امنیتافزونهامنیت وردپرسوردپرس

دیواره آتش وردپرس – بخش 3 آموزش افزونه امنیت کامل وردپرس

دیواره آتش وردپرس با افزونه امینیت کامل وردپرس کاملا در کنترل شماست. در دو مطلب قبلی، یعنی بخش اول آموزش افزونه امنیت کامل وردپرس و بخش دوم آموزش افزونه امنیت کامل وردپرس، نیمی از آموزش های این افزونه را به اتمام رساندیم. در این قسمت قصد داریم به سراغ بخش فایروال یا دیواره آتش وردپرس این افزونه برویم و با امکانات و تنظیمات آن آشنا شویم. با ما همراه باشید.

دیواره آتش وردپرس (FireWall)

در این قسمت تنظیمات امنیتی مربوط به دیواره آتش وبسایت شما قرار دارد. این بخش به 7 قسمت کلی تقسیم شده است:

تنظیمات بخش دیواره آتش افزونه ALL in One Security And FireWall
تنظیمات بخش دیواره آتش افزونه ALL in One Security And FireWall
  • دستورهای پایه دیوار آتش: تنظیمات پایه مربوط به دیواره آتش وردپرس
  • دستورهای اضافی دیوار آتش: تنظیمات تکمیلی مرتبط با دیواره آتش
  • دستورهای دیواره آتش لیست سیاه 6G: این ویژگی به شما امکان به کارگیری لایه حفاظتی 6G (یا قدیمی 5G) را می‌دهد که توسط Perishable Press طراحی و توسعه داده شده است.
  • ربات های اینترنتی: مسدود سازی ربات های مزاحم یا فیک
  • جلوگیری از پیوندهای داغ Hotlinks: جلوگیری از نمایش منابع و تصاویر و فایل های سایت شما در وبسایت های دیگر
  • تشخیص خطای 404: ارائه لیستی از آخرین خطاهای 404 و تنظیم قفل برای درخواست های 404 مکرر کاربر
  • قوانین 404 سفارشی: در صورتی که می خواهید قوانینی به فایل htaacess اضافه نمائید می توانید از این بخش اقدام کنید

دستورهای پایه دیواره آتش وردپرس

در توضیحات این بخش آمده:

ویژگی های این برگه به شما این امکان را می دهد که برخی از قوانین حفاظت امنیتی دیواره آتش وردپرس را برای سایت خود فعال کنید.

کارایی دیوارآتش از راه وارد کردن کدهای ویژه در فایل .htaccess شما به دست می آید.

این کار نباید هیچ‌گونه آسیبی به کارایی سایت شما وارد کند اما شما اگر بخواهید می توانید یک backup از فایل .htaccess خود بگیرید.

در اولین جعبه تنظیمات با عنوان “تنظیمات پایه دیوار آتش” می توانید این قابلیت کلی را فعال کنید. با زدن این تیک تمام قوانین مربوط به دیواره آتش وردپرس فعال می شود (هر تنظیمی که بعدا فعال کنید یا قبلا فعال کرده اید تنها با زدن این تیک اعمال می شوند)

فعال کردن دیواره آتش
فعال کردن دیواره آتش وردپرس

این تنظیم ساز و کارهای محفاظت زیر را در سایت شما به کار می گیرد:

  1. حفاظت از فایل .htaccess به وسیله جلوگیری از دسترسی به آن.
  2. از کار انداختن امضای سرور (server signature)
  3. محدود کردن حجم قابل آپلود (۱۰ مگابایت)
  4. حفاظت از فایل wp-config.php به وسیله جلوگیری از دسترسی به آن.

حفاظت های بالا از راه فایل .htaccess شما به کار گرفته می شود و نبایستی به کارایی سایت شما آسیب بزند.

هنوز هم به شما سفارش می‌شود از فایل .htaccess خود پشتیبان بگیرید.

Aqaye Pardakht

نکته: امضای سرور هویت عمومی وب سرور شما است و حاوی اطلاعات حساسی است که می تواند برای سوء استفاده از هر آسیب پذیری شناخته شده مورد استفاده قرار گیرد. درواقع این قابلیت، شناسنامه سرور شما در ارائه و دریافت درخواست های HTTP است. خاموش کردن امضای سرور یک اقدام امنیتی خوب برای جلوگیری از افشای نسخه های نرم افزاری است که اجرا می کنید.

به صورت پیش فرض محدودیت 10مگابایتی برای آپلود فایل ها در وردپرس وجود دارد. در صورت نیاز می توانید مقدار آن را کاهش یا افزایش دهید.

تعیین محدودیت حجم مجاز آپلود
تعیین محدودیت حجم مجاز آپلود

در جعبه بعدی، با عنوان ” حفاظت آسی پذیری Pingback وردپرس”، تنظیمات مرتبط با XMLRPC و قابلیت پینگ بک وردپرس را در اختیار دارید.

قبل از ادامه بحث اجازه دهید تا با مفهوم Pingback و Trackback آشنا شویم.

Pingback و Trackpack چیست؟

 Pingback در وردپرس قابلیتی است که اگر در مطلب شما لینک به صفحه یا سایت دیگری وجود داشته باشد هاست وردپرس یک پینگ به آن سایت یا صفحه ارسال میکند و اشاره شما به آن سایت یا صفحه به صورت یک کامنت در آن سایت ایجاد میشود. البته این اتفاق در صورتی که روی سایت شما و سایت لینک شده قابلیت پینگ بک (Pingback) فعال شده باشد اتفاق می افتد.

source

ترک ‌بک‌ها امکان برقراری ارتباط میان وب‌سایت‌ها را برای وبلاگ‌نویسان فراهم می‌آورند. دقیقا مشابه شخصی است که به دیگری می‌گوید ” این چیزی است که ممکن است از آن خوشتان بیاید.”

در اینجا نحوه عملکرد Trackback در وردپرس مطرح شده است:

ما در وبلاگ خود پستی را می‌نویسیم.

شما قصد دارید برای پست‌ ما کامنتی بنویسید که خوانندگان خودتان نیز بتوانند آن را بخوانند و برای آن کامنت بنویسند.

سپس شما می‌توانید پستی را در وبلاگ خود بنویسید و به پست وبلاگ ما ارسال نمایید. (به طور پیش فرض، وردپرس به شما اجازه ارسال ترک بک‌های دستی را در هنگام نوشتن پست وبلاگ نخواهد داد).

ما ترک‌ بک شما را دریافت می‌کنیم و تصمیم می‌گیریم که آن را به عنوان کامنت نمایش دهیم یا خیر. در کامنت عنوان، گزیده و پیوندی برای پست وبلاگ شما نمایش داده خواهد شد.

source

Trackback  اعلانی است که وردپرس هنگام پیوند دادن به یک سایت خارجی در محتوای خود، برای آن ارسال می کند. بگذارید بگوییم که شما به تازگی یک پست وبلاگ جدید در مورد نکات آموزشی وردپرس منتشر کرده اید که شامل پیوندی به وب سایت دیگری است که شامل برخی توصیه های خوب برای خوانندگان شما است.

در این سناریو، می توانید  “ping” پیگیری را به آن سایت ارسال کنید (بعضا حتی برای جلب توجه مالک سایت مقصد). سپس آن شخص می تواند پیگیری را تایید کند که می تواند بخشی از پست شما و پیوند به سایت شما را در بخش نظرات خود نمایش دهد.

source

ترک بک اعلانی است که وردپرس به یک سایت خارجی، هنگامی که شما در محتوای خود به آن لینک می دهید، ارسال می کند. ترک بک حتی اگر لینک مستقیم به مطلب نداده باشید نیز می تواند ارسال شود. مانند منابعی که در پایان یک مقاله علمی یا یک فصل از کتاب درسی معرفی می شوند.

فرض کنید یک نوشته جدید در سایت خود منتشر کرده اید که سایت دیگری نیز در مورد آن مطلب کاملی منتشر کرده است و شما در نوشته خود به آن مطلب لینک داده اید.

در این سناریو، برای اطلاع دادن به نویسنده آن مطلب، می توانید یک ترک بک را به آن سایت ارسال کنید. آن شخص می تواند ترک بک را تأیید کند. پس از تأیید، گزیده ای از نوشته شما و لینکی به سایت شما در بخش دیدگاه آن سایت نمایش داده می شود.

پینگ بک همان ترک بک است که به صورت خودکار ارسال می شود. در حقیقت، Pingback به این منظور ساخته شده است که برخی مشکلات تکنیک ترک بک را برطرف کرده و نسخه بهتری از آن ایجاد کند.

ترک بک ها به صورت دستی ارسال می شوند اما پینگ بک ها خودکار هستند.

 فرض کنید پینگ بک ها را روی سایت خود راه اندازی کرده اید و نوشته ای را منتشر می کنید که لینکی به یک سایت خارجی دارد. در این حالت، به محض انتشار مقاله، یک پینگ بک به سایتی که به آن لینک داده اید، ارسال می شود.

سایت گیرنده قبل از نمایش آن به عنوان یک لینک ساده در بخش دیدگاه ها، می تواند آن را تأیید، حذف یا اسپم کند. اگر پینگ بک تأیید شود، در بخش دیدگاه ها نمایش داده می شود.

در بیشتر موارد ، پینگ بک خلاصه ای از نوشته مورد نظر را در بر نمی گیرد ، البته این بستگی به قالبی دارد که سایت از آن استفاده می کند. به عنوان مثال قالب های پیش فرض وردپرس خلاصه ای از نوشته را نشان نمی دهند و پینگ بک فقط به صورت یک لینک ظاهر می شود.

source

خودمانی بگوئیم، فرض کنید شما یک وبسایت دارید و می خواهید با استفاده از اکانت خودتان در زیر یکی از پست های دوناوب کامنت ارسال کنید و قصد دارید تا به کاربران خودتان نشان دهید که برای ما چه کامنتی گذاشته اید.

حال شما باید یک پست در سایت خودتان بنویسید و با استفاده از ترک بک آن را برای پست وبلاگ ما ارسال کنید.

حالا ما این درخواست شما را خواهیم دید و اینکه این پست شما را به عنوان یک دیدگاه در سایت خودمان نشان دهیم یا خیر به عهده ماست. در واقع هدف بازتاب ارتباطی بین وبسایت ما و شماست.

در مورد پینگ بک فرض کنید شما یک پست در سایت خودتان معرفی کرده اید و یکی از پست های سایت دوناوب را در آن لینک کرده اید. حالا اگر قابلیت پینگ بک در سایت ما و شما فعال باشد، این موضوع به دوناوب اطلاع داده شده و برای شما هم یک پینگ بک ارسال می شود که باید درست بودن این قضیه را تایید کنید.

اگر این لینک دهی از طرف هر دو سایت تایید شود، در سایت ما یعنی دوناوب، یک کامنت قرار میگیرد مبنی بر اینکه شما در پست خود به پست ما لینک داده اید.

اگرچه Trackpack و Pingback تقریبا کار یکسانی انجام می دهند، اما رویکرد متفاوتی دارند.

به این صورت که ترک بک ها به صورت دستی انجام می شوند اما پینگ بگ ها نیازی به لینک دهی دستی ندارند و خودکار هستند.

تفاوت دیگر اینکه ترک بک به همراه یک قسمت از محتوا برای کاربر نمایش داده می شود اما پینپ بک هیچ محتوایی ارائه نمی کند.

XMLRPC چیست؟

همینطور که کاربران موبایلی روز به روز در حال بیشتر و بیشتر شدن بودند احساس نیاز به استفاده از سرویس‌هایی که از طریق آن بتوان سایت وردپرسی را مدیریت کرد بیشتر شد تا اینکه درست از نسخه 3.5 وردپرس تیم توسعه دهنده وردپرس بعد از قابل اطمینان دانستن این پروتکل امکان فعال کردن و یا غیرفعال کردن xml-rpc وردپرس را از منوی پیشخوان وردپرس برداشت. پروتکل xml-rpc وردپرس این امکان را به شما خواهد داد که از طریق این پروتکل امکان اتصال انواع سرویس‌هایی مثل IFTTT، نرم‌افزارهای مدیریت سایت وردپرس در محیط ویندوز یا سیستم عامل اندروید و… را فراهم کنید تا دسترسی و کنترل بر روی سایت از طریق این پروتکل که در بستر http ارائه میشود فراهم شود.

پس تا اینجای کار متوجه شدید که xml-rpc وردپرس در واقع یک راه برای ایجاد ارتباط سایت با سرویس‌هایی است که از طریق اون بتونید تا اقدام به مدیریت سایت کرده و امکان مدیریت نوشته ها در وردپرس، مدیریت تنظیمات سایت و… را بسته به امکاناتی که بر روی سرویس مورد نظر ارائه شده است فعال کنید.

source

XML-RPC یک ویژگی وردپرس است که امکان انتقال داده ها را فراهم می کند، این مورد با استفاده از پروتکل HTTP به عنوان مکانیزم حمل و نقل و از XML به عنوان مکانیزم کدگذاری استفاده می نماید. از آنجا که وردپرس یک سیستم مستقل نیست و گاهی اوقات نیازمند برقراری ارتباط با دیگر سیستم ها است، این سیستم به دنبال آن ایجاد شده است.

به عنوان مثال، شما می خواهید از دستگاه تلفن همراه خود اقدام به ارسال یک پست در سایت وردپرسی خود نمایید، زیرا کامپیوتر خود را نمی توانید با خود حمل نمایید و یا به آن دسترسی ندارید. شما می توانید از قابلیت دسترسی از راه دور که توسط فایل xmlrpc.php در وردپرس فعال شده است برای انجام این کار استفاده نمایید.

ویژگی هایی در فایل xmlrpc.php فعال شده است تا به شما امکان اتصال به سایت را از طریق گوشی هوشمند، پیاده سازی Trackbacks و Pingbacks از سایر سایت ها و برخی از توابع مرتبط با پلاگینی مانند Jetpack را می دهد.

source

خوب برگردیم به ادامه آموزش امنیت کامل وردپرس. برای غیرفعال سازی قابلیت های PingBack، Trackback و  همچنین غیرفعال سازی XMLRPC  دو گزینه تعبیه شده است:

گزینه اول: قطع کامل ویژگی XMLRPC

غیرفعال سازی XML RPC
غیرفعال سازی XML RPC

در توضیحات این ویژگی آمده:

این تنظیم یک دستور‌دهنده (directive) در پرونده.htaceess  شما وارد می‌کند. این دستوردهنده دسترسی به فایل xmlrpc.php  وردپرس را قطع می‌کند.این فایل مسئولیت کارایی‌هایXML-RPC  مانند pingback را برعهده دارد.

هکرها می‌توانند از آسیب‌پذیری های مختلف Pingback در XML-RPC API وردپرس استفاده کنند. تعدادی از این راه‌ها در زیر نوشته شده:

  1. حمله‌های رد سرویس (DoS)
  2. هک کردن مسیریاب های داخلی.
  3. اسکن پورت‌ها در شبکه‌های داخلی؛برای بدست آوردن اطلاعات از هاست‌های مختلف.

جدا از مسئله امنیتی، این ویژگی فشار روی سِرور شما را کم می‌کند؛ چنانچه سایت شما در حال حاضر دارای حجم بزرگی از ترافیک‌ ناخواسته است ( که بوسیله XML-RPC API بوجود می‎‌آید).

توجه: چنانچه شما از قابلیت XML-RPC استفاده می‌کنید، نباید این ویژگی را فعال کنید.

اگر نمی خواهید کل قابلیت XMLRPC را غیرفعال کنید و تنها می خواهید قابلیت Pingback را غیرفعال نمائید، کافیت تا این تیک را به حال خود رها و تیک زیر را بزنید.

غیرفعال سازی pingback
غیرفعال سازی pingback

نکته مهم اینکه در صورت استفاده از اپ های موبایل مرتبط با وبسایت، یا استفاده از افزونه Jetpack، نباید این قابلیت را غیرفعال کنید.

در جعبه بعدی از تنظیمات با عنوان “مسدودسازی دسترسی به رفع اشکال گزارش پرونده”، می توانید دسترسی به فایل debug.log را کاملا غیرفعال کنید.

مسدود سازی دسترسی به فایل گزارش عیب یابی
مسدود سازی دسترسی به فایل گزارش عیب یابی

در توضیحات این ویژگی آمده:

وردپرس گزینه ای برای روشن کردن رویداد اشکال‌زدایی در پرونده ای در wp-content/debug.log دارد. این پرونده ممکن است شامل اطلاعات حساسی باشد.

استفاده از این گزینه باعث مسدود کردن دسترسی خارجی به این پرونده می شود. شما می توانید برای دسترسی به این پرونده از طریق FTP سایت اقدام کنید

قسمت دستورهای اضافی دیواره آتش

در توضیحات این قسمت آمده:

این ویژگی به شما امکان فعال‌سازی تنظیمات پیشرفته دیوارآتش را می دهد.

ویژگی‌های پیشرفته دیوارآتش از راه وارد کردن کدهای مخصوص در فایل .htaccess شما، به کار گرفته می‌شود.

با توجه به ماهیت کدهایی که در فایل .htaccess وارد می‌شود، این ویژگی ممکن است کارکرد بعضی از افزونه‌ها را مختل کند. از این رو به شما سفارش می‌شود حتما قبل از به کارگیری این ویژگی، یک backup تهیه نمائید.

اولین جعبه تحت عنوان “فهرست کردن محتوای دایرکتوری” است. در توضیحات این بخش آمده:

اولین جعبه تحت عنوان “فهرست کردن محتوای دایرکتوری” است. در توضیحات این بخش آمده:

به صورت پیش‌فرض، سرور آپاچی اجازه فهرست کردن محتوای یک دایرکتوری را می‌دهد.(در صورت نبودن فایل index.php در آن دایرکتوری)

این ویژگی امکان فهرست کردن محتوا را برای تمام دایرکتوری‌ها غیرفعال می‌کند.

توجه: برای استفاده از این ویژگی”اجازه باطل کردن”دستورات فهرستی باید در پرونده httpd.conf فعال شود. از میزبان سایت خود بپرسید اگر به پرونده httpd.conf دسترسی ندارید.

اگر در هر پوشه از سایت خود (یا هر دایرکتوری) فایل index.html یا index.php نداشته باشید، سرور آپاچی تمام فایل های موجود در آن دایرکتوری را لیست می کند که کاملا قابل دسترس هر فردی خواهند بود. به منظور جلوگیری از این امر، فعال سازی این قابلیت کاملا الزامی است. کافیست تیک مربوط به آن را بزنید.

جلوگیری از فهرست کردن محتوای دایرکتوری
جلوگیری از فهرست کردن محتوای دایرکتوری

در دومین جعبه، بخشی تحت عنوان ردیابی و رهگیری قرار دارد. در توضیحات این قسمت آمده:

 حمله ردیابی HTTP یا XST می‌تواند برای بازگرداندن درخواست‌های Header و گرفتن کوکی ها و دیگر اطلاعات استفاده شود.

این تکنیک هک کردن معمولا همراه با حمله‌های برنامه نویسی متقابل سایت (XSS) استفاده می‌شود. از کار انداختن ردیابی و رهگیری روی سایت شما از بروز حملات ردیابی HTTP جلوگیری می‌کند

غیرفعال کردن ردیابی و رهگیری
غیرفعال کردن ردیابی و رهگیری

فرستادن دیدگاه از راه پراکسی

در توضیحات این بخش آمده:

همه درخواست‌های فرستادن دیدگاه که هنگام فرستادن از یک پراکسی سِرور استفاده می‌کنند، توسط این تنظیم رد می‌شوند.

با ممنوع کردن فرستادن دیدگاه از راه پراکسی، در عمل شما جلوی بسیاری از SPAMها و سایر درخواست‌های پراکسی را می‌گیرید.

در این حالت در صورت استفاده از VPN امکان ارسال هر نوع درخواستی از جمله ارسال کامنت، ثبت نام و… غیرفعال می شود.

مسدود سازی دیدگاه از طریق پروکسی
مسدود سازی دیدگاه از طریق پروکسی

تنظیمات Bad Query Strings

در توضیحات این ویژگی آمده:

این ویژگی دستورهایی در فایل .htaccess شما وارد می‌کند که جلوی حملات رشته‌های خراب‌کارانه XSS را می‌گیرد.

توجه: بعضی از این رشته‌ها ممکن است برای افزونه‌ها و پوسته‌ها استفاده شوند بنابراین این ویژگی ممکن است برخی از کارکردها را مختل کند.

پس به شما شدیدا سفارش می‌شود قبل از به‌کارگیری این قابلیت یک فایل پشتیبان از .htaccess فعلی خود بگیرید.

مسدود سازی رشته های کوئری بد
مسدود سازی رشته های کوئری بد

فیلتر پیشرفته رشته های کاراکتری

در توضیحات این قسمت آمده:

این ویژگی یک فیلتر پیشرفته رشته‌های کارکتری است که برای جلوگیری از حملات خراب‌کارانه XSS به سایت شما، به کار می‌رود.

این ویژگی تنظیم الگوهای رشته‌ای که معمولا برای حمله به کار می‌روند شناسایی می‌کند و در صورت تلاش هکر برای دستیابی به اطلاعات خطای ۴۰۳ را به او نشان می‌دهد.

توجه: بعضی رشته‌ها برای این تنظیم ممکن است برخی از کارکردها را مختل کنند.

پس به شما شدیدا سفارش می‌شود قبل از به‌کارگیری این قابلیت یک فایل پشتیبان از .htaccess فعلی خود بگیرید.

نکته: فایل های خودتان از جمله تصاویر، ویدئو ها و فایل ها را با کاراکترهای فارسی نام گذاری نکنید.

دستورهای دیوار آتش لیست سیاه 6G

در توضیحات این بخش آمده:

این ویژگی به شما امکان به کارگیری لایه حفاظتی 6G یا (نسخه قدیمی آن 5G) را می‌دهد که توسط Perishable Press  طراحی و توسعه داده شده است.

نسخه 6G نسخه بهبود یافته و به روز 5G است.

لیست سیاه 6G یک لیست‌ سیاه ساده و انعطاف‌پذیر است که تعداد درخواست‌های خرابکارانه URL به سایت شما را کاهش می‌دهد.

مزیت استفاده از دیوارآتش 6G این است که این دیوار آتش توسط اعضای سایت PerishablePress.com آزمایش و تأیید شده که بهینه‌ترین تنظیمات امنیتی را به سایت‌های وردپرس روی سِرور Apache می‌دهد.

بنابراین دستورهای 6G نبایستی روی کارکرد عمومی سایت شما تأثیر بگذارد. اما اگر شما بخواهید، پیش از ادامه دادن می‌توانید یک backup از فایل .htaccess فعلی خود بگیرید.

لیست دیواره آتش 6G
لیست دیواره آتش 6G

تیک اول مربوط به فعال سازی قابلیت 6G است. در توضیحات آمده:

این تنظیم مکانیسم های حفاظت از دیوار آتش 6G را در سایت شما پیاده سازی می کند که شامل موارد زیر است:

  1. مسدودسازی کارکترهای غیرمجازی که معمولا در حملات سودجویانه استفاده می‌شوند.
  2. مسدود سازی کارکترهای URL رمزگذاری شده مانند رشته “css.” .
  3. حفاظت در برابر الگوهای معمول و سوء استفاده های خاص در ریشه URLها.
  4. متوقف کردن مهاجمان از دستکاری رشته‌های Query با ممانعت از کارکترهای غیرمجاز.

و بسیاری دیگر… تیک دوم فعال سازی قابلیت 5G است که در صورت نیاز می توانید آن را هم فعال کنید

ربات های اینترنتی

نکته مهم: این ویژگی ممکن است مانع از ایندکس صفحات توسط گوگل و حذف نتایج شما از صفحات گوگل شود. پیشنهاد می شود پس از فعال سازی این ویژگی در سرچ کنسول Live Test URL انجام دهید و در صورتی که صفحات شما ایندکس نشد، این ویژگی را غیرفعال کنید.

ربات اینترنتی چیست؟

ربات قطعه ای از نرم افزار است که در اینترنت در حال اجراست و دارای وظایف خودکاری می باشد. مانند وقتی که گوگل صفحات شما را فهرست می کند از ربات های خودکاری برای انجام این کار استفاده می نماید.

خیلی از ربات ها قانونی بوده و مخرب نیستند اماهمه ربات ها خوب نیستند.گاهی رباتی را می بینید که میخواهد خود را بجای “ربات گوگل” جابزند اما در واقع آن هیچ ربطی به گوگل ندارد.

اگرچه اقلب ربات ها بدون ضرر هستند. گاهی صاحبان سایت‌ها می خواهند کنترل بیشتری روی ربات‌هایی که اجازه ورود به سایت دارند داشته باشند.

این ویژگی به شما اجازه می دهد دسترسی ربات های گوگل تقلبی را مسدود کنید.

ربات‌های گوگل دارای هویت منحصربه فردی هستند که به آسانی قابل جعل کردن نیستند.این ویژگی باعث شناسایی هر ربات گوگل تقلبی شده و از دسترسی آن ها برای خواندن محتوای سایت شما جلوگیری می کند.

source

توجه: گاهی اوقات ممکن است سازمان اینترنت غیرمخرب ربات هایی را بجای “ربات گوگل” جا بزند.

دقت داشته باشید که اگر این ویژگی را فعال کنید افزونه همه‌ی ربات هایی که رشته “ربات گوگل” را در اطلاعات عامل کاربری خود دارند اما از سمت گوگل نیستند را قفل می کند.

همه‌ی ربات های دیگر مانند یاهو،بینگ و غیره تحت تاثیر این ویژگی قرار نمی گیرند.

مسدود سازی ربات های تقلبی گوگل
مسدود سازی ربات های تقلبی گوگل

این ویژگی بررسی می کند اگر عامل کاربری اطلاعات ربات شامل مقادیر رشته ای “ربات گوگل” باشد.

پس از چند آزمایش برای بررسی ربات که آیا از سوی گوگل است اگر پذیرفته شود اجازه ادامه فعالیت پیدا می کند.

اگر ربات نتواند بررسی کند آن‌گاه افزونه آن را بعنوان ربات تقلبی گوگل درنظر می گیرد و قفلش می کند.

جلوگیری از پیوند های داغ Hotlinks

هات لینک به این معنی است که کسی عکس سایت شما را در سایت خود با استفاده از لینک سایت شما نمایش می دهد و از منابع سرور شما استفاده می کند.

تصویری که نمایش داده می شود در سایت دیگر از سمت سرور شما می باشد، این باعث می شود پهنای باند و منابع هاست شما بیشتر درگیر شود.

این ویژگی باعث می شود تا کدهایی مستقیما داخل .htaccess هاست شما نوشته شود تا کسی نتواند از منابع هاست شما در سایت خود استفاده کند.

مسدودسازی پیوندهای داغ
مسدودسازی پیوندهای داغ

تشخیص خطای 404

خطای ۴۰۴ و یا یافت نشد وقتی اتفاق می افتد که شخصی تلاش کند به‌صفحه‌ای از سایت که وجود ندارد مراجعه کند.

معمولا بیشتر خطاهای ۴۰۴ مربوط به افرادی میشود که یا آدرس سایت را درست وارد نکرده اند و یا از پیوندهای قدیمی که اکنون وجود ندارد استفاده می کنند.

هرچند در برخی موارد ممکن است با خطاهای ۴۰۴ تکراری در زمانی کوتاه مواجه شوید از آدرس آی پی یکسان که همه‌ی آن ها می خواهد به صفحه‌ای که وجود ندارد مراجعه کند.

این اعمال به این معنی می تواند باشد که هکر ممکن است تلاش کند صفحات و یا آدرس هایی از سایت را برای اهداف شوم خود پیدا کند.

این ویژگی به شما امکان نظارت کامل بر همه رویدادهای ۴۰۴ را می دهد، و گزینه ای برای قفل کردن آی پی های مورد نظر برای مدت زمان مشخص.

اگر میخواهید آدرس آی پی را بطور موقت قفل کنید،روی “قفل موقت” در لینک ورودی های آدرس آی پی “گزارش خطای ۴۰۴” در جدول زیر کلیک کنید.

در این بخش تنظیماتی برای کنترل خطاهای 40 وجود دارد.

اولین گزینه فعال سازی رهگیری Ipهای 404 و مسدود سازی آن ها است. با این کار IP هایی که تعداد زیادی خطای 404 ایجاد و سرور را درگیر می کنند شناسایی می شوند.

وقتی این کادر تأیید را فعال می کنید ، تمام رویدادهای 404 سایت شما در جدول زیر وارد می شوند. می توانید این رویدادها را کنترل کرده و برخی از آدرس های IP ذکر شده در جدول زیر را انتخاب کرده و آنها را برای مدت زمان مشخصی مسدود کنید. تمام آدرس های IP که برای مسدود شدن در قسمت جدول “گزارش رویدادهای 404” مسدود شده را انتخاب می کنید ، در مدت زمان مشخص شده نمی توانند به سایت شما دسترسی داشته باشند.

در ادامه فیلدی برای بازه زمانی قفل IP ها وجود دارد. به این صورت که اگر کاربری خطاهای 404 زیادی تولید کند برای مدت مشخصی در مسدودی IP قرار می گیرد.

می توانید هر آدرس آی پی که ثبت شده در بخش رویدادهای خطای ۴۰۴ در جدول زیر را قفل کنید.

بازه زمانی قفل خطای 404
بازه زمانی قفل خطای 404

در فیلد بعدی می توانید آدرسی را وارد نمائید تا در صورت قفل IP کاربر خاطی به آن آدرس منتقل شود

تنظیم URL بازگشتی قفل 404
تنظیم URL بازگشتی قفل 404

در بخش بعدی از تنظیمات 404، لیستی از تمام خطاهای 404 ارائه شده است.

گزارش قفل 404
گزارش قفل 404

در بخش بعدی می توانید از تمامی خطاها خروجی CSV تولید و دانلود کنید.

خروجی خطاهای 404 به فایل CSV
خروجی خطاهای 404 به فایل CSV

در بخش بعدی می توانید به صورت یکجا تمام گزارشات 404 را حذف کنید.

حذف گزارش خطاهای 404
حذف گزارش خطاهای 404

قوانین سفارشی

در این بخش می توانید قوانین سفارشی خودتان را اضافه نمائید.

این ویژگی می تواند قوانین و دستورات سفارشی .htaccess شما را اعمال کند.

این مناسب است برای وقتی که شما می خواهید قوانین موجود در دیواره آتشین را بهینه کنید یا وقتی که می خواهید قوانین خود را اضافه کنید.

توجه: این ویژگی زمانی می شود استفاده کرد که میزبانی وب شما در آپاچی و یا وب سرورهای همانند آن باشد.

اخطار: تنها وقتی که اطلاع کامل از آن دارید از این ویژگی استفاده کنید.

قوانین و دستورات نادرست .htaccess می تواند باعث عدم دسترسی به سایت شما شود.

این به عهده شما می باشد که مطمئن شوید کدهای درستی را وارد کرده اید!

اگر دسترسی شما به سایت قطع شد باید از طریق FTP یا طرق دیگر به فایل .htaccess دسترسی پیدا کرده و موارد داخل آن را ویرایش و یا تغییر دهید.

اولین تیک در تنظمیات این بخش، فعال کردن قوانین سفارشی است. با فعال سازی این تیک می توانید قوانین خودتان را نوشته و در فایل htaacess وارد نمائید.

فعال سازی قوانین سفارشی htaacess
فعال سازی قوانین سفارشی htaacess

در صورتی که می خواهید قوانین سفارشی شما اولیت بالاتری نسبت به سایر قوانین ایجاد شده توسط سایر افزونه ها داشته باشد، تیک زیر را بزنید.

اولویت قوانین سفارشی
اولویت قوانین سفارشی

در ادامه می توانید قوانین سفارشی خودتان را بنویسید تا به فایل htaacess اضافه شود.

افزودن قوانین سفارشی به فایل htaccess
افزودن قوانین سفارشی به فایل htaccess

بخش سوم از آموزش افزونه “امنیت کامل وردپرس و دیواره آتش وردپرس” به پایان رسید.

مطالعه بخش اول و دوم از طریق لینک های زیر:

آموزش امنیت کامل و دیواره آتش وردپرس (بخش اول)

آموزش امنیت کامل و دیواره آتش وردپرس (بخش دوم)

نمایش بیشتر
میانگین امتیازات : 4.4/5 - تعداد امتیازات: 18 امتیاز
Aqaye Pardakht

رحمت ابراهیمیان قاجاری

دانش آموخته مهندسی برق و مدرس وب هستم. حتی قبل از اینکه وارد دانشگاه بشم، به برنامه نویسی علاقه مند شدم و از اون زمان تا الان، هرگز کدنویسی رو رها نکردم. چه به عنوان مدرس، و چه به عنوان یک برنامه نویس. دغدغه اشتغال و بهبود فضای کار و زندگی برای همه دانشجویانم رو دارم. به همین خاطر معتقدم بدون آموزش پروژه محور و اصولی، اشتغال پایدار و با درآمد خوب شکل نمی گیره. علاقمند به برنامه نویسی، تکنولوژی و توسعه مهارت های نرم و الان هم بنیان گذار مجموعه دوناوب هستم و با یه تیم خوب و پرانرژی روزهام رو می گذرونم.

دیدگاهتان را بنویسید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *

دکمه بازگشت به بالا