افزایش امنیت وردپرس با Authentication unique keys and salts

نقش کوکی‌ها در وردپرس

وب‌سایت‌های وردپرسی برخلاف سایر وب‌سایت‌ها که از سشن (session) برای شناسایی، ورود و یا ذخیره اطلاعات کاربران استفاده می‌کنند، از کوکی (cookie) مرورگر برای ذخیره‌ی اطلاعات ورود کاربران استفاده می‌کند.

در وب‌سایت‌های وردپرسی این امکان وجود دارد که برای مدت طولانی یعنی روزها (15 روز) در وب سایت لاگین باشیم و با خاموش کردن سیستم و یا بستن مرورگر، نیازی به لاگین نباشد.

این قابلیت به دلیل استفاده از کوکی‌ مرورگر است که کاربران لاگین شده را قادر می‌سازد که برای فواصل زمانی طولانی لاگین بمانند.

افزایش امنیت وردپرس Authentication unique keys and salts

برای افرایش امنیت وب‌سایت‌های وردپرسی در برابر malewareها و حمله‌های brute force می‌توانیم یک امکان را در وردپرس فعال کنیم که با کمک آن، بر امنیت وب‌سایت افزوده می‌شود.

WordPress Security Key کلیدهای طولانی،  پیچیده و غیرقابل حدس هستند که توسط این کلیدها،  کوکی‌هایی که در مرورگر بازدیدکنندگان و کاربران وردپرس ذخیره می‌شود، encode شده و عملیات هش پیچیده تری روی کوکی‌ها انجام می‌شود و احتمال شکستن و کرک شدن، آن سخت‌تر می‌شود.

انواع کلید امنیتی وردپرس

در وردپرس 4 مورد Security Key وجود دارد .

AUTH_KEY : این کلید برای ساخت کوکی‌های ورود بدون ssl، مورد استفاده قرار می‌گیرد و با آن امکان انجام تغییرات بر روی سایت وجود دارد.

SECURE_AUTH_KEY : این کلید برای کوکی‌ها ورود به وب‌سایت، به عنوان ادمین با ssl، مورد استفاده قرار می‌گیرد.

با این کوکی‌ها، امکان انجام تغییرات بر روی وب‌سایت وجود دارد.

LOGGED_IN_KEY : این کلید برای ساخت کوکی، برای کاربران لاگین شده مورد استفاده قرار می‌گیرد.

با این کوکی‌ها امکان انجام تغییر بر روی سایت وجود ندارد.

NONCE_KEY : این کلید برای استفاده از nonces ایجاد شده در فرم‌های وردپرس، در برابر حملات مورد استفاده قرار می‌گیرد.

دو کوکی در وردپرس برای ورود و ذخیره اطلاعات، در مرورگر کاربر استفاده می شود.

• wordpress_[hash]
• wordpress_logged_in_[hash]

کلید‌های امنیتی، باعث افزایش امنیت این کوکی‌ها می‌شوند و امکان شکستن این کوکی‌ها و به دست آوردن رمز عبور و سایر اطلاعات،  غیر ممکن خواهد شد.

راهنمای ساخت کلیدهای امنیتی وردپرس

با مراحعه به لینک  https://api.wordpress.org/secret-key/1.1/salt  این کلیدها به صورت رندوم و خودکار ساخته می‌شوند.

برای کپی کردن کدها باید به سی‌پنل وارد شوید. (ورود به سی پنل)

فایل wp-config.php  که مربوط به تنظیمات وردپرس هست، در فولدر مربوط به وب‌سایت قرار دارد.

اگر دامنه وب‌سایت شما، دامنه اصلی سرویس شماست، این فایل در فولذر public_html  قرار دارد.

اگر وردپرس بر روی دامنه ادان شده نصب است، باید به فولدر مربوط به دامنه اضافه شده بروید.

برای اطمینان بیشتر می توانید روی فایل کلیک راست کرده و با انتخاب گزینه download  فایل را قبل از تغییرات بر روی سیستم خود دانلود کنید تا در صورت لزوم بتوانید تغییرات را به شکل اول برگردانید.

بر روی فایل  wp-config.php  کلیک راست کرده و گزینه edit  را انتخاب کنید تا فایل در محیط ویرایشگر متن سی پنل برای شما باز شود.

کافی است که این کدهای ساخته شده را کپی کرده و به صورت کامل ،در فایل wp-config.php  جایگزین کرده و فایل را ذخیره کنیم.

بعد از ذخیره تنظیمات، در صورتی که کاربرانی قبل از انجام تغییرات لاگین شده بودند، به صورت خودکار وضعیت آنها به لاگ اوت تغییر می‌کند و تا اینکه مجدد لاگین کنند.

چنانچه در این مورد ابهام و یا مشکلی وجود داشت می‌توانید از پنل کاربری خود، تیکت پشتیبانی ارسال کنید  (ارسال تیکت)

امیدواریم این آموزش برای شما مفید واقع شده باشد.