امنیت سایت و کد احراز هویت دو مرحله ای

احراز هویت دو عاملی یا احراز هویت دو مرحله ای چه کمکی به امنیت سایت وردپرسی شما میکند؟ تصور کنید هکری بدون اطلاع شما، رمز ورود به حساب کاربری سایت وردپرسی شما را متوجه شود. چه مانعی بین او و از دست رفتن تمامی اطلاعات شما و سوء استفاده‌های احتمالی وجود دارد؟امنیت سایت و احراز هویت دوعاملی چه ارتباطی با هم دارند؟ جواب این سوال احراز هویت دو عاملی (Two-factor authentication) است.

احراز هویت دو عاملی چیست؟

احراز هویت دو عاملی یک ویژگی ساده است که از شما چیزی بیشتر از تنها یک رمز عبور می‌خواهد و از دو عاملِ «چیزی که می‌دانید» (مانند رمز عبور) و«چیزی که دارید» (مانند تلفن همراه) یا «کسی که هستید» (مثل الگوی شبکیه‌ی چشم و یا اثر انگشت شما) تشکیل شده است.

مطمئنا شما بارها از احراز هویت دو عاملی در زندگی خود استفاده کرده‌اید؛ مثلا هنگامی که در کنار ورود رمز حساب بانکی خود باید حتما کارت بانکی (که تنها در اختیار شما هست) را وارد کنید و یا وقتی که بعد از وارد کردن رمز گوشی خود از اسکن اثرانگشت و اسکن شبکیه چشمتان برای ورود استفاده می‌کنید.

با افزایش خطرات مربوط به وبسایت و بالا رفتن اهمیت موضوع امنیت و تشخیص هویت در وبسایت، توسعه دهنده ها باید همواره متوجه موضوعات امنیتی باشند. مخصوصا اگر فردی از پلتفرم خاصی مانند وردپرس استفاده کند به این دلیل که همیشه مورد توجه هکرها و بات های مخرب است، باید بیشتر مراقب باشد.

در رابطه با بات های مخرب باید بگویم که برای آن ها هیچ اهمیتی ندارد که یک وبسایت چه میزان حجمی دارد و یا اینکه به چه مقدار محبوب است، آن ها کل فضای اینترنت را دنبال می کنند و وبسایت های وردپرسی را صرفنظر از میزان بزرگی‌شان مورد حمله قرار می دهند. پس با این این وجود اهمیت ندارد که شرکت و تجارت شما بزرگ یا کوچک باشد در نهایت باید قدم هایی برای بهتر کردن امنیت وبسایت را بردارید.

<< brute force attack >>

یکی از راه های معمولی بات ها برای حمله به وبسایت از طریق حمله معروف به brute-force است. حمله brute-force معمولا یکی از حملاتی است که وبسایت های بسیار قربانی آن شده است. مؤثرترین راه برای خنثی کردن چنین حملاتی استفاده از احراز و تایید هویت دو عاملی یا two-factor authentication است.

بیشتر وقت ها آسان ترین راه برای پیاده سازی امنیت در وبسایت وردپرسی استفاده از یک تصویر است که در آن از کلمات و عبارت هایی استفاده شده و تا زمانی که کاربر نتواند کلمات را تشخیص دهد نمی تواند به مرحله بعد برود. در حالت های دیگری نیز از کاربر شماره تلفنی را در هنگام ثبت نام درخواست می کنند و بعد از آن ،برای ورود کاربر پیامی ارسال می کنند و از وی درخواست می کنند که در اپلیکیشن کد ارسال شده را قرار دهند. تلگرام یک نمونه ساده از چنین حالتی است.

یکی از آسان‌ترین روش‌ها برای مقابله با نفوذ هکرها از طریق این روش، استفاده از احراز هویت دو مرحله‌ای است. در این روش اگر فردی نام کاربری و کلمه عبور شما را بدست آورد باید رمز امنیتی که به شماره شما SMS می‌شود را نیز وارد کند تا بتواند وارد سایت شما شود. از این رو روش پیشنهادی امینیت بسیار بالایی دارد.

احراز هویت دوعاملی در وبسایت وردپرسی

برای تنظیم احراز هویت دوعاملی در وبسایت هایی که از وردپرس استفاده می کنند دو روش وجود دارد:

  1. تاییدیه از طریق پیامک : در این روش کد امنیتی برای ورود به سایت به گوشی شما پیامک می‌شود.
  2. استفاده از برنامه های ایجاد کد هویت: در این روش کد امنیتی از طریق این برنامه برای شما ارسال می‌شود.

 

احراز هویت دو مرحله ای

احراز هویت دو عاملی در فرم ورود وردپرس از طریق ارسال پیامک (SMS)

احراز هویت دو مرحله ای با پیامک به این صورت است که بعد از ورود نام کاربری و کلمه عبور خود در فرم ورود به وبسایت وردپرسی ، پیامکی برای شما ارسال می‌شود که در آن کد امنیتی موردنیاز جهت ورود به سیستم، وجود دارد.اما مراحل فعالسازی این روش به شرح زیر است:

۱- ابتدا افزونه‌های Two Factor و Two Factor SMS را در وبسایت وردپرسی خود نصب و فعال نمایید.

پلاگین Two Factor شامل روش‌های مختلف احراز هویت دو مرحله ای می‌باشد. افزونه Two Factor SMS نیز از زیر مجموعه‌های افزونه Two Factor است. برای استفاده از احراز هویت دوعاملی از طریق اس ام اس باید هر دوی این افزونه‌ها را روی وبسایت وردپرسی خود نصب و فعال نمایید.

۲- پس از نصب و فعالسازی این دو افزونه، در بخش مدیریت وبسایت به مسیر زیر بروید:

  (کاربران>شناسه شما)          Users > Your Profile

۳- در صفحه باز شده تیک و دکمه گزینه SMS (Twilio) را بزنید. این گزینه به معنای انتخاب روش اصلی شما برای احراز هویت دو مرحله‌ای از طریق sms  است.

۴- از شما درخواست می‌شود تا اطلاعات اکانت Twilio خود را وارد نمایید.

Twilio یک سرویس آنلاین است که خدماتی مانند تلفن ، پیام صوتی و سرویس پیامکی را برای کاربردهای مختلف عرضه می‌کند.

۵- اگر اکانت ندارید به وبسایت Twilio رفته و اکانت جدیدی ایجاد نمایید.

۶- پس از ثبت نام، شما می‌توانید سرویس موردنظر خود را انتخاب نمایید.

۷-در این مرحله سرویس SMS و سپس احراز هویت دوعاملی را انتخاب کنید. در بخش آخر که مربوط به زبان برنامه نویسی می‌شود نیز گزینه PHP را انتخاب نمایید.

۸- بعد از انجام موارد بالا، هنگامی که وارد سایت Twilio می‌شوید، صفحه مربوط به درخواست شما نمایش داده می‌شود که برای تنظیم کردن آن می‌بایست روی دکمه Get Started کلیک کنید.

۹- پس از کلیک کردن روی این دکمه وارد تنظیمات مرحله به مرحله آن می‌شوید. در ابتدا روی دکمه Get your first Twilio number کلیک کنید.

۱۰- در صفحه باز شده عددی به شما نمایش داده می‌شود. این عدد را در جایی ذخیره نمایید و سپس روی دکمهChoose this Number کلیک کنید.

۱۱- پس از این مرحله تنظیمات شماره تماس در این وبسایت به پایان می‌رسد و باید به مسیر زیر در پنل کاربری خود در وبسایت Twilio بروید:

Setting > Geo Permissions

در این بخش پیش شماره کشوری که در آن زندگی می‌کنید را وارد نمایید: (+98)

۱۲- سپس لازم است تا شما به پنل کاربری Twilio خود رفته و کدهای مربوط به Account SID و Auth Token را کپی کنید.

اکنون تمام مراحل مورد نیاز را انجام دادید و تمام اطلاعات موردنیاز قسمت 4 را نیز بدست آورده‌اید.

۱۳- حال در وبسایت وردپرسی خود به صفحه پروفایل کاربری (user profile) رفته و کد مربوط به Account SID وAuth token خود که از Twilio کپی کرده بودید (بخش ۱۲) را همراه با شماره‌ای که در این وبسایت ایجاد کرده بودید (بخش۱۰) را وارد نمایید.

  • شماره گوشی خود که می‌خواهید کد احراز هویت دوعاملی را دریافت کنید در بخش Receiver Phone Numberوارد کنید.

۱۴- برای ذخیره تغییرات روی دکمه Update Profile کلیک کنید.

حالا زمانی که از وبسایت خود خارج شده و دوباره اقدام به ورود کنید، فرم مربوط به احراز هویت دومرحله‌ای را مشاهده خواهید کرد. بدین صورت که در ابتدا نام کاربری و کلمه عبور خود را وارد کرده و در گام بعدی باید کد امنیتی که به شماره شما پیامک می‌شود را وارد نمایید تا بتوانید وارد پنل مدیریت خود شوید.

ارسال پیامک روشی عالی و مطمئن برای امنیت ورود به وبسایتتان میباشد ، اما ممکن است شما در دریافت پیامک مشکل داشته باشید یا به دلیل جابجایی، همواره از شماره مشخصی استفاده نکنید. اگر این مشکلات را دارید، استفاده از روش دوم را به شما پیشنهاد می‌کنیم.

امنیت سایت و احراز هویت دوعاملی

احراز هویت دو عاملی به فرم ورود وردپرس از طریق اپلیکیشن های تولید کد احراز 

در این روش نیز همانند روش اول، شما کد امنیتی را برای احراز هویت دو مرحله‌ای دریافت خواهید کرد با این تفاوت که این کد برای شما پیامک نمی‌شود و در برنامه هایی مانند Google Authenticator برای شما ارسال خواهد شد.

در ابتدا باید بوسیله افزونه های ایجاد هویت دو مرحله ای این حالت را فعال کنید.

یکی از بهترین افزونه های امنیتی برای سایت وردپرسی که حالت احراز هویت دو عاملی را هم در خود دارد افزونه iThemes Security  است که با فعال کردن گزینه تایید هویت دوعاملی میتوانید به این حالت امنیتی در سایت وردپرسی خود دسترسی داشته باشید.

حالا بریم سراغ فعال کردن احراز هویت دو عاملی در سایت وردپرسی تان:

۱- در بخش مدیریت وردپرس خود به مسیر زیر بروید:

Users > Your Profile

۲- در این صفحه در قسمت گزینه های احراز هویت دو عامل تیک مربوط به گزینه برنامه تلفن همراه را بزنید. سپس روی مشاهده کد QR ، کلید مخفی کلیک کرده تا پیکربندی  را انجام دهید.

احراز هویت دو عاملی

۳- در این قسمت شما کد QR را مشاهده می‌کنید که لازم است آن را از طریق برنامه هایی مثل  Google Authenticator یا FreeOTP اسکن نمایید.

۴- یکی از اپلیکیشن های تولید کد احراز هویت دو مرحله ای را بسته به نوع سیستم عامل موبایل  روی گوشی خود نصب کنید.

۵- زمانی که برنامه را نصب کردید، وارد آن شوید و  دکمه افزودن + را انتخاب نمایید.

۶- اکنون کد QR نمایش داده شده ر مراحل قبلی را از طریق این برنامه و با دوربین گوشی خود اسکن کنید.

۷- پس از اسکن این کد، برنامه وبسایت شما را شناسایی کرده و سپس یک کد ۶ رقمی به شما می‌دهد. این کد را در بخش تنظیمات افزونه وارد کنید.

۸- برای ذخیره تغییرات روی دکمه Update Profile کلیک نمایید.

اکنون زمانی که از وبسایت خود خارج شده و دوباره اقدام به ورود کنید، فرم مربوط به احراز هویت دو مرحله‌ای را مشاهده خواهید کرد. بدین صورت که در ابتدا نام کاربری و کلمه عبور خود را وارد کرده و در گام بعدی باید کد امنیتی که در اپلیکیشن Google Authenticator یا هر اپلیکیشن تولید کد دیگری که استفاده میکنید نمایش داده می‌شود راوارد نمایید تا وارد پنل مدیریت وبسایت وردپرسی خود شوید.

اما در کل برای ایجاد رمز ورود یک بار مصرف برای امنیت سایت از طریق احراز هویت دوعاملی راههای مختلف دیگری هم وجود دارد به این صورت که برای تولید رمزهای عبور یکباره مبتنی بر زمان، نیاز به نصب و پیکربندی برنامه در دستگاه تلفن همراه خود دارید:

  • برای دستگاه های آندروید، authy، تأیید گوگل، تأیید freeotp، و یا برنامه های toopher محبوب ترین ژنراتور تولید رمز هستند.
  • برای دستگاه های IOS، Authy، گواهینامه گوگل، Authenticator freeotp، و یا برنامه های Toopher محبوب ترین ژنراتور تولید رمز هستند.

پیشنهاد نوین پدیا به شما استفاده از اپلیکیشن FreeOTP هست که خیلی راحت و سریع کد احراز هویت دوعاملی را تولید میکند

امیدواریم این مقاله کمک شایانی به بالا بردن امنیت سایت وردپرسی شما عزیزان کرده باشد.درصورت نیاز به اطلاعات و مشاوره بیشتر با کارشناسان متخصص نوین پدیا تماس بگیرید و مارا از نظرات و دیدگاه و تجربیات ارزشمند خود در پایین مقاله بهره مند سازید.

 

5/5 ( 1 نظر )
0 پاسخ

دیدگاه خود را ثبت کنید

تمایل دارید در گفتگوها شرکت کنید؟
در گفتگو ها شرکت کنید.

پاسخی بگذارید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *