قرار دادن تایید هویت دو مرحله ای در وردپرس

آفلاین
user-avatar
ارسطو عباسی
13 خرداد 1398, خواندن در 7 دقیقه

با افزایش خطرات مربوط به وبسایت و بالا رفتن اهمیت موضوع امنیت در وبسایت، توسعه دهنده ها باید همواره متوجه موضوعات امنیتی باشند. مخصوصا اگر فردی از پلتفرم خاصی مانند وردپرس استفاده کند به این دلیل که همیشه مورد توجه هکرها و بات های مخرب است، باید بیشتر مراقب باشد.

در رابطه با بات های مخرب باید بگویم که برای آن ها هیچ اهمیتی ندارد که یک وبسایت چه میزان حجمی دارد و یا اینکه به چه مقدار محبوب است، آن ها کل فضای اینترنت را دنبال می کنند و وبسایت های وردپرسی را صرفنظر از میزان بزرگی‌شان مورد حمله قرار می دهند. پس با این این وجود اهمیت ندارد که شرکت و تجارت شما بزرگ یا کوچک باشد در نهایت باید قدم هایی برای بهتر کردن امنیت وبسایت را بردارید.

یکی از راه های معمولی بات ها برای حمله به وبسایت از طریق حمله معروف به brute-force است. یکی دیگر از راه ها بات ها برای اینکار ارسال اسپم و پیام های مخرب است اما حمله brute-force معمولا یکی از حملاتی است که وبسایت های بسیار قربانی آن شده است. مؤثرترین راه برای خنثی کردن چنین حملاتی استفاده از تایید هویت دو عامله یا two-factor authentication است.

دوبرابر بهتر

در این راهکار که می خواهیم توضیح دهیم از two-factor authentication تنها برای قرار دادن مرحله‌ای جدید برای ورود به وبسایت وردپرسی استفاده می کنیم. البته احتمال نیز دارد که قبلا از چنین چیزی استفاده کرده باشید. برای مثال در شرکت های بزرگی مانند گوگل، فیسبوک و حتی در برخی از بانک ها. شما رمز عبور را در اختیار دارید اما وبسایت از شما سوال دیگری نیز می پرسد. برای مثال اسم پدرتان چیست؟ و ... . حال در این مقاله قصد داریم تا به شما راجع به چگونگی اضافه کردن چنین تایید هویتی در وبسایت های وردپرسی بگوییم. خبر خوب این است که انجام چنین کاری بسیار ساده است و نیازمند تبحر خاصی نیست.

بیشتر وقت ها آسان ترین راه برای پیاده سازی چنین حالتی در وبسایت که مطمئن دیده اید استفاده از یک تصویر است که در آن از کلمات و عبارت هایی استفاده شده. تا زمانی که کاربر نتواند کلمات را تشخیص دهد نمی تواند به مرحله بعدی ورود برود. در حالت های دیگری نیز از کاربر شماره تلفنی را در هنگام ثبت نام درخواست می کنند و بعد از آن برای ورود به اپلیکیشن برای کاربر پیامی ارسال می کنند و از وی درخواست می کنند که در اپلیکیشن کد ارسال شده را قرار دهند. –تلگرام یک نمونه ساده از چنین حالتی است-

در حالتی که چنین مواردی ممکن است بعضی وقت ها دردسر ساز باشند –برای مثال وقتی که موبایل در دسترس شما نیست- اما برای افرادی که روی امنیت حساس هستند بسیار مهم است. از طرفی فکرش را بکنید که مدیریت یک وبسایت وردپرسی به دست یک بات بیافتد. پس استفاده از چنین راه حلی واقعا می تواند مفید و مؤثر باشد و از نفوذ بات ها جلوگیری کند.

اضافه کردن TWO-FACTOR AUTHENTICATION به وردپرس

خوشبختانه اضافه کردن این لایه امنیتی به وبسایت وردپرسی واقعا ساده است. چندین افزونه مختلف در این زمینه وجود دارند که چنین کاری را برای شما انجام می دهند. البته تفاوت هایی در بین این افزونه ها وجود دارد پس بهتر است بسته به نیاز خودتان و موارد دیگری یکی از آن ها را انتخاب کنید. 

خب بیاید با هم نگاهی به این افزونه ها بیاندازیم:

WORDFENCE

WordFence یکی از افزونه های پرکاربرد در زمینه امنیت است که با آن می توانید دیواره آتش داشته باشید و وبسایت را برای پیدا کردن اسپم ها و بدافزارها کاوش کنید. اگر از ورژن تجاری یا نسخه حرفه ای آن استفاده کنید یکی از مزایای آن توانایی پیاده سازی TWO-FACTOR AUTHENTICATION است. WordFence حتی به شما این اجازه را می دهد که کاربرانی که لازم است به این ویژگی دسترسی داشته باشند را به صورت دستی انتخاب کنید. این افزونه به کاربران هر وقت که بخواهند وارد شوند پیام ارسال می کند و پس از تایید کردن آن اجازه ورود را می دهد. با توجه به تجربه شخصی که از این افزونه داشته ام با وجود تمام امکانات خوب آن متوجه شدم که کاربرپسند نیست.

GOOGLE AUTHENTICATOR

Google Authenticator نیز درست از چنین حالتی بهره می برد با این تفاوت که بسیار ساده تر و کاربردی تر است. در این افزونه گوگل از سرویس های خود استفاده می کند. شما ابتدا باید این افزونه را روی وبسایت نصب کنید بعد از آن این اپلیکیشن را روی موبایل خود نصب نمایید. بعد از آن هر بار کاربر درخواست کرد که وارد وبسایت شود نیاز دارد که کد موقت را از اپلیکیشن دریافت و در وبسایت وارد کند. مخالف با افزونه قبلی این افزونه کاربرپسندتر و ساده تر است.

CLEF

Clef یکی از رویکردهای بسیار متفاوت برای ساختن TWO-FACTOR AUTHENTICATION است که در آن نیازی به رمز عبور نیست. شما به سادگی افزونه CLEF را روی وبسایت خود نصب کرده و اپلیکیشن موبایل را نیز نصب می کنید. بعد از آنکه بخواهید وارد وبسایت شوید یک «Clef Wave» روی وبسایت ظاهر می شود که باید آن را با موبایل‌تان اسکن نمایید. فاکتورهای دیگر برای ورود از طریق این افزونه می تواند پین کد یا اثر انگشت باشد که به نوبت خود بسیار منحصر به فرد و مورد جدیدی است. این افزونه هم دارای نسخه رایگان و هم دارای نسخه پولی است. قبل از اقدام به خرید بهتر است نسخه رایگان آن را امتحان کنید تا ببینید که آیا به نیازهای‌تان پاسخ خواهد داد یا خیر.

WP Limit Login attempts Lite (مترجم)

شاید باور نکنید از میان تمام افزونه های موجود در این زمینه، این افزونه ساده‌ترین، سریع‌ترین و یکی از کاربردی‌ترین آن هاست. در این افزونه هیچگونه پیچیدگی وجود ندارد و شما تنها باید آن را فعال کنید. بعد از آن همه چیز درست است. سه گزینه تنظیم در این افزونه نیز وجود دارد که به صورت پیشفرض مقدار دهی شده اند و اگر بخواهید مقداردهی را تغییر دهید نیاز دارید تا نسخه تجاری آن را خریداری کنید. البته به نظر بنده هیچ نیازی به نسخه تجاری نخواهید داشت چون تمام مقدارها به صورت عادی و استاندارد قرار گرفته اند پس نیازی نیست که آن ها را تغییر دهید. برای دانلود این افزونه کافیست به این صفحه مراجعه کنید.

قدم های اضافه ارزشش را دارد

متاسفانه روزهای تایید هویت با یک پسورد ساده به سر رفته است. در دنیای واقعی امروزه ما ممکن است هر اتفاق بدی برای وبسایت ها بیافتد حال چه مقصر آن انسان باشد و چه یک بات. بنابراین در چنین شرایطی تایید کردن حساب کاربری از راه های مختلف و قرار دادن راه های اضافه مطمئنا مهم و ضروری خواهد بود. 

هیچ شکی از این بابت وجود ندارد که وردپرس از لحاظ حمله brute-force یکی از اهداف محبوب است. خب با خواندن این مطلب امیدوارم متوجه شده باشید که هیچ احتیاجی ندارید تا لایه بسیار حرفه‌ای برای امنیت وبسایت درست کنید. افزونه هایی که در این مطلب بحث شد واقعا موارد ساده ای هستند و نیاز به انجام هیچ کار حرفه‌ای ندارند.

منبع

چه امتیازی به این مقاله می دید؟
خیلی بد
بد
متوسط
خوب
عالی

دیدگاه‌ها و پرسش‌ها

برای ارسال دیدگاه لازم است، ابتدا وارد سایت شوید.

در حال دریافت نظرات از سرور، لطفا منتظر بمانید

در حال دریافت نظرات از سرور، لطفا منتظر بمانید

آفلاین
user-avatar
ارسطو عباسی @arastoo
برنامه‌نویس و مدیر بخش تولید محتوا وبسایت راکت - وبلاگ شخصی: https://arastoo.dev
دنبال کردن

گفتگو‌ برنامه نویسان

بخشی برای حل مشکلات برنامه‌نویسی و مباحث پیرامون آن وارد شو