دیواره آتش وردپرس – بخش 3 آموزش افزونه امنیت کامل وردپرس

دیواره آتش وردپرس با افزونه امینیت کامل وردپرس کاملا در کنترل شماست. در دو مطلب قبلی، یعنی بخش اول آموزش افزونه امنیت کامل وردپرس و بخش دوم آموزش افزونه امنیت کامل وردپرس، نیمی از آموزش های این افزونه را به اتمام رساندیم. در این قسمت قصد داریم به سراغ بخش فایروال یا دیواره آتش وردپرس این افزونه برویم و با امکانات و تنظیمات آن آشنا شویم. با ما همراه باشید.
فهرست عناوین:
دیواره آتش وردپرس (FireWall)
در این قسمت تنظیمات امنیتی مربوط به دیواره آتش وبسایت شما قرار دارد. این بخش به 7 قسمت کلی تقسیم شده است:

- دستورهای پایه دیوار آتش: تنظیمات پایه مربوط به دیواره آتش وردپرس
- دستورهای اضافی دیوار آتش: تنظیمات تکمیلی مرتبط با دیواره آتش
- دستورهای دیواره آتش لیست سیاه 6G: این ویژگی به شما امکان به کارگیری لایه حفاظتی 6G (یا قدیمی 5G) را میدهد که توسط Perishable Press طراحی و توسعه داده شده است.
- ربات های اینترنتی: مسدود سازی ربات های مزاحم یا فیک
- جلوگیری از پیوندهای داغ Hotlinks: جلوگیری از نمایش منابع و تصاویر و فایل های سایت شما در وبسایت های دیگر
- تشخیص خطای 404: ارائه لیستی از آخرین خطاهای 404 و تنظیم قفل برای درخواست های 404 مکرر کاربر
- قوانین 404 سفارشی: در صورتی که می خواهید قوانینی به فایل htaacess اضافه نمائید می توانید از این بخش اقدام کنید
دستورهای پایه دیواره آتش وردپرس
در توضیحات این بخش آمده:
ویژگی های این برگه به شما این امکان را می دهد که برخی از قوانین حفاظت امنیتی دیواره آتش وردپرس را برای سایت خود فعال کنید.
کارایی دیوارآتش از راه وارد کردن کدهای ویژه در فایل .htaccess شما به دست می آید.
این کار نباید هیچگونه آسیبی به کارایی سایت شما وارد کند اما شما اگر بخواهید می توانید یک backup از فایل .htaccess خود بگیرید.
در اولین جعبه تنظیمات با عنوان “تنظیمات پایه دیوار آتش” می توانید این قابلیت کلی را فعال کنید. با زدن این تیک تمام قوانین مربوط به دیواره آتش وردپرس فعال می شود (هر تنظیمی که بعدا فعال کنید یا قبلا فعال کرده اید تنها با زدن این تیک اعمال می شوند)

این تنظیم ساز و کارهای محفاظت زیر را در سایت شما به کار می گیرد:
- حفاظت از فایل .htaccess به وسیله جلوگیری از دسترسی به آن.
- از کار انداختن امضای سرور (server signature)
- محدود کردن حجم قابل آپلود (۱۰ مگابایت)
- حفاظت از فایل wp-config.php به وسیله جلوگیری از دسترسی به آن.
حفاظت های بالا از راه فایل .htaccess شما به کار گرفته می شود و نبایستی به کارایی سایت شما آسیب بزند.
هنوز هم به شما سفارش میشود از فایل .htaccess خود پشتیبان بگیرید.
نکته: امضای سرور هویت عمومی وب سرور شما است و حاوی اطلاعات حساسی است که می تواند برای سوء استفاده از هر آسیب پذیری شناخته شده مورد استفاده قرار گیرد. درواقع این قابلیت، شناسنامه سرور شما در ارائه و دریافت درخواست های HTTP است. خاموش کردن امضای سرور یک اقدام امنیتی خوب برای جلوگیری از افشای نسخه های نرم افزاری است که اجرا می کنید.
به صورت پیش فرض محدودیت 10مگابایتی برای آپلود فایل ها در وردپرس وجود دارد. در صورت نیاز می توانید مقدار آن را کاهش یا افزایش دهید.

در جعبه بعدی، با عنوان ” حفاظت آسی پذیری Pingback وردپرس”، تنظیمات مرتبط با XMLRPC و قابلیت پینگ بک وردپرس را در اختیار دارید.
قبل از ادامه بحث اجازه دهید تا با مفهوم Pingback و Trackback آشنا شویم.
Pingback و Trackpack چیست؟
Pingback در وردپرس قابلیتی است که اگر در مطلب شما لینک به صفحه یا سایت دیگری وجود داشته باشد هاست وردپرس یک پینگ به آن سایت یا صفحه ارسال میکند و اشاره شما به آن سایت یا صفحه به صورت یک کامنت در آن سایت ایجاد میشود. البته این اتفاق در صورتی که روی سایت شما و سایت لینک شده قابلیت پینگ بک (Pingback) فعال شده باشد اتفاق می افتد.
ترک بکها امکان برقراری ارتباط میان وبسایتها را برای وبلاگنویسان فراهم میآورند. دقیقا مشابه شخصی است که به دیگری میگوید ” این چیزی است که ممکن است از آن خوشتان بیاید.”
در اینجا نحوه عملکرد Trackback در وردپرس مطرح شده است:
ما در وبلاگ خود پستی را مینویسیم.
شما قصد دارید برای پست ما کامنتی بنویسید که خوانندگان خودتان نیز بتوانند آن را بخوانند و برای آن کامنت بنویسند.
سپس شما میتوانید پستی را در وبلاگ خود بنویسید و به پست وبلاگ ما ارسال نمایید. (به طور پیش فرض، وردپرس به شما اجازه ارسال ترک بکهای دستی را در هنگام نوشتن پست وبلاگ نخواهد داد).
ما ترک بک شما را دریافت میکنیم و تصمیم میگیریم که آن را به عنوان کامنت نمایش دهیم یا خیر. در کامنت عنوان، گزیده و پیوندی برای پست وبلاگ شما نمایش داده خواهد شد.
Trackback اعلانی است که وردپرس هنگام پیوند دادن به یک سایت خارجی در محتوای خود، برای آن ارسال می کند. بگذارید بگوییم که شما به تازگی یک پست وبلاگ جدید در مورد نکات آموزشی وردپرس منتشر کرده اید که شامل پیوندی به وب سایت دیگری است که شامل برخی توصیه های خوب برای خوانندگان شما است.
در این سناریو، می توانید “ping” پیگیری را به آن سایت ارسال کنید (بعضا حتی برای جلب توجه مالک سایت مقصد). سپس آن شخص می تواند پیگیری را تایید کند که می تواند بخشی از پست شما و پیوند به سایت شما را در بخش نظرات خود نمایش دهد.
ترک بک اعلانی است که وردپرس به یک سایت خارجی، هنگامی که شما در محتوای خود به آن لینک می دهید، ارسال می کند. ترک بک حتی اگر لینک مستقیم به مطلب نداده باشید نیز می تواند ارسال شود. مانند منابعی که در پایان یک مقاله علمی یا یک فصل از کتاب درسی معرفی می شوند.
فرض کنید یک نوشته جدید در سایت خود منتشر کرده اید که سایت دیگری نیز در مورد آن مطلب کاملی منتشر کرده است و شما در نوشته خود به آن مطلب لینک داده اید.
در این سناریو، برای اطلاع دادن به نویسنده آن مطلب، می توانید یک ترک بک را به آن سایت ارسال کنید. آن شخص می تواند ترک بک را تأیید کند. پس از تأیید، گزیده ای از نوشته شما و لینکی به سایت شما در بخش دیدگاه آن سایت نمایش داده می شود.
پینگ بک همان ترک بک است که به صورت خودکار ارسال می شود. در حقیقت، Pingback به این منظور ساخته شده است که برخی مشکلات تکنیک ترک بک را برطرف کرده و نسخه بهتری از آن ایجاد کند.
ترک بک ها به صورت دستی ارسال می شوند اما پینگ بک ها خودکار هستند.
فرض کنید پینگ بک ها را روی سایت خود راه اندازی کرده اید و نوشته ای را منتشر می کنید که لینکی به یک سایت خارجی دارد. در این حالت، به محض انتشار مقاله، یک پینگ بک به سایتی که به آن لینک داده اید، ارسال می شود.
سایت گیرنده قبل از نمایش آن به عنوان یک لینک ساده در بخش دیدگاه ها، می تواند آن را تأیید، حذف یا اسپم کند. اگر پینگ بک تأیید شود، در بخش دیدگاه ها نمایش داده می شود.
در بیشتر موارد ، پینگ بک خلاصه ای از نوشته مورد نظر را در بر نمی گیرد ، البته این بستگی به قالبی دارد که سایت از آن استفاده می کند. به عنوان مثال قالب های پیش فرض وردپرس خلاصه ای از نوشته را نشان نمی دهند و پینگ بک فقط به صورت یک لینک ظاهر می شود.
خودمانی بگوئیم، فرض کنید شما یک وبسایت دارید و می خواهید با استفاده از اکانت خودتان در زیر یکی از پست های دوناوب کامنت ارسال کنید و قصد دارید تا به کاربران خودتان نشان دهید که برای ما چه کامنتی گذاشته اید.
حال شما باید یک پست در سایت خودتان بنویسید و با استفاده از ترک بک آن را برای پست وبلاگ ما ارسال کنید.
حالا ما این درخواست شما را خواهیم دید و اینکه این پست شما را به عنوان یک دیدگاه در سایت خودمان نشان دهیم یا خیر به عهده ماست. در واقع هدف بازتاب ارتباطی بین وبسایت ما و شماست.
در مورد پینگ بک فرض کنید شما یک پست در سایت خودتان معرفی کرده اید و یکی از پست های سایت دوناوب را در آن لینک کرده اید. حالا اگر قابلیت پینگ بک در سایت ما و شما فعال باشد، این موضوع به دوناوب اطلاع داده شده و برای شما هم یک پینگ بک ارسال می شود که باید درست بودن این قضیه را تایید کنید.
اگر این لینک دهی از طرف هر دو سایت تایید شود، در سایت ما یعنی دوناوب، یک کامنت قرار میگیرد مبنی بر اینکه شما در پست خود به پست ما لینک داده اید.
اگرچه Trackpack و Pingback تقریبا کار یکسانی انجام می دهند، اما رویکرد متفاوتی دارند.
به این صورت که ترک بک ها به صورت دستی انجام می شوند اما پینگ بگ ها نیازی به لینک دهی دستی ندارند و خودکار هستند.
تفاوت دیگر اینکه ترک بک به همراه یک قسمت از محتوا برای کاربر نمایش داده می شود اما پینپ بک هیچ محتوایی ارائه نمی کند.
XMLRPC چیست؟
همینطور که کاربران موبایلی روز به روز در حال بیشتر و بیشتر شدن بودند احساس نیاز به استفاده از سرویسهایی که از طریق آن بتوان سایت وردپرسی را مدیریت کرد بیشتر شد تا اینکه درست از نسخه 3.5 وردپرس تیم توسعه دهنده وردپرس بعد از قابل اطمینان دانستن این پروتکل امکان فعال کردن و یا غیرفعال کردن xml-rpc وردپرس را از منوی پیشخوان وردپرس برداشت. پروتکل xml-rpc وردپرس این امکان را به شما خواهد داد که از طریق این پروتکل امکان اتصال انواع سرویسهایی مثل IFTTT، نرمافزارهای مدیریت سایت وردپرس در محیط ویندوز یا سیستم عامل اندروید و… را فراهم کنید تا دسترسی و کنترل بر روی سایت از طریق این پروتکل که در بستر http ارائه میشود فراهم شود.
پس تا اینجای کار متوجه شدید که xml-rpc وردپرس در واقع یک راه برای ایجاد ارتباط سایت با سرویسهایی است که از طریق اون بتونید تا اقدام به مدیریت سایت کرده و امکان مدیریت نوشته ها در وردپرس، مدیریت تنظیمات سایت و… را بسته به امکاناتی که بر روی سرویس مورد نظر ارائه شده است فعال کنید.
XML-RPC یک ویژگی وردپرس است که امکان انتقال داده ها را فراهم می کند، این مورد با استفاده از پروتکل HTTP به عنوان مکانیزم حمل و نقل و از XML به عنوان مکانیزم کدگذاری استفاده می نماید. از آنجا که وردپرس یک سیستم مستقل نیست و گاهی اوقات نیازمند برقراری ارتباط با دیگر سیستم ها است، این سیستم به دنبال آن ایجاد شده است.
به عنوان مثال، شما می خواهید از دستگاه تلفن همراه خود اقدام به ارسال یک پست در سایت وردپرسی خود نمایید، زیرا کامپیوتر خود را نمی توانید با خود حمل نمایید و یا به آن دسترسی ندارید. شما می توانید از قابلیت دسترسی از راه دور که توسط فایل xmlrpc.php در وردپرس فعال شده است برای انجام این کار استفاده نمایید.
ویژگی هایی در فایل xmlrpc.php فعال شده است تا به شما امکان اتصال به سایت را از طریق گوشی هوشمند، پیاده سازی Trackbacks و Pingbacks از سایر سایت ها و برخی از توابع مرتبط با پلاگینی مانند Jetpack را می دهد.
خوب برگردیم به ادامه آموزش امنیت کامل وردپرس. برای غیرفعال سازی قابلیت های PingBack، Trackback و همچنین غیرفعال سازی XMLRPC دو گزینه تعبیه شده است:
گزینه اول: قطع کامل ویژگی XMLRPC

در توضیحات این ویژگی آمده:
این تنظیم یک دستوردهنده (directive) در پرونده.htaceess شما وارد میکند. این دستوردهنده دسترسی به فایل xmlrpc.php وردپرس را قطع میکند.این فایل مسئولیت کاراییهایXML-RPC مانند pingback را برعهده دارد.
هکرها میتوانند از آسیبپذیری های مختلف Pingback در XML-RPC API وردپرس استفاده کنند. تعدادی از این راهها در زیر نوشته شده:
- حملههای رد سرویس (DoS)
- هک کردن مسیریاب های داخلی.
- اسکن پورتها در شبکههای داخلی؛برای بدست آوردن اطلاعات از هاستهای مختلف.
جدا از مسئله امنیتی، این ویژگی فشار روی سِرور شما را کم میکند؛ چنانچه سایت شما در حال حاضر دارای حجم بزرگی از ترافیک ناخواسته است ( که بوسیله XML-RPC API بوجود میآید).
توجه: چنانچه شما از قابلیت XML-RPC استفاده میکنید، نباید این ویژگی را فعال کنید.
اگر نمی خواهید کل قابلیت XMLRPC را غیرفعال کنید و تنها می خواهید قابلیت Pingback را غیرفعال نمائید، کافیت تا این تیک را به حال خود رها و تیک زیر را بزنید.

نکته مهم اینکه در صورت استفاده از اپ های موبایل مرتبط با وبسایت، یا استفاده از افزونه Jetpack، نباید این قابلیت را غیرفعال کنید.
در جعبه بعدی از تنظیمات با عنوان “مسدودسازی دسترسی به رفع اشکال گزارش پرونده”، می توانید دسترسی به فایل debug.log را کاملا غیرفعال کنید.

در توضیحات این ویژگی آمده:
وردپرس گزینه ای برای روشن کردن رویداد اشکالزدایی در پرونده ای در wp-content/debug.log دارد. این پرونده ممکن است شامل اطلاعات حساسی باشد.
استفاده از این گزینه باعث مسدود کردن دسترسی خارجی به این پرونده می شود. شما می توانید برای دسترسی به این پرونده از طریق FTP سایت اقدام کنید
قسمت دستورهای اضافی دیواره آتش
در توضیحات این قسمت آمده:
این ویژگی به شما امکان فعالسازی تنظیمات پیشرفته دیوارآتش را می دهد.
ویژگیهای پیشرفته دیوارآتش از راه وارد کردن کدهای مخصوص در فایل .htaccess شما، به کار گرفته میشود.
با توجه به ماهیت کدهایی که در فایل .htaccess وارد میشود، این ویژگی ممکن است کارکرد بعضی از افزونهها را مختل کند. از این رو به شما سفارش میشود حتما قبل از به کارگیری این ویژگی، یک backup تهیه نمائید.
اولین جعبه تحت عنوان “فهرست کردن محتوای دایرکتوری” است. در توضیحات این بخش آمده:
اولین جعبه تحت عنوان “فهرست کردن محتوای دایرکتوری” است. در توضیحات این بخش آمده:
به صورت پیشفرض، سرور آپاچی اجازه فهرست کردن محتوای یک دایرکتوری را میدهد.(در صورت نبودن فایل index.php در آن دایرکتوری)
این ویژگی امکان فهرست کردن محتوا را برای تمام دایرکتوریها غیرفعال میکند.
توجه: برای استفاده از این ویژگی”اجازه باطل کردن”دستورات فهرستی باید در پرونده httpd.conf فعال شود. از میزبان سایت خود بپرسید اگر به پرونده httpd.conf دسترسی ندارید.
اگر در هر پوشه از سایت خود (یا هر دایرکتوری) فایل index.html یا index.php نداشته باشید، سرور آپاچی تمام فایل های موجود در آن دایرکتوری را لیست می کند که کاملا قابل دسترس هر فردی خواهند بود. به منظور جلوگیری از این امر، فعال سازی این قابلیت کاملا الزامی است. کافیست تیک مربوط به آن را بزنید.

در دومین جعبه، بخشی تحت عنوان ردیابی و رهگیری قرار دارد. در توضیحات این قسمت آمده:
حمله ردیابی HTTP یا XST میتواند برای بازگرداندن درخواستهای Header و گرفتن کوکی ها و دیگر اطلاعات استفاده شود.
این تکنیک هک کردن معمولا همراه با حملههای برنامه نویسی متقابل سایت (XSS) استفاده میشود. از کار انداختن ردیابی و رهگیری روی سایت شما از بروز حملات ردیابی HTTP جلوگیری میکند

فرستادن دیدگاه از راه پراکسی
در توضیحات این بخش آمده:
همه درخواستهای فرستادن دیدگاه که هنگام فرستادن از یک پراکسی سِرور استفاده میکنند، توسط این تنظیم رد میشوند.
با ممنوع کردن فرستادن دیدگاه از راه پراکسی، در عمل شما جلوی بسیاری از SPAMها و سایر درخواستهای پراکسی را میگیرید.
در این حالت در صورت استفاده از VPN امکان ارسال هر نوع درخواستی از جمله ارسال کامنت، ثبت نام و… غیرفعال می شود.

تنظیمات Bad Query Strings
در توضیحات این ویژگی آمده:
این ویژگی دستورهایی در فایل .htaccess شما وارد میکند که جلوی حملات رشتههای خرابکارانه XSS را میگیرد.
توجه: بعضی از این رشتهها ممکن است برای افزونهها و پوستهها استفاده شوند بنابراین این ویژگی ممکن است برخی از کارکردها را مختل کند.
پس به شما شدیدا سفارش میشود قبل از بهکارگیری این قابلیت یک فایل پشتیبان از .htaccess فعلی خود بگیرید.

فیلتر پیشرفته رشته های کاراکتری
در توضیحات این قسمت آمده:
این ویژگی یک فیلتر پیشرفته رشتههای کارکتری است که برای جلوگیری از حملات خرابکارانه XSS به سایت شما، به کار میرود.
این ویژگی تنظیم الگوهای رشتهای که معمولا برای حمله به کار میروند شناسایی میکند و در صورت تلاش هکر برای دستیابی به اطلاعات خطای ۴۰۳ را به او نشان میدهد.
توجه: بعضی رشتهها برای این تنظیم ممکن است برخی از کارکردها را مختل کنند.
پس به شما شدیدا سفارش میشود قبل از بهکارگیری این قابلیت یک فایل پشتیبان از .htaccess فعلی خود بگیرید.
نکته: فایل های خودتان از جمله تصاویر، ویدئو ها و فایل ها را با کاراکترهای فارسی نام گذاری نکنید.
دستورهای دیوار آتش لیست سیاه 6G
در توضیحات این بخش آمده:
این ویژگی به شما امکان به کارگیری لایه حفاظتی 6G یا (نسخه قدیمی آن 5G) را میدهد که توسط Perishable Press طراحی و توسعه داده شده است.
نسخه 6G نسخه بهبود یافته و به روز 5G است.
لیست سیاه 6G یک لیست سیاه ساده و انعطافپذیر است که تعداد درخواستهای خرابکارانه URL به سایت شما را کاهش میدهد.
مزیت استفاده از دیوارآتش 6G این است که این دیوار آتش توسط اعضای سایت PerishablePress.com آزمایش و تأیید شده که بهینهترین تنظیمات امنیتی را به سایتهای وردپرس روی سِرور Apache میدهد.
بنابراین دستورهای 6G نبایستی روی کارکرد عمومی سایت شما تأثیر بگذارد. اما اگر شما بخواهید، پیش از ادامه دادن میتوانید یک backup از فایل .htaccess فعلی خود بگیرید.

تیک اول مربوط به فعال سازی قابلیت 6G است. در توضیحات آمده:
این تنظیم مکانیسم های حفاظت از دیوار آتش 6G را در سایت شما پیاده سازی می کند که شامل موارد زیر است:
- مسدودسازی کارکترهای غیرمجازی که معمولا در حملات سودجویانه استفاده میشوند.
- مسدود سازی کارکترهای URL رمزگذاری شده مانند رشته “css.” .
- حفاظت در برابر الگوهای معمول و سوء استفاده های خاص در ریشه URLها.
- متوقف کردن مهاجمان از دستکاری رشتههای Query با ممانعت از کارکترهای غیرمجاز.
و بسیاری دیگر… تیک دوم فعال سازی قابلیت 5G است که در صورت نیاز می توانید آن را هم فعال کنید
ربات های اینترنتی
نکته مهم: این ویژگی ممکن است مانع از ایندکس صفحات توسط گوگل و حذف نتایج شما از صفحات گوگل شود. پیشنهاد می شود پس از فعال سازی این ویژگی در سرچ کنسول Live Test URL انجام دهید و در صورتی که صفحات شما ایندکس نشد، این ویژگی را غیرفعال کنید.
ربات اینترنتی چیست؟
ربات قطعه ای از نرم افزار است که در اینترنت در حال اجراست و دارای وظایف خودکاری می باشد. مانند وقتی که گوگل صفحات شما را فهرست می کند از ربات های خودکاری برای انجام این کار استفاده می نماید.
خیلی از ربات ها قانونی بوده و مخرب نیستند اماهمه ربات ها خوب نیستند.گاهی رباتی را می بینید که میخواهد خود را بجای “ربات گوگل” جابزند اما در واقع آن هیچ ربطی به گوگل ندارد.
اگرچه اقلب ربات ها بدون ضرر هستند. گاهی صاحبان سایتها می خواهند کنترل بیشتری روی رباتهایی که اجازه ورود به سایت دارند داشته باشند.
این ویژگی به شما اجازه می دهد دسترسی ربات های گوگل تقلبی را مسدود کنید.
رباتهای گوگل دارای هویت منحصربه فردی هستند که به آسانی قابل جعل کردن نیستند.این ویژگی باعث شناسایی هر ربات گوگل تقلبی شده و از دسترسی آن ها برای خواندن محتوای سایت شما جلوگیری می کند.
توجه: گاهی اوقات ممکن است سازمان اینترنت غیرمخرب ربات هایی را بجای “ربات گوگل” جا بزند.
دقت داشته باشید که اگر این ویژگی را فعال کنید افزونه همهی ربات هایی که رشته “ربات گوگل” را در اطلاعات عامل کاربری خود دارند اما از سمت گوگل نیستند را قفل می کند.
همهی ربات های دیگر مانند یاهو،بینگ و غیره تحت تاثیر این ویژگی قرار نمی گیرند.

این ویژگی بررسی می کند اگر عامل کاربری اطلاعات ربات شامل مقادیر رشته ای “ربات گوگل” باشد.
پس از چند آزمایش برای بررسی ربات که آیا از سوی گوگل است اگر پذیرفته شود اجازه ادامه فعالیت پیدا می کند.
اگر ربات نتواند بررسی کند آنگاه افزونه آن را بعنوان ربات تقلبی گوگل درنظر می گیرد و قفلش می کند.
جلوگیری از پیوند های داغ Hotlinks
هات لینک به این معنی است که کسی عکس سایت شما را در سایت خود با استفاده از لینک سایت شما نمایش می دهد و از منابع سرور شما استفاده می کند.
تصویری که نمایش داده می شود در سایت دیگر از سمت سرور شما می باشد، این باعث می شود پهنای باند و منابع هاست شما بیشتر درگیر شود.
این ویژگی باعث می شود تا کدهایی مستقیما داخل .htaccess هاست شما نوشته شود تا کسی نتواند از منابع هاست شما در سایت خود استفاده کند.

تشخیص خطای 404
خطای ۴۰۴ و یا یافت نشد وقتی اتفاق می افتد که شخصی تلاش کند بهصفحهای از سایت که وجود ندارد مراجعه کند.
معمولا بیشتر خطاهای ۴۰۴ مربوط به افرادی میشود که یا آدرس سایت را درست وارد نکرده اند و یا از پیوندهای قدیمی که اکنون وجود ندارد استفاده می کنند.
هرچند در برخی موارد ممکن است با خطاهای ۴۰۴ تکراری در زمانی کوتاه مواجه شوید از آدرس آی پی یکسان که همهی آن ها می خواهد به صفحهای که وجود ندارد مراجعه کند.
این اعمال به این معنی می تواند باشد که هکر ممکن است تلاش کند صفحات و یا آدرس هایی از سایت را برای اهداف شوم خود پیدا کند.
این ویژگی به شما امکان نظارت کامل بر همه رویدادهای ۴۰۴ را می دهد، و گزینه ای برای قفل کردن آی پی های مورد نظر برای مدت زمان مشخص.
اگر میخواهید آدرس آی پی را بطور موقت قفل کنید،روی “قفل موقت” در لینک ورودی های آدرس آی پی “گزارش خطای ۴۰۴” در جدول زیر کلیک کنید.
در این بخش تنظیماتی برای کنترل خطاهای 40 وجود دارد.
اولین گزینه فعال سازی رهگیری Ipهای 404 و مسدود سازی آن ها است. با این کار IP هایی که تعداد زیادی خطای 404 ایجاد و سرور را درگیر می کنند شناسایی می شوند.
وقتی این کادر تأیید را فعال می کنید ، تمام رویدادهای 404 سایت شما در جدول زیر وارد می شوند. می توانید این رویدادها را کنترل کرده و برخی از آدرس های IP ذکر شده در جدول زیر را انتخاب کرده و آنها را برای مدت زمان مشخصی مسدود کنید. تمام آدرس های IP که برای مسدود شدن در قسمت جدول “گزارش رویدادهای 404” مسدود شده را انتخاب می کنید ، در مدت زمان مشخص شده نمی توانند به سایت شما دسترسی داشته باشند.
در ادامه فیلدی برای بازه زمانی قفل IP ها وجود دارد. به این صورت که اگر کاربری خطاهای 404 زیادی تولید کند برای مدت مشخصی در مسدودی IP قرار می گیرد.
می توانید هر آدرس آی پی که ثبت شده در بخش رویدادهای خطای ۴۰۴ در جدول زیر را قفل کنید.

در فیلد بعدی می توانید آدرسی را وارد نمائید تا در صورت قفل IP کاربر خاطی به آن آدرس منتقل شود

در بخش بعدی از تنظیمات 404، لیستی از تمام خطاهای 404 ارائه شده است.

در بخش بعدی می توانید از تمامی خطاها خروجی CSV تولید و دانلود کنید.

در بخش بعدی می توانید به صورت یکجا تمام گزارشات 404 را حذف کنید.

قوانین سفارشی
در این بخش می توانید قوانین سفارشی خودتان را اضافه نمائید.
این ویژگی می تواند قوانین و دستورات سفارشی .htaccess شما را اعمال کند.
این مناسب است برای وقتی که شما می خواهید قوانین موجود در دیواره آتشین را بهینه کنید یا وقتی که می خواهید قوانین خود را اضافه کنید.
توجه: این ویژگی زمانی می شود استفاده کرد که میزبانی وب شما در آپاچی و یا وب سرورهای همانند آن باشد.
اخطار: تنها وقتی که اطلاع کامل از آن دارید از این ویژگی استفاده کنید.
قوانین و دستورات نادرست .htaccess می تواند باعث عدم دسترسی به سایت شما شود.
این به عهده شما می باشد که مطمئن شوید کدهای درستی را وارد کرده اید!
اگر دسترسی شما به سایت قطع شد باید از طریق FTP یا طرق دیگر به فایل .htaccess دسترسی پیدا کرده و موارد داخل آن را ویرایش و یا تغییر دهید.
اولین تیک در تنظمیات این بخش، فعال کردن قوانین سفارشی است. با فعال سازی این تیک می توانید قوانین خودتان را نوشته و در فایل htaacess وارد نمائید.

در صورتی که می خواهید قوانین سفارشی شما اولیت بالاتری نسبت به سایر قوانین ایجاد شده توسط سایر افزونه ها داشته باشد، تیک زیر را بزنید.

در ادامه می توانید قوانین سفارشی خودتان را بنویسید تا به فایل htaacess اضافه شود.

بخش سوم از آموزش افزونه “امنیت کامل وردپرس و دیواره آتش وردپرس” به پایان رسید.
مطالعه بخش اول و دوم از طریق لینک های زیر:
آموزش امنیت کامل و دیواره آتش وردپرس (بخش اول)
آموزش امنیت کامل و دیواره آتش وردپرس (بخش دوم)