دیجی اسکریپت

از حملات شایع در وردپرس، حملات XML-RPC هستند. xmlrpc.php فایلی هست که در پوشه اصلی سایت‌های وردپرسی قرار دارد و می‌توانیم با جلوگیری از دسترسی به XML-RPC سایت خود را تا حد زیادی امن‌تر کنیم.

وردپرس بهترین سیستم مدیریت محتوای دنیاست. در این قضیه شکی نیست. اما وقتی صحبت از امنیت می‌شود بسیاری از دوستان ظاهراً متخصص، قصد دارند برای فروش سیستم‌های مدیریت محتوای اختصاصی خودشان وردپرس را غیر امن توصیف کنند. اما همان‌طور که در دوره آموزش امنیت وردپرس توضیح دادم، امنیت امری نسبی هست و کاملاً بستگی به شرایط و تنظیمات‌هاست و سرور شما دارد.

مثلاً اگر روزی یک نفری وارد دیتاسنتر شد و هارد سرور شمارا دزدید این قضیه دیگر مربوط به امنیت وردپرس نیست! بلکه امنیت دیتاسنتر شما هست که باید بازبینی شود.

XML-RPC چیست

از همه این‌ها که بگذریم. وردپرس یک پروتکل دسترسی به نام xml-rpc دارد که معمولا برای دسترسی به توابع سایت شما استفاده می‌شود. یعنی سایت‌های دیگر می‌توانند با این سرویس، شروع به اجرای توابع قالب‌ها و افزونه‌های سایت شما شوند.

بسیاری از ما از این پروتکل استفاده نمی‌کنیم. پس برای جلوگیری از حملات احتمالی بهتر است این بخش را مسدود کنیم. در کل زمانی که یک هکر قصد هک کردن سایت شما با استفاده از XML-RPC را دارد، از دو روش عمل می‌کند:

1. خواندن اطلاعات دقیق خطا زمانی که سایت شما خطای دیتابیس دارد.
2. خواندن اطلاعات زیادی از جمله POST /xmlrpc.php HTTP/1.0 در لاگ وب سرور شما

جلوگیری از دسترسی به XML-RPC

قبلا غیرفعال کردن xml-rpc با افزونه را توضیح داده‌ایم. اما می‌خواهیم افزونه‌های زیادی روی سایت‌مان نصب نکنیم. پس به سراغ فایل htaccess می‌رویم. برای غیر فعال کردن XML RPC در وردپرس کافیست وارد فایل منیجر هاست خود شوید. سپس فایل .htaccess را ویرایش کنید. این فایل در مسیر اصلی public_html سایت شما قرار دارد.

بعد از باز کردن این فایل. در خط اول این کد را قرار دهید:

<files xmlrpc.php>
   order allow,deny
   deny from all
</files>

به همین راحتی! دسترسی به فایل xmlrpc.php مسدود شد و حالا هکر گرامی دسترسی به این فایل نخواهد داشت.

اگر از NGINX استفاده می‌کنید

بسیاری از شما از وب سرور NGINX استفاده می‌کنید. اگر اینطور هست به شما تبریک می‌گوییم چون حتما یک سرور اختصاصی یا نیمه اختصاصی برای سایت خود دارید. اگر از NGINX استفاده می‌کنید، باید در فایل /etc/nginx/nginx.conf این کدها را در بخش server{} قرار دهید.

location = /ahura/xmlrpc.php {
   deny all;
   access_log off;
   log_not_found off;
   return 403;
}

به همین راحتی! دسترسی به فایل xmlrpc.php روی سرور انجین ایکس شما مسدود شد.

چگونه مطمئن شویم xmlrpc.php مسدود هست

خیلی راحت! کافیست آدرس mihanwp.com/xmlrpc.php را در مرورگر خود باز کنید. اگر خطای ۴۰۳ یا ۴۰۴ دریافت کردید یعنی xmlrpc.php روی سایت ما مسدود هست. حالا همین کار را با وارد کردن دامنه خود به جای mihanwp.com تست کنید. اگر روی سایت شما هم مسدود بود پس کار درست را انجام داده‌اید. 🙂

موفق و پیروز باشید.

بخش Core Web Vitals در سرچ کنسول گوگل

بخش Core Web Vitals یکی از مهم‌ترین بخش‌های سرچ کنسول جدید گوگل هست. البته تا همین یک ماه پیش این بخش را با نام Page Speed در گوگل مشاهده می‌کردیم. اما چند وقتی هست که نام جدید Core Web Vitals به بخش تست سرعت سرچ کنسول گوگل داده شده. بیایید ببینیم این بخش چقدر در افزایش سئو سایت ما نقش دارد؟

متن مقاله به زودی…

همان‌طور که در دوره آموزش امنیت وردپرس توضیح دادیم یکی از روش‌های هک کردن وردپرس Brute Force هست. در این روش هکر با استفاده از نام کاربری و رمز عبورهای تصادفی آن‌قدر سعی می‌کند تا بالاخره به سایت شما نفوذ کند. اصلی‌ترین مسیر بروت فورث در وردپرس، فرم ورود به پنل مدیریت وردپرس هست.

اگر قصد ندارید روی پنل مدیریت سایت خود رمز بگذارید، چون مثل ما از افزونه پنل کاربری وردپرس استفاده می‌کنید، پس حتماً باید تعداد ورود اشتباه در وردپرس را محدود کنید.

محدود کردن تعداد ورود اشتباه در وردپرس

برای محدود کردن تعداد ورود اشتباه در وردپرس می‌توانید از افزونه‌های مختلفی استفاده کنید. اگر از افزونه امنیت فراگیر وردپرس استفاده نمی‌کنید، قطعاً باید یک افزونه محدودکننده تعداد ورود اشتباه در وردپرس نصب و راه‌اندازی کنید.

بهترین افزونه برای محدود کردن تعداد ورود اشتباه در وردپرس، افزونه WP Limit Login Attempts هست. این افزونه نصب‌های بسیار زیادی دارد و می‌تواند تعداد ورود اشتباه را برای شما محدود کند.

نحوه کار افزونه WP Limit Login Attempts

این افزونه تعداد ورودهای غیرمجاز را شمارش می‌کند. یعنی هر بار کاربری با یک IP خاص چندین بار نام کاربری و رمز عبور اشتباه را در فرم ورود سایت شما وارد کرد، یک عدد به لیست ورودهای غیرمجاز این کاربر اضافه خواهد شد.

درنهایت اگر تعداد ورود مثلاً به عدد ۵ رسید و نام کاربری و رمز عبوری که کاربر وارد می‌کند اشتباه بود، افزونه این آی پی را برای مدت ۶۰ دقیقه بلاک خواهد کرد. البته عدد ۵ و ۶۰ دقیقه در اینجا یک مثال بود و شما می‌توانید از پنل مدیریت افزونه این مقادیر را به‌دلخواه خود تنظیم کنید.

نصب و راه اندازی افزونه WP Limit Login Attempts

ابتدا مثل هر افزونه دیگری، WP Limit Login Attempts را روی سایت خود نصب کنید. آموزش نصب افزونه وردپرس را ببینید.

بعد از نصب افزونه باید وارد بخش تنظیمات > WP Limit Login شوید.

در اینجا لیستی از تنظیمات افزونه را می‌بینید که متأسفانه قابل‌تغییر نیست. چراکه این امکانات در نسخه حرفه‌ای این افزونه فعال خواهند شد. البته تنظیمات پیش‌فرض افزونه استاندارد هست و بعد از ۵ ورود ناموفق، کاربر را برای ۱۰ دقیقه بلاک خواهد کرد.

پس نیازی به خرید نسخه حرفه‌ای این افزونه نیست. از نسخه رایگان لذت ببرید. 🙂

اصلا چرا وردپرس چنین قابلیتی ندارد؟!

زمانی که صحبت از سیستم‌های متن‌باز می‌کنیم، قرار نیست سیستمی داشته باشیم که تمام امکانات موردنیاز را در هسته خود جای‌داده باشد. مثلاً قرار نیست روی لینوکس ماشین‌حساب داشته باشیم. شاید کاربری در مدرسه یک دبیر ریاضی بداخلاق داشته و از ریاضیات چندان دل خوشی نداشته باشد. 🙂 پس باید تا حد ممکن سیستم را Minimal نگه‌داریم. اگر کسی نیاز به ماشین‌حساب داشت. یک ماشین‌حساب روی سیستم‌عامل لینوکسی خود نصب خواهد کرد.

دقیقا در وردپرس هم قضیه به همین شکل هست. شاید کاربر وردپرسی نیاز به چنین قابلیت امنیتی نداشته باشد. پس وردپرس این موضوع را به برنامه‌نویسان وردپرسی و پلاگین‌ها سپرده. کاربر با نصب یک افزونه بسیار ساده می‌تواند چنین قابلیتی را پیاده کند.

موفق باشید. 🙂

همانطور که در دوره وردپرس کار حرفه‌ای توضیح دادم. وب سرور آپاچی تقریبا قدیمی شده و برای افزایش سرعت سایت خود باید از وب سرور NGINX یا LiteSpeed استفاده کنیم.

اکثر هاستینگ‌ها به دلیل محدودیت‌های Permalink وردپرس مجبورند به جای NGINX رایگان از وب سرور لایت اسپید استفاده کنند. که البته لایت اسپید رایگان و باز متن (یا همان متن باز) نیست.

اگر قصد دارید مطمئن شوید وب سرور شما NGINX هست یا خیر، کافیست از بخش ابزار‌ها > سلامت سایت وارد بخش اطلاعات سرور شوید و وب سرور خود را مشاهده کنید.

حالا اگر سایتی دارید که بازدید بالایی دارد و مثل ما قصد دارید این سایت را روی یک سرور کاملا اختصاصی میزبانی کنید. می‌توانید از NGINX پر دردسر اما پر سرعت استفاده کنید.

مسئله امنیتی NGINX و EDD

یکی از دردسرهای NGINX عدم دسترسی به فایل htaccess و بهتر است بگوییم عدم توانایی در خواندن این فایل هست. پس شما مجبورید دستورات خود را بصورت مستقیم در فایل /etc/nginx/nginx.conf وارد کنید.

وقتی از وب سرور NGINX روی سرور خود استفاده می‌کنید و در کنار آن روی سایت وردپرسی خود افزونه Easy Digital Downloads را نصب کنید، دسترسی به پوشه دانلودهای شما باز خواهد شد. مثلا شخصی می‌تواند با وارد کردن این آدرس تمام فایل‌های فروشی شما را دانلود کند.

برای تست این مورد باید این آدرس را در مرورگر خود تایپ کنید:

http://yoursite.ir/wp-content/uploads/edd/downloadname.zip

به جای yoursite.ir ادرس سایت خود را وارد کنید و به جای downloadname.zip نام فایلی که برای دانلود قرار داده‌اید.

حالا اگر خطای ۴۰۳ یا ۴۰۴ دریافت کردید، طبیعتا دسترسی به این فایل محدود است. اما اگر فایل دانلود شد پس تنظیمات وب سرور شما مشکل امنیتی دارد و باید آن را حل کنید.

اگر شما مدیر سرور نیستید پس این مقاله را برای مدیر سرور خود ارسال کنید. 🙂

محدود کردن دسترسی به پوشه EDD در NGINX

برای ایجاد محدودیت دانلود مستقیم فایل در EDD باید وارد SSH سرور لینوکسی خودتان شوید. سپس پوشه /etc/nginx را باز کنید. با این دستور:

cd /etc/nginx/

حالا فایل nginx.conf را با این دستور باز کنید.

vi nginx.conf

و در نهایت باید به دنبال بخشی به نام server در این فایل باشید. آن بلاک سروری که مربوط به دامنه شماست. یعنی دامنه شما بعد از server در خط بعدی با متغیر servername ذکر شده است.

و این کد را در آن جای‌گذاری کنید. تفاوتی ندارد این کد در کدام بخش از این بلاک قرار بگیرد.

location /wp-content/uploads/edd { deny all; return 403; }

حالا فایل nginx.conf را ذخیره کنید. سپس با دستور زیر وب سرور nginx را ریستارت کنید.

service nginx restart

به همین راحتی 🙂 حالا اگر آدرس فایل را مستقیما در مرورگر خود تایپ کنید با ارور ۴۰۳ مواجه خواهید شد. این به این معناست که حالا کسی به جز سایت شما به فایل‌ها دسترسی ندارد و سایت شما می‌تواند فایل را دانلود و در اختیار کاربر قرار دهد.

موفق باشید.