محافظت صفحه 404 برای مقابله با نفوذ هکرها
در جلسه سوم از دوره آموزشی امنیت وردپرس افزونه iThemes Security را معرفی و نصب کردیم و روش غیر فعال کردن ویرایشگر وردپرس را با این افزونه قدرتمند بررسی کردیم. در این درس درباره یکی از فاکتورهای مهم مقابله با نفوذ هکرها در صفحات 404 سایت میپردازیم و برای محدود کردن تعداد دفعات بازدید صفحات با خطای 404 از یکی دیگر از ویژگی های افزونه iThemes Security استفاده میکنیم.
شاید از خود بپرسید صفحات 404 کدام صفحات هستند؟ و یا مگر چه اهمیتی دارد که این خطا را محدود کنیم؟
“خطای 404“ یا همان “صفحه موردنظر یافت نشد“، از خطاهای متداول همه وبسایت ها است. وقتی کاربری آدرس صفحات سایت را به اشتباه در مرورگر وارد کند، با خطای 404 مواجه میشود چون نام صفحه ای که به دنبالش است را اشتباه وارد کرده و چنین صفحه ای اصلاً وجود ندارد. صفحه خطای 404 یکی از صفحات پیشفرض است که در همه قالب های وردپرس وجود دارد.
حالا فرض کنید شخص هکر با هدف پیدا کردن صفحه خاصی برای نفوذ به سایت یا وارد کردن کدهای مخرب به یکی از فایل های وب سایت شما (معمولاً فایل های با فرمت .php،.txt و .zip)، بطور مدام آدرس های مختلف را بررسی کند و با خطای 404 مواجه شود. در اینجا افزونه iThemes Security این افراد را شناسایی کرده و IP آنها را مسدود میکند.
دانلود نسخه اورجینال افزونه iThemes Security
توجه
همکاران ما در تیم ترجمه ابزار وردپرس افزونه iThemes Security را بطور کامل به فارسی ترجمه کرده اند. ولی ما در دوره آموزش امنیت وردپرس از نسخه انگلیسی این افزونه استفاده میکنیم تا شما با اصطلاحات انگلیسی افزونه iThemes Security و امنیتی هم آشنا شوید.
ماژول تشخیص 404
در پیشخوان وردپرس منوی “ß Securityتنظیمات” (Setting) را انتخاب و ماژول Detection 404 را فعال کنید.
سپس وارد صفحه تنظیمات و پیکربندی ماژول شوید. در این صفحه تعداد دفعات بازدید از صفحه 404 برای مسدود شدن را مشخص کنید.
- Minutes to Remember 404
- دقایق به خاطر سپردن خطای 404 برای بررسی دوره را مشخص کنید.
- Error Threshold
- تعداد دفعات بازدید با خطای 404 تا پس از آن IP کاربر مسدود شود را مشخص کنید. با توجه به اینکه بعضی خطاها و برخورد با خطای 404 در مشاهده وبسایت اجتنابناپذیر است، توصیه میکنیم این تعداد را روی 15 یا 20 بار تنظیم کنید تا بطور اشتباه IP کاربران مسدود نشود.
- Ignored File Types
- نوع فایل های مجاز برای جستجو و برخورد با 404 را مشخص کنید. بهتر است فایل های با فرمت تصویری، فونت، جاوااسکریپ و CSS را مجاز بگذارید تا برای بارگذاری صفحات وبسایت در مرورگر اشکالی ایجاد نشود.
- در ادامه، جدول فرمت های مجاز برای بازدید خطای 404 را برای شما آماده کردیم تا از آن استفاده کنید.
امیدواریم این مقاله برایتان مفید بوده باشد و با فعال کردن ماژول رهگیری 404 و تنظیم دفعات برخورد کاربر با خطای 404، امنیت وبسایت خود را افزایش دهید و راه نفوذ هکرها برای شناسایی صفحات سایت را محدود کنید.
59 دیدگاه. Leave new
سلام وقتتون بخیر باشه
ببخشید این قسمت گزینه 404 توی آپدیت جدید افزونه نیست چطوری پیدا کنم؟
سلام وقت شما بخیر،
در نسخه های جدید تغییراتی در تنظیمات افزونه لحاظ شده که میتوانید از ناحیه کاربری خود اقدام به ارسال تیکت فرمایید.
با تشکر.
من افزونه رو نصب کردم اما کلا یه اسم دیگه داره به نام Solid Security و اصلا مثل چیزایی که توی ویدیو گفته میشه نیست
سلام وقت شما بخیر،
این افزونه به تازگی تغییرات زیادی داشته و نام آن نیز تغییر کرده است که بزودی دوره و برخی جلسات آن آپدیت خواهد شد.
با تشکر.
سلام . وقت بخیر. امروز روی سرچ کنسول دیدم کلی صفحه با لینک های عجیب دارم که اجتمالا برای هک شدن چند ماه پیش سایتم هست. میخوام بدونم که این صفحات چجوری از سایت و سرچ کنسول پاک کنم. تنها کاری که انجام دادم ریدایرکت به صفحه اصلی بود. که تو این آموزش گفتن از یه افزونه استفاده کنیم که بعد اینکه یه تعداد 404 یا به آیپی ارسال شد بلاک کنه. خب این حالت پیشگیری خیلی خوبه ولی الان که سایت من دچار این قضیه شده راهکار چیه؟ ممنون میشم راهنمایی کنید.
سلام وقت شما بخیر،
در این خصوص آیا فرایند پاکسازی سایتتان بصورت کامل و صحیح انجام شده است؟
با تشکر.
دقیقا مطمئن نیستم. چجوری باید چک کنم؟
میتوانید آدرس سایت خود را ارسال فرمایید.
باتشکر
من در آپدیت جدید آیتمز نمیتونم این تنظیمات 404 رو نمیتونم پیدا کنم
سلام وقت شما بخیر،
در این خصوص پیشنهاد می کنم از ناحیه کاربری خود اقدام به ارسال تیکت فرمایید تا کارشناسان مربوطه به شما پاسخ دهند.
با تشکر.
خسته نباشد امکانش هست او کد های png-jpg- و قیره رو بارگزاری کنید با تشکر
سلام بر شما وقت بخیر
بصورت پیشفرض کدهای لازم در افزونه وجود دارد ، نیازی نیست که دستی وارد شود.
این لینک دانلود فرمت های مجاز در کجای این برگه قرار داره؟!
سلام بر شما وقت بخیر
در اینجا وجود ندارد.
در نسخه جدید افزونه آیتمز که تغییرات کلی هم داشته است ، تنظیمات مقداری تغییر کرده است و ما در آینده بروز رسانی جدیدی برای این آموزش ارائه می کنیم.
با تشکر.
نکاتی که میگین واقعا عالین
من هیچ سایتیو ندیدم انقد کامل توضیحات رو بدن
با آرزوی موفقیت برای شما
با سلام
خیلی ممنونم برای تولید این محتوای با ارزش
لطفا بفرمایید آموزش پلاگین آیتمز سکوریتی در سایت وجود دارد؟
کانفیگ و تنظیمات در آپدیت جدید این پلاگین فرق دارد
وقت شما بخیر
تنظیمات جدید این افزونه را در آینده آموزش می دهیم.
سلام . من نصب کردم این تنظیماتش کلا فرق میکرد آموزش جدید کجاست ؟
سلام آقای کشمیری عزیز
آموزش جدید انشالله تا آخر امسال در سایت منتشر می گردد.
با تشکر
سلام در ابدیت این افزونه تغیر کردهاند و 404 را پیدا نکردم
سلام و احترام
در آپدیت جدید این گزینه حذف شده است. پیشنهاد می کنم از افزونه وردفنس نیز استفاده کنید.
با تشکر
پیشوند جدول من wp نیست بلکه چیزی دیگر گذاشته شده خواستم ببینم خود وردپرس این کار رو انجام داده آیا این نیاز به تغییر داره ؟
سلام و درود
احتمالاً موقع نصب وردپرس این پیشوند را تغییر داده اید. به صورت کلی خود وردپرس این تغییر را ایجاد نمی کند. در صورتی که wp نمی باشد نیاز به تغییر نیست.
با تشکر
سلام ببخشید نیاز به اضافه کردن فرمت ها نیست ؟
سلام جناب حقیقت ، نیازی به انجام این کار نیست. باتشکر
باسلام و احترام؛ آی پی های بلاک شده رو از کجا میشه مشاهده و آزاد سازی کرد؟
سلام ، در فایل htaccess این امکان وجود دارد. باتشکر
با سلام.آیا دیگه نیازی به قرار دادن اون پسوند هایی که تو ویدئو گفته شد و قرار بود پایین ویدئو بذارید اون فرمت هارو،نیازی نیست که اون هارو بذاریم تو قسمت خطای 404؟
سلام بر شما، خیر نیازی به فرمت های دیگر نیست و حالت پیشفرض خود افزونه در حال حاضر کافی می باشد. باتشکر
سلام فایلی که گفتین پایین ویدیو قرار میدین کجاست؟
سلام جناب تضرعی ، دیگر نیازی به قراردادن کد های این فایل نیست ، این بخش را پیشفرض قرار دهید. باتشکر
سلام وقت تون بخیر.
توو منوی سایتم گزینه secourity وجود نداره. باید چیکار کنم؟
با سلام ، ضمن سپاس از حضور شما ،
اگر افزونه امنیتی نصب کرده باشید ، باید این گزینه اضافه شود .
اگر منظور شمارا دقیق متوجه نشدم ، مجدد سوال نمایید.
با تشکر.
سلام وقتتون بخیر
فایل جاوا اسکریپت رو هم شما گفتید که در نظر نگیره. ولی از طریق فایلای js ممکنه جاوا اسکریپت اینجکشن پیش بیاد و مورد حمله xss قرار بگیره. این طور نیست؟
با سلام ، ضمن سپاس از حضور شما ،
توضیحاتی که انجام شده است ، مناسب عموم سایت ها بوده و با دقت انجام شده است، مشکلی نیست ، اما در صورتی که بصورت تخصصی سوالی دارید ، پس از خرید ، از ناحیه کاربری خود تیکت ارسال نمایید.
با تشکر.
سلام وقت بخیر دوتا سوال داشتم
1- داخل سایت بنده اگه خطای 404 به وجود بیاد قالب بعد از 15 ثانیه میفرسته به صفحه اصلی این موضوع مشکلی نداره ؟
2- داخل افزونه فایل های که اجازه نمیده که چندین با خطابده یکی از مواردش robots.txt بود این موضوع باعث هک نمیشه؟ و اینکه برای ربات های که اندکس میکنن مشکل به وجود نمیاره ؟
سلام و درود بر شما
1- خیر مشکلی ندارد. ( البته فعلا از نظر تجربی مشکلی ندارد )
2- این می تواند باعث ایجاد هک شود به همین دلیل ما توصیه می کنیم از افزونه های ریدایرکت کلی یا استفاده نشود یا در زمان کم استفاده شود. عملا برای سایتی که خطای 404 ندارد بنابرین نیازی هم نیست …
با سلام
من چند ماه پیش سایتم ویروسی شد و کلی لینک به سایتم تزریق شد و خطای 404 میداد. به کمک افزونه 404 redirect to home page همه رو به صفحه ی اصلی ریدایرکت دادم. سوالم اینه که ایا این کار مفیده یعنی بعد از چند وقت گوگل میتونه این لینک ها رو برام حذف کنه؟ ایا راهکار بهتری وجود داره؟
با سلام ، ضمن سپاس از حضور شما ،
از شما دعوت می کنم تا این ویدئو را مشاهده نمایید : https://meharat.com/all-404-redirect-to-homepage/
با تشکر.
سلام ممنون از این که اموزش رایگان قرار دادید با این که ارزش محتوایی بالایی داره
و یک سوال تایپ فایل ها جدید نیازه انجام بدیم یا نه ؟ چون فرمت زیپ در هاست دچار مشکل میکنه
و 15 برای ارورها کم نیست ؟
سلام بر شما ، بنده دقیقاً متوجه سوال شما نشدم ..
سلام
اون فرمت های فایلی که فرمودید پیدانکردم
سلام بر شما ، دیگر نیازی به این فرمت ها نیست ، به حالت پیشفرض خود افزونه قرار دهید. باتشکر
سلام . با عرض خسته نباشید خدمت استاد جبین پور . یه سوالی ازتون داشتم اینکه بخش file/folder white list 404 در افزونه itheme security به چه معناست ؟
با سلام و احترام ، معنای این بخش این است که فایل ها یا فولدر های خاصی در صورتی که توسط کاربر ریکوئست شد شامل بلاک شدن نباشد. مثلا لوگو سایت…
با سلام, لطفا فایل فرمت های مجاز برای خطای 404 را هم اضافه نمایید. با تشکر
با سلام ، در ورژن جدید دیگر نیاز به این فایل نیست تنها کافی است این ویژگی را فعال نمایید فایل های مجاز را خودش دارد و قبلی ها نیازی نیست.
سلام وقت به خیر. یه سوال داشتم من حدود 30 تا ریدایرکت با سئو یواست دارم ولی همشون به صفحه اصلی نیست ، می خواستم بدونم که با تنظیم کردن 404 در این افزونه مشکلی برای سایتم پیش نمیاد؟
با سلام ، اینکه شما لینکی را به 404 ریدایرکت نمایید اشتباه است !
خیر به 404 ریدایرکت نشده، صفحه های 404 به صفحات موجود ریدایرکت شدند.
سلام بر شما ، پس صحیح است و به شما تبریک عرض می کنیم 🙂
با سلام, لطفا فایل فرمت های مجاز برای خطای 404 را هم اضافه نمایید. با تشکر
با سلام و سپاس از شما ، انجام شد. باتشکر