مقدمه
صفحه لاگین وردپرس دروازه ورود به داشبورد و مدیریت سایت است؛ اما مشکل اینجاست که آدرس این صفحه بهصورت پیشفرض برای همه یکسان و به راحتی قابل حدس است.
این موضوع میتواند سایت شما را در معرض حملات مختلف هکری، بهویژه حملات «بروت فورس» و دسترسی غیرمجاز به صفحه ورود قرار دهد. در حملات بروت فورس مهاجمان با استفاده از ابزارهای خودکار، هزاران ترکیب مختلف از نام کاربری و رمز عبور را بهطور متوالی امتحان میکنند تا به حساب کاربری شما دسترسی پیدا کنند. یکی از موثرترین و آسانترین راهها برای جلوگیری از این نوع حملات، تغییر آدرس ورود وردپرس است.امنیت یکی از مهمترین دغدغههای مدیران سایتهای وردپرسی است، و تغییر آدرس ورود پیشفرض میتواند گامی اساسی برای مقابله با حملات هکری باشد.
در این مطلب روش ایجاد آدرس اختصاصی ورود وردپرس را به صورت گامبهگام توضیح میدهیم.
روشهای ایجاد آدرس اختصاصی برای ورود به وردپرس
آدرس پیش فرض وردپرس برای ورود به داشبورد معمولا یکی از این دو مورد است:
domain.com/wp-login.php
domain.com/wp-admin
برای تغییر آدرس ورود وردپرس به URL دلخواه دو روش دستی و استفاده از پلاگین وجود دارد که در ادامه هر دو روش را توضیح میدهیم.
آموزش گامبهگام ساخت آدرس اختصاصی با افزونه
آسانترین راه برای تغییر آدرس ورود وردپرس استفاده از افزونه است. پلاگینهای مختلفی برای انجام اینکار وجود دارد که از میان آنها افزونه WPS Hide Login یک گزینه مطمئن و کارآمد است.
دانلود و نصب افزونه:
- ابتدا افزونه WPS Hide Login را دانلود کنید.
- به داشبورد وردپرس خود بروید: افزونهها > افزودن.
- فایل دانلود شده را آپلود کنید یا در کادر جستجو نام افزونه را بنویسید و نصب کنید.
- پس از نصب، روی فعالسازی کلیک کنید.
تنظیمات افزونه:
- پس از فعالسازی، به تنظیمات > WPS Hide Login بروید.
- همچنین میتوانید از بخش تنظیمات > General به تنظیمات افزونه دسترسی پیدا کنید.
تغییر آدرس لاگین:
- در صفحه تنظیمات افزونه، دو فیلد خواهید دید:
- New Login URL: در این فیلد آدرس جدید ورود خود را وارد کنید (مثلاً: yoursite.com/mylogin).
- Redirection URL: در این فیلد، URL خاصی را وارد کنید تا در صورت تلاش برای دسترسی به آدرس پیشفرض، کاربران یا هکرها به آن صفحه هدایت شوند (مثلاً صفحه اصلی سایت).
ذخیره تغییرات:
- پس از وارد کردن اطلاعات، روی Save Changes کلیک کنید.
- از این لحظه، برای ورود به سایت، باید از آدرس جدیدی که تنظیم کردید، استفاده کنید.
در صورتی که آدرس لاگین قدیمی را باز کنید، به صفحهای هدایت میشوید که در فیلد دوم وارد شده است.
اگر آدرس ورود جدید را فراموش کنید، یک راهحل سریع برای دسترسی به پنل وجود دارد. چون نمیتوانید وارد بخش مدیریت شوید، باید با استفاده از یک کلاینت FTP مثل FileZilla به سایت وارد شوید. سپس پوشه پلاگین را باز کرده و کل فولدر WPS Hide Login را حذف کنید. بدین ترتیب صفحه لاگین دوباره به حالت پیش فرض باز خواهد گشت.
تغییر دستی آدرس ورود (در صورت نیاز به روشهای سفارشیسازی بیشتر)
ما استفاده از افزونه را برای ایجاد آدرس اختصاصی ورود وردپرس توصیه میکنیم چون در روش تغییر دستی با فایلهای حیاتی سروکار دارید و ریسک ایجاد مشکلات اساسی برای سایت وجود دارد. دلیل دیگر این است که در روش تغییر دستی آدرس ممکن است پس از آپدیت سایت، صفحه لاگین به حالت پیشفرض برگردد.
پشتیبانگیری قبل از شروع
اگر هنوز مصمم به تغییر آدرس ورود وردپرس به صورت دستی هستید، پیش از هر چیز یک کپی از فایل wp-login.php تهیه کنید چون باید این فایل را تغییر دهید. داشتن یک نسخه کپی از آن، برگشت آسان به حالت قبل را ممکن میکند.
برای دسترسی به این فایل باید از طریق پروتکل انتقال فایل FTP به سایت متصل شوید. برای اتصال به سرور به تاییدیههای FTP و یک کلاینت مثل Filezilla نیاز دارید.
پس از اتصال به سرور از طریق FTP وارد فولدر روت وردپرس شوید. این پوشه احتمالا اسمی مثل public، public_html، www یا همان نام سایت شما را دارد.
در این فولدر فایلی با نام wp-login.php پیدا خواهید کرد. یک کپی از آن را روی سیستم دانلود کنید.
ویرایش فایل wp-login.php
1- فایل را با یک ویرایشگر متن مثل Notepad ویندوز باز کنید. بهتر است از ویرایشگری استفاده کنید که قابلیت جستجو و جایگزینی گروهی کلمات را داشته باشد، بدین ترتیب میتوانید همه آدرسهای ورود را یکباره تغییر دهید.
2- در ویرایشگر عبارت wp-login.php را جستجو کرده و آن را با آدرس مورد نظر برای صفحه لاگین جدید جایگزین کنید. برای مثال در تصویر زیر آدرس پیشفرض wp-login.php به آدرس access.php تغییر داده شده است.
3- بعد از جایگزین کردن تمام عبارات wp-login.php تغییرات را ذخیره کرده و فایل را ببندید. حالا نام فایل را به URL جدید تغییر دهید که در مثال ما access.php خواهد بود.
4- فایل مذکور را در پوشه روت وردپرس آپلود کنید. حالا در دایرکتوری روت فایل جدید در کنار فایل wp-login.php قرار خواهد گرفت.
تنظیمات قالب فرزند (Child Theme)
5- تغییراتی که تا این مرحله دادیم روی قالب اصلی (Parent Theme) اعمال میشود که با اولین بهروزرسانی به حالت قبل برخواهدگشت. برای جلوگیری از این مشکل باید قالب فرزند (Child Theme) را هم تنظیم کنید. قالب فرزند نسخهای از قالب اصلی است که مخصوص ایجاد تغییرات طراحی شده و آپدیتهای قالب اصلی روی آن تاثیری ندارد.
ابتدا به پوشهای در وردپرس بروید که اطلاعات قالب سایت شما در آن قرار دارد. این پوشه معمولاً در مسیر wp-content/themes قرار دارد.
داخل پوشه مربوط به قالب فرزند، فایلی به نام functions.php وجود دارد که ویژه تعریف برخی تنظیمات خاص برای سایت است.
فایل functions.php را با یک ویرایشگر متن ساده باز کرده و این قطعه کد را قبل از // END ENQUEUE PARENT ACTION: به آن اضافه کنید:
add_filter( ‘login_url’, ‘custom_login_url’, PHP_INT_MAX );
function custom_login_url( $login_url ) {
$login_url = site_url( ‘access.php’, ‘login’ );
return $login_url;
}
در این قطعه کد عبارت access.php را با نام فایل لاگین خودتان جایگزین کنید. این کد به وردپرس میگوید که از یک فایل خاص برای صفحه لاگین استفاده کند، مشروط به اینکه دارای قالب ورود استاندارد باشد.
تغییرات فایل functions.php را ذخیره کرده و آدرس ورود اختصاصی را تست کنید. اگر همه مراحل را درست انجام داده باشید، باید همه چیز به خوبی کار کند. علاوه بر این اگر در Block Editor از یک بلوک Log in/out استفاده کنید، حالا باید به صفحه جدید اشاره کند.
اگر همه چیز به خوبی پیش رفت، میتوانید در دایرکتوری روت وردپرس فایل wp-login.php را حذف کنید. اگر بعدا خواستید تمها را تغییر دهید، فراموش نکنید که باید این کد را در فایل functions.php قالب جدید وارد کنید.
نکات امنیتی تکمیلی پس از ایجاد آدرس اختصاصی
تغییر آدرس ورود پیشفرض وردپرس برای افزایش امنیت سایت به تنهایی کافی نیست و توصیه میکنیم این چند اقدام را هم انجام دهید:
- محدود کردن تعداد تلاشهای ورود
با استفاده از افزونه امنیتی Limit Login Attempts Reloaded میتوانید تعداد تلاشهای ناموفق برای ورود به سایت را محدود کنید. این کار باعث میشود هکرها نتوانند با حملات بروتفورس به سایت شما دسترسی پیدا کنند.
- استفاده از تایید دو مرحلهای
با فعالسازی تایید دو مرحلهای یا 2FA پس از وارد کردن رمز عبور اصلی، باید یک کد تایید دوم وارد شود که به ایمیل یا گوشی شما ارسال میشود. بدین ترتیب هکر حتی با داشتن رمز عبور، نمیتواند وارد سایت شود. برای فعال کردن این ویژگی از پلاگینهایی مثل miniOrange و WP 2FA استفاده کنید.
- استفاده از رمز عبور قوی و پیچیده
استفاده از رمزعبورهای پیچیده و طولانی، شامل حروف بزرگ و کوچک، اعداد و کاراکترهای ویژه، یکی از اصول اولیه امنیت است که باید همیشه رعایت شود. از اینرو از کاربران بخواهید از رمزعبورهای ترکیبی و قدرتمند استفاده کنند.
مزایا و معایب تغییر آدرس ورود وردپرس
تغییر آدرس ورود وردپرس مزایا و معایبی را برای وبسایت شما به همراه خواهد داشت. درک این موارد به شما کمک میکند تا تصمیم آگاهانهای در مورد تغییر یا عدم تغییر آدرس ورود بگیرید:
- مزایا
مهمترین مزیت تغییر آدرس ورود، افزایش امنیت وبسایت است. با تغییر آدرس پیشفرض، از حملات Brute-force جلوگیری میشود که طی آن هکرها با وارد کردن هزاران نام کاربری و رمزعبور متفاوت از طریق ابزارهای خودکار در صفحه ورود سعی در نفوذ به سایت دارند.
همچنین اکثر حملات به وبسایتهای وردپرس از طریق آدرسهای پیشفرض ورود انجام میشوند. تغییر این آدرس، مانع از اجرای خودکار اسکریپتهای مخرب و حملات از پیش طراحی شده میشود.
- معایب
در کنار این مزایا، برخی معایب نیز وجود دارد. در صورتی که آدرس جدید را فراموش کنید یا برای آن بکاپ نگرفته باشید، ورود به سایت برای خود شما هم مشکل میشود.
در اغلب موارد تغییر آدرس ورود نیازمند استفاده از افزونهها است. برای کاربران غیرحرفهای، پیکربندی و مدیریت این افزونهها میتواند کمی چالشبرانگیز باشد. علاوه بر این استفاده از افزونههای نامعتبر یا قدیمی میتواند خود منجر به مشکلات امنیتی شود.
7. نتیجهگیری
تغییر آدرس ورود وردپرس یک راهکار ساده اما مؤثر برای افزایش امنیت سایت است. این اقدام میتواند از حملات بروت فورس جلوگیری کرده و احتمال دسترسی غیرمجاز به سایت را کاهش دهد. با این حال مهم است که مزایا و معایب این تغییر را به دقت بررسی کرده و در صورت تصمیم به انجام آن از افزونههای معتبر و بهروز استفاده کنید. همچنین به صورت دورهای امنیت وبسایت خود را بررسی کرده و از بهروز بودن وردپرس، قالب و افزونههای خود اطمینان حاصل کنید.
منبع : [Quadlayers , Jetpack]
