آموزش کار با افزونه امنیتی sucuri security

افزونه های وردپرس
بدون دیدگاه
73

متاسفانه این روزها وردپرس روزهای خوبی رو سپری نمیکنه و با ابزارهای مختلف و باگ‌هایی که درش به وجود اومده باعث شده خیلی از سایت‌ها مورد حمله هکرها قرار بگیرند که از جدیدترین این هک‌ها میشه به آسیب پذیری بسیار خطرناک در افزونه Duplicator وردپرس اشاره کرد. در ماه‌های اخیر وردپرس توسط وجود باگ امنیتی در برخی افزونه‌ها آسیب پذیر شده و سایت خیلی از کاربران به همین دلیل هک شده بود.

یکی دیگه از دلایل دیگه هم استفاده از قالب و افزونه‌های غیر اورجینال هست که از مارکت‌ها و فروشگاه‌های داخلی خریداری می‌شوند. این محصولات در اکثر مواقع اورجینال نیستن و فروشنده‌ها هم صرفا یا با دانلود از سایت‌های خارجی به صورت رایگان یا اینکه خرید از سایت‌های دیگه بهشون رسیدن و اقدام به فروش این محصولات می‌کنند. غافل از اینکه کلی باگ امنیتی در اینگونه محصولات وارد شده و اصلا معتبر نیستند. بنابراین باید به فکر چاره بوده و حتما از یک افزونه امنیتی در وردپرس استفاده کنید که حداقل مشکلاتی که ممکنه به وجود بیاد رو کمتر کنید.

در این آموزش قصد دارم به معرفی افزونه امنیتی وردپرس sucuri security بپردازم که با استفاده از این افزونه میتونید سایتتون رو از هک شدن و اتفاقات اخیری که سایت‌های وردپرسی درگیر اون هستند، مصون نگه دارید. پس اگر شما هم به دنبال یک راهکار خوب برای بالا بردن سطح امنیت در وردپرس با بهترین افزونه امنیتی وردپرس هستید تا انتهای این آموزش همراه ما باشید.

افزایش امنیت وردپرس با sucuri security

افزونه امنیتی وردپرس که قصد معرفی اونو دارم با عنوان sucuri security در مخزن وردپرس به ثبت رسیده و تاکنون موفق شده بیش از 400.000 نصب فعال و کسب امتیاز 4.5 را ازآن خودش بکنه که با استفاده از این افزونه میتونید امنیت وردپرس را افزایش داده و از هک شدن سایت جلوگیری کنید. برای استفاده از این افزونه کافیه به صفحه افزونه sucuri security رفته افزونه را دانلود و با استفاده از راهنمای نصب افزونه در وردپرس نصب و فعال کنید.

بعد از نصب و فعال سازی افزونه مشابه تصویر زیر منویی با نام Sucuri Security در پیشخوان سایت وردپرسی شما اضافه میشه که با کلیک روی این منو به صفحه تنظیمات افزونه برای اسکن امنیتی وردپرس هدایت خواهید شد.

همونطور که در تصویر مشخص شده قبل از هر کاری ذوی دکمه مشکی رنگ Generate API Key که در بالای صفحه قرار داره کلیک کنید تا API مخصوص سایت شما ساخته بشه و با استفاده از اون بتونید سایتتون رو اسکن کنید. بعد از کلیک روی دکمه پنجره زیر نمایش داده میشه که باید در اون تیک گزینه‌های مشخص شده در تصویر رو فعال کرده و در انتها روی دکمه Submit کلیک کنید.

بعد از انجام این کار API مخصوص سایت شما ایجاد شده و در یک کادر سبز رنگ همراه با جزییاتش مشابه تصویر زیر به شما نمایش داده خواهد شد. در این مرحله روی گزینه بستن پنجره کلیک کنید.

حذف فایل‌های مشکوک از وردپرس

اولین گزینه کاربردی در این افزونه اینه که اگر هر فایل مشکوکی در وردپرس وجود داشته باشه اونو شناسایی میکنه و میتونید فایل مورد نظر رو حذف کنید. برای این کار در منوی اصلی افزونه بعد از اینکه سایت شما اسکن شد لیستی از فایل‌هایی که مربوط به وردپرس نیستند، مثل تصویر زیر نمایش داده میشه.

کافیه با فعال کردن تیک گزینه هر کدوم از فایل(های) مورد نظر رو انتخاب کنید. سپس نیک گزینه I understand that this operation can not be reverted را برای اینکه کاری که در اینجا انجام میدید غیرقابل بازگشت هست فعال کنید و در نهایت از بخش ACTION عملیات مورد نظر را که در سه حالت رفع شده، حذف و ریستور کردن هست انتخاب کرده و روی دکمه Submit برای اجرا کلیک کنید.

یکی دیگه از چیزهایی که معمولا باعث هک وردپرس میشه اینه که کدهایی در هسته وردپرس تزریق میشه و با استفاده از اون هکر سایت رو زیر نظر میگیره. این افزونه قابلیتی برای شما فراهم میکنه که با استفاده ازش میتونید کاری کنید که در بازه‌های زمانی مختلف فایل‌های اصلی وردپرس با فایلی که در هاست شما قرار داره مقایسه شده و اگر کدی اضافه در اونها اضافه بشه بهتون اطلاع داده میشه. برای فعال کردن این قابلیت به منوی settings رفته و از تب scanner به بخش WordPress Integrity Diff Utility رفته و روی دکمه Enable کلیک کنید.

بررسی فعالیت کاربران در وردپرس

یکی دیگه از قابلیت‌های این افزونه اینه که هر کاری که در وردپرس توسط کاربران انجام بگیره در قالب لاگ به همراه آی‌پی ذخیره شده و میتونید بفهمید کسانی که دسترسی به پیشخوان سایت دارند مشغول انجام چه کاری هستند.

علاوه بر فعالیت کاربران میتونید آی‌فریم وردپرس، لینک‌ها و اسکریپت‌هایی که به صورت کدنویسی هستند و در سایت اضافه شده باشه رو هم مشاهده کنید.

با رفتن به منوی Last Logins هم میتونید جزییات ورود کاربران در وردپرس رو ببینید. این بخش شامل 4 ستون هست که به ترتیب به صورت زیر هستند.

  • All Users: با رفتن به روی این تب میتونید کلیه کاربران رو بر اساس نقش کاربری به همراه آی‌دی، نام کاربری، آخرین ورود، زمان عضویت و آدرس ip مشاهده کنید که در پیشخوان وردپرس فعالیت داشتند.
  • Admins: با رفتن به این تب میتونید جزییات کاربرانی که نقش کاربری مدیر کل در وردپرس دارند رو ببینید.
  • Logged-in Users: با رفتن به این تب هم میتونید جزییات کاربرانی که در سایت وارد شدن و در حالت لاگین هستند رو ببینید.
  • Failed Logins: از این بخش هم میتونید کاربرانی که قصد ورود به پیشخوان وردپرس داشتند، اما موفق به ورود نشدند رو ببینید.

قابلیت بعدی این افزونه امکان استفاده از فایروال وردپرس هست که چون در نسخه رایگان وجود نداره و صرفا به صورت پولی عرضه میشه به معرفی اون نمیپردازم.

Reverse Proxy وردپرس

قابلیت Reverse Proxy دقیقا برعکس Proxy Server عمل میکنه. یک Proxy Server درخواست‌ها را از شبکه داخلی از کلاینت‌ها دریافت کرده و به سرورهای موجود در اینترنت ارسال میکنه اما در یک Reverse Proxy درخواست‌های کلاینت‌ها از محیط اینترنت دریافت شده و به سرورهای مورد نظر در شبکه داخلی هدایت میشن. Reverse Proxy درخواست‌ها را از سمت بیرون شبکه داخلی دریافت می‌کنن اما Proxy درخواست‌ها رو از سمت داخل شبکه به بیرون شبکه یا اینترنت ارسال میکنه.

حالا این افزونه هم میتونه با استفاده از قابلیت Reverse Proxy Server که پشت شبکه فایروال قرار میگیره و درخواست‌ها را از شبکه اینترنت دریافت کرده و اونها رو به سرورهای موجود در شبکه داخلی ارسال میکنه باعث میشه که کاربران درخواست کننده سرویس از سمت اینترنت از طرف Reverse Proxy سرور احراز هویت بشن. در این صورت میشه از امنیت بهتری در سایت استفاده کرد.

برای فعال سازی این قابلیت در افزونه کافیه به منوی Settings مراجعه کنید و از تب General به قسمت Reverse Proxy وردپرس رفته و روی دکمه Enable کلیک کنید.

شناسایی آدرس IP وردپرس

یکی دیگه از راه‌هایی که میتونید با استفاده از اون گزارش فعالیت‌هایی که در وردپرس انجام میگیره رو پیگیری کنید اینه که بتونید آی‌پی آدرس کاربر رو تشخیص بدین. برای این کار کافیه به قسمت IP Address Discoverer مراجعه کرده و روی دکمه Enable کلیک کنید.

با انجام این کار آدرس آی پی کاربران در وردپرس شناسایی شده و در هر بخش از سایت که نیاز به ip هست گزارشات ثبت میشن. علاوه بر این هر فعالیتی که در سایت انجام میدین از طریق ایمیل براتون ارسال میشه که تو محتوای ایمیل هم آدرس ip وردپرس درج خواهد شد.

غیرفعال کردن ویرایش فایل‌ها در وردپرس

یکی دیگه از قابلیت‌های این افزونه اینه که با استفاده ازش میتونید فایل‌های وردپرس، کدهای php، ویرایشگر قالب و افزونه در وردپرس، غیرفعال کردن آپلود فایل php در وردپرس و… رو هم فعال کنید تا از این طریق نشه سایت رو مورد هک قرار داد. یکی از باگ‌هایی که در برخی هاست‌ها چند سال پیش به وجود اومده بود این بود که یک سری کد php در قالب تصویر png. قرار میگرفت که توسط اون اگر فایل تصویری در وردپرس آپلود میشد کدهای php هم در سایت تزریق میشد که به این شیوه میشد سایتی رو هک کرد.

برای فعال سازی این قابلیت ها کافیه به منوی settings مراجعه کرده و از بخش Hardening هر کدوم از گزینه‌ها رو که میخواین فعال کنید. این قابلیت‌ها به ترتیب عبارتند از:

  • Website Firewall Protection: محافظت از سایت با استفاده از فایروال(فقط در نسخه پولی افزونه)
  • Verify WordPress Version: تایید کننده نسخه وردپرس
  • Verify PHP Version: تایید کننده نسخه php هاست
  • Remove WordPress Version: حذف نسخه‌ای از وردپرس که از ان استفاده می‌کنید
  • Block PHP Files in Uploads Directory: غیرفعال کردن اجرای فایل‌های php در دایرکتوری آپلود وردپرس
  • Block PHP Files in WP-CONTENT Directory: غیرفعال کردن آپلود فایل php در وردپرس
  • Block PHP Files in WP-INCLUDES Directory: غیرفعال کردن اجرای فایل‌های php در دایرکتوری wp-includes وردپرس
  • Information Leakage: جلوگیری از نشت اطلاعات
  • Default Admin Account: انتخاب اکانت پیش فرض مدیر سایت
  • Plugin and Theme Editor: غیرفعال کردن ویرایشگر قالب و افزونه در پیشخوان وردپرس

تغییر رمز کلیه کاربران در وردپرس

این قابلیت به شما این امکان رو میده که کاری کنید کلیه کاربران در وردپرس رمز خودشون رو تغییر بدن. در صورتی که از این گزینه استفاده کنید، تا زمانی که کاربران رمز خودشون رو عوض نکرده باشند قادر به ورود در سایت نخواهند بود. برای این کار از تب Post-Hack به بخش Reset User Password رفته و بعد از اینکه کاربران مورد نظر رو انتخاب کردید روی دکمه Submit کلیک کنید.

ریست کردن افزونه‌ها در وردپرس

گاهی اوقات تغییراتی که از طریق افزونه‌ها با تزریق کد مخرب صورت میگیره باعث هک در سایت میشه که این افزونه قابلیتی فراهم کرده که بتونید افزونه‌های وردپرس رو ریست کنید. ریست کردن افزونه‌ها در این بخش به این معنی نیست که روی دیتابیس و تنظیمات افزونه تاثیر بگذاره. این کار فقط روی فایل‌های افزونه صورت میگیره و با استفاده از مقایسه‌ای که بین نسخه افزونه موجود در مخزن وردپرس انجام میده اگر کدی اضافه در افزونه‌ها وجود داشته باشه با آپدیت افزونه به نسخه‌ای که در مخزن وردپرس وجود داره به حالت اولیه برمیگردونه.

برای فعال کردن این قابلیت کافیه به بخش Reset Installed Plugins مراجعه کرده و بعد از انتخاب افزونه‌های مورد نظر روی دکمه Submit کلیک کنید.

اطلاع از تغییرات در وردپرس با ایمیل

اطلاع رسانی از تغییراتی که روی سایت انجام میگیره در این افزونه از بهترین قابلیت‌های اون هست. با استفاده از این قابلیت میتونید مشخص کنید هر کاری که در وردپرس اعم از تغییر تنظیمات، نصب افزونه، تغییرات روی افزونه‌ها و تنظیمات کلی وردپرس، تغییرات در محتوا و… صورت میگیره از طریق ایمیل براتون ارسال بشه. برای این کار به تب Alerts مراجعه کنید و سپس مشابه تصویر زیر و بر اساس توضیحاتی که در ادامه داده میشه اطلاع رسانی رو برای خودتون شخصی سازی کنید.

Alerts Recipient: ابتدا از این بخش آدرس ایمیل‌هایی که مایل هستید گزارش‌ها بهش اضافه بشه رو در فیلد E-MAIL وارد کرده و روی دکمه Submit کلیک کنید.

Alert Subject: از این بخش عنوان ایمیل رو بر اساس فرمت‌هایی که در اختیارتون قرار میده رو انتخاب کنید. این گزینه فقط برای عنوان ایمیلی هست که براتون ارسال خواهد شد.

Alerts Per Hour: چون تغییراتی که روی یک سایت انجام میگیره زیاد هست و روزانه ایمیل‌های زیادی از این طریق دریافت خواهید کرد، از این بخش میتونید مشخص کنید که حداکثر ایمیلی که در هر ساعت ارسال بشه چقدر میتونه باشه. کافیه از قسمت MAXIMUM ALERTS PER HOUR تعداد رو مشخص کنید. این امکان که این گزینه رو روی نامحدود هم قرار بدین وجود داره.

Password Guessing Brute Force Attacks: با استفاده از این بخش میتونید اقدام به جلوگیری از حملات بروت فورس وردپرس بکنید. اگر حمله بروت فورس به وردپرس انجام بگیره میتونید با تنظیماتی که از بخش CONSIDER BRUTE-FORCE ATTACK AFTER مشخص کردید امکان تلاش برای ورود در وردپرس رو برای مدت زمان دلخواه مسدود کنید.

Security Alerts: این گزینه بخش اصلی اطلاع رسانی رو تشکل میده که میتونید مشخص کنید چه گزارش‌ها و تغییراتی که در سایت انجام میگیره براتون ارسال بشه. این تغییرات شامل موارد زیر هستند.

  • تغییر تنظیمات افزونه‌ها
  • دریافت تنظیمات در قالب HTML
  • ارسال ایمیل با استفاده از فانکشن ایمیل وردپرس
  • جزییات ورود به وردپرس
  • آپدیت وردپرس
  • آپدیت افزونه و قالب وردپرس
  • ثبت نام، ورود، فراموشی رمز و ورود ناموفق کاربران در وردپرس
  • ویرایش نوشته و برگه
  • تغییر تنظیمات وردپرس
  • ویرایش قالب و افزونه
  • تغییر در منو و ابزارک وردپرس
  • و…

همه این گزینه‌ها به شکلی هستند که جزییات کاملی ازش براتون ایمیل میشه که شامل زمان انجام فعالیت، کاربری که این کار رو انجام داده، آدرس آی‌پی و… هست.

Post-Type Alerts: با استفاده از این بخش هم میتونید مشخص کنید تغییرات برای چه نوع پست تایپ‌هایی در وردپرس براتون ایمیل بشن. برای انتخاب این گزینه‌ها کافیه روی دکمه Show Post-Type Tables کلیک کنید تا همه انواع پست تایپ وردپرس که شامل نوشته، برگه، محصول، منو، آپلود فایل و… هست رو ببینید. سایر بخش‌های این افزونه هم پولی هستند و یا اینکه مربوط به نمایش اطلاعات سایت هستند که از توضیح این موارد می‌گذریم.

امیدوارم که این آموزش هم مورد توجه و پسند شما قرار گرفته باشه و با استفاده ازش تونسته باشید اقدام به افزایش امنیت در وردپرس بکنید. در صورتی که در رابطه با این آموزش و نحوه کار کردن با تنظیمات افزونه sucuri security سوال یا مشکلی داشتید از بخش دیدگاه‌ها اعلام کنید.

لذت کار با وردپرس پرسرعت و پایدار

با 19 درصد تخفیف ویژه رونمایی سرورهای نسل جدید، هاست وردپرس را خریداری نمایید.

پربازدید ترین مطالب
مطالب مرتبط
این مطلب را می پسندید

5/5 - (1 رای)

نویسنده: محتوای تیمی کار شده

دیدگاهتان را بنویسید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *

Fill out this field
Fill out this field
لطفاً یک نشانی ایمیل معتبر بنویسید.

اشتراک گذاری مطلب