دیوار آتش برای وردپرس جلسه نهم آموزش افزایش امنیت وردپرس

دیوار آتش برای وردپرس جلسه نهم آموزش افزایش امنیت وردپرس

در جلسه نهم آموزش افزایش امنیت وردپرس با عنوان دیوار آتش برای وردپرس با کمک افزونه all in one wp security and firewall در خدمت کاربران محترم مبنای وردپرس هستیم . در ابتدا به معرفی دیوار آتش و انواع آن در وب میپردازیم .

دیوار آتش به مجموعه تنظیمات برای سطح دسترسی و جلوگیری از نفوذ و بستن حفره های امنیتی یک سیستم گفته می شود. در سیستم های کامپیوتری بیشتر مورد استفاده قرار می گیرد . در دنیای مجازی نیز برای جلو گیری از ورود مخرب های اینترنتی به سرور و هاستینگ و ایجاد اختلال در وب سایت نیز دیوار آتش وجود دارد و کمک شایانی به حفظ امنیت وب سایت و کاربران دارد. وب سایت ها از قائده حملات هکر ها ، تروجان ها ، بد افزار ها و افرادی که ناخواسته در آن اختلال ایجاد میکنند به مانند هر سیستم دیگیری مستثنی نیستند. باز هم همه دنبال کننده گان این سری از آموزش ها به این موضوع که وردپرس نیز از این قافله عقب نمانده است واقف اند.

دیوار آتش وردپرس

با وجود افزونه های امنیتی فراوان و دستور العمل های متعدد . برای دیوار آتش وردپرسی خود یک برنامه و هدف مشخص تعیین کنید . چرا که ممکن است در گاهی از موارد تنظیمات اضافی و بدون در نظر داشتن نحوه عملکرد وب سایت دچار اختلال شود.

تب اول افزونه امنیت فراگیر وردپرس قسمت دیوار آتش – تنظیمات دیوارآتش

این ویژگی
کارایی دیوارآتش از راه وارد کردن کدهای ویژه در فایل .htaccess شما به دست می آید.
این کار نباید هیچ‌گونه آسیبی به کارایی سایت شما وارد کند اما شما اگر بخواهید می توانید یک backup از فایل .htaccess خود بگیرید.

 

شامل سه قسمت تنظیمات پایه ای که شامل موارد زیر است :

۱) حفاظت از فایل .htaccess به وسیله جلوگیری از دسترسی به آن

۲) از کار انداختن امضای سرور (server signature)

۳) محدود کردن حجم قابل آپلود (۱۰ مگابایت)

۴) حفاظت از فایل wp-config.php به وسیله جلوگیری از دسترسی به آن

حفاظت های بالا از راه فایل .htaccess شما به کار گرفته می شود و نبایستی به کارایی سایت شما آسیب بزند.

هنوز هم به شما سفارش می‌شود از فایل .htaccess خود پشتیبان بگیرید.

بخش دوم جلوگیری از دسترسی به فایل های XMLRPC و ارسال بازخورد به آن . شامل دو گزینه برای انتخاب می باشد.

با انتخاب کردن این بخش شما دسترسی برای مشاهده فایل XMLRPC را بسته اید فایل XMLRPC چیست ؟

دوستان در این قسمت اگر بخواهیم توضیحات را ساده و کاملا قابل درک نگه داریم باید بگوئیم که XML-RPC به شما اجازه میدهد که از طریق نرم افزار هایی مانند Windows Live Writer به صورت ریموت به سایت خود مطلب ارسال کنید و از راه دور وب سایت خود را تحت نظر داشته باشید و تغییرات مورد نظر خود را در آن اعمال نمائید.

حال دوستان از طرفی ابزار هایی مثل IFTTT و همچنین اپلیکیشن موبایل وردپرس هم برای برقراری ارتباط با سایت شما از همین روش استفاده میکنند. تا اینجا همه چیز خوب است! مشکل جایی شروع میشود که فایل xmlrpc.php در وردپرس با ارسال درخواست از طریق post مورد حمله ی دیداس DDOS – Denial of Service Attak قرار میگیرد.

نقل و قول شده از بیگ تم

با فعال کردن گزینه های ذکر شده موارد زید فعال می شود :

۱) حمله‌های رد سرویس (DoS)

۲) هک کردن مسیریاب های داخلی

۳) اسکن پورت‌ها در شبکه‌های داخلی؛برای بدست آوردن اطلاعات از هاست‌های مختلف

جدا از مسئله امنیتی، این ویژگی فشار روی سِرور شما را کم می‌کند؛ چنانچه سایت شما در حال حاضر دارای حجم بزرگی از ترافیک‌ ناخواسته است (که بوسیله XML-RPC API بوجود می‎‌آید).

توجه: چنانچه شما از قابلیت XML-RPC استفاده می‌کنید، نباید این ویژگی را فعال کنید.

بخش بعدی این تب قفل debug.log می باشد

وردپرس گزینه ای برای روشن کردن رویداد اشکال‌زدایی در پرونده ای در wp-content/debug.log دارد. این پرونده ممکن است شامل اطلاعات حساسی باشد.

استفاده از این گزینه باعث مسدود کردن دسترسی خارجی به این پرونده می شود. شما می توانید برای دسترسی به این پرونده از طریق FTP سایت اقدام کنید.

موارد اضافی دیوار آتش

این ویژگی به شما امکان فعال‌سازی تنظیمات پیشرفته دیوارآتش را می دهد.
ویژگی‌های پیشرفته دیوارآتش از راه وارد کردن کدهای مخصوص در فایل .htaccess شما، به کار گرفته می‌شود.
با توجه به ماهیت کدهایی که در فایل .htaccess وارد می‌شود، این ویژگی ممکن است کارکرد بعضی از افزونه‌ها را مختل کند. از این رو به شما سفارش می‌شود حتما قبل از به کارگیری این ویژگی، یک backup از فایل .htaccess بگیرید

گزینه اول فهرست کردن محتوای دایرکتوری

به صورت پیش‌فرض، سرور آپاچی اجازه فهرست کردن محتوای یک دایرکتوری را می‌دهد.(در صورت نبودن فایل index.php در آن دایرکتوری)
این ویژگی امکان فهرست کردن محتوا را برای تمام دایرکتوری‌ها غیرفعال می‌کند.
توجه: برای استفاده از این ویژگی”اجازه باطل کردن”دستورات فهرستی باید در پرونده httpd.conf فعال شود. از میزبان سایت خود بپرسید اگر به پرونده httpd.conf دسترسی ندارید.

گزینه دوم دریابی و درگیری

حمله ردیابی HTTP یا XST می‌تواند برای بازگرداندن درخواست‌های Header و گرفتن کوکی ها و دیگر اطلاعات استفاده شود.
این تکنیک هک کردن معمولا همراه با حمله‌های برنامه نویسی متقابل سایت (XSS) استفاده می‌شود.
از کار انداختن ردیابی و رهگیری روی سایت شما از بروز حملات ردیابی HTTP جلوگیری می‌کند.

گزینه سوم فرستادن دیدگاه از پراکسی

همه درخواست‌های فرستادن دیدگاه که هنگام فرستادن از یک پراکسی سِرور استفاده می‌کنند، توسط این تنظیم رد می‌شوند.
با ممنوع کردن فرستادن دیدگاه از راه پراکسی، در عمل شما جلوی بسیاری از SPAMها و سایر درخواست‌های پراکسی را می‌گیرید.

گزینه چهارم دستورات بد برای رشته های مخرب

این ویژگی دستورهایی در فایل .htaccess شما وارد می‌کند که جلوی حملات رشته‌های خراب‌کارانه XSS را می‌گیرد.
توجه: بعضی از این رشته‌ها ممکن است برای افزونه‌ها و پوسته‌ها استفاده شوند بنابراین این ویژگی ممکن است برخی از کارکردها را مختل کند.
پس به شما شدیدا سفارش می‌شود قبل از به‌کارگیری این قابلیت یک فایل پشتیبان از .htaccess فعلی خود بگیرید.

گزینه پنجم فیلتر پیشرفته برای رشته های کاراکتری

این یک فیلتر پیشرفته رشته‌های کارکتری است که برای جلوگیری از حملات خراب‌کارانه XSS به سایت شما، به کار می‌رود.
این تنظیم الگوهای رشته‌ای که معمولا برای حمله به کار می‌روند شناسایی می‌کند و در صورت تلاش هکر برای دستیابی به اطلاعات خطای ۴۰۳ را به او نشان می‌دهد.
توجه: بعضی رشته‌ها برای این تنظیم ممکن است برخی از کارکردها را مختل کنند.

تب سوم خطوط ۶ گیگابایتی لیست سیاه فایروال

۱) مسدودسازی کارکترهای غیرمجازی که معمولا در حملات سودجویانه استفاده می‌شوند.

۲) مسدود سازی کارکترهای URL رمزگذاری شده مانند رشته “.css(” .

۳) حفاظت در برابر الگوهای معمول و سوء استفاده های خاص در ریشه URLها.

۴) متوقف کردن مهاجمان از دستکاری رشته‌های Query با ممانعت از کارکترهای غیرمجاز

و بسیاری دیگر…

تب چهارم ربات های اینترنتی

و اما ربات چیست ؟

ربات قطعه ای از نرم افزار است که در اینترنت در حال اجراست و دارای وظایف خودکاری می باشد. مانند وقتی که گوگل صفحات شما را فهرست می کند از ربات های خودکاری برای انجام این کار استفاده می نماید.

خیلی از ربات ها قانونی بوده و مخرب نیستند اماهمه ربات ها خوب نیستند.گاهی رباتی را می بینید که میخواهد خود را بجای “ربات گوگل” جابزند اما در واقع آن هیچ ربطی به گوگل ندارد.

اگرچه اقلب ربات ها بدون ضرر هستند. گاهی صاحبان سایت‌ها می خواهند کنترل بیشتری روی ربات‌هایی که اجازه ورود به سایت دارند داشته باشند.

این ویژگی به شما اجازه می دهد دسترسی ربات های گوگل تقلبی را مسدود کنید.

ربات‌های گوگل دارای هویت منحصربه فردی هستند که به آسانی قابل جعل کردن نیستند.این ویژگی باعث شناسایی هر ربات گوگل تقلبی شده و از دسترسی آن ها برای خواندن محتوای سایت شما جلوگیری می کند.

توجه: گاهی اوقات ممکن است سازمان اینترنت غیرمخرب ربات هایی را بجای “ربات گوگل” جا بزند.

دقت داشته باشید که اگر این ویژگی را فعال کنید افزونه همه‌ی ربات هایی که رشته “ربات گوگل” را در اطلاعات عامل کاربری خود دارند اما از سمت گوگل نیستند را قفل می کند.

همه‌ی ربات های دیگر مانند یاهو،بینگ و غیره تحت تاثیر این ویژگی قرار نمی گیرند.

این ویژگی بررسی می کند اگر عامل کاربری اطلاعات ربات شامل مقادیر رشته ای “ربات گوگل” باشد.

پس از چند آزمایش برای بررسی ربات که آیا از سوی گوگل است اگر پذیرفته شود اجازه ادامه فعالیت پیدا می کند.

اگر ربات نتواند بررسی کند آن‌گاه افزونه آن را بعنوان ربات تقلبی گوگل درنظر می گیرد و قفلش می کند.

جلوگیری از استفاده منابع تصاویر سایت

هات لینک به این معنی است که کسی عکس سایت شما را در سایت خود با استفاده از لینک سایت شما نمایش می دهد و از منابع سرور شما استفاده می کند.
تصویری که نمایش داده می شود در سایت دیگر از سمت سرور شما می باشد،این باعث می شود پهنای باند و منابع هاست شما بیشتر درگیر شود.
این ویژگی باعث می شود تا کدهایی مستقیما داخل .htaccess هاست شما نوشته شود تا کسی نتواند از منابع هاست شما در سایت خود استفاده کند.

تشخیص ۴۰۴

خطای ۴۰۴ و یا یافت نشد وقتی اتفاق می افتد که شخصی تلاش کند به‌صفحه‌ای از سایت که وجود ندارد مراجعه کند.
معمولا بیشتر خطاهای ۴۰۴ مربوط به افرادی میشود که یا آدرس سایت را درست وارد نکرده اند و یا از پیوندهای قدیمی که اکنون وجود ندارد استفاده می کنند.
هرچند در برخی موارد ممکن است با خطاهای ۴۰۴ تکراری در زمانی کوتاه مواجه شوید از آدرس IP یکسان که همه‌ی آن ها می خواهد به صفحه‌ای که وجود ندارد مراجعه کند.
این اعمال به این معنی می تواند باشد که هکر ممکن است تلاش کند صفحات و یا آدرس هایی از سایت را برای اهداف شوم خود پیدا کند.

این ویژگی به شما امکان نظارت کامل بر همه رویدادهای ۴۰۴ را می دهد، و گزینه ای برای قفل کردن IP های مورد نظر برای مدت زمان مشخص
اگر میخواهید آدرس IP را بطور موقت قفل کنید،روی “قفل موقت” در لینک ورودی های آدرس IP “گزارش خطای ۴۰۴” در جدول زیر کلیک کنید.

قوانین سفارشی

این ویژگی می تواند قوانین و دستورات سفارشی .htaccess شما را اعمال کند.

این مناسب است برای وقتی که شما می خواهید قوانین موجود در دیواره آتشین را بهینه کنید یا وقتی که می خواهید قوانین خود را اضافه کنید.

توجه: این ویژگی زمانی می تواند بکار گرفته شود که میزبانی وب شما در آپاچی و یا وب سرورهای همانند آن باشد.

اخطار: تنها وقتی که اطلاع کامل از آن دارید از این ویژگی استفاده کنید.

قوانین و دستورات نادرست .htaccess می تواند باعث عدم دسترسی به سایت شما شود.

این به عهده شما می باشد که مطمئن شوید کدهای درستی را وارد کرده اید.

اگر دسترسی شما به سایت قطع شد باید از طریق FTP یا طرق دیگر به فایل .htaccess دسترسی پیدا کرده و موارد داخل آن را ویرایش و یا تغییر دهید.

 

 

۲ پاسخ به دیوار آتش برای وردپرس جلسه نهم آموزش افزایش امنیت وردپرس

  1. حمید گفت:
    25 دی 1398 در 7:54 ق.ظ

    سلام
    روز بخیر چندتا گروه تگرامی زدیم خوشحال
    میشیم عضو بشید
    کانال تلگرامی
    https://t.me/iranwebmaster

    گروه سئو
    https://t.me/iranseogroup

    گروه وبمستری
    https://t.me/webmastersgroup

    گروه هاستینگ
    https://t.me/hostinggap

    گروه وردپرس
    https://t.me/wpirangroup

    گروه استخدامی و مشاغل IT‌.
    https://t.me/karnikajobs

    پاسخ
    1. مرتضی براتی گفت:
      25 دی 1398 در 8:20 ق.ظ

      ممنون حمید جان من میزارم بمونه تا بقیه دوستان هم اگر خواستند استفاده کنند.

      پاسخ

دیدگاهتان را بنویسید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *

پارس وی دی اس