آموزش افزونه امنیتی iThemes Security نسخه رایگان ورژن 8.0.2
1.3kبازدید
آنچه در این مطلب میخوانید:
بهترین افزونه امنیتی وردپرس برای ایمن سازی و محافظت از وردپرس
افزایش امنیت سایت با افزونه iThemes Security که با بیش از 30 راه مختلف سایت شما را در برابر نفوذ ایمن می کند.
به طور متوسط روزانه 30 هزار وب سایت هک می شوند. هر 39 ثانیه یک حمله سایبری جدید در جایی در اینترنت اتفاق می افتد.
خبر خوب این است که می توان از اکثر بلایای امنیتی جلوگیری کرد. با استفاده از iThemes Security می توانید حملات به وب سایت خود را شناسایی کرده و متوقف کنید. صرفه جویی در وقت و هزینه تعمیر وب سایت هک شده.
وب سایت خود را در چند دقیقه ایمن کنید
راه اندازی و استفاده از iThemes Security به گونه ای طراحی شده است که به هر کسی امکان می دهد وب سایت وردپرس خود را در کمتر از 10 دقیقه بدون نیاز به مدرک امنیت سایبری ایمن کند.
دانستن این که همه تنظیمات امنیتی مناسب وب سایت خود را فعال کرده اید ، باعث می شود احساس کنید که سایت شما هرگز از امنیت بیشتری برخوردار نبوده است.
الگوهای سایت امنیتی متناسب با نوع سایت شما
یک سایت تجارت الکترونیک به امنیت متفاوتی نسبت به وبلاگ معمولی شما نیاز دارد. قالب های سایت iTheme Security اعمال سریع و آسان تنظیمات امنیتی مناسب برای وب سایت شما را آسان می کند.
برای اعمال نوع امنیتی که سایت شما به آن نیاز دارد ، از بین شش الگوی مختلف سایت انتخاب کنید:
1. تجارت الکترونیک – وب سایت هایی که محصولات یا خدمات را می فروشند
2. شبکه – وب سایت هایی که افراد یا جوامع را به هم متصل می کند
3. غیر انتفاعی-وب سایت هایی که هدف شما را تبلیغ می کنند و کمک های مالی را جمع آوری می کنند
4. وبلاگ – وب سایت هایی که افکار شما را به اشتراک می گذارند یا مکالمه ای را آغاز می کنند
5. نمونه کارها – وب سایت هایی که صنایع دستی شما را به نمایش می گذارند
6. بروشور – وب سایت های ساده ای که کسب و کار شما را تبلیغ می کنند
داشبورد امنیت وب سایت در زمان واقعی
نصب افزونه امنیتی iThemes Security نسخه رایگان
برای نصب افزونه امنیتی مراحل زیر را انجام دهید.
1-وارد بخش مخزن وردپرس شوید. برای این کار از منو افزونه ها گزینه افزودن را انتخاب نمایید و بعد با سرچ کردن کلمه iThemes Security افزونه جستجو شده و با کلیک روی نصب و بعد کلیک روی فعال نمایید، افزونه فعال خواهد شد:
2-دو راه حل برای ورود به بخش تنظیمات افزونه وجود دارد.
راه حل اول: ستون کناری سمت راست وردپرس منو امنیت و زیر منو setup (ممکن است این متن تنظیمات باشد)
راه حل دوم: از منو افزونه ها» افزونه های نصب شده با پیدا کردن نام افزونه بر روی تنظیمات کلیک کنید.
3-بعد از ورود به منو تنظیمات با تصویر زیر روبرو خواهید شد:
4-در اینجا دو گزینه رو به روی شماست.
الف: Skip Setup در افزونه امنیتی
ب: Choose the Type of Website
با انتخاب این گزینه از پروفایل های امنیتی از پیش تنظیم شده استفاده خواهید کرد.
برای اعمال نوع امنیتی که سایت شما به آن نیاز دارد ، از بین شش الگوی مختلف سایت انتخاب کنید:
1. تجارت الکترونیک – وب سایت هایی که محصولات یا خدمات را می فروشند
2. شبکه – وب سایت هایی که افراد یا جوامع را به هم متصل می کند
3. غیر انتفاعی-وب سایت هایی که هدف شما را تبلیغ می کنند و کمک های مالی را جمع آوری می کنند
4. وبلاگ – وب سایت هایی که افکار شما را به اشتراک می گذارند یا مکالمه ای را آغاز می کنند
5. نمونه کارها – وب سایت هایی که صنایع دستی شما را به نمایش می گذارند
6. بروشور – وب سایت های ساده ای که کسب و کار شما را تبلیغ می کنند
در این مطلب ما گزینه الف را توضیح می دهیم. که به صورت دستی تنظیمات اعمال کنیم.
با انتخاب این گزینه الف به تنظیم دستی افزونه هدایت میشوید. که در ادامه به توضیح آن می پردازیم.
با کلیک بر روی Skip Setup وارد صفحه زیر خواهید شد که باید مراحل شماره گذاری شده را طی کنید.
1-امکان ورود دو مرحله ای ورودپرس را فعال کنید.
تأیید هویت دو مرحله ای امنیت کل حساب کاربری وردپرس شما را افزایش می دهد و نیاز به اطلاعات اضافی فراتر از نام کاربری و رمز عبور خود دارد تا بتوانید وارد شوید.
2-با کلیک بر روی NEXT به مرحله دوم تنظیمات می روید
در صفحه جدید با 3 شماره روبرو خواهید شد.
3-Local Brute Force
سایت خود را در برابر مهاجمین محافظت کنید که سعی می کنند به صورت تصادفی جزئیات ورود به سایت شما را حدس بزنند.
4-حملات Brute Force شبکه
پیوستن به شبکه ای از سایت هایی که به ارائه گزارش آی پی های محاجم در اینترنت می پردازند.
5- سپس به مرحله بعد می روید.
در صفحه جدید مطابق عکس اقدام کرده و گزینه Security Check Pro را فعال نمایید.
6- Security Check Pro
با درخواست API به سرورهای iThemes.com ، روش صحیح تشخیص آدرس های IP کاربر را بر اساس پیکربندی سرور تشخیص می دهد. البته توجه داشته باشید هیچ اطلاعات کاربری به iThemes ارسال و یا در iThemes ذخیره نمی شود.
7-با کلیک بر رویNEXT به مرحله بعد بروید.
User Groups
گروه های کاربری به شما امکان می دهد ویژگی های امنیتی را برای مجموعه خاصی از کاربران فعال کنید.
در اینجا دو گزینه موجود است.
8-گروه های پیش فرض (Default)
گروه های پیش فرض به طور خودکار کاربران شما را بر اساس قابلیت های وردپرس آنها طبقه بندی کرده و تنظیمات امنیتی توصیه شده برای هر گروه را فعال می کنند.
9-سفارشی یا Custom
روش دیگر ، از ابتدا با گروه های سفارشی شروع کنید و کاربران خود را به هر نحوی که دوست دارید دسته بندی کنید. گروه های کاربری قابلیت های کاربر را تغییر نمی دهند ، فقط ویژگی های iThemes Security تحت تأثیر قرار می گیرد.
توصیه می شود: گروه های پیش فرض کاربران(Default) ساده ترین راه برای شروع کار با iThemes Security است. و ما هم همین روش را توضیح خواهیم داد.
با کلیک روی Default به صفحه زیر هدایت می شوید که تنظیمات پیش فرض مناسب است و میتوانید چند بار Next بزنید تا به مرحله بعد وارد شوید یا اگر دوست داشتید گزینه ها را با میل خود تغییر دهید ولی بهتر است تغییری ایجاد نشود:
10-بعد از عبور از مرحله User Groups به مرحله پیکربندی (Configure Site) می رسید. در اینجا با کلیک بر روی Recommended وارد تنظیمات آن شوید:
11-Authorized Hosts
در اینجا می توانید یک یا چند ip وارد کنید که اگر با آن ip ها برای ورود تلاش شد هر چند بار رمز اشتباه وارد شود ip مورد نظر بلاک نشود.
برای مثال ip سرور مجازی شخصی شما
نکته: به نظر من اگر ip مجاز نکنید و از این مرحله عبور کنید سایت شما ایمن تر خواهد بود.
12-IP Detection
تعیین کنید که iThemes Security چگونه آدرس IP بازدیدکنندگان شما را تعیین می کند. برای افزایش قابلیت iThemes Security در شناسایی IP و سرورهای سرور شما که به وب سایت شما حمله می کنند ، امنیت اسکن(Security Check Scan) را انتخاب کنید.
13-Undo Changes
این گزینه که با هر گونه تغییرات در این صفحه فعال میشود برای بازگردانی تنظیمات به پیشفرض است.
14-بعد از انجام تنظیمات بر روی Next بزنید
15-در این صفحه می توانید تنظیم کنید گزارش هفتگی آسیب پذیری وردپرس و سایر اخبار امنیتی وردپرس از سمت گروه iThemes را در صندوق ورودی خود دریافت کنید.
16-در این صفحه می توانید تنظیم کنید اطلاع رسانی های حملات به ایمیل شما اسال شود. و در نهایت با کلیک بر روی Continue به مرحله بعد بروید.
نکته: در صورتی که حملات به سایت شما زیاد باشد اگر این گزینه فعال شده باشد باعث ارسال ایمیل های فراوان از هاست شما شده و امکان به مشکل خورد هاست شما دارد.
17-در صفحه جدید بر روی Secure Site کلیک کنید تا تنظیمات انجام شده شما اعمال شود.
نکته: در بخش 18 میتوانید تنظیماتی که از اول آموزش اعمال کردید را مشاهده و مرور کنید.
19-صبر کنید همه موارد اعمال شود و عکس زیر نمایان شود:
20- بعد بر روی Finish کلیک کنید:
21-بعد با تصویر زیر روبرو خواهید شد. که دو گزینه Dashboard و تنظیمات پیش روی شما خواهد بود.
Dashboard همونطور که از اسمش مشخص هست شما را به داشبورد هدایت میکند.
تنظیمات این گزینه هم شما را به تنظبمات هدایت میکند.
کانفیگ ما هنوز تمام نشده پس با کلیک بر روی تنظیمات به ادامه کانفیگ افزونه می پردازیم.
22-در این مرحله باید تنظیمات اضافی انجام دهید که در ادامه به توضیح آنها پرداخته ایم.
23-بر روی منو Tools کلیک کنید.
24- ابزار Identify Server IPs
ابزار Identify Server IPs لیستی از آدرس های IP که سرور شما هنگام درخواست HTTP استفاده می کند را تعیین می کند. لیست صحیح IP های سرور برای جلوگیری از خطاهای Lockouts و Trusted Devices است.
25- Change User ID 1
این ابزار را برای تغییر شناسه کاربری یک کاربر با شناسه کاربری “1” اجرا کنید. این ممکن است از حملات پیچیده ای جلوگیری کند که کاربر را با شناسه “1” سرپرست فرض می کند. این تنظیم یک بار انجام شود تا همیشه بر روی سایت شما تنظیم می ماند.
نکته: بعد از اجرای این ابزار شما از حساب خود خارج می شوید و باید مجد لاگین کنید تا ادامه تنظیمات را انجام دهید. و این خارج شدن از حساب مشکلی خاصی نیست و روال کار کانفیگ افزونه است.
26-تغییر پیشوند پایگاه داده
به طور پیش فرض ، وردپرس پیشوند wp_ را به همه جداول پایگاه داده که محتوا ، کاربران و اشیاء شما در آن وجود دارد اختصاص می دهد. برای مهاجمان احتمالی ، نوشتن اسکریپت هایی که می توانند پایگاه های داده وردپرس را هدف قرار دهند آسان تر است ، زیرا همه نام های مهم جدول برای 95 درصد از سایت ها در حال حاضر شناخته شده است. تغییر پیشوند wp_ باعث می شود ابزارهایی که سعی می کنند از آسیب پذیری های سایر نقاط استفاده کنند بر پایگاه داده سایت شما تأثیر بگذارند. قبل از استفاده از این ابزار ، ما اکیداً توصیه می کنیم از پایگاه داده خود نسخه پشتیبان تهیه کنید.
27-Check File Permissions
با اجرای این ابزار لیست فایل و پوشه های هاست شما بررسی میشود و اگر سطح دسترسی یک فایل نادرست باشد به شما اخطار میدهد و باید دسترسی را درست کنید.
در ستون نتیجه مشخص شده که سطح دسترسی درست است یا مشکل دارد. در ستون مقدار دسترسی های فعلی فایل ها نمایش داده شده و در ستون پیشنهادی سطح دسترسی پیشنهاد شده که باید همه سطح دسترسی ها را مطابق پیشنهاد افزونه تنظیم کنید.
بهترین حالت سطح دسترسی باید مطابق موارد زیر باشد:
| مسیر نسبی | پیشنهادی | مقدار | نتیجه | |
|---|---|---|---|---|
| / | 755 | 755 | Ok | |
| wp-includes | 755 | 755 | Ok | |
| wp-admin | 755 | 755 | Ok | |
| wp-admin/js | 755 | 755 | Ok | |
| wp-content | 755 | 755 | Ok | |
| wp-content/themes | 755 | 755 | Ok | |
| wp-content/plugins | 755 | 755 | Ok | |
| wp-content/uploads | 755 | 755 | Ok | |
| wp-config.php | 444 | 444 | Ok | |
| .htaccess | 444 | 444 | Ok |
28-قوانین پیکربندی سرور
این گزینه کد های اعمال شده افزونه iThemes Security در فایل htaccess را به شما نمایش می دهد.
29-قوانین wp-config.php
این گزینه کد های اعمال شده افزونه iThemes Security در فایل wp-config.php را نمایش می دهد.
30-تغییر Salts وردپرس
با اجرای این گزینه همه کوکی کاربران لاگین شده حذف می شود و کاربران باید مجدد لاگین کنند.
این کار نباید به صورت دوره ای انجام شود ، اما فقط در صورتی که فکر می کنید ممکن است سایت شما به خطر افتاده باشد و کسی در سایت شما نفوذ کرده است اجرا کنید. این ابزار باعث می شود که همه کاربران مجبور شوند دوباره وارد اکانت کاربری خود شوند.
31-Security Check Pro
این مورد در مرحله 6 توضیح داده شده و میتوانید در بالاتر مجدد مطالعه نمایید.
32- پیشرفته یا Advanced
حالا با کلیک بر روی پیشرفته وارد تنظیمات مهم دیگری خواهیم شد.
نکته: مهمترین بخش تنظیمات افزونه همین بخش است که اگر فعال نباشند باعث نفوذ خیلی راحت از طرق افزونه های باگ دار به سایت شما می شود.
33-ترفندهای سیستم
تمامی موارد را فعال کنید و بر روی ذخیره بزنید(توضیح هر مورد جلو آن نوشته شده ولی همه موارد ضروری است که فعال شوند):
34-ترفندهای وردپرس
بعد از ذخیره گزینه 33 با کلیک بر روی ترفندهای وردپرس وارد تب این تنظیمات شوید:
در بخش API Access حتما گزینه را در حال غیرفعال تنظیم کنید(یعنی گزینه Disable XML-RPC را انتخاب کنید) تا جلو خیلی از حملات به سایت شما گرفته شود.
نکته:اگر سایت شما از طریق api و خودکار بروز رسانی و انتشار محتوا می دهد این گزینه باید فعال باشد.
نکته خیلی مهم:
گزینه Allow Multiple Authentication Attempts per XML-RPC Request را حتما غیرفعال کنید.
با فعال بودن این گزینه به طور پیش فرض ، WordPress XML-RPC API به هر درخواست صدها حدس از نام کاربری و رمز عبور را می دهد. برای جلوگیری از سوء استفاده مهاجمان از این ویژگی ، این تنظیم را خاموش کنید.
یاد آوری مجدد: خاموش بودن این گزینه یعنی تیک نداشته باشد.
در این بخش هم بهتر است گزینه Restricted Access را انتخاب کنید و محدودیت ایجاد کنید.
WordPress REST API بخشی از وردپرس است و روشهای جدیدی را برای مدیریت وردپرس در اختیار توسعه دهندگان قرار می دهد. به طور پیش فرض ، می تواند به اطلاعاتی که فکر می کنید خصوصی در سایت شما خصوصی هستند ، دسترسی عمومی دهد.
35-در تب هم میتوانید آدرس لاگین و ثبت نام وردپرس را تغییر دهید تا از حمایت زیاد به سایت خود جلوگیری کنید.
این مورد کامل مشخص هست و نیاز به توضیحات اضافه ندارد.
ثبت دیدگاه
