اتفاقات روزمره ، اخبار مهم و دیگر مطالب میهن وب هاست را می توانید در این قسمت مطالعه کنید

آیا توجه کرده اید که سایت های محبوب مانند گوگل این امکان را به شما می دهند که احراز هویت دو مرحله ای را برای بهبود امنیت فعال کنید؟ در حال حاضر شما می توانید احراز هویت دو مرحله ای را به سایت وردپرس خود نیز اضافه کنید. این موضوع حداکثر امنیت را برای سایت وردپرسی شما و همه کاربرانی که ثبت نام کرده اند، تضمین می کند. در این مقاله، نحوه افزودن احراز هویت دو مرحله ای در وردپرس با استفاده از دو روش به شما نشان داده خواهد شد.

تصویر (1)

چرا باید برای ورود به وردپرس احراز هویت دو مرحله ای اضافه کنید؟

یکی از رایج ترین ترفندهایی که هکرها از آن استفاده می کنند، حملات brute force نام دارد. با استفاده از اسکریپت های خودکار، هکرها سعی می کنند نام کاربری و رمز عبور مناسب برای نفوذ به سایت وردپرسی شما را حدس بزنند. اگر رمز عبور شما را بدزدند یا آن را حدس بزنند، می توانند وب سایت شما را به بدافزار آلوده کنند. یکی از ساده ترین راه ها برای محافظت از وب سایت وردپرسی در برابر سرقت رمز، افزودن احراز هویت دو مرحله ای است. به این ترتیب حتی اگر شخصی رمز شما را دزدیده باشد، برای دسترسی نیاز به وارد کردن کد امنیتی که به تلفن همراه شما ارسال شده است، دارد.

راه های مختلفی برای راه اندازی ورود دو مرحله ای در وردپرس وجود دارد. با این حال، امن ترین و آسان ترین روش، استفاده از یک برنامه احراز هویت است. روش های راه اندازی ورود دو مرحله ای در زیر مطرح شده است:

• روش 1: افزودن احراز هویت دو مرحله ای با استفاده از افزونه WP 2FA در وردپرس (روش آسان تر)
• روش 2: افزودن احراز هویت دو مرحله ای با استفاده از افزونه Two Factor

در ادامه نحوه افزودن احراز هویت دو مرحله ای به صورت رایگان با استفاده از دو روش بالا توضیح داده شده است.

روش 1. افزودن احراز هویت دو مرحله ای با استفاده از افزونه WP 2FA در وردپرس

این روش نسبت به روش دوم آسانتر است و به همه کاربران توصیه می شود زیرا انعطاف پذیر بوده و به شما امکان می دهد احراز هویت دو مرحله ای را برای همه کاربران اجباری کنید.

جهت این کار ابتدا باید افزونه WP 2FA – Two-factor Authentication را نصب و فعال کنید. برای نصب این افزونه می توانید مطابق تصویر زیر اقدام نمایید:

تصویر (2)

پس از فعال سازی، باید گزینه "کاربران" سپس "شناسنامه" را انتخاب نموده و به قسمت "WP 2FA Settings" پیمایش کنید.

تصویر (3)

در این قسمت، باید روی دکمه "Configure 2FA" کلیک کنید تا تنظیمات اولیه راه اندازی شود.

اکنون افزونه از شما می خواهد که روش احراز هویت را انتخاب کنید که دارای دو گزینه است:

• One-time code generated with your app of choice (کد یکبار مصرف با برنامه دلخواه) (توصیه می شود)
• One-time code sent to you over email (کد یکبار مصرف از طریق ایمیل برای شما ارسال می شود)

تصویر (4)

توصیه می شود که احراز هویت از طریق برنامه را انتخاب کنید زیرا از امنیت و قابلیت اطمینان بیشتری برخوردار است. برای ادامه روی دکمه "Next" کلیک کنید. اکنون این افزونه یک کد QR را به شما نشان می دهد که باید با استفاده از یک برنامه احراز هویت آن را اسکن کنید.

تصویر (5)

برنامه احراز هویت چیست؟

برنامه احراز هویت یک نرم افزار برای گوشی های هوشمند است که رمز موقت یکبار مصرف برای حساب هایی که در آن ذخیره می کنید، ایجاد می کند. اساساً، این برنامه و سرور شما از یک کلید مخفی (secret key) برای رمزگذاری اطلاعات و ایجاد کدهای یکبار مصرف استفاده می کنند که می توانید از آن به عنوان لایه دوم امنیتی استفاده کنید. 

بسیاری از این برنامه ها به صورت رایگان در دسترس هستند. محبوب ترین آنها Google Authenticator است اما بهترین نیست. این برنامه عملکرد عالی دارد اما به دلیل عدم تهیه نسخه پشتیبان، در صورت گم شدن تلفن همراه، نمی توان از آن استفاده نمود.

توصیه می شود از Authy استفاده کنید زیرا  آسان و رایگان است. همچنین به شما امکان می دهد حساب های خود را در یک فرمت رمزگذاری شده در فضای ابری ذخیره نمایید. به این ترتیب اگر تلفن همراه خود را گم کردید، می توانید از رمز اصلی خود برای بازیابی همه حساب ها استفاده کنید. البته سایر برنامه های مدیریت رمز مانند LastPass ،1password و … همگی نسخه احراز هویت مختص به خود را دارند که از Google Authenticator بهتر هستند زیرا به شما این امکان را می دهند که کلیدها را بازیابی کنید.

در این آموزش، از Authy استفاده شده است. در صورت تمایل می توانید آموزش را با استفاده از یک برنامه متفاوت دنبال کنید زیرا همه آنها تقریبا به یک شکل کار می کنند.

ابتدا روی دکمه افزودن حساب در برنامه احراز هویت خود کلیک کنید:

تصویر (6)

سپس برنامه درخواست اجازه دسترسی به دوربین تلفن همراه شما را ارسال می کند. باید این اجازه را به برنامه بدهید تا بتوانید کد QR نشان داده شده در صفحه تنظیمات افزونه را اسکن کنید.

تصویر (7)

اکنون برنامه احراز هویت، حساب وب سایت شما را ذخیره می کند و یک رمز عبور یکبار مصرف نمایش می دهد که می توانید از آن برای ورود به سیستم استفاده کنید.

در ادامه راه اندازی افزونه، روی دکمه "I'm Ready" کلیک کنید. افزونه از شما می خواهد که رمز یکبار مصرف خود را وارد کنید. به سادگی روی حساب خود در برنامه احراز هویت کلیک نموده تا یک رمز عبور شش رقمی یکبار مصرف به شما نمایش دهد که می توانید آن را در افزونه وارد نمایید.

تصویر (8)

پس از آن، افزونه به شما امکان ایجاد و ذخیره کدهای پشتیبان را می دهد. در صورت عدم دسترسی به تلفن همراه خود، می توانید از این کدها استفاده کنید. می توانید این کدهای پشتیبان را چاپ کرده و در مکانی امن قرار دهید.

تصویر (9)

پس از اتمام این مراحل، می توانید از "تنظیمات اولیه" خارج شوید.

تنظیم ورود دو مرحله ای WP 2-FA برای همه کاربران وردپرسی

اگر یک وب سایت وردپرسی چند کاربره مانند یک membership site (سایتی است که با عضویت غیر رایگان به کاربران اجازه دسترسی به مطالب ویژه، ویژگی های خاص و انجمن را می دهد) را اجرا می کنید، این افزونه به شما امکان می دهد، احراز هویت دو مرحله ای را برای همه کاربران سایت خود نیز فعال یا اجرا کنید.

برای پیکربندی تنظیمات افزونه، کافی است مانند تصویر زیر به صفحه "WP 2FA" مراجعه کنید سپس در بخش "enfoce 2FA on" گزینه "All users" را انتخاب نمایید.

تصویر (10)

فراموش نکنید که برای ذخیره تنظیمات جدید روی گزینه "ذخیره تغییرات" کلیک کنید.

این افزونه به شما امکان می دهد ورود دو مرحله ای را برای همه کاربران فعال کرده و آن را اجباری کنید همچنین به کاربران زمان کافی برای راه اندازی آن را بدهید. اگر وب سایت وردپرسی شما از صفحه ورود سفارشی استفاده می کند، می توانید یک صفحه سفارشی ایجاد کنید که در آن کاربران بتوانند تنظیمات احراز هویت دو مرحله ای خود را بدون دسترسی به پیشخوان وردپرس مدیریت کنند. 

در تصویر زیر نحوه نمایش صفحه ورود پیش فرض، پس از وارد کردن رمز اولیه وردپرس از سمت کاربران، برای احراز هویت دو مرحله ای قابل مشاهده است.

تصویر (11)

روش 2. افزودن احراز هویت دو مرحله ای با استفاده از Two Factor

این روش انعطاف پذیری کمتری دارد زیرا به شما اجازه اجباری کردن ورود دو مرحله ای برای همه کاربران را  نمی دهد. هر کاربر باید آن را به تنهایی تنظیم کرده و می تواند آن را از پروفایل خود غیرفعال کند.

ابتدا باید افزونه Two Factor را نصب و فعال کنید. همانند افزونه قبلی می توانید با جستجوی نام Two-Factor در مخزن وردپرس افزونه را نصب کنید. پس از فعال سازی، باید به صفحه "کاربران" سپس "شناسنامه" مراجعه نموده و به قسمت "گزینه های دو عاملی" پیمایش (scroll) کنید.

تصویر (12)

در این قسمت، باید یکی از گزینه های ورود دو مرحله ای را انتخاب کنید. این افزونه به شما امکان می دهد از ایمیل، برنامه احراز هویت و روش کلیدهای امنیتی استفاده نمایید. توصیه می شود از روش برنامه احراز هویت استفاده کنید. کافی است یک برنامه احراز هویت مانند Google Authenticator ،Authy یا LastPass Authenticator را دانلود کرده و کد QR نشان داده شده روی صفحه را اسکن کنید.

تصویر (13)

وقتی کد QR را اسکن کردید، برنامه یک کد تایید به شما نمایش می دهد که باید در تنظیمات افزونه وارد نموده و روی دکمه "ثبت" کلیک کنید. اکنون افزونه یک "کلید مخفی" تنظیم می کند. می توانید این کلید را هر زمانی که تمایل داشتید با اسکن مجدد کد QR تغییر دهید.

تصویر (14)

فراموش نکنید که روی دکمه "به‌روزرسانی شناسنامه" کلیک کنید تا تنظیمات ذخیره شود.

اکنون هر بار که به وب سایت وردپرس خود وارد می شوید، از شما خواسته می شود که کد احراز هویت تولید شده توسط برنامه موجود در تلفن همراه خود را وارد کنید.

تصویر (15)

سوالات متداول در مورد احراز هویت دو مرحله ای (2FA) در وردپرس

در ادامه به برخی از سوالات متداول در مورد استفاده از ورود دو مرحله ای در وردپرس، پاسخ داده شده است.

1. اگر به تلفن همراه خود دسترسی نداشته باشید چگونه می توانید وارد شوید؟

اگر از یک برنامه احراز هویت با امکان پشتیبان گیری ابری مانند Authy استفاده می کنید، می توانید برنامه را بر روی لپ تاپ خود نیز نصب کنید. این کار به شما امکان دسترسی به کدهای احراز هویت را می دهد حتی اگر به تلفن همراه خود دسترسی نداشته باشید. همچنین به شما این امکان را می دهد که هنگام خرید گوشی جدید، کلیدهای مخفی خود را به راحتی بازیابی کنید.

هر دو روش ذکر شده در بالا به شما امکان تهیه کدهای پشتیبان را می دهد. همچنین این کدها می توانند به عنوان رمزهای یکبار مصرف در مواقعی که به تلفن همراه خود دسترسی ندارید، استفاده شوند.

2. چگونه می توان بدون هیچ کدی وارد سیستم شد؟

اگر به تلفن، لپ تاپ یا کدهای پشتیبان خود دسترسی ندارید، تنها با غیرفعال کردن افزونه می توانید وارد شوید. نحوه غیرفعال کردن دستی افزونه های وردپرس، در صورت عدم دسترسی به پنل مدیریت را می توانید در لینک زیر مطالعه نمایید:

آموزش غیر فعال سازی دستی افزونه وردپرس

هنگامی که همه افزونه ها را غیرفعال می کنید، افزونه احراز هویت دو مرحله ای نیز غیرفعال می شود و می توانید به وب سایت وردپرس خود وارد شوید. پس از ورود به پنل مدیریت، می توانید افزونه ها را مجددا فعال کرده و تنظیمات افزونه احراز هویت دو مرحله ای را مجددا انجام دهید.

3. آیا همچنان باید از پوشه مدیریت وردپرس با رمز عبور محافظت کرد؟

امنیت وب سایت زمانی در بهترین حالت است که چندین لایه امنیتی برای محافظت از وب سایت خود داشته باشید، از اصول اولیه مانند استفاده از HTTPS و میزبانی امن برای وردپرس شروع کنید. احراز هویت دو مرحله ای ورود به وب سایت وردپرس شما را ایمن می کند اما می توانید با رمزگذاری پوشه مدیریت وردپرس، امنیت آن را بیشتر کنید.

اگر وب سایتی بر پایه عضویت غیر رایگان، فروشگاه آنلاین یا برگزاری دوره های آنلاین دارید، این امر مفید خواهد بود. کاربران شما می توانند با خیال راحت وارد سیستم شوند اما نمی توانند به پنل مدیریت وردپرس دسترسی داشته باشند.