امنیت یکی از مهم ترین فاکتور ها در داشتن یک سایت عالی و حرفه ای میباشد.افزونه وردپرس iThemes Security یکی از برترین های افزونه های امنیتی در وردپرس میباشد . استفاده از این افزونه مقداری پیچیده است که ما در این اموزش به شما می اموزیم که چگونه یک سایت کاملا ایمن با اجرای تنظیمات افزونه iThemes Security داشته باشید.با اجرای دقیق تنظیمات این افزونه به هیچ وجه نگرانی در مورد امنیت سایت خود نخواهید داشت.و قوی سپر امنیتی را برای سایت خود خواهید داشت.
آموزش استفاده از افزونه iThemes Security
iThemes Security با بیش از 30 راه مختلف سعی در ایمن سازی سایت شما دارد. به طور معمول در هر روز بیش از 30 هزار سایت مختلف هک میشود که در سایتهای وردپرسی به دلیل وجود برخی پلاگین های مخرب و همچنین استفاده نکردن از پسورد های ضعیف بیشتر مورد حمله قرار میگرند که بیشتر این موراد به دلیل عدم اگاهی کاربران میباشد .البته ناگفته نماند برخی مواقع مجبور به طور قطع از افزونه های وردپرسی که زیاد روی امنیت انها کار نشده است کار کنیم.اما در انتها باید بگیم افزونه iThemes Security به طور کوتاه با موارد زیر میتواند جلوی هک شدن سایت شما را بگیرد:
- حل مشکلات و راه های نفوذ رایج در همه وب سایت ها
- توقف حملات خودکارکه به سایت شما میشود
- تقویت اعتبار کاربر (از جمله فعالیت انها و همچنین رمز های انها)
خب بریم که داشته باشیم ایمن سازی سایت های وردپرس با کامل ترین افزونه امنیتی وردپرس.
مهم ترین که قبل از هر کاری باید انجام دهید این است که حتما قبل از این که افزونه معرفی کرده ایم را نصب و فعال سازی کنید باید یک بک اپ کامل از سایت خودتون بگیرید.این توصیه را واقعا جدی بگیرید چرا که افزونه های این چنینی معمولا تنظیماتی روی دیتابیس شما انام میدهند که شما باید حتما قبل این که مشکلی برای سایت شما پیش بیاید یک نسخه پشتیان تهیه کنید تا بعدا به مشکل برنخورید.
دقت کنید که باید نسخه پشتیان شما یک فول بک اپ باشد.
این افزونه از بیش از 30 ماژول دارد که هر کدام یک بخش را تحت تاثیر قرار میدهد و شما باید هر کدام را تک تک بررسی کنید و تنظیم کنید.اما در اینجا ما به طور اختصار در مورد هر کدام توضیحی میدهیم و شما باید تنظیمات مورد علاقه خودتان را اعمال کنید.
مرحله اول : تنظیمات بخش Recommended
1. 404 Detection
این گزینه را فعال کنید و تنظیمات ان را روی پیشفرض قرار دهید و دستکاری نکنید.اما اگر بخواهید بدانید کار این بخش چیست ؟تشخیص 404 هنگامی مفید است که فرد یا چیزی (مانند یک ربات) سعی در دسترسی به صفحاتی که وجود ندارند، احتمالا به دنبال یک آسیب پذیری هستند.بنابراین، پس از تلاش های زیاد، آن را یک تلاش هک در نظر گرفته و میزبان قفل خواهد شد و در نهایت به طور دائم پس از 3 قفل ممنوع است.پس در واقع وقتی یک شخص یا ربات قصد خرابکاری دارد و میخواهد که اسیبی پیدا کند یا وب سایت شما را هک کند این بخش باعث قطع دسترسی ان میشود.
2. Banned Users
مشابه تصویر زیر روی گزینه Enable HackRepair.com’s blacklist feature کلیک کنید.
این یک لیست سیاه است که شامل تهدیدهای شناخته شده است. IP ها و عامل های کاربر که در لیست سیاه قرار دارند قادر به دسترسی به وب سایت وردپرس شما نخواهند بود.در واقع این مورد باعث قطع دسترسی لیست سیاه جمع اوری شده خواهد شد.
3.Database Backups
در صورتی که شما یک سرویس دهنده خوب برای هاستتون که در به طور مرتب از سایت شما بک اپ تهیه میکند میوتانید این گزینه را غیر فعال کنید
در غیر این صورت میتوانید این گزینه را فعال کنید و تنظیمات مورد نظر را اعمال کنید.
4. File Change Detection
این گزینه را فعال کنید و یا همون روی گزینه enable کلیک کنید.
این گزینه به شما اجازه می دهد تا بدانید چه فایل هایی در وردپرس خود تغییر کرده اند که شما به طور مستقیم آنها را تغییر نداده اید.اما یک سری مورادی که در تنظیم این گزینه باید انجام دهید این است که :
مشابه تصویر بالا باید تیک گزینه بالا را بزنید. هر زمان که فایل تغییر می کند یک هشدار خیلی ترسناک در داشبورد شما نمایش داده می شود.
چند چیز که باید در مورد این گزینه بدانید این است که :
فایل ها به دلیل وجود کش پلاگین، قالب یا افزونه های دیگر به طور مداوم تغییر می کنند. فایل ها حذف می شوند، افزوده می شود و … و همیشه فعالیت وجود دارد.
بنابراین، این هشدار همیشه وجود خواهد داشت و شما را از بین می برد.
شما همچنین به طور مرتب ایمیل های مربوط به تغییرات فایل را دریافت خواهید کرد، که می تواند حتی بیشتر مزاحم باشد.
5. Local Brute Force Protection
فعال کنید گزینه Automatically ban “admin” user.
اساسا، از طریق حملات خشونت آمیز، هکرها برای به دست آوردن اطلاعات ورود خود، ترکیب های مختلفی را امتحان می کنند. البته، آنها از یک نرم افزار خودکار استفاده می کنند، آنها این کار را به صورت دستی انجام نمی دهند.داشتن یک نام کاربری به سادگی به عنوان «admin» بدان معنی است که یکی از مراحل خشونت آمیز تقریبا از ابتدای کار تمام می شود، زیرا احتمالا اولین گمان آنهاست، به این دلیل که بسیاری از وب مسترها هنوز از admin به عنوان نام کاربری استفاده میکنند.
بنابراین، علاوه بر انتخاب یک نام کاربری اصلی، شما همواره هر کسی را که با استفاده از نام کاربری «admin» وارد سیستم می شوید، ممنوع کنید.
6. Password Requirements
Minimum Role را روی گزینه Subscriber قرار دهید
ما می خواهیم همه از کلمه عبور قوی استفاده کنند، درست؟ چرا که رمزهای عبور قوی = امنیت بیشتر
7. System Tweaks
فعال کنید و سپس مطابق زیر بررسی کنید.
توضیحات هر کدام از موارد در تصویر بالا وجود دارد و شما باید مطابق تصویر تیک هر کدام را بزنید.اما اگر میخواهید بدانید به طور کلی که این گزینه ها چه کاری را انجام میدهند این است که از ویرایش فایل ها جلوگیری میکنند و اجازه اپلود فایل های خطرناک و فایل های php برای دسترسی گرفتن را میگیرند.
8. WordPress Salts
گزینه Change WordPress Salts را فعال کنید .
WordPress salts کلید هایی هستند که رمزهای عبور شما را رمزگذاری می کنند، بنابراین هکرها نمی توانند از آنها استفاده کنند حتی اگر دسترسی به داده های شما را دریافت کنند.
نکته : توجه داشته باشید که هنگام تغییر WordPress salts ، شما از وردپرس خارج خواهید شد، پس نگران نباشید! فقط وارد شوید
9. WordPress Tweaks
شما باید این قسمت را مشابه تصاویر زیر تنظیم کنید .در ادامه همه این موراد را معرفی خواهیم کرد.
اما در ادامه میریم که داشته باشیم موارد که در تصاویر بالا قرار گرفته است.(فقط موراد مهم ان )
Remove the RSD (Really Simple Discovery) header :
اگر نمیخواهید وبلاگ خود را با خدمات خارج از XML-RPC، مانند فلیکر، ادغام کنید
Reduce Comment Spam :
نظرات از سمت رباتها بدون هیچ گونه مرجع یا بدون شناسه کاربری کاربر، اسپم را در نظر میگیرید
Disable File Editor :
این گزینه باعث فعال شدن بخش ویرایش فایل ها میشود.
REST API :
روی گزینه Restricted Access یا همان دسترسی محدود قرار دهید.
مرحله دوم : تنظیمات بخش advanced
به بخش Security -> Settings بروید و سپس به بخش advanced بروید.
1. Admin User
گزینه Change the ID of the user with ID 1 را انتخاب کنید .
این باعث میشود که مدیر سایت دیگر ای دی 1 نداشته باشد و هکر نمیتواند به سادی سایت را مورد هدف قرار دهد.
نکته : نکته ای که باید مورد توجه قرار گیرد این است که ممکن است سایت دچار مشکل شود یا با برخی از افزونه های بخش های قالب شما سازگاری نداشته باشد.پس حتما این نکته را لحاظ کنید.
2. Change Database Table Prefix
به طور پیش فرض (هر چند به شما بستگی دارد که وردپرس را نصب می کنید)، وردپرس به عنوان پیشوند برای تمام جداول در پایگاه داده شما wp_ را اختصاص می دهد.و این مورد پیشفرض برای هکر ها شناخته شده است و میتوانند به راحتی پیاگاده داده شما مورد هدف قرار دهند بنابراین شما با تغییر پیشوند چداول دیتابیس خود دسترسی هکر هارو بسیار محدود میکنید چون دیگر توانایی شنایی نخواهند داشت.بنابراین بریم که تنظیماتش رو انجام بدیم.
گزینه Change Prefix را روی yes قرار دهید و سپس ذخیره کنید.
یک توصیه ایده ال و مهم این است که انجام این کار یعنی تغییر پیشوند جداول وردپرس دقیقا و بلافاصله بعداز نصب وردپرس انجام شود تا اطلاعات شما از بین نرود.در غیر اینصورت حتی بهتر است بیخیال تغییر پیشوند شوید.
3. Hide Backend
گزینه Enable the hide backend feature را علامت بزنید .
توسط این بخش شما میتوانید slug یا نامک صفحات پیشفرض وردپرس مثل صفحه ورود یا صفحه پیشخوان و… را تغییر دهید . و در واقع هکر با عوض شدن این صفحات دیگر قادر نخواهد بود صفحه ورود شمارو پیدا کنه و بتونه به سایت و محتوای سایت شما دسترسی پیدا کنه .پس توصیه میکنیم حتما این مورد رو انجام دهید و نامک هایی سخت انتخاب کنید.
بریم سراغ ویژگی های نسخه پولی افزونه ithemes security
تا اینجا تمام مواردی که گفته شد مربوط به بخش رایگان این افزونه بود .اما یک سری ماژول نیز در نسخه پولی که ما نیز برای دانلود قرار داده ایم وجود دارد که در ادامه به بررسی انها میپردازیم.
- Magic Links : این اجازه می دهد تا شما را به وارد شدن حتی اگر به نحوی، نام کاربری خود را با ویژگی های محلی حفاظت از نیروی محلی قفل شده است.
- Malware Scanning :اسکن خودکار برای نرم افزارهای مخرب انجام می شود
- Privilege Escalation : به مدیران اجازه می دهد تا به طور موقت به یک کاربر خاص برای یک زمان مشخص دسترسی پیدا کنند.
- reCAPTCHA : نیازی به توضیح ندارد.
- Settings Import and Export : شما می توانید تنظیمات خود را از یک وب سایت برای پشتیبان گیری آنها یا وارد کردن آنها به وب سایت دیگری صادر کنید.
- Two-Factor Authentication : پس از اینکه ورود وردپرس خود را به جزئیات اضافه کنید، به یک کد حساس به زمان نیاز خواهید داشت. این کد به دستگاه تلفن همراه شما ارسال می شود که باید یک برنامه دیگر نصب شود مانند Authy، Google Authenticator یا دیگر. در حالی که یک فرآیند تأیید دو مرحلهای مانند این میتواند امنیت وردپرس شما را بهبود ببخشد، برای بعضی از افراد، از جمله من، بسیار مزاحم است. (مختصر و مفیدش اینه که تایید دو مرحله ای خودمونه !)
- User Security check : وضعیت امنیتی کاربران رو چک میکنه
- User Logging : فعالیت کاربر از جمله ورود و.. رو ضبط میکند و تحت نظر و کنترل میگیرد.
- Version Management : این سایت وب سایت وردپرس شما را محافظت می کند زمانی که نرم افزار قدیمی (وردپرس، پلاگین، تم ها) به اندازه کافی به روز نمی شود.
اموزش ما به پایان رسید.امیدواریم که لذت برده باشید.این اموزش یک ترجمه بود اگر جایی براتون نامفهوم بود میتونید بگید تا بررسی کنیم و توضیح بیشتری بدیم.