هکرها می توانند کوکی ها را دزدیده و به مدیریت سایت شما ورود کنند. WordPress Salts و Security Keys، برای افزایش امنیت در این موارد کاربرد دارند. این ابزارها را به‌عنوان لایه‌های حفاظتی اضافی برای سایت خود تصور کنید که با ایجاد یک مانع، از به خطر انداختن وب‌سایت شما توسط هکرها، جلوگیری می کنند. با توجه به نقش حیاتی آنها در امنیت سایت وردپرسی، بسیار مهم است که هرگز WordPress Salts و Security Keys خود را به اشتراک نگذارید و از آنها محافظت نمایید.

تصویر(۲)

WordPress Salt ها چگونه کار می کنند؟

تصویر کنید شما سایت وردپرسی خود را راه‌اندازی و تصمیم گرفته‌اید از رمز عبور “SuperSecurePassword!@#$” استفاده نمایید. برای ورود به سیستم، نام کاربری و رمز عبور خود را وارد می کنید، سپس وردپرس آنها را در یک جفت کوکی درون مرورگر ذخیره می‌کند تا شما را وارد مدیریت سایت نماید (این رمز عبور در پایگاه داده سایت نیز ذخیره می‌شود). حال اگر وردپرس رمز عبور شما را دقیقاً همانطور که هست ذخیره کند، مانند دعوت از هکرها برای ورود به پیشخوان سایت خواهد بود. ذخیره گذرواژه ها به صورت متن ساده، یک اشتباه امنیتی بسیار بزرگ است.

WordPress Salts و Security Keys با یکدیگر متحد می شوند تا رمز عبوری که به صورت متن ساده ذخیره می شود را به صورت هش (مجموعه ای طولانی و تصادفی از کاراکترها که حتی اگر کلیدها و Salt ها را بدانید، رمزگشایی نمی شوند) رمزنگاری کنند.

بنابراین، حتی اگر SuperSecurePassword!@#$ را جهت ورود به سیستم ارسال کردید، وردپرس آن را به صورت رشته ای مانند $P$BoEW/AhdCyQQv/J1kTwSQmRazzv7290 جهت ذخیره سازی، تبدیل می کند. همچنین استفاده از رمز عبور یکسان در سایتی دیگر، یک رشته هش کاملاً متفاوت تولید خواهد کرد. به طور خلاصه، تقریبا غیر ممکن است که فردی این رشته های به ظاهر تصادفی از کاراکترها را رمزگشایی و رمز عبور واقعی شما را کشف کند.

WordPress Salts در کجا قرار دارد؟

به طور پیش فرض، وردپرس مجموعه ای از Salt ها و کلیدهای خاص خود را در فایل wp-config.php وب سایت شما قرار می دهد. وقتی این فایل را باز می‌کنید، در مجموع باید هشت ورودی را مشاهده نمایید:

چهار ورودی اول نشان دهنده کلیدهای امنیتی هستند.
چهار ورودی بعدی مربوط به Salt های وردپرس می باشند.
این ورودی ها در wp-config.php باید چیزی شبیه به کدهای زیر باشند:

define(‘AUTH_KEY’,         ‘your_auth_key_here’);
define(‘SECURE_AUTH_KEY’,  ‘your_secure_auth_key_here’);
define(‘LOGGED_IN_KEY’,    ‘your_logged_in_key_here’);
define(‘NONCE_KEY’,        ‘your_nonce_key_here’);
define(‘AUTH_SALT’,        ‘your_auth_salt_here’);
define(‘SECURE_AUTH_SALT’, ‘your_secure_auth_salt_here’);
define(‘LOGGED_IN_SALT’,   ‘your_logged_in_salt_here’);
define(‘NONCE_SALT’,       ‘your_nonce_salt_here’);
به یاد داشته باشید، این موارد صرفا برای نمونه هستند. کلیدها و Salt های واقعی، رشته های منحصر به فردی از کاراکترهای تصادفی مانند $P$BoEW/AhdCyQQv/J1kTwSQmRazzv7290 خواهند بود.

ایجاد Salt ها و Security Key های جدید برای وردپرس

در هنگام نصب وردپرس به‌طور خودکار Salt ها و Security Key های جدیدی تولید و در فایل کانفیگ وردپرس قرار می گیرند و در این خصوص جای نگرانی وجود ندارد.

منطقی خواهد بود اگر به طور دوره ای Salt ها و Security Key های خود را برای افزایش امنیت سایت تغییر دهید تا دسترسی به سایت شما توسط هکرها، دشوارتر شود. می توانید با استفاده از تولید کننده Salt رسمی وردپرس و دستورالعمل های زیر، Salt ها و کلیدهای وردپرس را تغییر دهید.

نحوه تولید Salt و Security Key در وردپرس:

ابتدا وارد هاست خود شده و سپس فایل wp-config.php که در دایرکتوری اصلی سایت قرار دارد، یافته و آن را ویرایش کنید.
برای ایجاد کلیدها و Salt های جدید، از تولید کننده Salt رسمی WordPress.org استفاده نمایید (لینک زیر). در مجموع هشت رشته تولید خواهد شد که شامل  چهار کلید امنیتی و چهار Salt است.

https://api.wordpress.org/secret-key/1.1/salt/
 

کلیدها و Salt های موجود در فایل wp-config.php خود را با رشته های جدیدی که ایجاد شده، جایگزین کنید.
تغییرات خود را ذخیره نمایید.
بروزرسانی Salt ها به‌طور خودکار همه کاربران را از سیستم خارج می‌کند و از آنها می‌خواهد دوباره وارد سیستم شوند. این کار می تواند به عنوان یک لایه حفاظتی اضافی استفاده شود، به خصوص در مواردی که ناخواسته در یک سیستم عمومی وارد حساب کاربری خود شده اید.

تصویر(۳)

هر چند وقت یکبار باید WordPress Salts و Security Keys را تغییر دهید؟

بروزرسانی منظم WordPress Salts و Security Keys یک اقدام امنیتی مناسب است. توصیه می‌ شود حداقل هر سه ماه یک بار این کار انجام شود. وقتی مقادیر ذکر شده را تغییر می دهید، همه کاربران از سایت شما خارج می شوند. دلیل آن نیز رمزگذاری کوکی ها با WordPress Salts و Security Keys های جدید است. اگر مشکوک به نقض امنیت سیستم هستید، این روش می تواند مفید باشد.

نتیجه گیری

درک و مدیریت WordPress Salts و Security Keys ها یک جنبه حیاتی برای حفظ امنیت وب سایت وردپرسی است. با استفاده از روش ذکر شده، می توانید به خوبی از سایت خود در برابر تهدیدات احتمالی مانند سرقت کوکی ها و دسترسی غیرمجاز، محافظت کنید. به خاطر داشته باشید که به طور دوره ای WordPress Salts و Security Keys های خود را بروز نمایید تا امنیت سایت خود را افزایش دهید. همچنین همیشه از آنها محافظت تا از دسترسی غیرمجاز جلوگیری شود. اگر به دنبال روش‌های اضافی برای تقویت امنیت وردپرس وبسایت‌تان هستید، می‌توانید از یک دیوار آتش استفاده کنید تا در برابر ربات‌های بد، حملات DDoS و بروت فورس ایمن بمانید.