iThemes Security Pro 7.0 با انتشار نسخه جدید خود، امنیت وردپرس را در سریعترین و ساده ترین شکل برای کلیه کاربران، از مبتدی گرفته تا مدیران حرفه ای سایت های مختلف، فراهم کرده است.
در ادامه به بررسی iThemes Security Pro 7.0 ، این افزونه امنیتی کاربرپسند با پیکربندی آسان خواهیم پرداخت.
نصب و راه اندازی جدید: سایت خود را در کمتر از چند دقیقه ایمن سازید.
بسیاری از دارندگان وب سایت، تا قبل از هک شدن به اهمیت داشتن یک استراتژی امنیتی پی نمی برند. در چنین شرایطی معمولا تصور کاربران از استراتژی امنیتی، یک کار پیچیده و وقت گیر برای انجام تنظیمات امنیتی وب سایت و استفاده از ابزارهای مختلف است. که دیگر امکان هک شدن سایت وجود نداشته باشد.
نسخه جدید افزونه iThemes Security Pro به گونه ای طراحی شده است که هر کسی می تواند وب سایت وردپرس خود را در کمتر از ۱۰ دقیقه و بدون نیاز به تخصص خاصی ایمن سازد. با دانستن اینکه همه تنظیمات امنیتی مناسب وب سایت خود را فعال کرده اید، خیالتان از نظر تامین امنیت راحت خواهد شد. بعلاوه، با نصب و راه اندازی این افزونه امنیتی، iThemes Security Pro از طرف شما به صورت تمام وقت، کار نظارت و ردیابی امنیتی سایت را انجام خواهد داد.
از جمله کارهایی امنیتی این افزونه:
* جلوی حملات خودکار را میگیرد.
* کنترل و ثبت فعالیت های مشکوک
* افزایش امنیت حساب های کاربری
* اسکن سایت برای یافتن افزونه ها و قالب های آسیب پذیر
* مسدود کردن ربات های بد و کاهش هرز نامه
در ادامه به بررسی برخی از نکات برجسته از امکانات نسخه جدید iTheme Security Pro می اندازیم.
الگوهای جدید امنیتی متناسب با نوع وب سایت شما
iThemes Security Pro 7.0 به شما امکان می دهد نوع سایت خود را برای اعمال بهترین تنظیمات امنیتی انتخاب کنید.
ممکن است از خود بپرسید این کار برای چیست؟ یک سایت فروشگاهی به سطح متفاوتی از امنیت نسبت به یک سایت خبری نیاز دارد. بنابراین انتخاب نوع سایت به iThemes Security Pro در پیکربندی خودکار بهترین تنظیمات امنیتی متناسب با وب سایت شما کمک می کند.
شمامی توانید از میان ۶ الگوی مختلف یکی را انتخاب کنید:
۱- Ecommerce: وب سایت هایی برای فروش محصولات یا ارائه خدمات
۲- Network: وب سایت هایی برای ارتباط مردم یا انجمن ها
۳- Non-Profit: وب سایت هایی برای سازمان های غیر انتفاعی و NGO ها جهت تبلیغ اهداف خود و جمع آوری کمک های مالی
۴- Blog: وب سایت هایی برای به اشتراک گذاشتن افکار و نظرات و یا شروع یک مکالمه
۵- Portfolio: وب سایت هایی برای نمایش نمونه کارها
۶- Brochure: وب سایتی ساده برای تبلیغ کسب و کار شما
برای ساده تر کردن انتخاب نوع سایت خود، iThemes Security Pro بررسی می کند که آیا افزونه های LMS ، افزونه های ecommerce، افزونه های اهدا یا افزونه های شبکه روی سایت شما نصب شده است یا خیر. و بر اساس آن بهترین نوع سایت را به شما پیشنهاد می دهد. برای مثال: اگر یک سایت عضویت با استفاده از افزونه Restrict Content Pro دارید ، iThemes Security Pro به شما توصیه می کند از الگوی سایت تجارت الکترونیکی (Ecommerce) استفاده کنید.
گروه های کاربری: سطوح امنیتی برای کاربران مختلف
مشابه نوع وب سایت، انواع مختلف کاربران به سطوح مختلف امنیتی نیاز دارند. در طی مراحل راه اندازی iThemes Security Pro، برای شناسایی گروه های کاربری اصلی وب سایت شما، یک سری سوال پرسیده می شود. پس از شناسایی انواع مختلف کاربران، می توانید سطح امنیتی مناسب برای هر گروه را تعیین کنید.
در ادامه به اهمیت داشتن گروه های کاربری برای امنیت وب سایت می پردازیم:
- برای کاربران – تصویر کنید در حال پیکربندی iThemes Security Pro برای کاربران سایت هستید. شما تصمیم خواهید گرفت که آیا آنها مجبور به استفاده از احراز هویت دو عاملی هستند یا نه و آیا باید به تنظیمات iThemes Security Pro دسترسی داشته باشند و …
- برای مشتریان – اگر وب سایت فروشگاهی دارید، تصمیم خواهید گرفت که آیا می خواهید از حساب مشتری با استفاده از سیاست گذرواژه محافظت کنید یا خیر و …
راهنمای پیکربندی تنظیمات
بیشتر تنظیمات iThemes Security Pro فقط با فعال شدن کار خود را شروع می کنند. اما برخی تنظیمات مانند reCAPTCHA برای شروع مسدود کردن افراد بد، باید کمی تنظیمات اضافی را وارد کنید.
در جریان راه اندازی خودکار، iThemes Security Pro مهمترین تنظیمات برای پیکربندی امنیتی را مشخص می کند تا اطمینان حاصل کنید که بیشترین بهره را از این افزونه امنیتی خواهید برد.
طراحی مجدد بخش تنظیمات افزونه برای ساده سازی امنیت سایت
نصب و راه اندازی خودکار، تنها تغییرات جدید در این نسخه تاریخی افزونه iThemes Security Pro نیست. بلکه تنظیمات امنیتی داخل این افزونه نیز به طور کامل بازبینی و طراحی مجدد شده است.
در نسخه iThemes Security Pro 7.0 تنظیمات امنیتی به گونه ای دسته بندی شده اند که به سادگی بتوانید با توجه به نیاز سایت خود، ماژول های امنیتی را فعال کنید.
۶ گروه جدید تنظیمات امنیتی
ماژول های امنیتی در ۶ گروه تنظیماتی تلفیق و ساده شده است ، از جمله:
- Login Security: امنیت در بخش ورود
- Lockouts: قفل گذاری ها
- Site Check: بررسی امنیتی سایت
- Utilities: برنامه های کاربردی
- Tools: ابزارها
- Advanced: تنظیمات پیشرفته
در ادامه به بررسی هر گروه از تنظیمات امنیتی می پردازیم:
۱- Login Security: امنیت در بخش ورود
گروه Login Security (امنیت در بخش ورود به سیستم) شامل ویژگی های امنیتی طراحی شده برای قفل کردن ورودهای غیر مجاز به وب سایت شما است.
۲- Lockouts: قفل گذاری ها
گروه Lockout(قفل گذاری ها) شامل ویژگی های امنیتی طراحی شده برای شناسایی و قفل کردن افراد بد است.
۳- Site Check: بررسی امنیتی سایت
گروه Site Check (بررسی امنیتی سایت) شامل ویژگی های امنیتی طراحی شده برای شناسایی آسیب پذیری ها و تغییرات مخرب در سایت است.
۴- Utilities: برنامه های کاربردی
گروه Utilities (برنامه های کاربردی) شامل برنامه های مختلف امنیتی موجود در iThemes Security Pro است.
۵- Tools: ابزارها
گروه Tools (ابزارها)شامل بررسی های امنیتی دیگر و ابزارهایی است که می توانید اجرا کنید.
۶- Advanced: تنظیمات پیشرفته
گروه Advanced (تنظیمات پیشرفته) شامل تمام ویژگی های امنیتی است که ممکن است باعث تداخل شود یا استفاده از آن در هر سایتی توصیه نمی شود.
بخش راهنما برای تنظیمات
اگر در iThemes Security Pro با چیزی روبرو شدید که متوجه عملکرد و تنظیمات آن نمی شدید، اصلا نگران نباشید. تنها با یک کلیک راهنمایی مربوطه را دریافت خواهید کرد. تقریباً در هر صفحه از تنظیمات امنیتی یک نماد راهنما وجود دارد.
با کلیک بر روی نماد راهنما، اطلاعات بیشتری در رابطه با صفحه ای که در آن هستید نمایش داده می شود.
با کلیک بر روی گزینه more در جعبه متن نماد راهنما، یک صفحه راهنما با پیوند به پست های وبلاگ، آموزش ها و اسناد مربوط به صفحه ای که در آن هستید را مشاهده خواهید کرد.
کادر جستجو
کادر جستجو که در نسخه جدید اضافه شده، پیدا کردن آنچه شما نیاز دارید را آسان تر می کند.
پیشخوان امنیتی: نظارت سریع و مستقیم بر روی مهمترین رویدادهای امنیتی
هر روز فعالیتهای زیادی روی سایت شما اتفاق می افتد که ممکن است متوجه آن نشوید. بسیاری از این فعالیت ها می تواند به امنیت سایت شما مربوط باشد، لذا نظارت بر این رویدادها برای حفظ امنیت سایت بسیار مهم است.
به کمک پیشخوان امنیتی افزونه iThemes Security Pro می توانید رویدادهای مرتبط با امنیت را به سرعت و سادگی نظارت و مدیریت کنید.
کلیه آمارهای امنیتی وب سایت در بخش پیشخوان افزونه به صورت کارت های امنیتی سازماندهی شده است.
به عنوان یکی از بزرگترین تغییرات در نسخه iThemes Security Pro 7.0 ، پیشخوان امنیتی به صورت پیش فرض فعال است. و نیازی به تنظیمات خسته کننده ندارید و به راحتی و در لحظه می توانید کلیه فعالیت های امنیتی که در سایت تان اتفاق می افتد را مشاهده کنید.
اقدامات جدیدی که می توانید برای حفظ امنیت کاربر از بخش پیشخوان امنیتی انجام دهید:
در کارت پروفایل امنیتی کاربر، امکان فیلتر کردن بر اساس نقش کاربر وجود دارد. در نسخه جدید از بخش پیشخوان امنیتی می توانید این اقدامات را برای کمک به امنیت کاربران خود انجام دهید:
- تغییر رمز عبور اجباری برای تمامیه کاربران- از لیست همه کاربران، می توانید همه کاربران را مجبور به تغییر رمز عبور کنید.
- ارسال اعلان یادآوری فعالسازی احراز هویت دو عاملی- در صورتی که کاربری احراز هویت دو عاملی را فعال نکرده باشد، می توانید یک ایمیل یادآوری فعالسازی این قابلیت برای او ارسال کنید.
- خروج اجباری- از روی نقش و انتخاب کاربر خاص، می توانید یک کاربر را مجبور به خروج کنید.
از بخش پیشخوان امنیتی امکان افزودن همزمان چند ip در لیست سیاه وجود دارد
از طریق کارت کاربران ممنوعه می تواند چندین ip را جهت ممنوعیت، به صورت همزمان اضافه کند.
بررسی برخی تنظیمات امنیتی که در نسخه ۷.۰ iThemes Security Pro حذف شده اند
به دلایل مختلفی برخی تنظیمات امنیتی در نسخه iThemes Security Pro 7.0 حذف شده اند. از جمله:
- تنظیمات امنیتی که در واقع هیچ امنیت معناداری را ارائه نمی دهد- در نسخه جدید صرفا می خواهیم ویژگی های امنیتی را که تأثیر واقعی در امنیت وب سایت شما دارند، شامل شود.
- تنظیمات امنیتی که دیگر در دنیای امروز منطقی نیست- در چند سال اخیر تغییرات زیادی در وردپرس ایجاد شده است، از جمله ابزارها و استراتژی های امنیتی مورد استفاده برای شناسایی و توقف حملات سایبری. لذا برخی از رویکردهای امنیتی موجود قدیمی و بلااستفاده شده است.
- برخی تنظیمات امنیتی به جای فایده و داشتن مزایا بیشتر باعث تداخل و بروز مشکل می شوند- پس از گذشت سال ها از انتشار این افزونه، ویژگی های امنیتی که در سایت کاربران مشکل ساز شده اند شناسایی شده است. و زمانیکه مزایای امنیتی یک ویژگی بر مشکلاتی که ایجاد می کند بیشتر نباشد، ارزش نگه داشتن ندارد.
در ادامه به بررسی تنظیمات حذف شده در iThemes Security Pro 7.0 به همراه توضیحی در مورد علت حذف آن می پردازیم:
تشخیص خطای ۴۰۴:
در اکثر مواقع فعالسازی ماژول تشخیص خطای ۴۰۴ باعث می شد بازدیدکنندگان قانونی سایت هم قفل شوند. در سایت هایی که لینک های خراب زیادی دارند، به اشتباه حتی می تواند خزنده هایی مانند Googlebot را مسدود کند، که برای SEO بسیار مشکل ساز خواهد بود.
به جای استفاده از قابلیت تشخیص خطای ۴۰۴ ، توصیه می کنیم گزینه غیر فعال کردن اجرای PHP را در بخش ترفندهای سیستم فعال کنید. این موارد در حال حاضر به صورت پیش فرض در iThemes Security 7.0 فعال هستند.
حالت دور(Away Mode):
ویژگی حالت دور (Away Mode) اغلب یک احساس کاذب از امنیت وب سایت ایجاد می کند و باعث ایجاد تداخل با افزونه هایی که در هر زمان از روز نیاز به دسترسی به بخش ادمین وردپرس دارند، می شود.
حالت دور (Away Mode) یک رویکرد قدیمی برای امنیت است، زیرا در حال حاضر روشهای بسیار قوی تری برای امنیت پیشخوان مدیریت وردپرس در دسترس است.
به جای استفاده از حالت دور، توصیه می کنیم قابلیت اجبار استفاده از رمز عبور قوی را فعال کنید، reCAPTCHA را برای فرم ورود خود فعال کرده، همچنین احراز هویت دو عاملی را فعال کنید تا کاربران بتوانند از حساب های خود محافظت کنند.
تغییر پوشه wp-content :
تغییر پوشه wp-content جهت پنهان کردن محتوای آن جزء موارد امنیتی است، اما روشی بسیار ناکارآمد بود. زمانیکه در یک سایت فعال، از این قابلیت استفاده می شد، می توانست باعث تداخل در عملکرد افزونه ها و ایجاد خرابی در سایت شود. لذا تصمیم گرفتیم آن را حذف کنیم.
اگر هنوز می خواهید از پوشه محتوای متفاوتی استفاده کنید، توصیه می کنیم هنگام ایجاد وب سایت خود، ثابت های WP_CONTENT_DIR و WP_CONTENT_URL را به صورت دستی تعریف کنید.
ترفندهای وردپرس:
ترفندهای وردپرس تنظیماتی هستند که برای سخت شدن برخی از نقاط ضعف نرم افزاری وردپرس طراحی شده اند. اما این تنظیمات دیگر مفید نیستند و یا به عبارتی در تأمین امنیت در سال ۲۰۲۱ موثر نیستند. از جمله:
حذف Windows Live Writer HeaderEditURI Header
کاهش نظرات اسپم
نمایش پیغام های خطا در زمان ورود
حفاظت در برابر Tabnapping
ترفندهای سیستم:
این موارد از ماژول ترفندهای سیستم حذف شده است:
رشته های پرس و جوی مشکوک، کاراکترهای غیر انگلیسی، آدرس های url طولانی
فیلتر روش های درخواست
حذف مجوز نوشتن فایل
تنظیمات متفرقه:
- گزینه پشتیبان گیری از کل پایگاه داده از ماژول نسخه های پشتیبان پایگاه داده حذف شده است. ماژول نسخه های پشتیبان پایگاه داده یک ابزار ساده برای تهیه نسخه پشتیبان از سایت وردپرسی است، اما یک ابزار مدیریت پایگاه داده عمومی نیست. اگر چندین سایت وردپرسی دارید که جداول پایگاه داده یکسانی دارند، پیشنهاد می کنیم پشتیبان گیری را در هر سایت به طور جداگانه انجام دهید. این کار به شما نسخه های پشتیبان کوچکتر و مرتبط تری می دهد که در صورت خرابی، بازیابی آنها آسان تر خواهد بود.
- ماژول SSL دیگر گزینه هایی برای تعیین اینکه کدام قسمت از وب سایت شما باید از SSL استفاده کند، ندارد. در عوض در صورت فعال بودن SSL را برای کل سایت شما اجرا می کند. کل سایت شما باید در پشت HTTPS محافظت شود، در غیر این صورت بخش هایی از وب سایت خود را ناامن می گذارید و باعث می شود SEO شما آسیب ببیند.
- حذف گزینه هنگام استفاده از نرم افزارهای قدیمی، سایت را تقویت کنید از ماژول مدیریت نسخه. این گزینه باعث نادیده گرفتن انتخاب های شما در بخش ترفندهای وردپرس که برای نحوه محافظت از سایت اعمال کرده اید می شود. همچنین با گزینه حفاظت از سایت آسیب پذیر که در ماژول احراز هویت دو عاملی است و هنگام استفاده از نرم افزار قدیمی کاربران را ملزم به استفاده از احراز هویت دو عاملی می کند تداخل دارد.
تغییر در ماژول بررسی امنیتی کاربر و الزارمات رمز عبور
در نسخه جدید گزینه های بررسی امنیتی کاربر و الزارمات رمز عبور در لیست ویژگی ها نیست، اما همه این قابلیت ها هنوز در iThemes Security Pro وجود دارد.
در نسخه جدید همه گزینه های بررسی امنیتی کاربر را در پیشخوان امنیتی در کارت پروفایل امنیتی کاربر خواهید یافت. دکمه اجبار تغییر رمز عبور هم به کارت پروفایل امنیتی کاربر اضافه شده است.
حرف آخر:
نسخه iThemes Security Pro 7.0 نشان دهنده ماهها تلاش سخت تیم توسعه این افزونه، از مصاحبه با مشتری گرفته تا توسعه و آزمایش است، و همه این کارها با یک هدف انجام شده است: امنیت وردپرس را بدون هیچ زحمت و دردسری انجام دهید. با به روز رسانی به نسخه iThemes Security Pro 7.0، ایمن سازی و محافظت از وب سایت شما از همیشه راحت تر شده است.
برای اینکه هیچ سایت وردپرسی دچار هک یا نقص امنیتی نشود، iThemes Security Pro راه حل آسان اما قدرتمند برای ایمن سازی هر نوع سایت وردپرسی است.
