دیواره آتش وردپرس – بخش 3 آموزش افزونه امنیت کامل وردپرس

دیواره آتش وردپرس با افزونه امینیت کامل وردپرس کاملا در کنترل شماست. در دو مطلب قبلی، یعنی بخش اول آموزش افزونه امنیت کامل وردپرس و بخش دوم آموزش افزونه امنیت کامل وردپرس، نیمی از آموزش های این افزونه را به اتمام رساندیم. در این قسمت قصد داریم به سراغ بخش فایروال یا دیواره آتش وردپرس این افزونه برویم و با امکانات و تنظیمات آن آشنا شویم. با ما همراه باشید.

دیواره آتش وردپرس (FireWall)

در این قسمت تنظیمات امنیتی مربوط به دیواره آتش وبسایت شما قرار دارد. این بخش به 7 قسمت کلی تقسیم شده است:

• دستورهای پایه دیوار آتش: تنظیمات پایه مربوط به دیواره آتش وردپرس
• دستورهای اضافی دیوار آتش: تنظیمات تکمیلی مرتبط با دیواره آتش
• دستورهای دیواره آتش لیست سیاه 6G: این ویژگی به شما امکان به کارگیری لایه حفاظتی 6G (یا قدیمی 5G) را می‌دهد که توسط Perishable Press طراحی و توسعه داده شده است.
• ربات های اینترنتی: مسدود سازی ربات های مزاحم یا فیک
• جلوگیری از پیوندهای داغ Hotlinks: جلوگیری از نمایش منابع و تصاویر و فایل های سایت شما در وبسایت های دیگر
• تشخیص خطای 404: ارائه لیستی از آخرین خطاهای 404 و تنظیم قفل برای درخواست های 404 مکرر کاربر
• قوانین 404 سفارشی: در صورتی که می خواهید قوانینی به فایل htaacess اضافه نمائید می توانید از این بخش اقدام کنید

دستورهای پایه دیواره آتش وردپرس

در توضیحات این بخش آمده:

در اولین جعبه تنظیمات با عنوان “تنظیمات پایه دیوار آتش” می توانید این قابلیت کلی را فعال کنید. با زدن این تیک تمام قوانین مربوط به دیواره آتش وردپرس فعال می شود (هر تنظیمی که بعدا فعال کنید یا قبلا فعال کرده اید تنها با زدن این تیک اعمال می شوند)

این تنظیم ساز و کارهای محفاظت زیر را در سایت شما به کار می گیرد:

1. حفاظت از فایل .htaccess به وسیله جلوگیری از دسترسی به آن.
2. از کار انداختن امضای سرور (server signature)
3. محدود کردن حجم قابل آپلود (۱۰ مگابایت)
4. حفاظت از فایل wp-config.php به وسیله جلوگیری از دسترسی به آن.

حفاظت های بالا از راه فایل .htaccess شما به کار گرفته می شود و نبایستی به کارایی سایت شما آسیب بزند.

هنوز هم به شما سفارش می‌شود از فایل .htaccess خود پشتیبان بگیرید.

نکته: امضای سرور هویت عمومی وب سرور شما است و حاوی اطلاعات حساسی است که می تواند برای سوء استفاده از هر آسیب پذیری شناخته شده مورد استفاده قرار گیرد. درواقع این قابلیت، شناسنامه سرور شما در ارائه و دریافت درخواست های HTTP است. خاموش کردن امضای سرور یک اقدام امنیتی خوب برای جلوگیری از افشای نسخه های نرم افزاری است که اجرا می کنید.

به صورت پیش فرض محدودیت 10مگابایتی برای آپلود فایل ها در وردپرس وجود دارد. در صورت نیاز می توانید مقدار آن را کاهش یا افزایش دهید.

در جعبه بعدی، با عنوان ” حفاظت آسی پذیری Pingback وردپرس”، تنظیمات مرتبط با XMLRPC و قابلیت پینگ بک وردپرس را در اختیار دارید.

قبل از ادامه بحث اجازه دهید تا با مفهوم Pingback و Trackback آشنا شویم.

Pingback و Trackpack چیست؟

 Pingback در وردپرس قابلیتی است که اگر در مطلب شما لینک به صفحه یا سایت دیگری وجود داشته باشد هاست وردپرس یک پینگ به آن سایت یا صفحه ارسال میکند و اشاره شما به آن سایت یا صفحه به صورت یک کامنت در آن سایت ایجاد میشود. البته این اتفاق در صورتی که روی سایت شما و سایت لینک شده قابلیت پینگ بک (Pingback) فعال شده باشد اتفاق می افتد.

source

ترک ‌بک‌ها امکان برقراری ارتباط میان وب‌سایت‌ها را برای وبلاگ‌نویسان فراهم می‌آورند. دقیقا مشابه شخصی است که به دیگری می‌گوید ” این چیزی است که ممکن است از آن خوشتان بیاید.”

در اینجا نحوه عملکرد Trackback در وردپرس مطرح شده است:

ما در وبلاگ خود پستی را می‌نویسیم.

شما قصد دارید برای پست‌ ما کامنتی بنویسید که خوانندگان خودتان نیز بتوانند آن را بخوانند و برای آن کامنت بنویسند.

سپس شما می‌توانید پستی را در وبلاگ خود بنویسید و به پست وبلاگ ما ارسال نمایید. (به طور پیش فرض، وردپرس به شما اجازه ارسال ترک بک‌های دستی را در هنگام نوشتن پست وبلاگ نخواهد داد).

ما ترک‌ بک شما را دریافت می‌کنیم و تصمیم می‌گیریم که آن را به عنوان کامنت نمایش دهیم یا خیر. در کامنت عنوان، گزیده و پیوندی برای پست وبلاگ شما نمایش داده خواهد شد.

source

Trackback  اعلانی است که وردپرس هنگام پیوند دادن به یک سایت خارجی در محتوای خود، برای آن ارسال می کند. بگذارید بگوییم که شما به تازگی یک پست وبلاگ جدید در مورد نکات آموزشی وردپرس منتشر کرده اید که شامل پیوندی به وب سایت دیگری است که شامل برخی توصیه های خوب برای خوانندگان شما است.

در این سناریو، می توانید  “ping” پیگیری را به آن سایت ارسال کنید (بعضا حتی برای جلب توجه مالک سایت مقصد). سپس آن شخص می تواند پیگیری را تایید کند که می تواند بخشی از پست شما و پیوند به سایت شما را در بخش نظرات خود نمایش دهد.

source

ترک بک اعلانی است که وردپرس به یک سایت خارجی، هنگامی که شما در محتوای خود به آن لینک می دهید، ارسال می کند. ترک بک حتی اگر لینک مستقیم به مطلب نداده باشید نیز می تواند ارسال شود. مانند منابعی که در پایان یک مقاله علمی یا یک فصل از کتاب درسی معرفی می شوند.

فرض کنید یک نوشته جدید در سایت خود منتشر کرده اید که سایت دیگری نیز در مورد آن مطلب کاملی منتشر کرده است و شما در نوشته خود به آن مطلب لینک داده اید.

در این سناریو، برای اطلاع دادن به نویسنده آن مطلب، می توانید یک ترک بک را به آن سایت ارسال کنید. آن شخص می تواند ترک بک را تأیید کند. پس از تأیید، گزیده ای از نوشته شما و لینکی به سایت شما در بخش دیدگاه آن سایت نمایش داده می شود.

پینگ بک همان ترک بک است که به صورت خودکار ارسال می شود. در حقیقت، Pingback به این منظور ساخته شده است که برخی مشکلات تکنیک ترک بک را برطرف کرده و نسخه بهتری از آن ایجاد کند.

ترک بک ها به صورت دستی ارسال می شوند اما پینگ بک ها خودکار هستند.

 فرض کنید پینگ بک ها را روی سایت خود راه اندازی کرده اید و نوشته ای را منتشر می کنید که لینکی به یک سایت خارجی دارد. در این حالت، به محض انتشار مقاله، یک پینگ بک به سایتی که به آن لینک داده اید، ارسال می شود.

سایت گیرنده قبل از نمایش آن به عنوان یک لینک ساده در بخش دیدگاه ها، می تواند آن را تأیید، حذف یا اسپم کند. اگر پینگ بک تأیید شود، در بخش دیدگاه ها نمایش داده می شود.

در بیشتر موارد ، پینگ بک خلاصه ای از نوشته مورد نظر را در بر نمی گیرد ، البته این بستگی به قالبی دارد که سایت از آن استفاده می کند. به عنوان مثال قالب های پیش فرض وردپرس خلاصه ای از نوشته را نشان نمی دهند و پینگ بک فقط به صورت یک لینک ظاهر می شود.

source

خودمانی بگوئیم، فرض کنید شما یک وبسایت دارید و می خواهید با استفاده از اکانت خودتان در زیر یکی از پست های دوناوب کامنت ارسال کنید و قصد دارید تا به کاربران خودتان نشان دهید که برای ما چه کامنتی گذاشته اید.

حال شما باید یک پست در سایت خودتان بنویسید و با استفاده از ترک بک آن را برای پست وبلاگ ما ارسال کنید.

حالا ما این درخواست شما را خواهیم دید و اینکه این پست شما را به عنوان یک دیدگاه در سایت خودمان نشان دهیم یا خیر به عهده ماست. در واقع هدف بازتاب ارتباطی بین وبسایت ما و شماست.

در مورد پینگ بک فرض کنید شما یک پست در سایت خودتان معرفی کرده اید و یکی از پست های سایت دوناوب را در آن لینک کرده اید. حالا اگر قابلیت پینگ بک در سایت ما و شما فعال باشد، این موضوع به دوناوب اطلاع داده شده و برای شما هم یک پینگ بک ارسال می شود که باید درست بودن این قضیه را تایید کنید.

اگر این لینک دهی از طرف هر دو سایت تایید شود، در سایت ما یعنی دوناوب، یک کامنت قرار میگیرد مبنی بر اینکه شما در پست خود به پست ما لینک داده اید.

9 درصد تخفیف ویژه با کد معرف زیر
mwh-683cc

اگرچه Trackpack و Pingback تقریبا کار یکسانی انجام می دهند، اما رویکرد متفاوتی دارند.

به این صورت که ترک بک ها به صورت دستی انجام می شوند اما پینگ بگ ها نیازی به لینک دهی دستی ندارند و خودکار هستند.

تفاوت دیگر اینکه ترک بک به همراه یک قسمت از محتوا برای کاربر نمایش داده می شود اما پینپ بک هیچ محتوایی ارائه نمی کند.

XMLRPC چیست؟

همینطور که کاربران موبایلی روز به روز در حال بیشتر و بیشتر شدن بودند احساس نیاز به استفاده از سرویس‌هایی که از طریق آن بتوان سایت وردپرسی را مدیریت کرد بیشتر شد تا اینکه درست از نسخه 3.5 وردپرس تیم توسعه دهنده وردپرس بعد از قابل اطمینان دانستن این پروتکل امکان فعال کردن و یا غیرفعال کردن xml-rpc وردپرس را از منوی پیشخوان وردپرس برداشت. پروتکل xml-rpc وردپرس این امکان را به شما خواهد داد که از طریق این پروتکل امکان اتصال انواع سرویس‌هایی مثل IFTTT، نرم‌افزارهای مدیریت سایت وردپرس در محیط ویندوز یا سیستم عامل اندروید و… را فراهم کنید تا دسترسی و کنترل بر روی سایت از طریق این پروتکل که در بستر http ارائه میشود فراهم شود.

پس تا اینجای کار متوجه شدید که xml-rpc وردپرس در واقع یک راه برای ایجاد ارتباط سایت با سرویس‌هایی است که از طریق اون بتونید تا اقدام به مدیریت سایت کرده و امکان مدیریت نوشته ها در وردپرس، مدیریت تنظیمات سایت و… را بسته به امکاناتی که بر روی سرویس مورد نظر ارائه شده است فعال کنید.

source

XML-RPC یک ویژگی وردپرس است که امکان انتقال داده ها را فراهم می کند، این مورد با استفاده از پروتکل HTTP به عنوان مکانیزم حمل و نقل و از XML به عنوان مکانیزم کدگذاری استفاده می نماید. از آنجا که وردپرس یک سیستم مستقل نیست و گاهی اوقات نیازمند برقراری ارتباط با دیگر سیستم ها است، این سیستم به دنبال آن ایجاد شده است.

به عنوان مثال، شما می خواهید از دستگاه تلفن همراه خود اقدام به ارسال یک پست در سایت وردپرسی خود نمایید، زیرا کامپیوتر خود را نمی توانید با خود حمل نمایید و یا به آن دسترسی ندارید. شما می توانید از قابلیت دسترسی از راه دور که توسط فایل xmlrpc.php در وردپرس فعال شده است برای انجام این کار استفاده نمایید.

ویژگی هایی در فایل xmlrpc.php فعال شده است تا به شما امکان اتصال به سایت را از طریق گوشی هوشمند، پیاده سازی Trackbacks و Pingbacks از سایر سایت ها و برخی از توابع مرتبط با پلاگینی مانند Jetpack را می دهد.

پنل پیامکی پیشرفته

source

خوب برگردیم به ادامه آموزش امنیت کامل وردپرس. برای غیرفعال سازی قابلیت های PingBack، Trackback و  همچنین غیرفعال سازی XMLRPC  دو گزینه تعبیه شده است:

گزینه اول: قطع کامل ویژگی XMLRPC

در توضیحات این ویژگی آمده:

نکته مهم اینکه در صورت استفاده از اپ های موبایل مرتبط با وبسایت، یا استفاده از افزونه Jetpack، نباید این قابلیت را غیرفعال کنید.

در جعبه بعدی از تنظیمات با عنوان “مسدودسازی دسترسی به رفع اشکال گزارش پرونده”، می توانید دسترسی به فایل debug.log را کاملا غیرفعال کنید.

در توضیحات این ویژگی آمده:

قسمت دستورهای اضافی دیواره آتش

در توضیحات این قسمت آمده:

اولین جعبه تحت عنوان “فهرست کردن محتوای دایرکتوری” است. در توضیحات این بخش آمده:

اگر در هر پوشه از سایت خود (یا هر دایرکتوری) فایل index.html یا index.php نداشته باشید، سرور آپاچی تمام فایل های موجود در آن دایرکتوری را لیست می کند که کاملا قابل دسترس هر فردی خواهند بود. به منظور جلوگیری از این امر، فعال سازی این قابلیت کاملا الزامی است. کافیست تیک مربوط به آن را بزنید.

در دومین جعبه، بخشی تحت عنوان ردیابی و رهگیری قرار دارد. در توضیحات این قسمت آمده:

فرستادن دیدگاه از راه پراکسی

در توضیحات این بخش آمده:

در این حالت در صورت استفاده از VPN امکان ارسال هر نوع درخواستی از جمله ارسال کامنت، ثبت نام و… غیرفعال می شود.

تنظیمات Bad Query Strings

در توضیحات این ویژگی آمده:

فیلتر پیشرفته رشته های کاراکتری

در توضیحات این قسمت آمده:

نکته: فایل های خودتان از جمله تصاویر، ویدئو ها و فایل ها را با کاراکترهای فارسی نام گذاری نکنید.

دستورهای دیوار آتش لیست سیاه 6G

در توضیحات این بخش آمده:

نسخه 6G نسخه بهبود یافته و به روز 5G است.

لیست سیاه 6G یک لیست‌ سیاه ساده و انعطاف‌پذیر است که تعداد درخواست‌های خرابکارانه URL به سایت شما را کاهش می‌دهد.

مزیت استفاده از دیوارآتش 6G این است که این دیوار آتش توسط اعضای سایت PerishablePress.com آزمایش و تأیید شده که بهینه‌ترین تنظیمات امنیتی را به سایت‌های وردپرس روی سِرور Apache می‌دهد.

بنابراین دستورهای 6G نبایستی روی کارکرد عمومی سایت شما تأثیر بگذارد. اما اگر شما بخواهید، پیش از ادامه دادن می‌توانید یک backup از فایل .htaccess فعلی خود بگیرید.

تیک اول مربوط به فعال سازی قابلیت 6G است. در توضیحات آمده:

این تنظیم مکانیسم های حفاظت از دیوار آتش 6G را در سایت شما پیاده سازی می کند که شامل موارد زیر است:

1. مسدودسازی کارکترهای غیرمجازی که معمولا در حملات سودجویانه استفاده می‌شوند.
2. مسدود سازی کارکترهای URL رمزگذاری شده مانند رشته “css.” .
3. حفاظت در برابر الگوهای معمول و سوء استفاده های خاص در ریشه URLها.
4. متوقف کردن مهاجمان از دستکاری رشته‌های Query با ممانعت از کارکترهای غیرمجاز.

و بسیاری دیگر… تیک دوم فعال سازی قابلیت 5G است که در صورت نیاز می توانید آن را هم فعال کنید

ربات های اینترنتی

نکته مهم: این ویژگی ممکن است مانع از ایندکس صفحات توسط گوگل و حذف نتایج شما از صفحات گوگل شود. پیشنهاد می شود پس از فعال سازی این ویژگی در سرچ کنسول Live Test URL انجام دهید و در صورتی که صفحات شما ایندکس نشد، این ویژگی را غیرفعال کنید.

توجه: گاهی اوقات ممکن است سازمان اینترنت غیرمخرب ربات هایی را بجای “ربات گوگل” جا بزند.

دقت داشته باشید که اگر این ویژگی را فعال کنید افزونه همه‌ی ربات هایی که رشته “ربات گوگل” را در اطلاعات عامل کاربری خود دارند اما از سمت گوگل نیستند را قفل می کند.

همه‌ی ربات های دیگر مانند یاهو،بینگ و غیره تحت تاثیر این ویژگی قرار نمی گیرند.

این ویژگی بررسی می کند اگر عامل کاربری اطلاعات ربات شامل مقادیر رشته ای “ربات گوگل” باشد.

پس از چند آزمایش برای بررسی ربات که آیا از سوی گوگل است اگر پذیرفته شود اجازه ادامه فعالیت پیدا می کند.

اگر ربات نتواند بررسی کند آن‌گاه افزونه آن را بعنوان ربات تقلبی گوگل درنظر می گیرد و قفلش می کند.

جلوگیری از پیوند های داغ Hotlinks

هات لینک به این معنی است که کسی عکس سایت شما را در سایت خود با استفاده از لینک سایت شما نمایش می دهد و از منابع سرور شما استفاده می کند.

تصویری که نمایش داده می شود در سایت دیگر از سمت سرور شما می باشد، این باعث می شود پهنای باند و منابع هاست شما بیشتر درگیر شود.

این ویژگی باعث می شود تا کدهایی مستقیما داخل .htaccess هاست شما نوشته شود تا کسی نتواند از منابع هاست شما در سایت خود استفاده کند.

تشخیص خطای 404

خطای ۴۰۴ و یا یافت نشد وقتی اتفاق می افتد که شخصی تلاش کند به‌صفحه‌ای از سایت که وجود ندارد مراجعه کند.

معمولا بیشتر خطاهای ۴۰۴ مربوط به افرادی میشود که یا آدرس سایت را درست وارد نکرده اند و یا از پیوندهای قدیمی که اکنون وجود ندارد استفاده می کنند.

هرچند در برخی موارد ممکن است با خطاهای ۴۰۴ تکراری در زمانی کوتاه مواجه شوید از آدرس آی پی یکسان که همه‌ی آن ها می خواهد به صفحه‌ای که وجود ندارد مراجعه کند.

این اعمال به این معنی می تواند باشد که هکر ممکن است تلاش کند صفحات و یا آدرس هایی از سایت را برای اهداف شوم خود پیدا کند.

این ویژگی به شما امکان نظارت کامل بر همه رویدادهای ۴۰۴ را می دهد، و گزینه ای برای قفل کردن آی پی های مورد نظر برای مدت زمان مشخص.

اگر میخواهید آدرس آی پی را بطور موقت قفل کنید،روی “قفل موقت” در لینک ورودی های آدرس آی پی “گزارش خطای ۴۰۴” در جدول زیر کلیک کنید.

در این بخش تنظیماتی برای کنترل خطاهای 40 وجود دارد.

اولین گزینه فعال سازی رهگیری Ipهای 404 و مسدود سازی آن ها است. با این کار IP هایی که تعداد زیادی خطای 404 ایجاد و سرور را درگیر می کنند شناسایی می شوند.

وقتی این کادر تأیید را فعال می کنید ، تمام رویدادهای 404 سایت شما در جدول زیر وارد می شوند. می توانید این رویدادها را کنترل کرده و برخی از آدرس های IP ذکر شده در جدول زیر را انتخاب کرده و آنها را برای مدت زمان مشخصی مسدود کنید. تمام آدرس های IP که برای مسدود شدن در قسمت جدول “گزارش رویدادهای 404” مسدود شده را انتخاب می کنید ، در مدت زمان مشخص شده نمی توانند به سایت شما دسترسی داشته باشند.

در ادامه فیلدی برای بازه زمانی قفل IP ها وجود دارد. به این صورت که اگر کاربری خطاهای 404 زیادی تولید کند برای مدت مشخصی در مسدودی IP قرار می گیرد.

می توانید هر آدرس آی پی که ثبت شده در بخش رویدادهای خطای ۴۰۴ در جدول زیر را قفل کنید.

در فیلد بعدی می توانید آدرسی را وارد نمائید تا در صورت قفل IP کاربر خاطی به آن آدرس منتقل شود

در بخش بعدی از تنظیمات 404، لیستی از تمام خطاهای 404 ارائه شده است.

در بخش بعدی می توانید از تمامی خطاها خروجی CSV تولید و دانلود کنید.

در بخش بعدی می توانید به صورت یکجا تمام گزارشات 404 را حذف کنید.

قوانین سفارشی

در این بخش می توانید قوانین سفارشی خودتان را اضافه نمائید.

این ویژگی می تواند قوانین و دستورات سفارشی .htaccess شما را اعمال کند.

این مناسب است برای وقتی که شما می خواهید قوانین موجود در دیواره آتشین را بهینه کنید یا وقتی که می خواهید قوانین خود را اضافه کنید.

توجه: این ویژگی زمانی می شود استفاده کرد که میزبانی وب شما در آپاچی و یا وب سرورهای همانند آن باشد.

اخطار: تنها وقتی که اطلاع کامل از آن دارید از این ویژگی استفاده کنید.

قوانین و دستورات نادرست .htaccess می تواند باعث عدم دسترسی به سایت شما شود.

این به عهده شما می باشد که مطمئن شوید کدهای درستی را وارد کرده اید!

اگر دسترسی شما به سایت قطع شد باید از طریق FTP یا طرق دیگر به فایل .htaccess دسترسی پیدا کرده و موارد داخل آن را ویرایش و یا تغییر دهید.

اولین تیک در تنظمیات این بخش، فعال کردن قوانین سفارشی است. با فعال سازی این تیک می توانید قوانین خودتان را نوشته و در فایل htaacess وارد نمائید.

در صورتی که می خواهید قوانین سفارشی شما اولیت بالاتری نسبت به سایر قوانین ایجاد شده توسط سایر افزونه ها داشته باشد، تیک زیر را بزنید.

در ادامه می توانید قوانین سفارشی خودتان را بنویسید تا به فایل htaacess اضافه شود.

بخش سوم از آموزش افزونه “امنیت کامل وردپرس و دیواره آتش وردپرس” به پایان رسید.

مطالعه بخش اول و دوم از طریق لینک های زیر:

آموزش امنیت کامل و دیواره آتش وردپرس (بخش اول)

آموزش امنیت کامل و دیواره آتش وردپرس (بخش دوم)