دنیای وردپرس بسیار گسترده و جذاب است. هر کسی با داشتن دانش کمی از وب، می‌تواند سایت خودش را بسازد و به این دریای پر تلاطم و شلوغ بپیوندد. خب می‌دانیم که ساختن سایت با وردپرس به راحتی آب خوردن است و آنقدر پوسته ارزان و پلاگین رایگان و هاست خوش قیمت وجود دارند که با هزینه نه چندان زیاد می‌توانیم صاحب سایت شویم و به ما وب مستر یا صاحب سایت بگویند‌.

اما مدیریت یا امنیت سایت هم به همین راحتی است؟ متاسفم که جواب خیر است. کاش پلاگینی وجود داشت که خودکار سایت را مدیریت می‌کرد و ما فقط پیشرفت کار را می‌دیدیم. اما همچین چیزی وجود ندارد و قرار هم نیست هیچوقت ساخته شود. ما مسئول موفقیت یا شکست سایتمان هستیم.

امنیت هم دقیقا همینطور است. قبول دارم که چند پلاگین بسیار قدرتمند مثل wordfence Security و ithemes هستند که سعی می‌کنند از سایت شما محافظت کنند‌. اما به نطرتان کافی است؟ به نظر من که نه. یک سری کارها را باید خودتان انجام دهید.

چرا مخفی کردن نام کاربری در وردپرس مهم است؟

در پست آموزش تغییر پیشوند جداول وردپرس درباره حملات بروت فورس ( Brute Force ) صحبت کردیم و گفتیم که به نظر ما تغییر ساختار دیتابیس وردپرس کمک چندانی به امنیت سایت نمی‌کند. همینطور گقتیم که تغییر صفحه ورود به مدیریت وردپرس یک اتفاق مثبت و مفید است.

امروز سراغ مخفی کردن نام کاربری در وردپرس رفتیم. در بسیاری از سایت‌های وردپرسی همانطور که صفحه لاگین وردپرس به راحتی دم دست است، در بعضی از پوسته‌ها، نام کاربری هم در دسترس بوده و هر کسی می‌تواند username کاربر سایت را داشته باشد. این به اندازه‌ای خطرناک است که ممکن است مهاجم دسترسی کل یه سایتتان پیدا کند‌.

می‌پرسید چطور؟ خب سایت test.ir را باز میکنم. سایت یه خوبی اجرا می‌شود، به آخر آدرس سایت یک wp-adnin اضافه می‌کنم. صفحه ورود وردپرس ظاهر می‌شود. وقتی پست یکی از نویسنده‌ها رو باز کنم، در url صفحه نام کاربری دیده می‌شود. یک لقمه آماده.

صفحه ورود پیدا شد‌. نام کاربری آماده شد. حالا فرض کنیم سایت هدف، از شماره موبایل یا تاریخ تولد یا نام و نام خانوادگی یا … در پسورد خودش استفاده کرده باشد. اگر پسورد خیلی دشوار نباشد ( که احتمالا در این سطح امنیت خیلی هم دشوار نیست ) ابزارهایی مثل crunch آماده هستند که این پسورد‌ها را بشکنند. و تمام. سایت در اختیار مهاجم قراز می‌گیرد.

دوست نداریم که همچین اتفاقی بیفتد. به خاطر همین مخفی کردن نام کاربری در وردپرس، این شانس را از مهاجم می‌گیرد که با داشتن یوزرنیم شما، پسوردتان را بخواهد پیدا کند.

آموزش مخفی کردن نام کاربری وردپرس با فایل htaccess.

فایل htaccess یک فایل پیکربندی برای وب سرویس است که به ما اجازه می‌دهد  تغییراتی در سرور ایجاد کنیم. این فایل در ریشه ( Root) سایت قرار دارد و به طور پیش‌فرض مخفی است. به خاطر همین اول فایل با . شروع می‌شود. کار ما با این فایل است. فراموش نکنید که htaccess فایل حساسی است و هنگام کار با آن باید احتیاط کنید. ممکن است بفضی از تغییرات برایتان مشکل ساز شوند.

حتما قبل از ایجاد هر گونه تغییری یک کپی از فایل اصلی htaccess داشته باشید

خب روال کار به این شکل است. باید یک تکه کد را داخل این فایل قرار دهید و آن را ذخیره کنید. همین.

اول وارد هاست خودتان شوید. مهم نیست که از Cpanel استفاده می‌کنید یا Direct admin.

وارد بخش مدبریت فایل یا File manager شوید

در پوشه اصلی فایلی به نام .htaccess را پیدا کنید. توجه داشته باشید که به احتمال زیاد این فایل مخفی است. از قسمت Setting فایل را از حالت hide خارج کنید.

داخل فایل اسکریپت‌ها و کدهای زیادی می‌بینید. کاری با هیچکدام نداشته و فقط کد زیر را به طور کامل در آخر این فایل کپی کنید.

# BEGIN block author scans
RewriteEngine On
RewriteBase /
RewriteCond %{QUERY_STRING} (author=\d+) [NC] RewriteRule .* - [F] # END block author scans

فایل را ذخیره (save) کرده و از هاست خارج شوید.

یک بار سایت را refresh کنید و ببینید مشکلی وجود دارد یا خیر. همینطور در آدرس‌های مربوط به نویسنده‌ها بگردید و ببینید که پروسه مخفی کردن نام کاربری در وردپرس با موفقیت انجام شده است یا خیر.

مخفی کردن نام کاربری در وردپرس به کمک فایل htaccess
5 (100%) 1 vote