چگونه احراز هویت دو مرحله‌ای را به وردپرس اضافه کنیم؟

چنین سناریویی را در نظر بگیرید: سعی دارید به داشبورد وردپرس خود دسترسی پیدا کنید و متوجه می‌شوید که کاملا قفل شده‌اید. حتی بدتر از آن، شخص دیگری به تمام محتوا و داده‌های شما دسترسی دارد. در این مرحله او می‌تواند کل وب سایت‌تان را از کار بیاندازد.

امنیت یک موضوع بسیار مهم برای کاربران وردپرس است. به این دلیل که هیچ کس نمی‌خواهد وب سایت خود را از دست بدهد، فقط به این دلیل که شخصی موفق به سرقت یا حتی حدس زدن رمز عبورش شده است.

اینجاست که احراز هویت دو مرحله‌ای وارد عمل می‌شود. این روش یک مرحله امنیتی اضافی است که هکر قبل از این‌که بتواند به داشبورد وردپرس شما دسترسی پیدا کند، با آن مواجه می‌شود.

در این آموزش به شما نشان خواهم داد که چگونه با استفاده از یک پلاگین رایگان، این لایه حفاظتی را به وب سایت خود اضافه کنید. همچنین یک قابلیت امنیتی پشتیبان را اجرا خواهیم کرد، فقط در صورتی که مشکلی پیش بیاید و نتوانید بررسی احراز هویت دو مرحله‌ای خود را کامل کنید.

هر آنچه که باید در مورد احراز هویت دو مرحله‌ای بدانید

احراز هویت دو مرحله‌ای (2FA) که گاهی اوقات به آن احراز هویت چند عاملی نیز گفته می‌شود، یک مکانیزم امنیتی بسیار کاربردی و محبوب است. بدین منظور هنگام لاگین باید نام کاربری و رمزعبور صحیح را وارد کنید و سپس قبل از دسترسی به داشبورد خود، یک بررسی امنیتی اضافی را انجام دهید.

این بررسی امنیتی اضافی می‌تواند اشکال مختلفی داشته باشد. به عنوان مثال وردپرس ممکن است از شما بخواهد یک پین یا رمزعبور یکبار مصرف که به آدرس ایمیل شما ارسال شده است را وارد کنید. از طرف دیگر ممکن است لازم باشد یک کد تأیید که از طریق پیامک به تلفن همراه شخصی شما ارسال می‌شود را وارد نمایید.

برخی از بزرگ‌ترین شرکت‌های فناوری در جهان برای ایمن نگه داشتن کاربران خود به احراز هویت دو مرحله‌ای متکی هستند. در واقع مایکروسافت اعلام کرده که احراز هویت دو مرحله‌ای بیش از 9/99 درصد از حملات نفوذ به اکانت را مسدود می‌کند. اگر این رویکرد برای غول‌های فناوری به اندازه کافی خوب است، پس قطعا مزایایی هم برای وب سایت وردپرسی شما دارد.

نحوه افزودن احراز هویت دو مرحله‌ای به وردپرس

در دنیای بی‌کران وردپرس، تقریبا برای هر کاری یک پلاگین وجود دارد و احراز هویت دو مرحله‌ای هم از این قاعده مستثنی نیست. در ادامه وب سایت‌تان را با استفاده از پلاگین Two-Factor ایمن خواهیم کرد.

پس از نصب و فعال‌سازی این پلاگین به مسیر Users > Profile بروید. سپس می‌توانید Two-Factor Options را مشاهده کنید.

پلاگین Two-Factor از چند روش مختلف احراز هویت پشتیبانی می‌کند. به عنوان مثال می‌توانید انتخاب کنید که هویت خود را از طریق ایمیل یا با وارد کردن رمز عبور یکبار مصرف (TOTP) تایید نمایید.

حتی می‌توانید چندین روش را با هم پیکربندی کنید. این کار تضمین می‌کند که برای همیشه دسترسی به وب سایت خود را از دست نخواهید داد، فقط به این دلیل که موبایلتان شکسته است یا رمزعبور اکانت ایمیل خود را فراموش کرده‌اید.

اگر چندین روش را پیکربندی کنید، می‌توانید یک فرآیند احراز هویت اولیه را در نظر بگیرید. وردپرس همیشه از شما می‌خواهد که از طریق این روش احراز هویت کنید، قبل از این‌که گزینه‌های جایگزین را پیش‌فرض قرار دهید.

پس از راه‌اندازی پلاگین Two-Factor بیایید نگاهی دقیق‌تر به گزینه‌های احراز هویت موجود بیندازیم.

1. احراز هویت ایمیل

هر زمان که می‌خواهید وارد وب سایت خود شوید، پلاگین Two-Factor می‌تواند یک کد احراز هویت را به آدرس ایمیل مرتبط با اکانت وردپرس‌تان ارسال کند. سپس این کد را در صفحه ورود به سیستم وردپرس برای دسترسی به داشبورد خود وارد می‌کنید.

پس اگر می‌خواهید از این روش کمک بگیرید، ابتدا به Users > All Users بروید. سپس ماوس را روی نام کاربری خود نگه دارید و هنگامی که لینک Edit ظاهر شد، آن را انتخاب کنید.

اکنون به بخش Contact Info رفته و آدرس ایمیل جدیدی که می‌خواهید با اکانت وردپرس خود مرتبط کنید را وارد نمایید.

فراموش نکنید که تغییرات خود را با کلیک بر روی Update Profile ذخیره کنید. حالا وردپرس این آدرس را با ارسال یک ایمیل آزمایشی برای شما تأیید می‌کند. هنگامی که این پیام را دریافت کردید و روی URL آن کلیک کردید، وردپرس آن را به اکانت شما متصل می‌کند. بعد می‌توانید از این حساب به عنوان بخشی از احراز هویت دو مرحله‌ای خود استفاده کنید.

اگر این تغییر را انجام دادید، به تنظیمات پلاگین (Users > Profile) برگردید. در این صفحه، دکمه Enabled که در کنار ایمیل ظاهر می‌شود را انتخاب کنید. اگر چندین روش را پیکربندی می‌کنید، باید مشخص کنید که ایمیل گزینه احراز هویت اصلی شما است یا خیر.

برای ذخیره تغییرات، روی Update Profile کلیک کنید. اکنون هر زمان که بخواهید وارد داشبورد خود شوید، وردپرس یک ایمیل به آدرس مرتبط با حساب شما ارسال می‌کند.

این پیام حاوی یک کد تأیید است که باید آن را در داشبورد وردپرس وارد کرده تا به حساب خود دسترسی پیدا کنید.

2. احراز هویت TOTP (Time-Based One-Time Password)

TOTP رشته‌ای از حروف و اعداد است که پس از گذشت مدت زمان مشخصی به طور خودکار تغییر می‌کند.

پلاگین Two-Factor می‌تواند این کد را با کمک یک اپلیکیشن احراز هویت که بر روی گوشی هوشمند یا تبلت خود نصب می‌کنید، تولید کند. در این صورت اگر یک هکر بخواهد به حساب شما نفوذ کند، باید نام کاربری و رمزعبور وردپرس را وارد کرده و سپس هویت شما را با استفاده از تلفن همراه یا تبلت شخصیتان تایید نماید. از این طریق عملیات نفوذ به وب سایت بسیار دشوارتر می‌شود.

برای استفاده از TOTP به عنوان روش احراز هویت، ابتدا باید یک اپلیکیشن احراز هویت را روی دستگاه تلفن همراه خود نصب کنید. برخی از گزینه‌های محبوب عبارتند از Microsoft Authenticator و Google Authenticator.

هنگامی که اپلیکیشن مورد نظر را روی تلفن همراه یا تبلت خود راه‌اندازی کردید، رمزعبور یکبار مصرف زمان‌دار (TOTP) را در داشبورد وردپرس پیدا کنید. سپس آیکون Enabled کنار آن را انتخاب نمایید. وردپرس اکنون یک کد QR ایجاد می‌کند.

موبایل خود را بردارید و این کد QR را با استفاده از دوربین یا هر اپلیکیشن مرتبط دیگری اسکن کنید. پس از چند لحظه، یک پنجره باید بر روی تلفن همراهتان ظاهر شود که از شما می‌خواهد اپلیکیشن احراز هویت خود را راه‌اندازی کنید.

بعد روی Open ضربه بزنید تا برنامه احراز هویت باز شود. مراحل بعدی ممکن است بسته به برنامه مورد نظر و نحوه تنظیمات احراز هویت در دستگاه تلفن همراه شما متفاوت باشد. به عنوان مثال اگر از برنامه Microsoft Authentication استفاده می‌کنید، باید روی Unlock ضربه بزنید.

سپس باید فرآیند احراز هویت دستگاه خود را تکمیل کنید (برای مثال وارد کردن پین یا قفل اثر انگشت). هنگامی که هویت خود را تأیید کردید، برنامه Authenticator یک کد یکبار مصرف زمان‌دار را نمایش می‌دهد.

به داشبورد وردپرس خود برگردید و این کد را در بخش احراز هویت وارد نمایید:

بر روی Submit کلیک کنید، پلاگین Two-Factor یک کلید مخفی تنظیم می‌کند. توجه داشته باشید که این کلید دائمی نیست. اگر زمانی نیاز داشتید وردپرس را به یک دستگاه جایگزین متصل کنید، به سادگی به این صفحه برگردید و کد QR را مجددا اسکن کنید. با این کار یک کلید تازه ایجاد می‌شود که می‌توانید از آن برای اتصال پلاگین Two-Factor به دستگاه جدید خود استفاده نمایید.

با فرض موفقیت‌آمیز بودن احراز هویت، دوباره بررسی کنید که دکمه Enabled را انتخاب کرده باشید که در کنار بخش TOTP ظاهر می‌شود. سپس روی Update Profile کلیک کنید.

اکنون هر زمان که بخواهید وارد حساب کاربری خود شوید، وردپرس از شما می‌خواهد یک کد یکبار مصرف که توسط برنامه احراز هویت در دستگاه تلفن همراه شما ایجاد می‌شود را وارد کنید.

3. کلیدهای امنیتی FIDO U2F

کلید امنیتی FIDO U2F یک دانگل USB مقاوم در برابر آب است که می‌توانید آن را به صورت آنلاین خریداری نمایید. این کلید حساب شما را با استفاده از تکنیک‌های رمزنگاری کلید عمومی استاندارد احراز هویت می‌کند.

اگر استفاده از کلید امنیتی را انتخاب کنید، احراز هویت دو مرحله‌ای کمی متفاوت می‌شود. در این صورت به جای وارد کردن پین یا رمزعبور، باید کلید ثبت شده را به دستگاه خود وصل کنید. سپس کافی است دکمه روی کلید امنیتی FIDO U2F خود را فشار دهید تا وردپرس تأیید کند که این USB حاوی کلید عمومی صحیح است.

پس اگر نگران این هستید که هکرها می‌توانند سایر روش‌های احراز هویت دو مرحله‌ای را دور بزنند، می‌توانید از یک کلید امنیتی بهره بگیرید. به عنوان مثال اگر یک هکر به حساب ایمیلتان دسترسی پیدا کند، عملا می‌تواند احراز هویت دو مرحله‌ای مبتنی بر ایمیل شما را انجام دهد.

در صورتی که می‌خواهید از این روش غیرمعمول احراز هویت استفاده کنید، ابتدا باید یک کلید جدید ثبت کنید. برای این کار در صفحه Users > Profile، به بخش Security Keys بروید.

در اینجا گزینه Register New Keys را انتخاب کنید. پلاگین Two-Factor اکنون کلیدهای موجود را اسکن می‌کند. حالا نوبت شماست که کلید امنیتی FIDO U2F را به دستگاه خود متصل کرده و دکمه آن را فشار دهید.

هنگامی که کلید احراز هویت USB را با حساب وردپرس خود جفت کردید، به بخش FIDO U2F Security Keys بروید و دکمه Enabled کنار آن را انتخاب کنید. اگر هم از چند روش احراز هویت استفاده می‌کنید، تصمیم بگیرید که آیا این فرآیند به عنوان پیش‌فرض در نظر گرفته شود یا نه.

سپس روی Update Profile کلیک نمایید. اکنون هر زمان که بخواهید وارد حساب کاربری خود شوید، وردپرس از شما می‌خواهد که USB را به دستگاه خود وصل کنید.

نحوه ایجاد یک کد تأیید پشتیبان

احراز هویت دو مرحله‌ای نفوذ هکرها به وب سایت‌تان را دشوارتر می‌کند. از طرفی می‌تواند دسترسی خودتان را هم به سایت‌تان سخت‌تر کند.

دلایل زیادی وجود دارد که چرا ممکن است برای انجام احراز هویت دو مرحله‌ای به مشکل بخورید. شاید گوشی هوشمند خود را گم کرده یا شکسته باشید، شاید شخصی حساب ایمیل شما را هک کرده و بلافاصله رمز عبور آن را تغییر داده باشد، در این صورت عبور از احراز هویت دو مرحله ای برایتان غیرممکن می‌شود.

خوشبختانه، پلاگین Two-Factor دارای یک قابلیت پشتیبانی ایمن است که به شکل ده کد تأیید یکبار مصرف تولید می‌شود.

اگر همیشه برای دسترسی به حساب خود مشکل دارید، می‌توانید هر کد استفاده نشده را وارد کرده و حساب خود را بازیابی کنید. سپس می‌توانید مستقیما به صفحه Users > Profile بروید و تنظیمات احراز هویت دو مرحله‌ای خود را به‌روز کنید. برای مثال ممکن است یک کد QR جدید ایجاد کرده و حساب وردپرس خود را به یک گوشی هوشمند یا تبلت جدید متصل نمایید.

برای این کار دکمه Generate Verification Codes را بزنید. اکنون Two-Factor ده کد را نمایش می‌دهد.

برای امنیت بیشتر به محض این‌که از صفحه خارج شوید، کدها ناپدید می‌شوند. این تنها فرصت شما برای یادداشت‌برداری کدهاست، بنابراین مطمئن شوید که آن‌ها را در جایی امن ذخیره کرده‌اید.

چگونه بدون کد تأیید پشتیبان می‌توان وارد شد؟

اگر زمانی کد تأیید پشتیبان نداشتید و دسترسی به حساب خود را از دست دادید، نگران نباشید! ممکن است بتوانید با غیرفعال کردن همه پلاگین‌ها حساب خود را بازیابی کنید.

هنگامی که پلاگین Two-Factor از کار بیافتد، برای ورود به داشبورد خود با استفاده از رمزعبور و نام کاربری مشکلی نخواهید داشت. هرچند غیرفعال کردن تک تک پلاگین‌ها ممکن است به طور موقت وب سایت شما را خراب کند یا آن را به طور کامل برای بازدیدکنندگان غیرقابل دسترس نماید. اما این تنها راه برای بازیابی حساب قفل شده شماست.

اگر واقعا انتخاب دیگری ندارید، می‌توانید با استفاده از یک کلاینت پروتکل انتقال فایل (FTP) مانند FileZilla به سایت خود متصل شوید. از این طریق به پوشه wp-content سایت خود بروید.

دایرکتوری plugins را پیدا کرده و روی آن راست کلیک کنید. سپس Rename را بزنید.

نام این دایرکتوری را plugins.deactivate بگذارید. با این کار تمام پلاگین‌ها در وب سایت شما غیرفعال می‌شوند. اکنون باید بتوانید بدون انجام احراز هویت دو مرحله‌ای وارد داشبورد خود شوید.

هنگامی که با موفقیت به حساب خود دسترسی پیدا کردید، به FileZilla برگردید و نام پوشه plugins.deactivate را به plugins تغییر دهید. در داشبورد وردپرس به Plugins > Installed Plugins بروید و سپس همه پلاگین‌های خود را دوباره فعال کنید.

حالا می‌توانید احراز هویت دو مرحله‌ای خود را مجددا پیاده‌سازی نمایید. برای اطمینان از این‌که دیگر هرگز در این موقعیت قرار نگیرید، از این فرصت استفاده کنید و چند کد تأیید پشتیبان ایجاد کرده و آن‌ها را در مکانی امن نگه دارید.

جمع‌بندی

در این مقاله به شما نشان دادم که چگونه با استفاده از احراز هویت دو مرحله‌ای از وب سایت وردپرس خود محافظت نمایید. با افزودن این لایه امنیتی اضافی، می‌توانید کار را برای هکرها به طور قابل توجهی دشوارتر کنید.

اگر تصمیم به پیاده‌سازی احراز هویت دو مرحله‌ای دارید، بسیار مهم است که کدهای تأیید پشتیبان تهیه کرده و آن‌ها را در مکانی امن ذخیره کنید. اگرچه راه‌حل‌هایی وجود دارد که می‌تواند به شما در بازیابی یک وب‌سایت قفل شده کمک کند، اما این راه‌حل‌ها بسیار دشوارتر از وارد کردن یک کد تأیید پشتیبان هستند!

برای کسب اطلاعات بیشتر می‌توانید در صورت تمایل مقاله چه مواقعی از وردپرس برای ساخت وبسایت استفاده کنیم را نیز مطالعه نمایید.