افزونه امنیتی iThemes Security Pro، بیش از ۵۰ روش مختلف برای امنیت و محافظت از وبسایت وردپرسی را در اختیار شما عزیزان قرار می دهد. شما تنها با کلیک بر روی یک دکمه می توانید به راحتی بسیاری از روش های امنیتی را در iThemes Security Pro فعال کنید. اما اگر چند دقیقه زمان بگذارید و در تنظیمات هر ماژول وارد شوید، می توانید لایه های محافظتی بیشتری به وبسایت خود اضافه کنید.
در این مقاله سعی داریم ۵ نکته و ترفند پیشرفته در افزونه iThemes Security Pro را به شما توضیح دهیم تا با استفاده از آنها بتوانید امنیت سایت خود را به سطح بالاتری برسانید.
نکته شماره ۱: از دسترسی به پیشخوان مدیریتی سایت خود با استفاده از دستگاه های قابل اعتماد محافظت کنید:
ماژول دستگاه های قابل اعتماد در افزونه iThemes Security Pro، دسترسی به پیشخوان وردپرس را به لیستی از دستگاه های تأیید شده محدود می کند.زمانیکه به آیتمز اطلاع دهید که کدام دستگاه ها متعلق به شما هستند، تنظیمات ماژول دستگاه های قابل اعتماد می تواند به ۲ روش مختلف از سایت شما محافظت کند:
۱- قابلیت های دستگاه های ناشناخته را محدود کنید:
وقتی کسی با استفاده از یک دستگاه ناشناخته سعی در ورود به سایت شما می کند، می توانید از ورود این فرد به سایت جلوگیری کنید.
این امکان به شما داده خواهد شد که دستگاه ناشناخته نامبرده را تائید و یا مسدود کنید.اگر روی دکمه تأیید دستگاه (confirm device) کلیک شود ، امکان ورود و دسترسی به پیشخوان سایت برای این کاربر فعال می شود. اما اگر روی دکمه این من نیستم (This Was Not Me) کلیک شود، آیتمز فرد را به عنوان کاربر غیر مجاز شناسایی کرده و دستگاه فوق را به لیست دستگاه های غیر مجاز اضافه خواهد کرد.
۲- حفاظت از سرقت نشست های فعال (Session Hijacking Protection)
Session hijacking یک نوع حمله است که در آن session کاربر توسط مهاجم تصرف می شود. برای مثال: وردپرس با هر بار ورود به وب سایت تان یک کوکی جلسه (session cookie)ایجاد می کند. و فرض کنید شما دارای یک مرورگر با یک آسیب پذیری هستید که به هکرها اجازه می دهد تا کوکی مرورگر شما را بدزدند. پس از ربودن session شما ، هکر می تواند وارد سایت شما شده و شروع به ایجاد تغییرات مخرب در وب سایت شما کند.
با فعالسازی این قابلیت، اگر دستگاه کاربر در طول جلسه(session) تغییر کند،افزونه امنیتی iThemes Security Pro به طور خودکار کاربر را از سیستم خارج می کند تا از فعالیت غیرمجاز در حساب کاربری فوق جلوگیری کند و نتواند تغییراتی مثل تغییر آدرس ایمیل کاربر یا بارگذاری افزونه های مخرب و .. را انجام دهد.
توجه: برای کسب اطلاعات بیشتر در مورد عملکرد ماژول دستگاه های قابل اعتماد می توانید این مقاله را مطالعه نمایید.
نکته شماره ۲: قابلیت استفاده از reCAPTCHA v3
ویژگی Google reCAPTCHA در iThemes Security Pro از سایت شما در برابر ربات های بد محافظت می کند. این ربات ها سعی دارند با استفاده از رمزهای عبور ساده و در معرض خطر ، ارسال هرزنامه و … به وب سایت شما نفوذ کنند.
ویژگی reCAPTCHA از روشهای پیشرفته تجزیه و تحلیل خطر برای تشخیص بین انسان و ربات استفاده می کند.
نکته بسیار عالی که در reCAPTCHA version 3 وجود دارد این است که به شما کمک می کند، بدون هیچ گونه تعامل کاربر ، ترافیک حاصل از ربات های سوء استفاده کننده را در وب سایت خود شناسایی کنید.
به جای نمایش یک چالش CAPTCHA، reCAPTCHA v3 درخواستهای مختلف ارائه شده را کنترل کرده و یک امتیاز را برمی گرداند.
دامنه این امتیاز بین ۰۱/۰ تا ۱ است. هر چه امتیازی که توسط ریکپچا برگردانده می شود بالاتر باشد، یعنی احتمال اینکه درخواست توسط انسان انجام گرفته بیشتر است. و بالعکس هر چه امتیازی که ریکپچا بر می گرداند پایین تر باشد، احتمال اینکه درخواست توسط ربات ثبت شده باشد، بیشتر است.
iThemes Security Pro به شما امکان می دهد با استفاده از امتیاز reCAPTCHA یک آستانه بلاک تعیین کنید. گوگل توصیه میکند از مقدار پیشفرض ۰.۵ برای این منظور استفاده کنید. توجه داشته باشید که اگر آستانه را خیلی زیاد قرار دهید ، ممکن است کاربران عادی را به طور ناخواسته قفل کنید.
به عنوان مثال اگر آستانه بلاک را روی ۱ قرار دهید، بدان معناست که می خواهید گوگل هر چیزی را که از نظر انسانی ۱۰۰٪ مطمئن نیستند را مسدود کند.
حال در نظر بگیرید یکی از مشتریان شما درخواست ورود به وب سایت شما را ارسال می کند. این مشتری از یک برنامه مدیریت رمز عبور مثلا Lastpass برای پر کردن خودکار رمزهای عبور خود استفاده می کند و reCAPTCHA به درخواست ورود به سیستم او نمره ۰.۷ می دهد. بنابراین حتی اگر مشتری شما از صفحه کلید خود برای وارد کردن اطلاعات ورود خود استفاده نکرده است ، باز هم گوگل کاملا مطمئن است که مشتری شما انسان است. اما مشتری شما همچنان قفل خواهد شد زیرا آستانه بلاک را ۱ تعیین کرده اید.
شما می توانید reCAPTCHA را در بخش ورود به سیستم، ثبت نام، بازیابی رمز عبور و بخش نظرات فعال کنید.
iThemes Security Pro به شما امکان می دهد، برای افزایش دقت اسکریپت ریکپچای گوگل را در همه صفحات اجرا کنید.
Google reCAPTCHA v3 باور نکردنیه! این نوع ریکپچا، بدون هیچ گونه مزاحمت برای کاربر و درخواست تائید و انتخاب تصاویر کپچا، به شما کمک می کند تا سایت خود را از ربات های بد در امان نگه دارید.
نکته ۳: استفاده از افزایش امتیاز، برای ایجاد موقت یک کاربر با دسترسی های بیشتر(مثلا ایجاد موقت نقش مدیر)
یکی از ویژگی هایی که در افزونه امنیتی iThemes Security Pro وجود دارد و کمتر از آن استفاده می شود، ماژول افزایش امتیاز است. این ویژگی به شما امکان می دهد امتیازات و دسترسی های یک کاربر را به طور موقت افزایش دهید.
هر زمان که شما یک کاربر جدید ایجاد کنید ، به خصوص با نقش Admin ، به این معناست که شما یک نقطه ورود دیگر رابه سایت خود اضافه می کنید که یک هکر می تواند به راحتی از آن سوء استفاده کند.
اما ، گاهی اوقات ممکن است به کمک خارجی برای وب سایت خود نیاز داشته باشید ، مانند زمانی که درخواست پشتیبانی ثبت می کنید و پشتیبان شما برای بررسی مشکل از شما درخواست دسترسی ادمین سایت را می کند.
در این شرایط بهترین کار این است که یک کاربر جدید ایجاد کنید و نام آن را Support قرار دهید و به آن نقش کاربر مشترک را بدهید.
هر زمان نیاز به ارائه دسترسی موقت برای وب سایت خود دارید ، به صفحه ویرایش پروفایل کاربر پشتیبانی خود بروید.
آدرس ایمیل را به روز کنید تا به شخصی که بر ای پشتیبانی می خواهید به او دسترسی دهید،اجازه دهد رمز ورود جدیدی درخواست کند.سپس کمی پایین بروید تا گزینه افزایش موقت امتیاز را ببینید.
روی گزینه تنظیم موقت نقش کلیک کنید و مدیر را انتخاب کنید. با این کار،کاربر فوق فقط تا ۲۴ ساعت آینده دسترسی ادمین سایت شما را در اختیار خواهد داشت.
اگر کاربر فوق به ۲۴ ساعت کامل نیاز ندارد ، می توانید افزایش امتیاز را از صفحه ویرایش کاربر لغو کنید.
نکته شماره ۴ – امنیت را برای کاربران خود آسان کنید
در این بخش می خواهیم به بررسی سه ویژگی خیلی مهمی که در افزونه امنیتی iThemes Security Pro وجود دارد و به آسانی می تواند امنیت را برای همه افراد در وب سایت شما تامین کند، می پردازیم.
۱- احراز هویت دو عاملی
احراز هویت دو عاملی، فرآیند تأیید هویت فرد از طریق نیاز به تائید دو روش جداگانه است. به عبارتی علاوه بر رمز اولیه، لازم است کاربر رمز دومی را نیز وارد کند.
گوگل در وبلاگ خود مقاله ای به اشتراک گذاشته است که در آن بیان کرده با استفاده از قابلیت احراز هویت دو عاملی می توان ۱۰۰٪ حملات خودکار ربات ها را متوقف کرد.
پردازنده دو عاملی، یک روش کاربر پسند است که از طریق آن افراد می توانند به راحتی احراز هویت دو عاملی را در حسابهای خود فعال کنند. هر کاربری که احراز هویت دو عاملی را فعال کند ، دفعه بعد که وارد سیستم می شود از طریق پیغام های راهنمایی که دریافت می کند، برای ادامه کار هدایت می شود.
پس از وارد کردن رمز عبور، متن خوش آمدگویی و نحوه تنظیم دو عاملی نمایش داده می شود.
توجه داشته باشید، می توانید این مورد را از بخش ماژول احراز هویت دو عاملی تنظیم کنید.
در ادامه، این امکان به شما داده می شود که روشهای دو عاملی را که می خواهید استفاده کنید فعال و پیکربندی نمایید.
و در نهایت، شما و حساب های کاربریتان از یک لایه امنیتی قوی که احراز هویت دو عاملی برای شما فراهم می کند، برخواردار خواهد شد.
۲- لینک های جادویی
یک ربات ممکن است با داشتن نام کاربری شما و از طریق حملات بروت فورس و وارد کردن رمزهای مختلف، سعی در نفوذ به سایت شما کند. افزونه پیشتر جلوی چنین نفوذهایی را میگیرد و نام کاربری شما را قفل می کند تا مانع علکرد ربات هایی شود که سعی دارند با استفاده از نام کاربری شما به وب سایت تان نفوذ کنند.
با فعال بودن ماژول فوق، وقتی نام کاربری شما قفل شود ، می توانید به راحتی درخواست یک ایمیل با یک لینک ورود منحصر به فرد کنید. استفاده از لینک ایمیل شده به معنای دور زدن قفل نام کاربری شما است ، در حالی که مهاجمانی که با نام کاربری شما،حملات بروت فورس انجام داده هنوز قفل هستند.
پس از دریافت ایمیل حاوی لینک جادویی ، با زدن روی دکمه continue login می توانید اطلاعات ورود خود را وارد کرده و دوباره به سایت خود باز خواهید گشت!
توجه: برای کسب اطلاعات بیشتر ، مقاله مرتبط با ماژول لینک های جادویی را مطالعه نمایید.
۳- ورود بدون رمز
به طور کلی در زمینه امنیت، استفاده از برنامه های مدیریت رمز عبور و یا احراز هویت دو عاملی می تواند سخت و زمان بر باشد ، خصوصاً که بیشتر کارهای خود را به صورت آنلاین انجام می دهیم.
بنابراین قابلبتی با عنوان ورود بدون رمز عبور به وجود آمد تا مردم از امنیتی که یک رمز عبور قوی و منحصر به فرد برای آنهاایجاد می کند را بدون وارد کردن رمز عبور، داشته باشند.
ورود بدون رمز عبور چیست؟
ورود بدون رمز عبور راهی جدید برای تأیید هویت کاربر است بدون اینکه برای ورود به سیستم به رمز عبور احتیاج داشته باشید.
روش لینک های جادویی به یک روش جدید تبدیل شده، که به شما امکان می دهد از کاربران بخواهید از رمزهای عبور قوی و احراز هویت دو عاملی استفاده کنند بدون اینکه نیاز باشد آن رمز عبور و یا کد دو عاملی را وارد کنند.
روش ورود بدون رمز عبور چگونه کار می کند؟
هنگام ورود به سیستم از شما خواسته می شود که روش ورود به سیستم را انتخاب کنید.روی دکمه ارسال لینک جادوی به ایمیل کلیک کنید تا ایمیل حاوی لینک ورود بدون رمز برایتان ارسال شود.
سپس پیامی مبنی بر تأیید ارسال ایمیل مشاهده خواهید کرد.
ایمیل خود را بررسی کنید و ایمیل با عنوان لینک ورود را باز و روی دکمه اکنون وارد شوید کلیک کنید.
به همین سادگی! بدون وارد کردن رمز عبور یا رمز دو عاملی.
پس از فعالسازی ماژول ورود بدون رمز، لازم نیست رمز ورود پیچیده خود را بدانید یا برای ورود به سیستم کد اضافی را کپی و جایگذاری کنید. با این وجود، این روش بسیار امن است و نرخ موفقیت هکر ها و افرادی که با حملات بروت فورس سعی در نفوذ به سایت شما دارند، ۰% خواهد شد.
توجه: برای کسب اطلاعات بیشتر می توانید کتاب الکترونیکی «شروع کار با ورود بدون رمز» را دانلود و مطالعه نمایید.
نکته شماره ۵ – برای عیب یابی پیشرفته منوی خطایابی را فعال کنید
ممکن است در برخی مواقع برای بررسی مشکل پیش آمده، بخواهید منوی خطایابی (Debug)را فعال کنید. برای فعال کردن منوی خطایابی در iThemes Security Pro ، باید کد زیر را به فایل wp-config.php خود اضافه کنید.
define( ‘ITSEC_DEBUG’, true );
حتماً کد را در بالای خط “That’s all happy blogging.” اضافه کنید.
اکنون می توانید به منوی Debug در iThemes Security Pro دسترسی پیدا کنید.
شما می توانید اطلاعات سیستم خود را مشاهده کنید ، پیکربندی تنظیمات خود را بارگذاری کنید ، زمانبندی رویدادهای امنیتی را ببینید و ایمیل هایی که از طریق مرکز اطلاع رسانی ارسال می شود را بررسی کنید.
در ادامه می خواهیم به بررسی بخش زمانبندی ابزار عیب یابی بپردازیم.
زمانبندی:
بخش زمانبندی، رویدادهای برنامه ریزی شده مختلف در iThemes Security Pro را به شما نشان می دهد. رویدادهای برنامه ریزی شده مواردی است شامل:اسکن سایت ، بررسی تغییر فایل ، پاک کردن قفل ها و …
آنچه در این توابع مشترک هستند ، نیاز آنها به برنامه ریزی قبلی است و برای اجرای به wp-cron نیاز دارند.
نتیجه گیری:
با استفاده از افزونه iThemes Security Pro به سادگی می توانید امنیت سایت خود را تامین کنید. و با مراجعه به هر ماژول امنیتی، می توانید تنظیمات و قابلیت های بیشتری را بررسی و در صورت تمایل فعال کنید.
این تنظیمات می توانند چندین لایه امنیتی را به بخش ورود و پیشخوان مدیریتی سایت شما اضافه کنند ، ربات های بد را مسدود کنند و حتی رعایت امنیت را برای همه در وب سایت شما آسان تر کنند.
