آیابایدامنیت وب سایت وردپرسی خودراارتقادهیم ؟
نخست باید دانست که جرا باید وب سایتمان امنیت داشته باشد؟دردنیای اینترنت وفضای مجازی هکرهای بسیاری درصدد بدست آوردن اطلاعات وب سایت های کوچک وبزرگ میباشند.مواردامنیتی برای هر وب سایتی یک امرضروری بوده وعدم رعایت واعمال آنها میتواند حفره های امنیتی بزرگی راایجادنموده ومنجربروز خسارات جبران ناپذیری شود.
امنیت واژه ای است که سالهاست برروی آن درتمامی موارد ازنرم افزار هاگرفته تا وب سایت هادرحال بررسی ورفع مشکلات امنیتی متخصصین درحال بررسی میباشند.مواردامنیتی بجهت جلوگیری ازنفوذ اشخاص غیرمجازبه حریم خصوصی واطلاعات مهم برای هر وب سایتی یکی ازضروریات ابتدایی میباشد که میبایست قبل ازهرچیزی به آن پرداخت.
دراین آموزش قصدداریم تاشما راباپلاگین معروفWP Better Securityکه نام جدید آن iThemes Security میباشد آشنا نماییم.
همان طورکه درقسمت اول ازآموزشهای تامین امنیت دروردپرس اشاره ی مختصری به این افزونه شد،کاربردبسیارزیادی درتامین امنیت وب سایت دارد.شمامیتوانید مواردامنیتی رابصورت دستی تماما اعمال نماییدولی این افزونه کار رابرای شما بسیار راحتترکرده ودرصورت اعطای دسترسی بجهت اعمال تنظیمات مربوطه به افزونه،تمامی مواردامنیتی بسیارسریع وآسان اعمال خواهند شد.درصورتی که تمامی اقدامات گفته شده درآموزش تامین امنیت وردپرس رااعمال نموده باشیدهم اکنون یک وب سایت قدرتمند وباامنیت بسیاربالاخواهید داشت.
والبته فراموش نشودکه استفاده ازاین افزونه میتواندگامی بلندترو قویتردرجهت ایجاد وب سایتی بسیارایمن خواهد بود.به بیان ساده تراقدامات امنیتی که درمجموعه آموزشهای امنیت دروردپرس برای شما کاربران معرفی شده است،مانندیک محافظ وب سایت شما رااحاطه کرده ودسترسی به مدیریت وب سایت راغیرممکن میسازد.برای مثال شخصی برای دسترسی به محیط مدیریت وب سایت وردپرسی شمامیبایست تاییدهویت گردد،ازپروتکت ایجادشده عبورکند،مسیرجدیدناحیه ی مدیریتی رابداند،اطلاعات نام کاربری وگذرواژه های بسیارپیچیده ی شما رابداندو …
هکرها همواره درپی یافتن حفره های قابل نفوذدر وب سایت ها میباشند.باگهای امنیتی موجود درسیستمهای مدیریت محتوای وب سایت هامیتوانداین راه رابرای هکرها سریعتربازنماید.پس دراولین نکته ی امنیتی همیشه بخاطر داشته باشید بروزرسانی وردپرس وافزونه هایتان یکی ازضروری ترین نکات امنیتی ودومین نکته رفع ضعف های امنیتی میباشد.ضعفهای امنیتی ازنام کاربری ساده ورایج،گذرواژه های قابل هک،پیشوند جداول معمول گرفته تاحملات Brute Force که میتوانندهمگی منجربه هک شدن وب سایت تان شوند.
توضیحاتی که داده شدفقط مختصری ازمسائل امنیتی بوده ومیبایست برای داشتن وب سایتی غیرقابل نفوذتمامی جوانب امنیتی وب سایت خودرادرنظرگرفته وتامین نمایید.
درادامه ی این آموزش شمارابااین افزونه ی قدرتمندآشنانموده ومواردی که برای هر وب سایت بامحتوای معمولی میبایست اعمال گردند رابه ترتیب توضیح خواهیم داد.
مرحله ی اول:نصب وفعالسازیiThemes Security
درابتدامیبایست افزونه ی iThemes Securityرابرروی وردپرس وب سایت خودنصب وفعال نمایید.به این منظورمیتوانید ازدوطریق اقدام نمایید:
- از وب سایت مرجع رسمی وردپرس ازطریق لینک زیرافزونه رادانلود نموده و برروی وردپرس خودفعال نمایید.
- روش دیگر به این صورت میباشدکه ازداخل مدیریت وردپرس وازقسمت افزونه ها آن رانصب وفعال نمایید.
به این منظور بصورت زیراقدام نمایید:
- وارد محیط مدیریت وردپرس وب سایت خودشوید.
- ازپنل سمت راست،قسمت افزونه ها،زیرمنوی افزودن راانتخاب نمایید.
- درنوارجستجو عبارتBetter Security راتایپ نمایید وکلیدEnter رافشاردهیدتاجستجو انجام شود.
- دراین مرحله لیستی ازمواردمطابق باعبارت موردجستجو برای شماظاهرمیگردد.گزینه ی اولiTheme Security (Formerly Better WP Security) میباشد،برروی دکمه ی «نصب» کلیک نمایید.
- پس ازاتمام مراحل نصب افزونه،برروی لینک «فعال سازی افزونه» کلیک نمایید.
- هم اکنون افزونه ی موردنظرشما نصب وآماده ی استفاده میباشد!
مرحله ی دوم:شروع به کاربا iThemes Security
پس ازفعالسازی این افزونه به منوهای مدیریت وردپرس شماگزینه ای تحت عنوانSecurity افزوده خواهدشد.
برای شروع بکارباافزونه یiThemes Security ازمنوی Security زیرمنویDashboard راانتخاب نمایید.
قبل ازورود به داشبوردباپنجره ای مطابق تصویرمواجه خواهیدشد که میتوانید به دوصورت اقدام نمایید:
- مواردامنیتی پیشنهادی رااعمال نمایید.این موارد بصورت مختصربصورت زیرمیباشند:
- Backup Your Site:جهت تهیه ی بکاپ ازدیتابیس وب سایت میباشد.
- Allow File Updates:اجازه ی دسترسی وویرایش فایلهای.htaccessوwp-config.phpبرای بعضی ازعملیاتها رامیخواهد.
- Secure Your Site:بااعمال این گزینه تمامی تنظیمات پیش فرض بجهت عدم اختلال درپلاگینها اعمال میگردد.
ترجیحا ازاین موارد عبورمیکنیم ودرادامه بصورت دستی آنها رابررسی ورفع مینماییم.
- برروی Dismissکلیک نمایید وبصورت دستی تمامی مواردامنیتی وب سایت خودرابررسی ورفع نمایید.
دراین مرحله واردمحیط داشبوردiThemes Securityخواهیدشد.درقسمت پایینترازصفحه ی داشبورد،بخشی تخت عنوان Security Statusوجود دارد.
دراین بخش میتوانیداقدامات امنیتی بااولویت بالا(High)،متوسط(Medium) وکم (Low) رابترتیب بارنگهای قرمز،زرد وآبی مشاهده نمایید.همان طورکه مشخص میباشد،مواردبااولویبت بالاحساس وضروری بوده ومیبایست حتما اعمال گردند.پس ازآن موارد بادرجه ی حساسیت متوسط ودرنهایت مواردکم اهمیتتر!
امابه این نکته نیزتوجه داشته باشیدکه برای وب سایت های مختلف اعمال تمامی این موارد میتواندضروری یاغیرضروری باشد.برای مثال دریک وب سایت معمولی نیازی به اعمال تمامی مواردنمیباشدولی برای یک وب سایت بزرگ ومهم اعمال آنهامیتواندبسیارمفید واقع شود.
نکته:تمامی این مواردامنیتی رامیبایست بانهایت دقت واطمینان اعمال نمایید.
درادامه به ترتیب موارد امنیتی وب سایت وردپرسی خودراتامین خواهیم کرد.باماهمراه باشید!
موارد با اولویت بالاHigh Level
- The admin user still exists
این قابلیت امنیت بیشتری رابرای وب سایت شمافراهم خواهدنمود.به این ترتیب بافعالسازی این گزینه میتوانیدویژگیهای مشترک بین وب سایت های وردپرسی رابرای وب سایت خودتغییرداده وازموردهدف قرارداده شدن برای هکرها جلوگیری نمایید.این قابلیت نام وIDیوزر مدیر وب سایت شما راتغییر داده ومدیریت وب سایت شما راایمنتر میکند.
توجه کنید قبل ازانجام این اقدام میبایست ازاطلاعات دیتابیس خودبکاپ تهیه کنید.
- به این منظور برروی Fix it کلیک نمایید.
- تیک مقابل گزینه ی Enable Change Admin Userرابحالت انتخاب شده قراردهیدتاسایرمواردبرای شما نمایان شوند.
- درکادرمقابل New Admin Usernameنام کاربری ادمین جدیدراوارد نمایید.
- تیک مربوط به گزینه ی Change User ID 1 راجهت تغییرID مدیرفعال کنید.
- درنهایت برروی Save Admin User کلیک نمایید.
- دراین مرحله میبایست مجددبه مدیریت وردپرس خودرانام کاربری جدیدلاگین نمایید.
- Your login area is not protected from brute force attacks
این گزینه اطلاع میدهدکه وب سایت شمادرمقابل حملات Brute Force ایمن نمیباشد ومیبایست این موردامنیتی رابرطرف نمایید.
بدین منظور بر روی دکمه ی it Fix کلیک نمایید.
افزونه ی iThemes Security بصورت خودکارمواردی که میبایست انتخاب نمایید رابه شما نشان میدهدوباهایلایت زرد رنگ آن رامتمایز میکند.
درابتدا میبایست کلیدAPI جهت استفاده ازاین امکان رادریافت نمایید،به این منظور:
- آدرس ایمیل خودرادرکادرمقابل Get your iThemes Brute Force Protection API Key واردنمایید.
- گزینه ی Receive email updates about WP Security from iThemes راانتخاب نمایید.
درنهایت برروی Save All Changesکلیک نمایید.
- دراین مرحله میبایست ایمیل خودرابررسی نمایید.کلیدAPI اختصاصی وب سایت شمابه ایمیلتان ارسال خواهدشد.
هم اکنون API Key وب سایت شمافعال شده است،جهت فعالسازی Brute Force Protection به ادامه ی مراحل میرویم:
- ازتب Settingمجددبه قسمتBrute Force Protectionمراجعه نمایید.
- گزینه ی Enable local brute force protectionراانتخاب نمایید.دراین مرحله یکسری تنظیمات برای شمانمایان خواهندشد.
Max Login Attempts Per Host:تعداددفعات مجازبرای هرکاربر برای لاگین به مدیریت وردپرس قبل ازاینکه هاست یاکامپیوترآن قفل یاLockشود.
Max Login Attempts Per User :تعداد دفعات مجازبرای هرکاربربرای لاگین به مدیریت وردپرس قبل ازاینکه نام کاربری آن قفل یاLockشود.
Minutes to Remember Bad :تعداد دقیقه ای که لاگین ناموفق نگهداشته خواهد شد.
Automatically ban “admin” user :این گزینه کاربرادمین را بصورت خودکارمسدودخواهد کرد.اگرهنوزنام کاربر ادمین خودراتغییرنداده ایدازذخیره ی تغییرات خودداری نمایید.باانتخاب این گزینه درصورت تلاش برای لاگین به مدیریت وب سایت بانام کاربری Admin،هاست شما مسدود میگردد.
درنهایت برروی Save All Changes کلیک نمایید.
- Your site is not performing any scheduled database backups
دراین قسمت دررابطه بابکاپ گیری ازدیتابیس واطلاعات وب سایت شماهشدارداده شده است که میبایست بکاپگیری دوره ای وب سایت خود رافعال نمایید.به این منظور برروی دکمه Fix it کلیک کنید
- درصفحه ی بازشده ازقسمت Schedule Database Backupsتیک مربوط به گزینه ی Enable Scheduled Database Backupsرافعال نمایید.به این ترتیب بکاپگیری شما بصورت دوره ای انجام خواهد شد.
- ازقسمت Backup Interval درکادرمقابل Daysمقدارتعداد روزبین بکاپگیریها رامشخص نمایید.برای مثال باواردنمودن عدد3،تعیین میکنیدکه هر 3 روزبکاپ گیری ازدیتابیس واطلاعاتتان انجام شود.
- درنهایت برروی Save All Changes کلیک نمایید.
- Malware scanning is not enabled
این گزینه مربوط به اسکن وب سایت درمقابل بدافزارها میباشد.به این منظور برروی دکمه ی Fix itکلیک نمایید.
- ازقسمت Enable Malware Scanningتیک مربوط به گزینه ی Enable malware scanningرا فعال نمایید.
برای استفاده ازاین گزینه نیزبه API Key نیازدارید.برای دریافت کلید API بصورت زیراقدام نمایید:
- ابتدا به یک کانکشن خارج ازایران نیازدارید.به دلیل تحریم هااین وب سایت برایip های داخل ایران بازنخواهد شد.همچنین یک اکانت جیمیل جدیدبسازیدکه موقعیت جغرافی آن رابایک کشوردیگر تنظیم نموده باشید.
- به وب سایت virustotal.com مراجعه نمایید.
- مطابق تصویر برروی Join our community کلیک نمایید.
- فرم مربوطه راتکمیل نمایید.
- برروی sign upکلیک نمایید.
- در این مرحله یک ایمیل حاوی لینک فعالسازی برای شماارسال خواهد شد.به آدرس ایمیل خود رجوع کرده ولینک موجود درایمیل مربوطه راتایید نمایید تااکانت شمافعال گردد.
- هم اکنون وارد اکانتی که ایجادنموده ایدشوید.مطابق تصویر،منوی کاربری خودرابازنموده وبرروی گزینه ی My API Key کلیک نمایید.
- API Key خود رادریافت نمایید وآن رادرجایی ذخیره کنید.
در این مرحله شماکلیدAPI مربوط به فعالسازی Malware scanning رادریافت نموده اید!جهت فعالسازی این ابزار به ادامه ی مراحل میرویم:
- درکادرمقابل API Key کلیدAPI خودراوارد نمایید.
- درنهایت برروی Save All Changesکلیک نمایید.
- You are not enforcing strong passwords for any users
این گزینه درمورد گذرواژه های شماهشدار میدهد که میبایست از رمزعبورهای قوی استفاده نمایید.درصورتیکه این گزینه فعال شده باشد وبخواهید ازیک رمز عبور ساده تعریف نمایید،آن راقبول نخواهدکرد.
- به این منظور برروی دکمه ی Fix it کلیک نمایید.
- ازقسمت Strong Passwords تیک مربوط به گزینه ی Enable strong password enforcementرافعال نمایید.باانتخاب این گزینه تنظیمات جدیدی برای شما نمایان خواهدشد.
- ازلیست کشویی مقابل Select Role for Strong Passwordsبرای مثال مدیر راانتخاب نمایید.برای سطوح کاربری نویسنده،ویرایشگر،مشترک ومشارکت کننده نیزمیبایست همین کارراانجام دهید.
- درنهایت برروی Save All Changes کلیک نمایید.
- User nicknames may be the same as their login name. This means their login user name may be publicly available throughout the site
این گزینه درموردنامهای مستعارکاربران وب سایت شماهشدارمیدهد.به این منظورهکرها میتوانندنام کاربری ورود به ادمین وب سایت راازطریق نام مستعار نویسندگان وب سایت تشخیص دهند.بنابراین الزامی میباشدکه کاربران نامهای مستعارخودرادر هنگام بروزرسانی یاایجادیک پروفایل جدیدبصورت منحصربفرد ومجزاازنام کاربری که باآن به وب سایت لاگین میکنندتعریف نمایند.به این ترتیب میتوانیداز حملاتی که جهت بدست آوردن نامهای کاربری ازکدهای موجود درصفحات نویسندگان انجام میشودممانعت نمایید.
- به این منظوربرروی Fix it کلیک نمایید.
- ازقسمت Force Unique Nickname تیک مربوط به گزینه ی Force users to choose a unique nickname رافعال نمایید.
- ودرنهایت برروی Save All Changes کلیک نمایید.
موارد با اولوبت متوسط Medium Level
- Your website is not protected against bots looking for known vulnerabilities. Consider turning on 404 protection
هکری که قصدیافتن صفحه ی ادمین وب سایت شمارادارد درتلاش است باتست کردن آدرسهای مختلف برروی وب سایت شماآن رابیابد!بنابراین باواردنمودن آدرسهایی که وجودندارندمرتب خطای404دریافت خواهدنمود.این گزینه بشماکمک میکندکاربرانی که بصورت غیرطبیعی باخطای 404 مواجه میشوندبلاک شوند.
- به این منظوربرروی Fix it کلیک نمایید.
- ازقسمت 404 Detectioتیک مربوط به گزینه ی Enable 404 detection رافعال نماییدتااین ویژگی برروی وردپرستان فعال گردد.
- گزینه ی Minutes to Remember 404 برای تعیین بازه زمانی بررسی خطامیباشد.یعنی خطاهای 404 در5دقیقه ی گذشته موردبررسی قرارگیرند.
- گزینه ی Error Threshold برای تعیین تعدادخطای قابل دریافت قبل از بن شدن میباشد. یعنی کاربرپس ازبرخودبا20 خطای 404 بلاک شود.درصورتیکه این گزینه باعدد 0 مقداردهی شودکاربربلاک نخواهد شد.
- برروی Save All Changes کلیک نمایید.
توجه داشته باشید میتوانیدip خودتان رادرصورتیکه استاتیک میباشد درلیست سفید این پلاگین قراردهید تادرصورت مواجه شدن با خطای 404 بلاک نشوید.
برای قراردادن ip درلیست سفید:
- ازسربرگ Setting،بخش Global Setting،قسمت Lockout White List میتوانید ipخود راوارد نمایید.
باکلیک برروی دکمه ی Add my current IP to Whitelistآدرس ipفعلی شما به لیست سفید افزونه خواهدشد.توجه داشته باشیداین مورد برایip های استاتیک مناسب میباشد.
- ازقسمت Lockout Periodمیتوانید مشخص نماییدهرکاربردرهرباربن شدن به چه مدتی بلاک بماند.
- ازقسمت Blacklist Threshold میتوانیدمشخص نماییدپس ازچندباربلاک شدن کاربرخاطی تلقی شده وipآن از دسترسی به وب سایت محروم گردد.
- ازقسمت Blacklist Lookback Period میتوانیداتمام محرومیت کاربرراتعیین نمایید.یعنی پس ازگذشت چندروزبتواندبه وب سایت دسترسی داشته باشد.
- درنهایت تنظیمات راذخیره نمایید.
- Your WordPress Dashboard is available 24/7. Do you really update 24 hours a day? Consider using Away Mode
این گزینه برای کاربرانی مناسب میباشدکه همیشه درزمان مشخص شده ای ازروزبه مدیریت وب سایت خودمراجعه مینمایند.برای مثال ازساعت 5 تا8 بعدازظهر روزهای شنبه تا پنج شنبه.بنابراین با استفاده از Away Mode میتوانیدداشبودروردپرس خودرافقط برای این ساعات فعال نمایید ودرساعات دیگر غیرقابل دسترس باشد.
قبل ازشروع فعالسازی این گزینه ،به این نکته ی مهم توجه داشته باشیدکه ساعت کنونی وردپرس باساعت کنونی کشوریکسان باشد.ازبخش Away ساعت وردپرس قابل مشاهده خواهدبود.
- به این منظوربرروی Fix it کلیک نمایید.
- ازقسمت Away Mode تیک مربوط به گزینه ی Enable away mode رافعال نمایید.
- ازقسمت Type of Restrictionمیتوانیدنوع محدودیت رابصورت روزانه یایک ساعت مشخص درروز تعیین کنید.به این صورت درزمانهای مشخص شده داشبورد شماغیرفعال خواهدبود
باانتخاب One Timeمیبایست تاریخ شروع وپایان راتنظیم نمایید وباانتخابDaily ساعت شروع وپایان رامیبایست تنظیم نمایید.
- درآخربرروی Save All Changes کلیک نمایید.
نکته :این مورد توسط ماتست نشده وتوصیه میگردد درصورت نیازبانهایت دقت انجام شود.
- Your website is not looking for changed files. Consider turning on file change detections
همان طورکه میدانیدحتی بهترین راه حلهای امنیتی نیزمیتوانند شکست بخورندوشخصی به نحوی به وب سایت شمادسترسی یابد.حال ازکجا متوجه شویم که اطلاعات مادرخطرمیباشند؟!این ابزارفایلهای نصب شده ی وردپرس رابررسی میکند وهربارفایلها راباآخرین بررسی انجام شده مطابقت میدهد.درنتیجه درصورت مشاهده ی تغییرات درساختارفایلها متوجه میشودکه این فایلها تغییریافته اندوبه شما هشدارمیدهد.
برای فعالسازی این پلاگین بصورت زیراقدام نمایید:
- برروی Fix it کلیک نمایید.
- ازقسمت File Change Detection تیک مربوط به گزینه ی Enable File Change detectionرافعال نمایید.تنظیمات دیگری برای شمانمایان خواهد شدکه نیازی به تغییر مقادیرپیشفرض نمیباشد.
- نهایتابرروی Save All Changes کلیک نمایید.
- Your WordPress Dashboard is using the default addresses. This can make a brute force attack much easier
این گزینه درموردتغییر مسیرداشبوردوردپرس وب سایت تان هشدارمیدهد.مسیر پیشفرض میتواندحملات Brute forceبرروی مدیریت وردپرس وب سایت تان رابسیارآسان نماید بنابراین اعمال این موردامنیتی الزامی میباشد.
نکته:توجه نماییدتغییرمسیرداشبورد ممکن است مشکلاتی رانیزایجاد نماید واینکار رامیبایست بادقت انجام دهید.
هم چنین درصورتیکه این گزینه برای شما فعال نبود،میبایست ابتداپیوندهای یکاتای وب سایت خود رافعال نمایید وسپس به ادامه ی مراحل بروید.جهت فعالسازی پیوندهای یکتا،ازمنوی تنظیمات،پیوندهای یکتا راانتخاب نمایید ومطابق بانیازتان یکی ازموارد رافعال نمایید.پس ازآن به ادامه ی مراحل رجوع نمایید:
- به این منظور برروی Fix it کلیک نمایید.
- ازقسمت Hide Backend تیک مربوط به گزینه ی Enable the hide backend feature رافعال نمایید.بافعال نمودن این گزینه تنظیمات دیگری برای شمانمایان خواهدشد.
- درکادرمقابل گزینه ی Login Slug میتوانیدنام موردنظرخودجهت ورود به داشبورد راوارد نمایید.توجه نماییدباذخیره ی این تغییرات ازاین به بعدمسیر ورودشما ازhttp://YourDomain.com /wplogin به http://YourDomain.com/newname تبدیل خواهد شد،پس این نام رافراموش نکنید!
- درآخربرروی Save All Changesکلیک نمایید.
هم اکنون میبایست مجددبه داشبورد خودباآدرس جدیدلاگین نمایید.درصورتیکه شخصی قصدنفوذ به داشبورد شماراداشته باشد،و مسیرجدیدداشبوردشماراندارد،با ورود به مسیرقبلی دراولین قدم باپیغام «این صفحه وجود ندارد» مواجه خواهدشد!پس این مورددرتامین امنیت میتواندبسیارموثرباشد.
- You are not protecting common WordPress files from access. Click here to protect WordPress files
این گزینه درموردعدم محافظت ازفایلهای سیستمی وردپرس هشدارمیدهد.بافعالسازی پروتکت مربوطه ازدسترسی عموم کاربران به فایلهای readme.html, readme.txt, wp-config.php, install.php, wp-includes, و.htaccessممانعت خواهدشد.
- به این منظوربرروی Fix it کلیک نمایید.
- ازقسمت System Files تیکت مربوط به گزینه ی Protect System Files رافعال نمایید.باذخیره ی این تنظیمات فایلهای فوق دارای سطح دسترسی خواهندشدکه قابل دسترسی عموم نخواهند بود.
- نهایتا برروی Save All Changes کلیک نمایید.
- Your WordPress installation is telling every bot that you use WordPress with a special “generator” tag. Click here to fix this
این گزینه درموردنمایش نسخه ی وردپرسی میباشدکه هم اکنون نصب نموده اید برروی وب سایت تان.هرنسخه ازوردپرس ممکن است باگهایی داشته باشد که هکر ها ازاین موضوع اطلاع دارند وبنابراین میتوانند بایافتن نسخه ی وردپرس باگهای موجود راتشخیص داده وازآنها جهت نفوذ وهک وب سایت شما استفاده نمایند.بنابراین میبایست نسخه ی وردپرس وب سایت راازدیدهمگان مخفی نماییم!
- به این منظور برروی Fix it کلیک نمایید.
- ازقسمت Generator Meta Tag تیک مربوط به گزینه ی Remove WordPress Generator Meta Tag رافعال نماییدتانسخه ی وردپرس شما ازاین به بعدمشخص نباشد.
- نهایتا برروی Save All Changes کلیک نمایید.
- Your WordPress installation is allowing users without a user agent to post comments. Fix this to reduce comment spam
این گزینه برای جلوگیری ازدریافت کامنتهای اسپم میباشد.روباتهایی هستندکه فرمهایی حاوی فیلدهای روتین رابصورت مرتب پرکرده ونسبت به ارسال فرم اقدام مینمایند.این اسپمهای دریافتی میتواند اختلالات شدیدی دروب سایت ایجادنماید.
باانتخاب این گزینه میتوانید ازدریافت کامنتهای اسپم که بدون ارجاع بوده ویاعامل کاربری ندارند ممانعت به عمل آورید.
- به این منظوربرروی Fix it کلیک نمایید.
- ازقسمت Comment Spam تیک مربوط به گزینه ی Reduce Comment Spam رافعال نمایید.
- درآخربرروی Save All Changesکلیک نمایید.
- XML-RPC is available on your WordPress installation. Attackers can use this feature to attack your site. Click here to disable access to XML-RPC
این گزینه به حملات برروی فایلXML-RPC میباشد.این حملات به ارسال مطالب بصورت خودکارمرتبط میباشند.درصورتیکه این گزینه فعال باشد هکرهابه راحتی میتوانند وب سایت وردپرسی شماراموردحمله قراردهند پس الزامی میباشدکه این گزینه راغیر فعال نمایید.
- برای غیرفعالسازی XML-RPC برروی Fix it کلیک نمایید.
- ازقسمت XML-RPC لیست کشویی مربوط به گزینه ی Disable XMLRPCرابازنموده وCompletely Disable XMLRPCراانتخاب نمایید.
این گزینه ویژگی XML-RPC رابصورت کامل از وب سرور غیرفعال خواهدنمود وایمنترین انتخاب میباشد. به این ترتیب این گزینه ازعملکرد افزونه هایی مانندJetpack که به XML-RPC نیاز دارند جلوگیری مینماید.
گزینه ی Only Disable Trackbacks/Pingbacksحملات ممکن ازطریق ابزارهای TrackbacksوPingbacks رارد میکند وازایجاد حملات ممانعت مینماید ولی سایرابزارهای XML-RPC بصورت نرمال عمل خواهند نمود.توصیه میشودگزینه ی Completely Disable XMLRPC که وب سایت شما راایمنتر مینماید راانتخاب نمایید.
- درنهایت بر روی دکمه ی Save All Changes کلیک نمایید.
- Users can execute PHP from the uploads folder
این گزینه هشدار میدهدکه کاربران قادربه اجرای فایلهای PHPیاشل ها ازطریق آپلودفایل میباشند.برای جلوگیری ازآپلود فایلهای مخرب در وب سایت میبایست این گزینه غیر فعال شود.
- به این منظور بر روی Fix it کلیک نمایید.
- ازقسمت Uploads تیک مربوط به گزینه ی Disable PHP in Uploads رافعال نمایید.
- نهایتابرروی Save All Changes کلیک نمایید.
- User profiles for users without content are publicly available. This can make it relatively easy to gain the username of important users
این گزینه به شما هشدار میدهد تایوزرهایی که 0پست دارند راغیرفعال نماییدتابرای عموم قابل نمایش ودرنهایت نام کاربری های آنها قابل رویت جهت دسترسی ونفوذ به وب سایت نباشد.اینکارباعث میشود دسترسی روباتها وهکرها بنام های کاربری قابل نفوذ سختتر شود.
- به این منظوربرروی Fix it کلیک نمایید.
- ازقسمت Disable Extra User Archivesتیک مربوط به گزینه ی Disables a user’s author page if their post count is 0 رافعال نمایید.
- درآخر برروی Save All Changes کلیک نمایید.
- Your database table prefix should not be wp_
این گزینه درمورد پیشوند جداول دیتابیس هشدارمیدهدکه بصورت پیش فرض وwp_ میباشد.این موردیک نکته ی امنیتی میباشدومیبایست حتما پیشوند جداول دیتابیس های ماازwp_ به پیشونددیگری تغییر داده شود تادسترسی به آن راسختترنماید.
لازم است قبل ازادامه ی مراحل مربوط به این گزینه،ابتدادسترسی پلاگین iThemes Security برای دسترسی به فایل wp-config.php و .htaccess رابدهید تاقادربه انجام سایرتنظیمات باشید.
- به سربرگSetting مراجعه نمایید.
- ازقسمت Write to Filesتیک مربوط به گزینه ی Allow iThemes Security to write to wp-config.php and htaccess رافعال نماییدتادسترسی iThemes Securityبه این 2 فایل جهت ویرایش مجاز گردد.
- ازپایین صفحه برروی Save All Changes کلیک نمایید.
هم اکنون به ادامه ی مراحل میرویم:
- برای تغییرپیشوندجداول برروی Fix itکلیک نمایید.
نکته ای که دراین جا میبایست به آن توجه نماییداین است که حتما ازدیتابیس های خودنسخه ی پشتیبان تهیه نموده باشیدوپس ازآن بصورت آگاهانه این مراحل رادنبال کنید.
- تیک مربوط به Change Table Prefix راجهت تغییرپیشوندجداول دیتابیستان فعال نموده وبرروی دکمه ی change Database Prefix کلیک نمایید.
همان طورکه درتصویرمشخص شده است پیشوندجداول وب سایت هم اکنون ازwp_ به vg6qzo9a9g_تغییر داده شده است.
موارد با اولویت پایین Low Level
این موارد دارای اولویت پایین بوده وفقط مواردی که ازهمه ضروریتر میباشندرابررسی ورفع مینماییم:
- Your WordPress Salts have not been changed. You should change them now
اگردرسری اول آموزشهای تامین امنیت وردپرس بیاد داشته باشید،درموردAPI Key ها والگوریتم Salt مفصل توضیح داده شد.درصورتیکه هنوزازAPI Key استفاده نکرده باشیدوکلیدهای پیشفرض برروی وردپرس شماتنظیم شده باشنداین گزینه برای شماوجودخواهدداشت.
- به این منظوربرروی Fix it کلیک نمایید.
- تیک مربوط به گزینه ی Change WordPress Saltsفعال نمایید .
- برروی دکمه یChange WordPress Salts کلیک نمایید.
- هم اکنون میبایست مجددلاگین نمایید.درصورتیکه به فایل wp-congif.php مراجعه نماییدنیزمیتوانیدکلیدهای جدید جایگزین شده رانیزمشاهده نمایید.
- You are not requiring a secure connection for logins or for the admin area
این گزنیه درمورد کانکشن اتصال به وب سایت میباشد.بافعالسازی آن اتصال به وب سایت فقط ازطریق کانکشن HTTPS وباپروتکل HTTPS انجام خواهدشد.HTTPS ازکدگذاری SSLاستفاده میکندوبه این ترتیب اتصال امنی رابرقرارمیکند.اما توجه داشته باشید سرور مورد استفاده میبایست ازSSL پشتیبانی نمایددرغیراینصورت دسترسی شمابه داشبورد وب سایت تان قطع خواهدشد.
- به این منظوربرروی Fix it کلیک نمایید.
- ازقسمت SSL for Login تیک مربوط به گزینه ی Force SSL for Login رافعال نمایید.این گزینه دسترسی به لاگین وردپرس راازطریق ارتباط امن میسرمینماید.
- ازقسمت SSL for Dashboardتیک مربوط به گزینه ی Force SSL for Dashboard رافعال نمایید.این گزینه دسترسی به داشبوردوردپرس را ازطریق ارتباط امن میسر مینماید.
- درنهایت برروی Save All Changesکلیک نمایید.
- You have not disabled directory browsing on your site. Click here to prevent a user from seeing every file present in your WordPress site
این گزینه به شماکمک میکند تاازمرورفایلها ودایرکتوریهایتان توسط سایرکاربران درصورت عدم وجود فایل indexجلوگیری نمایید.
- به این منظوربرروی Fix it کلیک نمایید.
- ازقسمت Directory Browsingتیک مربوط به گزینه یDisable Directory Browsing رافعال نمایید.
- درآخربرروی Save All Changesکلیک نمایید.
- You are not blocking HTTP request methods you do not need. Click here to block extra HTTP request methods that WordPress should not normally need
این گزینه درمورد متدهای HTTP بشما هشدار میدهد.برخی ازکاربران میتوانندبااستفاده ازبرخی متدها دراطلاعات وب سایت شما به راحتی دستکاریهایی راانجام دهند.برای مثال بااستفاده ازمتد delete میتوان منبعی راازروی وب سایت حذف نمود.باغیرفعال کردن این متدهایی مانندرکوئست های trace، delete یا trackنیزغیر فعال خواهند شد.بنابراین کاربران نمیتوانندازاین متدها در وب سایت شمااستفاده نمایند.
- به این منظور برروی Fix itکلیک نمایید.
- ازقسمت Request Methodsتیک مربوط به گزینه ی Filter Request Methods رافعال نمایید.
- برروی Save All Changesکلیک نمایید.
- Your installation accepts long (over 255 character) URLS. This can lead to vulnerabilities. Click here to fix this
این گزینه موردمهمی میباشد.بافعالسازی این مورد،امکان ارسال بیش از255 کاراکتر که میتواند دریک URL ارسال شود،وجودنخواهدداشت.درواقع میتوانیدازحملات Script injection وبه عبارتی فیلترLong String محافظت مینماید.هکرهابااستفاده ازاین قابلیت تلاش میکنندباوارد نمودن URL های طولانی به دیتابیس آسیبهای جدی واردنمایند.
- به این منظوربرروی Fix it کلیک نمایید.
- ازقسمت Long URL Stringsتیک مربوط به گزینه ی Long URL Strings رافعال نمایید.
- برروی Save All Changes کلیک نمایید.
توجه داشته باشیدکه ازکاراکترهای طولانی استفاده نکنید.
- Your wp-config.php and .htaccess files are writeable. This can lead to vulnerabilities. Click here to fix this
این گزینه درمورد قابل ویرایش بودن فایلهای wp-config.php و htaccess هشدارمیدهد.این مورد نیزضروری بوده ومیبایست این 2 فایل بسته به پراهمیت بودنشان حتماغیرقابل ویرایش شوند.
- به این منظور برروی Fix it کلیک نمایید.
- ازقسمت File Writing Permissions تیک گزینه ی File Writing Permissions رافعال نمایید.این گزینه پرمیشن فایلهای نام برده رابه 0444 تغییرخواهد داد.
- برروی Save All Changes کلیک نمایید.
هم اکنون اگربه هاست خودوفایلهای نامبرده رجوع نمایید میتوانید تغییرات داده شده درسطح دسترسی این فایلها رامشاهده نمایید.
- Users may still be able to get version information from various plugins and themes. Click here to fix this
این گزینه در مورد اطلاعات افزونه ها و قالب ها هشدار می دهد که میبایست به صورت تصادفی یا Random تغییر داده شوند و تشخیص آن ها را برای کاربران غیر مجاز سخت نماید. یا در مواقعی که نیاز است ورژن وردپرس نمایش داده شود این گزینه به صورت تصادفی ورژن های مختلفی را نمایش خواهد داد.
- بدین منظور بر روی Fix it کلیک نمایید.
- از قسمت Display Random Version تیک مربوط به گزینه ی Display Random Version را فعال نمایید.
- بر روی Save All Changes کلیک نمایید.
- Your login page is giving out unnecessary information upon failed login
این گزینه نیزمیتواندمفیدواقع شود.اگردقت کرده باشیددرمواقعی که درهنگام لاگین به مدیریت وردپرس رمز عبور یانام کاربری خود رااشتباه تایپ میکنیدوردپرس آن رابه شما به عنوان خطای لاگین اعلام میکند.برای مثال پیغام میدهدنام کاربری شماصحیح نبوده ویارمزعبوروارد شده صحیح نبوده!خوب این میتواندبه یک هکردرتشخیص نام کاربری صحیح کمک کندومتوجه شود که فقط رمزعبور آن صحیح نمیباشد.بنابراین بهتراست این گزینه راغیرفعال نماییم تاوردپرس به هکرها این اطلاعات راندهد.
- به این منظوربرروی Fix it کلیک نمایید.
- ازقسمت Login Error Messages تیک مربوط به گزینه ی Disable login error messages رافعال نمایید.
- برروی Save All Changes کلیک نمایید.
- You should rename the wp-content directory of your site
این گزینه درموردتغییرنام پوشه ی wp-content بشما هشدارمیدهد.باتغییرنام این پوشه که حاوی بسیاری ازاطلاعات مهم میباشد میتوانید درجه ی امنیت وب سایت وردپرسی خودرابه سطح بسیاربالاتری برسانید.
بصورت پیشفرض وردپرس کلیه اطلاعات شما حاوی تصاویر،پلاگینها،تم ها،فایلهای آپلودی و …را درپوشه ی wp-content نگهداری مینماید.اسکن فایلهای شما توسط هکرها بااستفاده ازاین نام بسیارساده میباشد بنابراین تغییرنام این فایل میتواندازاهمیت بالایی برخوردارباشد.
نکته:این گزینه برای وب سایت هایی مناسب است که وردپرس خودراتازه نصب نموده اندزیرااگر وب سایت شماحاوی اطلاعات حاوی لینک مانندتصاویرباشد،تمامی لینکها وارجاعات باتغییرنام این پوشه ازبین خواهند رفت.بنابراین دراستفاده ازاین گزینه نهایت دقت راداشته باشید وابتدا بکاپ وب سایت خود راتهیه نمایید.
- به این منظور برروی Fix it کلیک نمایید.
- تیک مربوط به گزینه ی Enable Change Directory Name رافعال نمایید.
- درفیلدمقابل Directory Nameنام موردنظرخودراواردنمایید.(ترجیحا نامی غیرقابل معمول باشد)
- برروی دکمه یChange Content Directory کلیک نمایید.
هم اکنون اگربه مسیرنصب وردپرس درهاست خود مراجعه نمایید میتوانیداین پوشه رابانام جدیدمشاهده نمایید.
نکته مهم :درآخرفراموش نکنید برای ایجاد دسترسی پلاگین iThemes Securityبرای اعمال برخی ازتنظیمات به فایلهای wp-config.php و htaccessسطح دسترسی این فایلهاتوسط پلاگین تغییرداده شده و میبایست مجددسطح دسترسی رابرروی 0400 قراردهید،این پلاگین بسیارپرکاربردتر ودارای امکانات بیشتری میباشد.تااینجا شما رابانحوه ی کارباآن آشنا نمودیم ومیتوانیدبادقت ومطالعه ی بیشترموارد بیشتری رانیزبرای وب سایت تان اعمال نمایید.