در قسمت اول آموزش کامل امنیت وردپرس ، درباره اهمیت امنیت در سایت و مقدمات عمومی امنیت وردپرس صحبت کردیم و همچنین دو عمل بسیار مهم که باید برای امنیت سایت خود انجام دهید را آموزش دادیم. در این قسمت میخواهیم دو عمل بسیار مهم دیگر که باید برای افزایش امنیت در وردپرس  انجام دهید را آموزش دهیم. پس با ما همراه باشید. 

 


 

اگر بخش اول را مطاله نکرده اید از اینجا وارد شوید: امنیت سایت وردپرسی

 


 

ادامه اقدامات لازم در آموزش کامل امنیت وردپرس

 

3- مبارزه با ربات های هکر برای افزایش امنیت در وردپرس

این ربات ها بار ها و بارها پشت سر هم برای ورود به سایت اقدام کرده تا  بالاخره وارد شوند. در واقع این کار را انقدر زیاد انجام میدهند تا بر اساس قانون احتمالات بالاخره موفق به هک کردن سایت شوند. کاری که ما باید بکنیم این است که اجازه ندهیم که این ربات ها بتوانند بار ها اقدام به ورود به سایت ما کنند. 

برای این کار سه روش پیش رو دارید:

 

 

الف) تعداد دفعات مجاز برای اینکه یک شخص، ربات، هکر و نرم افزار بتواند برای ورود به سایت اقدام کند را محدود کنید. 

برای این کار میتوانید از همان افزونه ی iThemes Security که در جلسه ی قبل نیز گفته شد استفاده کنید. به این صورت که از تب مربوط به این افرونه (بسته به فارسی یا انگلیسی بودن نسخه آن، با نام امنیت یا security نمایش داده میشود) وارد گزینه ی تنظیمات (settings)  شوید. همان طور که میبینید قسمت local brute force protection (محافظت مقابل حملات brute force محلی) به صورت پیش فرض فعال است. در صورتی که فعال نیست آن را فعال کنید. برای تغییر محدودیت های پیشفرض نیز گزینه configure settings (پیکر بندی تنظیمات) را بزنید و از انجا تغییرات دلخواه خود را انجام دهید. 

 

آموزش کامل امنیت وردپرس

محافظت مقابل حملات Brute Force محلی

 

همان طور که در تصویر بالا می بینید، پیش فرض افزونه به این صورت است که حداکثر تلاش برای ورود هر ip پنج بار، برای ورود کاربران سایت 10 بار است. اگر بیشتر از این تعداد اقدام به ورود کنند مسدود میشوند. از گزینه پایین میتوانید این مدت زمان را مشخص کنید. میتوانید این زمان را روی 15 دقیقه بگذارید. همچنین تیک گزینه ی مسدود کردن خودکار کاربرر با نام admin  را هم بهتر است بزنید. چون کسانی که با نام کاربری admin به سایت شما وارد میشوند حتما قصد هک کردن سایت شما را دارند.

کاربرانی که از این طریق مسدود میشوند را میتوانید از قسمت banned users (کاربران مسدود) مشاهده کنید. یکی از نکات جالب این قسمت این است که میتواند شما را به سایت HackRepair.com متصل کنید. این سایت یک سری آیپی های مشکوک به هکر را در خود دارد. اگر از آن آیپی های مشکوک وارد سایت ما شد میتواند درجا ان را مسدود کند. پس تیک این گزینه (که در شکل زیر نشان داده شده) را نیز بزنید. 

 

آموزش کامل امنیت وردپرس

آموزش کامل امنیت وردپرس

 

فرض کنید شما داخل کادر هاست های ممنوع یا همان ban hosts این صفحه، چند ip هم رنج مشاهده می کنید. برای مثال:

48.652.651.22

48.652.651.25

یا:

48.652.650.25

48.652.651.25

این دو ip در سه قسمت اول (مورد اول) با در دو قسمت اول (مورد دوم) یکسان هستند. بعضی هکر ها مجموعه ای از ip ها دارند که در یک رنج هستند. انقدر با ip های مختلف اقدام به ورود به سایت شما میکنند تا بالاخره بر اساس همان احتمالات، یک ip موفق به ورود شود. در این شرایط اگر متوجه چند ip با رنج یکسان شدید میتوانید آن رنج ip هارا مسدود کنید. به این صورت که داخل کادر ban hosts  یا همان هاست های ممنوع، بیایید رنج ip مورد نظر را برای مثال به صورت زیر بنویسید:

48.652.651.**   

(برای مورد اول)

یا 

48.652.***.**   

(برای مورد دوم)

ب) انتخاب پسورد های قدرتمند:

انتخاب پسورد های حداقل هشت رقمی شامل انواع کاراکتر ها مانند حروف کوچک و بزرگ و اعداد

 

ج) استفاده از کد کپچا (captcha)

یکی دیگر از اقدامات برای افزایش امنیت در وردپرس استفاده از کد کپچا است. شما حتما در بسیاری از سایت ها کپچا را دیده اید. در تصویر زیر دو نمونه از کپچا نشان داده شده است:

 

افزایش امنیت در وردپرس | کپچا

افزایش امنیت در وردپرس | کپچا

کپچا یا ضد ربات یک کد امنیتی یا سیاست امنیتی هست که به ربات ها اجازه دسترسی به بخش هایی از سایت را نمیدهد. 

برای مثال شما میتوانید در صفحه ورود به سایتتان کد کپچا را قرار داده تا انسان از ربات تمیز داده شود و ربات ها نتوانند از این سد عبور کنند. 

 

نکته: در صورتی که سایت شما یک سایت شرکتی یا هر سایتی است که ورود و ثبت نام کاربران در آن انجام نمیشود، میتوانید از کد کپچا نسخه پولی (pro) افزونه امنیتی نام برده شده (iTheme Security) استفاده کنید. اما در صورتی که سایت شما یک سایت فروشگاهی یا هر سایت دیگری است که کاربران داخل آن ثبت نام میکنند به هیچ وجه از کد کپچا این افزونه استفاده نکنید. چرا که کاربران در مرحله ثبت نام و ورود به سایت دچار مشکل میشوند. برای این نوع سایت ها از کپچای دیگری استفاده کنید. بسیاری از افرونه های فرم عضویت مانند gravity form خودشان این کپچا را دارند و بهتر است از کپچای همان افزونه ها استفاده کنید. 

 

یک کار بسیار سودمندی که برای افزایش امنیت سایت وردپرسی خود میتوانید انجام دهید این است که کپچا را برای ورود به وردپرس قرار دهید. برای این کار افرونه booster captcha  را از مخزن وردپرس نصب و فعال کنید. با استفاده از این افرونه و انتخاب نوع کپچا، صفحه ورود به وردپرس شما به یکی از دو حالتی که در تصویر زیر نمایش داده شده در می آید:

 

 

کپچا برای افزایش امنیت در وردپرس

افزایش امنیت در وردپرس


4- دسترسی فایل های مهم در سایت 

ما دو فایل بسیار مهم داریم که باید دسترسی آن هارا تغییر دهیم: wp-config و .htaccess. این دو فایل لزومی ندارد تا در سایت نمایش داده شوند.

اگر وارد cpanel سایت خود شوید میبینید که طبق دو تصویر زیر میزان دسترسی هر دوی این فایل ها 644 است:

 

آموزش کامل امنیت وردپرس

آموزش کامل امنیت وردپرس

 

 

آموزش کامل امنیت وردپرس

آموزش کامل امنیت وردپرس

 

 

در بخش تنظیمات افزونه وارد قسمت file perimission (دسترسی های پرونده) شوید و load file permission details (بارگزاری جزئیات پرونده) را بزنید. صفحه ای مانند تصویر زیر برایتان باز می شود:

آموزش کامل امنیت وردپرس

آموزش کامل امنیت وردپرس

 

قسمت های سبز زنگ دسترسی مناسبی دارند. قسمت های ززد رنگ یعنی wp-config.php و .htaccess نیاز به تغییر دسترسی دارند. دسترسی آن ها باید 444 باشد اما 644 است. پس در cpanel  خود روی این دو فایل راست کلیک کرده و change permissions را بزنید و از آن جا سطح دسترسی را از 644 به 444 تغییر دهید. 

اگر دوباره این صفجه را لود کنید میبینید که سطح دسترسی این دو فایل 444 شده است. به همین سادگی!

 

 

قسمت دوم آموزش کامل امنیت وردپرس نیز به پایان رسید. امیدواریم این آموزش برایتان مفید بوده باشد.

4/5

ارسال پاسخ

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *