غیر فعال کردن فراموشی رمز عبور در وردپرس برای امنیت بیشتر وردپرس
آیا تا حالا به این فکر افتادید که گزینه «رمز عبور خود را فراموش کردهاید؟» را از وردپرس حذف کنید؟ بهطور پیشفرض، وردپرس این امکان را به کاربران میدهد که فقط با وارد کردن ایمیلشان، رمز عبور جدید دریافت کنند. اما شاید شما بهعنوان مدیر سایت، بنا به دلایل مختلف بخواهید این قابلیت را غیرفعال کنید و نگذارید هر کسی بتواند رمز عبور را ریست کند. پس با آموزش غیر فعال کردن فراموشی رمز عبور در وردپرس همراه باشید.
این کار میتواند به دلایل امنیتی، جلوگیری از سوءاستفاده کاربران، یا حتی محدود کردن دسترسی در سایتهای عضویت خاص انجام شود. در ادامه میتونید روشهای مختلف برای غیر فعال کردن این بخش رو یاد بگیرید.
از آنجایی که وردپرس یک سیستم مدیریت محتوای متنباز است، شما این امکان را دارید که تقریباً هر قابلیتی را طبق نیاز خود شخصیسازی کنید. یکی از مواردی که بسیاری از مدیران سایت به دنبال آن هستند، حذف گزینه «تنظیم مجدد رمز عبور» یا همان «فراموشی رمز عبور» در وردپرس است.
در این آموزش، به شما نشان میدهیم که چگونه میتوانید این قابلیت را در سایت خود غیرفعال کنید تا هیچ کاربری نتواند از طریق فرم ورود، درخواست بازیابی رمز عبور ارسال کند.
همچنین دو روش کاملاً عملی و تستشده را آموزش میدهیم:
✅ غیرفعال کردن گزینه فراموشی رمز عبور با استفاده از افزونه
✅ حذف قابلیت بازیابی رمز عبور با استفاده از کد در فایلهای وردپرس
پس اگر قصد دارید امنیت سایت خود را بالاتر ببرید یا فقط میخواهید کاربران کنترلشدهتری داشته باشند، پیشنهاد میکنیم آموزش غیر فعال کردن فراموشی رمز عبور در وردپرس را تا انتها دنبال کنید.
همچنین مقاله نحوه قرار دادن کد امنیتی در بخش نظرات وردپرس برای امنیت سایت وردپرس در این صفحه مطالعه کنید.
غیر فعال کردن فراموشی رمز عبور در وردپرس
همانطور که میدانید امنیت وبسایت یکی از اساسیترین دغدغههای هر مدیر سایت است و باید همیشه برای افزایش سطح امنیت، از روشهای مختلف استفاده کرد. یکی از بخشهایی که اهمیت زیادی دارد و معمولاً کمتر به آن توجه میشود، صفحه ورود یا لاگین کاربران در وردپرس است.
این صفحه نقطه ورود کاربران به سیستم مدیریت سایت شماست و اگر بهدرستی ایمن نشود، میتواند راهی برای نفوذ هکرها یا افراد سودجو باشد. به همین دلیل، محدود کردن برخی قابلیتها، مانند امکان بازیابی یا فراموشی رمز عبور، میتواند گامی مؤثر در ارتقای امنیت سایت باشد.
در این آموزش قصد داریم روشهایی را به شما معرفی کنیم که با کمک آنها بتوانید گزینه «فراموشی رمز عبور» را در وردپرس غیرفعال کنید تا هیچ کاربری نتواند بدون اجازه شما رمز عبور جدید دریافت کند. این کار بهویژه برای وبسایتهایی که ورود کاربران محدود است (مثل سایتهای شرکتی، سازمانی، عضویت ویژه و…) بسیار کاربردی است.
روش اول: غیر فعال کردن فراموشی رمز عبور در وردپرس که سادهترین و بهترین راه (استفاده از افزونه)
غیرفعال کردن بازیابی رمز عبور با کمک یک افزونه یکی از بهترین و سادهترین کارهاییه که میتونید انجام بدید. این روش هم خیلی سریع و آسونه، هم ما اون رو بهتون پیشنهاد میکنیم
همانطور که پیشتر اشاره کردیم، برای غیرفعال کردن قابلیت «فراموشی رمز عبور» در وردپرس دو روش وجود دارد. در روش اول، ما از یک افزونه رایگان وردپرسی استفاده میکنیم که مناسبترین و سادهترین راه برای کاربرانی است که با کدنویسی آشنایی ندارند.
با استفاده از این روش، شما میتوانید امکان بازنشانی رمز عبور را برای نقشهای کاربری خاص یا حتی کاربران مشخص غیرفعال کنید. به این ترتیب همچنان میتوانید این قابلیت را برای برخی کاربران قابلاعتماد فعال نگه دارید و کنترل دقیقتری روی آن داشته باشید.
افزونهای که برای این کار مورد استفاده قرار میگیرد، Protect Passwords نام دارد. این افزونه کاملاً رایگان است و در مخزن وردپرس ثبت شده است. به دلیل کاربرد راحت و تنظیمات سادهاش، تاکنون روی بیش از ۲۰۰ هزار وبسایت وردپرسی نصب فعال داشته است.
پس از نصب افزونه، میتوانید با مراجعه به صفحه ورود وردپرس، روی گزینه «رمز عبور خود را فراموش کردهاید؟» کلیک کنید. سپس در صفحه بازیابی رمز عبور، اگر نام کاربری یا ایمیلِ کاربری را وارد کنید که اجازهی تنظیم مجدد رمز ندارد، وردپرس پیغام خطایی نمایش میدهد و اعلام میکند که امکان غیر فعال کردن فراموشی رمز عبور در وردپرس را ممکن میسازد.
همچنین مقاله جلوگیری از ارسال کامنت اسپم در وردپرس و آموزش تنظیمات Akismet در این صفحه مطالعه کنید.
تنظیمات افزونه Protect Passwords
پس از نصب و فعالسازی افزونه Protect Passwords، میتوانید تنظیمات مربوط به آن را از بخش پیشخوان وردپرس مدیریت کنید.
پس از نصب و فعالسازی این افزونه، میتوانید از مسیر تنظیمات > رمزدار در پیشخوان وردپرس به بخش تنظیمات آن دسترسی پیدا کنید. در این قسمت، امکان سفارشیسازی کامل رفتار افزونه بر اساس نیازهای سایت شما وجود دارد.
خبر خوب اینکه بیشتر بخشهای این پنل به زبان فارسی ترجمه شده است، بنابراین کاربران فارسیزبان بدون نیاز به تسلط به زبان انگلیسی، میتوانند بهراحتی با تنظیمات افزونه کار کنند.
در اولین قدم، پس از ورود به تنظیمات افزونه، باید تیک گزینه «وضعیت حفاظت رمز عبور» را فعال کنید تا قابلیت محافظت فعال شود. سپس در بخش Protected Permissions میتوانید تعیین کنید چه افرادی بدون نیاز به وارد کردن رمز عبور امکان مشاهده محتوا را داشته باشند. این گزینهها شامل موارد زیر است:
مدیران سایت (Administrators): با فعال بودن این گزینه، ادمینها بدون رمز به محتوا دسترسی دارند.
Allow Logged In Users: تمام کاربرانی که وارد حساب کاربری شدهاند، بدون نیاز به رمز عبور محتوا را مشاهده میکنند.
اجازه به RSS: این گزینه اجازه میدهد محتوا از طریق فید RSS نمایش داده شود.
Allow REST API Access: با فعالسازی آن، محتوا از طریق REST API قابل دسترسی خواهد بود.
به خاطر داشته باشید: هر گزینهای را که غیرفعال کنید، کاربران مربوطه برای مشاهده محتوا حتماً باید رمز عبور وارد کنند.
در ادامه، در فیلد «رمز تازه» میتوانید یک رمز عبور جدید تعیین کنید. اگر میخواهید از رمز قبلی استفاده شود و تغییری ایجاد نشود، این فیلد را خالی بگذارید.
گزینه Allow IP Addresses به شما امکان میدهد تا در صورت نیاز، یک یا چند آدرس IP خاص را وارد کنید تا بدون نیاز به رمز به محتوا دسترسی داشته باشند.
گزینه Allow Remember Me مربوط به فعالسازی قابلیت «مرا به خاطر بسپار» است تا کاربر پس از یک بار وارد کردن رمز عبور، در مراجعههای بعدی مجبور به ورود مجدد نباشد.
در نهایت، در بخش Remember For This Many Days میتوانید تعیین کنید که سیستم چه مدت زمان رمز واردشده را به خاطر بسپارد (برای مثال ۷ روز، ۳۰ روز و…).
همچنین مقاله تغییر مکان فایل wp-config.php برای امنیت بیشتر سایت وردپرسی در این صفحه مطالعه کنید.
روش ۲ — غیرفعال کردن دستی بازیابی رمز عبور با کدنویسی
اگر مایل نیستید از افزونه استفاده کنید، میتوانید قابلیت بازنشانی رمز عبور را با چند خط کد در وردپرس غیرفعال کنید. این روش ساده اما فنی است و برای کاربران مبتدی توصیه نمیشود — پیش از اعمال تغییر حتماً یک نسخه پشتیبان کامل از سایت (فایلها و دیتابیس) تهیه کنید.
نکات احتیاطی
این روش بازنشانی رمز را برای همه کاربران غیر فعال میکند؛ در نتیجه اگر خودتان یا کاربران مورداعتماد نیاز به بازیابی رمز پیدا کنند، باید ابتدا کد را غیرفعال کنید.
بهتر است ابتدا تغییرات را روی یک محیط آزمایشی (staging) امتحان کنید.
قطعهکد نمونه
فایل متنی جدیدی با ویرایشگری مانند Notepad++ بسازید و کد زیر را در آن قرار دهید:
<?php
/*
* Plugin Name: Disable Password Reset
* Description: Disable password reset functionality. Only users with administrator role will be able to change passwords from inside admin area.
* Version: 1.0
* Author: MihanWP
* Author URI: https://mihanwp.com
*/class Password_Reset_Removed
{function __construct()
{
add_filter( ‘show_password_fields’, array( $this, ‘disable’ ) );
add_filter( ‘allow_password_reset’, array( $this, ‘disable’ ) );
add_filter( ‘gettext’, array( $this, ‘remove’ ) );
}function disable()
{
if ( is_admin() ) {
$userdata = wp_get_current_user();
$user = new WP_User($userdata->ID);
if ( !empty( $user->roles ) && is_array( $user->roles ) && $user->roles[0] == ‘administrator’ )
return true;
}
return false;
}function remove($text)
{
return str_replace( array(‘Lost your password?’, ‘Lost your password’), ”, trim($text, ‘?’) );
}
}$pass_reset_removed = new Password_Reset_Removed();
?>
پس از ساخت فایل reset.php و ذخیره آن روی دسکتاپ، حالا باید آن را در سایت وردپرسی خود آپلود کنید تا فعال شود.
مراحل آپلود فایل در وردپرس
ابتدا یک سرویسگیرنده FTP مانند FileZilla را اجرا کنید و به فضای هاست سایت خود متصل شوید.
پس از اتصال، وارد مسیر زیر شوید:
/wp-content/plugins/
فایل reset.php را در همین پوشه plugins آپلود کنید.
سپس وارد پیشخوان وردپرس شوید و به بخش افزونهها → افزونههای نصبشده بروید.
در لیست افزونهها، آیتم جدیدی با عنوان Disable Password Reset ظاهر خواهد شد.
روی دکمه فعالسازی کلیک کنید تا افزونه فعال شود.
از این لحظه به بعد، قابلیت بازنشانی (Reset) رمز عبور برای کاربران سایت غیرفعال خواهد شد و دیگر امکان استفاده از لینک «رمز عبور خود را فراموش کردهاید؟» وجود نخواهد داشت.