wordpress Archives - مرکز آموزش زاگریو

هاست وردپرسی: ویژگی‌های مورد نیاز

بسیاری از ارائه‌دهندگان سرویس‌های میزبانی وب و هاستینگ دارای سرویس‌های مخصوص هاست وردپرسی هستند. این اتفاق باتوجه‌به محبوبیت زیاد و روزافزون وردپرس چیز عجیبی نیست با این‌وجود ویژگی‌های ارائه شده توسط هاست‌های متفاوت می‌تواند از شرکت تا شرکت دیگر متفاوت باشد. در این مطلب قصد داریم به تعدادی از ویژگی‌های مهم برای هاست وردپرس اشاره کنیم، ممکن است این ویژگی‌ها در نگاه اول کم‌اهمیت باشند اما در طولانی‌مدت می‌توانند باعث موفقیت یا شکست وبسایت شما گردند.

سرور بهینه شده برای وردپرس:

تفاوت اصلی میان یک‌هاست عادی با یک‌هاست وردپرس چیز نیست جز بهینه شدن و پیکربندی بهینه برای استفاده توسط وبسایت وردپرس شما، در این حالت شرکت میزبانی سرور را برای استفاده بهینه وردپرس با ویژگی‌هایی مانند NGINX، PHP7+OPcache و HTTP2 پیکربندی می‌نماید. موتور کش NGINX این اطمینان را به شما می‌دهد که اطلاعات در کسری از ثانیه به مرورگر کاربران شما برسد، PHP7 و OPcache افزایش بازده و پروتکل HTTP/2 را برای وبسایت شما به ارمغان می‌آورند که نویددهنده واکنشگر بودن بیشتر وبسایت شماست.

گزینه بعدی مدیریت دیتابیس MySQL می‌باشد زمانی که با MariaDB همراه باشد می‌تواند فشار بالای کاری را که همیشه یکی از معضل‌های وب‌سایت وردپرس بوده به‌خوبی مدیریت نماید در این میان بودن PHPMyAdmin نیز به شما این امکان را می‌دهد که دیتابیس خود را به‌راحتی مدیریت نمایید.

با اینکه در حال حاضر PHP 7 بهترین بازده را برای سایت‌های وردپرس دارد اما تعدادی از سایت‌ها و قالب‌های قدیمی‌تر نیاز به نسخه‌های قدیمی‌تر php دارند در این میان شرکت هاستینگ مدنظر شما باید بتواند گزینه‌ای را در اختیار شما قرار دهد تا از میان نسخه‌های php برای وبسایت خود نسخه‌ای را انتخاب نمایید که قالب و افزونه‌های شما کارایی صددرصدی داشته باشند.

نکته مهم دیگر وجود گزینه انتخاب میان SSD و HDD برای فضای ذخیره‌سازی می‌باشند، باتوجه‌به اینکه SSDها سرعتی باورنکردنی در خوانش اطلاعات دارند.

امنیت بیشتر

35 درصد وبسایت‌های جهان با وردپرس هستند و همین امر باعث شده تا این نوع وبسایت‌ها بیشتر مورد حمله مجرمین سایبری باشند و یک شرکت‌هاست و میزبانی خوب این اطمینان را حاصل می‌نماید که هاست وردپرس شما دارای فایروال است و توانایی شناسایی حملاتی که توسط هکرها و با‌ت‌ها انجام می‌شود را داراست.

شرکت‌های ارائه‌دهنده میزبانی خوب به شما یک جعبه ابزار یا TOOLKIT امنیتی ارائه می‌دهند که در اصل یک پنل است و به شما این امکان را می‌دهد که در هر شرایط و در هر نقطه از جهان با هر پلتفرم بتوانید به آن دسترسی داشته باشید و بتوانید از انواع ابزارهای امنیتی بر روی سایت خود استفاده کنید و سایت خود را اسکن کنید ایرادات را رفع نمایید و بتوانید از به‌روزرسانی‌های متفاوت آگاه گردید و ریسک‌های موجود را رفع نمایید.

در کنار اینها به دنبال ارائه دهنده‌ای باشد که گواهینامه رایگان SSL به شما ارائه دهد تا اطلاعات ردوبدل شده بین کاربران شما و وبسایتتان به‌صورت کامل رمزگذاری شده باشد. وبسایتی از SSL بهره‌مند است که در بالا مرورگر کنار آدرس وبسایت یک علامت قفل سبز یا سفیدرنگ وجود داشته باشد.

مهم‌تر ار موارد ذکر شده به دنبال ارائه‌دهنده خدماتی باشید که به‌صورت روزانه از اطلاعات شما نسخه پشتیبان تهیه نماید.

راحتی استفاده از امکانات

راحتی استفاده با کاربرپسند بودن معنی می‌شود، پنل ارائه شده‌ای کاربرپسند است که شما بتوانید تمامی امکانات وبسایت خود را با یک کلیک مدیریت نمایید و در هرکجا و با هر دستگاهی به آن دسترسی داشته باشید برای مثال نصب یک پلاگین و مدیریت آن نباید بیش از یک کلیک و 30 ثانیه از شما وقت بگیرد. شما باید بتوانید بسیاری از تسک‌های خود را درون پنل خود به انجام رسانید مانند ساخت فضای توسعه، کلون کردن وب‌سایت، نصب و بررسی پلاگین‌ها قبل از تست و بررسی در وبسایت اصلی و … امکانات

پشتیبانی همه‌جانبه

اولین و مهم‌ترین ویژگی موردنظر شما باید پشتیبانی همه‌جانبهٔ سرکت ارائه‌دهنده میزبانی باشد، اینکه 24 ساعت روز و هفت روز هفته پشتیبانی وجود داشته باشد تا مشکلات وردپرس شما را حل کند و به شما مشاوره بدهد باید مهم‌ترین ویژگی مدنظر شما باشد. همچنین باید به ویژگی‌هایی نظیر زمان uptime سرویس، پهنای باند بی‌نهایت و تعداد وبسایت‌ها و صندوق‌های پستی که می‌توانید بر هاست خود میزبانی کنید نیز توجه نمایید.

اگر از یک‌هاست دیگر قرار است به هاست دیگری نیز مهاجرت کنید بهتر است دنبال ارائه دهنده‌ای باشید که انتقال سایت شما را به‌صورت رایگان انجام می‌دهد.

نتیجه‌گیری

وردپرس یک سیستم توزیع محتوا با امکانات متنوع است که بیشتر نیازهای کاربران را به بهترین نحو پوشش می‌دهد، در این میان پیداکردن یک پکیج کامل برای میزبانی وردپرس کاری دشوار است توصیه ما به شما استفاده از هاست ورپرس زاگریو است که تمامی ویژگی‌های ذکر شده را داراست.

اضافه کردن پشتیبانی AMP به وبلاگ وردپرس

Saman Yazdannik29 مهر 1399

اضافه کردن پشتیبانی AMP به وبسایت برای بهبود SEO شما بسیار مفید است، هرچند از زمان معرفی AMP انتقادهای بیشماری به این سیستم وارد بوده و بسیاری از تولیدکنندگان محتوای ارگانیک با آن مخالف بوده اند اما چه دوست داشته باشید یا نه زمانی که سئو برای شما مهم است بهتر است که به سمت فعال کردن AMP قدم بردارید، AMP مخفف Accelerated Mobile Pages می‌باشد که یک تکنولوژی HTML است.

برای فعال کردن AMP در وردپرس کافی است که قدم‌های زیر را به ترتیب بردارید و AMP را فعال نمایید.

قدم اول: وارد بخش Installation وردپرس خود شوید به صورت پیش فرض آدرس آن domain.com/wordpress_directory/wp-login.php می‌باشد.

قدم دوم: به بخش Plugins بروید و بر Add New کلیک کنید.

قدم سوم: AMP را در بخش Search plugins سرچ نمایید.

قدم چهارم: پلاگین AMP by Automattic را نصب نمایید. سپس آن را Active نمایید.

قدم پنجم: AMP برای شما فعال گردیده و برای مشاهده صفحات AMP فقط نیاز است یک /amp/ به URL پیج مرود نظر خود اضافه نمایید.

برای بررسی بیشتر می‌توانید از وب‌سایت https://validator.ampproject.org/ استفاده نمایید.

هدایت کاربر از صفحه 403 به 404

Saman Yazdannik26 شهریور 1399

بعضی مواقع هست که ما نیاز داریم تا ارور 403 به کاربرانمان نشان داده نشود. این امر می‌توند به علت محتوایی باشد که از دید بعضی کاربران پنهان کرده‌ایم، اما مشکل اینجا نیست بلکه مشکل زمانی است، که هکرها با ارور 403 مواجه می‌شوند، این ارور به آن‌ها می‌گوید که مسیری که یافته‌اند صحیح است و تنها دسترسی ندارند. حال اگر ما به جای ارور 403 به آن‌ها ارور 404 نشان دهیم هکرها نمی‌توانند مطمئن باشند، که آدرس صحیحی را یافته‌اند.

روش‌های اجرای تکنیک در Nginx، Apache و وردپرس

در ادامه، راه‌هایی را برای اجرای این تکنیک در Nginx ،Apache و وردپرس به شما یاد خواهم داد و طبق تمام مقاله‌های قبلی توصیه من به شما این است که قبل از انجام تغییرات از فایلی که می‌خواهید بر آن تغییری اعمال نمایید پشتیبان تهیه نمایید.

هدایت کاربر از صفحه 403 به 404

Apache HTTP | هدایت کاربر از صفحه 403 به 404

در اولین قدم لاز است تا فایلی با نام پیشنهادی 404 در پوشه DocumentRoot بسازید.

حال در فایل httpd.conf خط زیر را اضافه نمایید.

<span class="s1">ErrorDocument</span><span class="s2"> 403 /404</span>

1	<span class="s1">ErrorDocument</span><span class="s2"> 403 /404</span>

کاری که در این خط انجام داده‌ایم این است که ارور 403 را به صفحه 404 بازگشت داده‌ایم.

حال فایل را ذخیره نمایید و Apache را دوباره راه اندازی نمایید.

هدایت کاربر از صفحه 403 به 404

Nginx

در قدم اول فایلی با نام 404.html بسازید. سپس در فایل پیکربندی Nginx و در زیر بخش server خط زیر را اضافه نمایید.

<span class="s1">error_page 404 /404.html;</span>
<span class="s1">error_page 403 =404 /404.html;</span>

1 2	<span class="s1">error_page 404 /404.html;</span> <span class="s1">error_page 403 =404 /404.html;</span>

در این دستورات زمانی که Nginx صفحه مورد نظر را پیدا نکند، کاربر را به 404 سوق خواهد داد و زمانی نیز که کاربر با صفحه 403 روبرو شود کاربر را به صفحه 404 سوق خواهد داد.

WordPress

در وردپرس این کار بسیار راحت است، شما می‌توانید با استفاده از این پلاگین کاربر را به صفحه مورد نظر خود هدایت نمایید.

کلام آخر…

در این مقاله در مورد هدایت کاربر از صفحه 403 به 404، صحبت کردیم. اگر هرگونه سوال و مشکل در این راه برای شما بوجود آمد، کارشناسان ما به صورت حرفه‌ای و ۲۴ ساعته به شما خدمات خواهند داد.

قراردادن رمزعبور برای صفحات در cPanel،Nginx، Apache

Saman Yazdannik24 شهریور 1399

بعضی مواقع هست که شما نیاز دارید یک یا چند صفحه سایت را با گذاشتن رمزعبور برای صفحات از دید بعشی از مراجعان پنهان نمایید. این کار می‌تواند دلایل زیادی داشته باشد، از جامله حاضر نبودن صفحه یا داده های که نمی‌خواهید همه کاربران مشاهده کنند به این پروسه basic Authentication نیز می‌گویند.

در مقاله پیش رو می‌خواهیم به روش‌های متفاوت در Apache ، Nginx و wordpress و cPanel بپردازیم.

طریقه قرار دادن رمز برای صفحات در Apache

برای این منظور نیاز است که اول از همه یک فایل برای پسورد با تمام مجوزهای مورد نیازش ایجاد نمایید. فایل مورد نظر باید .htpasswd نام داشته باشد و می‌تواند در هر بخشی از سرور ذخیره شود. در این آموزش من این فایل را در پوشه پیکربندی /etc/httpd/conf ذخیره می‌نمایم.

شما می‌توانید این فایل را با دستور touch ایجاد نمایید.

touch /etc/httpd/conf/.htpasswd

1	touch /etc/httpd/conf/.htpasswd

حالا باید مشخص کنیم که کدام یوزرها و کلاینت‌ها می‌توانند دسترسی داشته باشند این کار را در فایل htpasswd انجام خواهیم داد.

htpasswd /etc/httpd/conf/.htpasswd zagrio

1	htpasswd /etc/httpd/conf/.htpasswd zagrio

در این بخش zagrio یوزر نیم شماست. بعد از فشردن اینتر شما رمز خود را وارد می‌نمایید و با نوشته‌ای مانند زیر روبرو خواهید شد.

[root@lab html]# htpasswd /etc/httpd/conf/.htpasswd geekflare
New password:
Re-type new password:
Adding password for user geekflare
[root@lab html]#

[root@lab html]# htpasswd /etc/httpd/conf/.htpasswd geekflare

New password:

Re-type new password:

Adding password for user geekflare

[root@lab html]#

در این میان پسورد شما به صورت رمزکذاری شده ذخیره می‌گردد و نیاز نیس که نگران آن باشید.

حال نیاز است url صفحه‌ای که نیاز است تا رمزگذاری شود را انتخاب نمایید. دستور زیر را می‌توانید در بخشی از فایل خود اضافه نمایید.

&lt;Directory "/var/www/html/client"&gt;
Options Indexes FollowSymLinks
AuthType Basic
AuthName "Protected Content for Client"
AuthUserFile /etc/httpd/conf/.htpasswd
Require valid-user
&lt;/Directory&gt;

Options Indexes FollowSymLinks

AuthType Basic

AuthName "Protected Content for Client"

AuthUserFile /etc/httpd/conf/.htpasswd

Require valid-user

</Directory>

اگر دایرکتوری شما دارای /var/www/html/client می‌توانید به حای اضافه کردنت یک دایرکتوری جدید فقط بخش زیر را در ادمه آن وارد نمایید.

AuthType Basic
AuthName "Protected Content"
AuthUserFile /etc/httpd/conf/.htpasswd
Require valid-user

AuthType Basic

AuthName "Protected Content"

AuthUserFile /etc/httpd/conf/.htpasswd

Require valid-user

حالا Apache را دوباره با دستور زیر راه اندازی نمایید.

service httpd restart

1	service httpd restart

حال اگر به صفحه مورد نظر بروید با دستور نیاز به رمز مواجه خواهید شد.

رمزعبور برای صفحات

حال با رمزعبور و نام کاربری که قبلا تنظیم کرده‌اید می‌توانید وارد صفحه مورد نظر خود شوید.

طریقه قرار دادن رمز برای صفحات در Nginx

برای این منظور بهتر است اول دستور htpasswd را اجرا نمایید تا متوجه شوید که سرور دارای Apache HTTP است یا خیر در غیر اینصورت می‌توانید آن را با دستورات زیر نصب نمایید:

برای CentOS/RHEL 8

dnf install httpd-tools

1	dnf install httpd-tools

برای CentOS/RHEL 7

yum install httpd-tools

1	yum install httpd-tools

برای Ubuntu

apt-get install apache2-utils

1	apt-get install apache2-utils

حال بیاید همانطور که در Apache اقدام به ساخت فایل و مجوزهایش اقدام نمودیم اینجا نیز اقدام نماییم:

htpasswd -c /etc/nginx/.htpasswd zagrio

1	htpasswd -c /etc/nginx/.htpasswd zagrio

فراموش نکنید که zagrio را با نام کاربری خود جایگزین نمایید.

حال خط زیر را به فایل فعال Nginx خود اضافه نمایید. دقت کنید که این خط به فایل nginx.conf که فایل پیکربندی Nginx می‌باشد اضافه می‌شود.

location /admin {
auth_basic "Admin Area";
auth_basic_user_file /etc/nginx/.htpasswd;
}

location /admin {

auth_basic "Admin Area";

auth_basic_user_file /etc/nginx/.htpasswd;

}

حالا Nginx را دوباره راه اندازی نمایید.

خط زیر را به فایل فعال در آدرس location / { اضافه نمایید.

auth_basic "Admin Area";
auth_basic_user_file /etc/nginx/.htpasswd;

1 2	auth_basic "Admin Area"; auth_basic_user_file /etc/nginx/.htpasswd;

طریقه قرار دادن رمزعبور برای صفحات در WordPress

خب بعضی اوقات هست که ما از وردپرس استفاده می‌کنیم و می‌خواهیم بخشی از سایت یا تمام آن را با رمز عبور محافظت کنیم. برای اینکار از افزونه PPWP استفاده خواهیم کرد. این افزونه با اکثر سازنده‌های صفحه مانند المنتور کار می‌کند و پیکربندی آن بسیار راحت است.

اما اگر قصد دارید بر صفحات عادی خود رمزعبور بگذارید می‌توانید از ویژگی‌های خود وردپرس کمک بگیرید. برای این منظور به صفحه مورد نظر خود بروید. رمزعبور برای صفحات

با انتخاب ویرایش قابلیت مشاهد با چند گزینه روبرو خواهید شد که یکی از آنها محافظت شده با رمز عبور است. با انتخاب این گزینه می‌توانید صفحه خود را با رمز عبور محافظت نمایید.

طریقه قرار دادن رمز برای صفحات در cPanel

اگر از cPanel برای هاست خود استفاده می‌کنید می‌توانید با استفاده از ویژگی Directory Privacy اقدام به قرار دادن رمزعبور برای صفحات خود نمایید برای این منظور لاز است تا:

اول وارد cPanel شوید. سپس Directory Privacy را جستجو نمایید.

رمزعبور برای صفحات

پوشه‌ای که می‌خواهید آن را با رمز عبور محافظت کنید را انتخاب می کنید.

سپس یک نام کاربری ایجاد می‌نمایید و برای آن رمزعبور در نظر می‌گیرید.

رمزعبور برای صفحات

حالا از این پس پوشه وصفحه شما دارای رمز می‌باشد و هر کاربری که بخواهد به آن دسترسی پیدا کند باید رمز عبور را وارد نماید.

وردپرس 5.5: لیست مشکلات آپدیت جدید و راه حل آنها

Saman Yazdannik30 مرداد 1399

تعداد زیادی از سایت‌های وردپرسی بعد از بروزرسانی به وردپرس 5.5 دچار مشکل شده‌اند.یکی از دلایل اصلی این اتفاق کاهش پشتیبانی وردپرس از JQuery Migrateبوده است. که حداقل 20000 سایت را دچار مشکل نموده است. یکی دیگر از اشکلات نیز شیوه جدید هندل کردن Pagination توسط وردپرس بوده که بیشتر سایت‌های با تم‌های قدیمی را مورد هدف قرار داده است.

JQuery Migrate و وردپرس 5.5

تعداد زیادی از توسعه دهندگان وردپرس و صاحبان سایت‌های وردپرسی با مشکلی دست و پنجه نمر می‌کنند که بیشتر شبیه یک شوخی زشت است، آن هم عد پشتیبانی از کتابخانه JQuery Migrate توسط وردپرس 5.5 است.

JQuery Migrate یک کتابخانه بسیار پرطرفدار در ورد پرس است که مانند پلی برای اجرای کدهای قدیمی در وردپرس به کار می‌رود.

حالا تصور کنید که بسیاری از سایت‌های وردپرسی هنوز هم از قالب‌‍های قدیمی تر استفاده می‌‎کنند که نیاز به اجرای کدهای قدیمی تر دارند، حالا ببینید که وردپرس 5.5 چه بلایی به سر این نوع سایت‌ها آورده است.

سایت‌های آسیب دیده دارای چه مشکلاتی هستند؟

جاوااسکریپت مانند یک ماشین است که کارهای پشت پرده سایت را سر و سامان می‌دهد. چیزهایی مانند منوهای سایت، منوی جستجو و فرم‌ها. می‌توانید تصور کنید که با این تفاسیر حجم آسیب به بعضی سایت‌ها چقدر زیاد بوده است.

دلیل از کار افتاد جاوا اسکریپت چیست؟

برای بسیاری دلیل این مشکل استفاده از پلاگین‌های قدیمی است، از سویی برای دیگران هم استفاده از تم و قالب قدیمی وردپرس است که با بروزرسانی به ورپرس 5.5 این مشکل هویدا می‌گردد.

این مشکل برای سایت ما نیز با آپدیت به وردپرس 5.5 بوجود آمد که ما را مجبور به بازگشت به نسخه قدیمی وردپرس نمود. بنظر می‌رسد توسعه دهندگان وردپر باید فکری به حال این مشکل نمایند چون تعداد تم و قالب‌های قدیم وردپرس بسیار زیاد است و پلاگین‌های قدیمی نیز غیرقابل شمارشند و وظیفه اصلاح این مشکل بر دوش توسعه دهندگان وردپرس می‌باشد. ایرادات موجود آنقدر زیاد بوده که سایت stack overflow نیز از سوالات استفاده کنندگان وردپرس در امان نمانده است. نمونه‌ای از این سوالات را در پایین مشاهده می‌نمایید.

وردپرس 5.5: سوالات کاربران در stack overflow

که در اینجا مشکل کد قدیمی جاوا اسکریپت در یک پلاگین قدیمی در یک تم قدیمی ورد پرسی بوده راه حل این مشکل آسان است.

راه حل چیست؟

اگر مشکل شما ناشی از پلاگین قدیمی می‌باشد در اولین قدم بهتر است پلاگین‌های نصب شده را بررسی کنید در این میان پلاگین‌های وردپرس که بیش از یک سال از بروزرسانی آنها گذشته است را بررسی نمایید اگر این پلاگین‌ها آپدیت جدیدی دریافت ننموده اند. ممکن است منبع مشکل شما باشند. در اولین قدم بهتر است پلاگین های جایگزین پیدا نمایید. زیرا این پلاگین‌ها می‌توانند ریسک‌های امنیتی هم به دنبال داشته باشند.

اما اگر بازهم علاقه‌ای به تغییر پلاگین خود ندارید یا جایگزین مناسب برای آن‌ها پیدا ننموده‌اید. می‌توانید از پلاگین جدیدی که خود ورد پرس برای کمک به حل این مشکل عرض کرده است استفاده نمایید این پلاگین Enable jQuery Migrate Helper نام دارد. و برای اجرای کدهای قدیم JQuery کاربرد دارد.

مشکل Pagination وردپرس 5.5

Pagination بخشی از سایت که وظیفه انتقال کاربر میان صفحه‌های سایت را بر عهده دارد(دراینجا منظور نوار انتقال شماره صفحات سایت در پایین سایت می‌باشد) آپدیت جدید ورد پرس در این بخش بسیاری از سایت‌ها را دچار مشکل نموده است. این مشکل البته فقط در سایت‌هایی رخ داده که مشاره صفحات آنها به صورت عددی نبوده است و این سایت‌های برای خلاصی از این مشکل مجبور هستند شماره صفحات خود را به مقادیر عددی تغییر دهند.

اما از این نکته هم نمیشود گذشت که آپدیت جدید مزایای زیادی نیز به همراه داشته و بسیاری از مشکلات گذشته را حل نموده است. اگر سایت وردپرسی دارید و نیازمند هاست وردپرسی هستید می‌توانید آن را از اینجا تهیه نمایید.

۱۰ نکته کاربردی برای افزایش امنیت وب‌سایت

زاگریو16 تیر 1397

2.5kviews

در سال‌های اخیر ابزارها و خدمات گسترش وسیعی برای توسعه فضای وب ایجاد شد. سیستم‌های مدیریت محتوا (CMS) مانند وردپرس، جوملا و بسیاری دیگر به صاحبان کسب و کار اجازه می‌دهد که سریع و کارآمد برای خود یک حضور آنلاین ایجاد کنند. معماری توسعه‌پذیر، ماژول‌ها و پلاگین‌های ارزشمند و اکوسیستم‌های توسعه‌پذیر آنها داشتن یک وب‌سایت را بدون نیاز به سال‌ها آموزش امکان‌پذیر می‌کند.

بدون شک این یک چیز با ارزش است اما از طرف دیگر مشکلی وجود دارد و آن این است که بسیاری از طراحان وب نمی‌دانند که چگونه از امنیت وب‌سایت خود مطمئن شوند و یا حتی درکی از اهمیت امنیت وب‌سایت ندارند. ما در این آموزش ۱۰ مرحله مهم که طراحان وب برای تامین امنیت وب‌سایت خود باید در نظر بگیرند را ارائه می‌دهیم.

۱- به‌روزرسانی، به‌روزرسانی، به‌روزرسانی:

وب‌سایت‌های بسیاری هر روزه در معرض خطر ناشی از استفاده از نرم‌افزارهای منسوخ و ناامنی که بر روی آنها اجرا می‌شوند، هستند. این خیلی مهم است که وب‌سایت خود را با پلاگین‌ها و نسخه CMS جدیدی که در دسترس است بروز رسانی کنید تا امنیت وب‌سایت شما در خطر نباشد. امروزه بیشترین هک‌ها کاملا اتوماتیک هستند توسط ربات‌هایی که به طور مداوم سایت‌ها را اسکن می‌کند و به دنبال بهره‌برداری از فرصت‌ها هستند. بروز رسانی یک‌بار در ماه یا یک‌بار در هفته خیلی کافی نیست زیرا به احتمال بسیار زیاد ربات‌ها قبل از شما یک آسیب‌پذیری برای نفوذ پیدا کرده‌اند. مگراینکه شما درحال اجرای website firewall like CloudProxy باشید که به محض انتشار آن نیاز به بروز رسانی دارید. اگر در حال اجرای وردپرس هستید پلاگین ‘WP Updates Notifier توصیه می‌شود. این ایمیل‌ها به شما اجازه می‌دهد از زمانی که یک پلاگین یا هسته وردپرس برای بروزرسانی موجود باشد، باخبر شوید. شما می‌توانید با دنبال کردن @sucuri_security در توتیتر از بروز رسانی و هشدارهای امنیتی اطلاع پیدا کنید.

۲- انتخاب Passwords قدرتمند برای امنیت وب‌سایت و خودتان:

برای کار کردن به روی سایت مشتری اغلب نیاز است که با استفاده از جزئیات مدیریت کاربران به سایت/سرور آنها وارد شویم. در بسیاری از موارد Root Password آن‌ها امن نبوده ولی کمی ترسناک است که این موضوع به آن‌ها گفته شود، اما admin/admin ترکیب امنی برای Username و Password نیست. اگر Password شما در لیست پسوردهای رایج مشاهده شود باعث می‌شود که سایت شما نقاطی برای هک داشته باشد و امنیت وب‌سایت شما در خطر باشد. حتی اگر Password شما در این لیست وجود نداشته باشد، تصورات اشتباهی در مورد رمز عبور قوی وجود دارد. سهل‌انگاری در مورد انتخاب اندازه Password مناسب بخشی از مشکل است.

هنگامی‌که می‌خواهید یک پسورد مناسب انتخاب کنید باید سه مورد زیر را در نظر بگیرید:

– پیچیده بودن: Password باید بصورت تصادفی (Random) انتخاب شود. با انتخاب Password تصادفی دیگر کسی با پی بردن به تاریخ تولد یا تیم ورزشی مورد علاقه شما و دیگر موارد نمی‌تواند حساب شما را هک کند.

– طولانی بودن: Password باید از بیشتر از ۱۲ کاراکتر باشد. وقتی که برای محدودیتی برای وارد کردن رمز عبور وجود نداشته باشد یک رمز عبور ۱۲ کاراکتری به راحتی می‌تواند حدس زده شود. بنابراین بهتر است که رمز عبور طولانی‌تر انتخاب شود و بیش از ۱۲ کاراکتر باشد.

– منحصربه‌فرد بودن: از Password تکراری استفاده نکنید.

۳- یک سایت = یک ظرف:

من وسوسه شدن را درک می‌کنم. شما یک فضای نامحدودی برای میزبانی وب دارید پس چرا سایت‌های بسیاری بر روی آن قرار ندهید! متاسفانه این یکی از بدترین شیوه‌ها از نظر امنیتی است. با قرار دادن سایت‌های بسیار بر روی یک فضا سطح حمله بزرگی ایجاد می‌کنید. به عنوان مثال شما ممکن است یک سایت که شامل وردپرس و با یک موضوع و ۱۰ پلاگین است که بر روی آن نصب شده است به طور بالقوه ممکن است مورد هدف مهاجمان قرار گیرد. حال اگر بر روی سروری که مورد حمله مهاجمان قرار گرفته شما میزبان ۵ سایت باشید که سه تا از آنها با وردپرس و دوتا با جوملا طراحی شده باشند با ۵ موضوع و ۵۰ پلاگین که بر روی آنها نصب شده است، وضعیت بدتر خواهد شد. این کار نه تنها باعث می‌شود که تمامی سایت‌های شما هم‌زمان هک شوند بلکه فرآیند پیشگیری و پاکسازی به زمان بیشتری نیاز پیدا می‌کند.

بعد از اینکه پاکسازی با موفقیت انجام شد شما باید به فکر بازنشانی پسورد باشید، به جای اینکه این کار را فقط برای یک سایت انجام دهید اکنون باید برای تمام سایت‌های خود پسورد را بازنشانی کنید. هر پسورد مرتبط با هر وب‌سایت، تمامی سیستم‌های مدیریت محتوا (CMS)، پایگاه داده‌ها، FTP تمامی کاربران سایت‌ها باید تغییر کند. در نهایت بعد از انجام تمامی این موارد به خانه اول بازمی‌گردید و وب‌سایت شما ممکن است که دوباره آلوده شود.

۴- دسترسی محسوس کاربر:

این قانون برای وب‌سایتهایی است که چندین کاربر برای لاگین کردن به سایت دارند. این مهم است که هر کاربر برای انجام کار خود اجازه دسترسی داشته باشد. اگر نیاز دارند به صورت لحظه‌ای به آن‌ها دسترسی داده شود و بعد از اتمام کارشان این دسترسی محدود شود. این مفهوم به عنوان حداقل امتیاز شناخته می‌شود.

به عنوان مثال اگر دوستی دارید که می‌خواهد یک پست در سایت شما قرار دهند نیازی نیست که دسترسی کامل داشته باشد. این حساب کاربری فقط باید قادر به ایجاد پست جدید و ویرایش باشد. نیازی نیست دسترسی که قادر به تغییر تنظیمات وب‌سایت است را داشته باشد. داشتن دسترسی‌هایی که به دقت تعریف شده می‌تواند اشتباهات و عواقب خطر را محدود کند و می‌تواند وب‌سایت را از آسیب‌های کاربران سرکش محافظت کند.

اغلب مدیریت کاربران بخش پاسخگویی و نظارت را نایده می‌گیرند. اگر مردم یک حساب کاربری مشترک داشته باشند و ناخواسته توسط کاربران تغییر کند، چگونه شخصی را که مسئول است را پیدا می‌کنید؟

وقتی برای هر کاربر حساب جداگانه‌ای داشته باشید می‌توانید رفتار هر کاربر را جداگانه بررسی کنید، بنابراین می‌توانید نقاط ناهنجار را پیدا کنید و شخصی که حسابش در معرض خطر است را تشخیص دهید.

۵- تغییر تنظیمات پیش فرض CMS ها برای بهبود امنیت وب‌سایت:

برنامه‌های CMS امروزی اگرچه برای استفاده بسیار راحت هستند اما از دیدگاه امنیتی برای کابران نهایی بسیار خطرناک است. تاکنون رایج‌ترین حملات در وب‌سایت‌های بوده که کاملا اتوماتیک اند و بسیاری از حملات با تکیه بر تنظیمات پیش‌فرض انجام می‌شود. شما با تغییر تنظیمات پیش‌فرض هنگام نصب CMS ها می‌توانید از بسیاری از حملات دوری کنید. معمولا ساده‌ترین راه برای تغییر تنظیمات پیش ‌فرض هنگام نصب CMS است اما بعد از نصب هم می‌توان این نتظیمات را تغییر داد.

۶- انتخاب توسعه‌پذیری برای بهبود امنیت وب‌سایت:

یکی از زیباترین نکات در مورد برنامه‌های کاربردی CMS های امروزی توسعه‌پذیر بودن آن‌هاست. اما این توسعه‌پذیر بودن بزرگ‌ترین نقطه ضعف آن‌ها است. تعداد زیادی از پلاگین، افزودنی‌ها، و ماژول‌ها وجود دارند که تقریبا هر قابلیتی که شما می‌توانید تصور کنید را ارائه می‌دهند. واقعیت این است که این تعداد بی‌شمار برنامه‌های افزودنی مانند شمشیر دو لبه هستند، اغلب افزونه‌های متعددی پیشنهاد می‌شود که قابلیت‌های مشابه دارند، شما چگونه متوجه می‌شوید که کدام‌یک را نصب کنید؟

در اینجا مواردی را بیان می‌کنیم که معمولا در هنگام تصمیم‌گیری در مورد انتخاب افزونه‌ها برای نصب باید در نظر گرفته شوند:

– اولین مورد این است که پسوندی که به تازگی بروزرسانی شده انتخاب شود. اگر آخرین بروزرسانی برای یک سال قبل باشد باعث این نگرانی می‌شود که نویسنده دیگر قصد ندارند بر روی آن کاری انجام دهد. بهتر است از افزونه‌هایی استفاده شود که به طور مداوم نویسنده در حال توسعه آن‌ها هستند.

– همچنین به قدمت و تعداد نصب افزونه‌های باید توجه شود. افزونه‌هایی که خیلی زیاد نصب شده‌اند نسبت به آن‌هایی که حدود ۱۰۰ مرتبه نصب شده و توسط یک نویسنده برای اولین بار منتشر شده، بیشتر قابل اعتماد است. نه تنها توسعه‌دهنده‌های با تجربه ایده‌های بهتری دارند بلکه احتمال اینکه بخواهند شهرت و محبوبیت خود را با توسعه کدهای مخرب از بین ببرند بسیار کم است.

– اینکه شما برنامه‌های افزودنی و تم‌های خود را از منابع قانونی دانلود کنید بسیار مهم است. سایت‌های بسیاری هستند که نسخه‌های رایگانی را به شما برای دانلود پیشنهاد می‌دهند. وب‌سایت‌ها این نسخه‌های رایگان را فقط با یک هدف ارائه می‌دهند: آلوده کردن وب‌سایت شما با نرم‌افزارهای مخرب.

۷- بک‌آپ گرفتن دوره‌ای برای بهبود امنیت وب‌سایت:

مانند هر چیز دیگری در دنیای دیجیتال، ممکن است که یک‌باره همه چیز از بین برود. بهتر است که گاهی اوقات از وب‌سایت خود بک‌آپ بگیرید. بک‌آپ گرفتن از وب‌سایت خیلی مهم است اما ذخیره‌سازی این بک‌آپ بر روی سرور یک ریسک امنیتی خیلی بزرگ است. این بک‌آپ که شامل نسخه‌های اصلاح نشده CMS و افزونه‌هایی است که در دسترس عموم است، به هکرها اجازه می‌دهد که به راحتی به سرور شما دسترسی پیدا کنند.

۸- فایل‌های پیکربندی شده سرور:

شما باید درباره پیکربندی فایل‌های وب سرور خود اطلاعات داشته باشید. وب‌سرورهای آپاچی از فایل .htaccess و سرورهای Nginx از فایل nginx.conf و سرورهای Microsoft IIS از فایل web.config. استفاده می‌کنند که اغلب در root web directory یافت می‌شوند و بسیار قدرتمندند. این فایل‌ها به شما اجازه می‌دهند قوانینی از جمله دستورات بهبود امنیت وب سایت را اجرا کنید.

۹- نصب SSL:

در مورد مقالات بسیاری که به اشتباه بیان کرده‌اند که نصب SSL همه مسائل امنیتی شما را حل می‌کند دو طرز تفکر وجود دارد. SSL سایت شما را در برابر هیچ حمله مخربی محافظت نمی‌کند و توزیع نرم‌افزارهای مخرب را متوقف نمی‌کند. SSL ارتباط بین دو نقطه A و B – بین سرور وب سایت شما و مرورگر را رمزگذاری می‌کند. این رمزگذاری به این دلیل که مانع از این می‌شود که هر کسی قادر به مشاهده ترافیک و اطلاعات انتقالی شما نباشد بسیار با اهمیت است. SSL برای امنیت وب‌سایت تجارت الکترونیک و هر وب‌سایتی که فرم‌هایی با اطلاعات حساس و شخصی افراد را می‌پذیرد بسیار مهم است. گواهینامه‌های امنیتی SSL انتقال اطلاعات بازدیدکنندگان شما را محافظت می‌کند.

۱۰- مجوزهای دسترسی فایل:

مجوزهای دسترسی تعریف می‌کند که چه کسی می‌تواند با فایل چه کاری انجام دهد.

هر فایل سه مجوز دسترسی دارد:

– خواندن (Read): به این سطح دسترسی عدد ۴ داده می‌شود.

– نوشتن (Write): به این سطح دسترسی عدد ۲ داده می‌شود.

– اجرا کردن (Execute): به این سطح دسترسی عدد ۱ داده می‌شود.

اگر می‌خواهید چندین اجازه دسترسی را به شخصی بدهید کافی است که اعداد را باهم جمع کنید. به عنوان مثال اگر می‌خواهید به شخصی اجازه خواندن و نوشتن بدهید باید در مجوز دسترسی کاربر عدد ۶ را وارد کنید. اگر علاوه بر خواندن و نوشتن مجوز اجرای فایل‌ها را هم بدهید باید عدد ۷ را وارد کنید.

نتیجه:

با انجام این ده مرحله نسبتا ساده شما می‌توانید به طور چشمگیری امنیت سایت خود را افزایش دهید، هرچند که انجام این مراحل به تنهایی تضمین نمی‌کند که سایت شما هرگز هک نشود اما می‌تواند اکثریت قریب به اتفاق حملات خودکار را متوقف کند.

راه‌کارهای افزایش امنیت در وردپرس

زاگریو15 تیر 1397

538views

۱- همیشه بروز باشید!

یکی از اصلی ترین نکات، بروزرسانی هسته وردپرس است. همیشه وردپرس خود را بروز نگهدارید.

۲- نام کاربری مدیر را admin انتخاب نکنید!

سعی کنید نام کاربری مدیر را چیزی انتخاب کنید که به راحتی قابل حدس زدن نباشد. مواردی مثل admin – modir – administrator و… را انتخاب نکنید.

۳- رمز عبور مناسب انتخاب کنید.

سعی کنید در رمز عبور خود از حروف نامتعارف و کاراکترهای جانبی استفاده کنید. حدالامکان از password generator های قدرتمند برای این‌کار استفاده ببرید.

۴- سطح دسترسی پوشه های زیر را روی ۷۵۵ (user account) قرار دهید:

/wp-admin/ /wp-includes/ /wp-content/ /wp-content/themes/ /wp-content/plugins/

و سطح دسترسی فایل‌های داخل آنها بر روی ۶۴۴ قرار گیرد.

۵- امنیت پوشه wp-includes را به کمک قرار دادن کدهای زیر (در htaccess) بالاتر ببرید:

# Block the include-only files. RewriteEngineOn RewriteBase RewriteRule^wp-admin/includes/-[F,L] RewriteRule!^wp-includes/-[S=3] RewriteRule^wp-includes/[^/]+\.php$ -[F,L] RewriteRule^wp-includes/js/tinymce/langs/.+\.php -[F,L] RewriteRule^wp-includes/theme-compat/-[F,L]

۶- امنیت فایل wp-config.php را به کمک قرار دادن کدهای زیر (در htaccess) بالاتر ببرید:

< fileswp-config.php order allow,deny deny from all >

۷- در پایگاه داده، پیشوند (_prefix) پیشفرض (wp_) را تغییر دهید.

۸- بصورت مرتب از پایگاه داده خود پشتیبان بگیرید.