تصور کنید ماه‌ها زمان صرف کرده‌اید تا سایتتان را به رتبه‌های برتر گوگل برسانید، اما یک روز صبح متوجه می‌شوید که رقبای شما دقیقاً می‌دانند کدام استراتژی بک‌لینک را پیاده کرده‌اید، یا بدتر از آن، متوجه می‌شوید که ربات‌ها با هزاران بار تلاش برای ورود، در حال فشار آوردن به سرور سایت شما هستند. دنیای امنیت سئو فقط به کدنویسی محدود نمی‌شود؛ بخش بزرگی از آن مربوط به مدیریت دسترسی‌ها و بستن منافذی است که شاید در نگاه اول چندان مهم به نظر نرسند.

در این مسیر، ابزارهایی مثل Solid Security (که پیش‌تر با نام iThemes Security می‌شناختیم) مانند یک نگهبان ۲۴ ساعته عمل می‌کنند. اما مسئله اینجاست که چطور این نگهبان را تنظیم کنیم که نه آنقدر سخت‌گیر باشد که خودمان هم پشت در بمانیم، و نه آنقدر سهل‌گیر که هر رباتی به راحتی از آن عبور کند.

دیوار دفاعی در برابر ابزارهای جاسوسی سئو

بسیاری از متخصصان سئو دوست ندارند ابزارهایی مثل Ahrefs یا Moz تمام جزئیات بک‌لینک‌های آن‌ها را تحلیل کنند؛ به‌خصوص اگر در حال اجرای استراتژی‌های خاصی مثل خرید لینک هستید. یکی از قابلیت‌های جذاب در بخش فایروال، امکان مسدودسازی بر اساس User Agent است.

شما می‌توانید به جای اینکه صرفاً در فایل robots.txt به ربات‌ها بگویید «لطفاً وارد نشوید» (که همه هم می‌توانند آن را ببینند)، مستقیماً دسترسی یوزراِیجنت‌های خاص را در لایه امنیتی ببندید. با این کار، ابزارهای آنالیز رقیب عملاً نمی‌توانند دیتای سایت شما را استخراج کنند، بدون اینکه کوچکترین آسیبی به ایندکس شدن سایت توسط گوگل یا بینگ برسد.

مقابله با حملات Brute Force: وقتی ادمین واقعاً ادمین نیست!

بزرگترین اشتباهی که یک مدیر سایت می‌تواند مرتکب شود، انتخاب نام کاربری admin است. ربات‌هایی که برای حملات Brute Force (تست کردن هزاران رمز عبور در ثانیه) طراحی شده‌اند، اولین جایی که هدف قرار می‌دهند همین نام کاربری تکراری است.

یک استراتژی هوشمندانه در تنظیمات امنیتی این است که تعریف کنیم:

  • اگر کسی سعی کرد با یوزرنیم admin وارد شود، بدون هیچ معطلی آی‌پی او را مسدود (Ban) کن.
  • اگر یک آی‌پی بیش از ۵ بار تلاش ناموفق برای ورود داشت، دسترسی‌اش را برای مدتی محدود کن.

اینجاست که مفهومی به نام Network Brute Force به کمک ما می‌آید. این قابلیت شبیه به یک سیستم پلیس سراسری است؛ یعنی اگر یک آی‌پی مخرب قبلاً به سایت دیگری حمله کرده باشد، دیتای آن در شبکه به اشتراک گذاشته می‌شود و سایت شما قبل از اینکه حتی آن آی‌پی بخواهد تلاشی بکند، او را بلاک می‌کند. این یعنی استفاده از قدرت جامعه کاربری برای امنیت شخصی شما.

گوگل کپچا (reCAPTCHA)؛ راهکاری ساده اما نفوذناپذیر

خیلی از وب‌مسترها به اشتباه سراغ تایید دو مرحله‌ای (2FA) می‌روند که برای تیم‌های بزرگ با چندین ادمین، فرآیند ورود را بسیار کُند و کلافه‌کننده می‌کند. راهکار جایگزین و بسیار بهینه، استفاده از Google reCAPTCHA است.

شما می‌توانید با دریافت یک API Key ساده از گوگل، این سیستم را روی فرم‌های ورود، ثبت‌نام و فراموشی رمز عبور فعال کنید. نسخه ۳ گوگل کپچا حتی نیازی به کلیک کردن توسط کاربر هم ندارد؛ این سیستم در پس‌زمینه رفتار کاربر را بررسی کرده و اگر تشخیص دهد او ربات نیست، اجازه عبور می‌دهد. این کار نه تنها امنیت را تامین می‌کند، بلکه تجربه کاربری (UX) سایت شما را هم برای همکارانتان خراب نمی‌کند.

امنیت در سطح هاست؛ یک لایه فراتر از وردپرس

گاهی لازم است امنیت را قبل از اینکه کاربر حتی به صفحه لاگین وردپرس برسد، برقرار کنیم. قابلیتی در سی‌پنل به نام Directory Privacy وجود دارد که مانند یک درِ ورودیِ اضافه قبل از لابی ساختمان است. شما می‌توانید روی پوشه wp-admin یک رمز عبور بگذارید. با این کار، حتی قبل از اینکه صفحه ورود وردپرس لود شود، مرورگر یک کادر یوزرنیم و پسورد نمایش می‌دهد.

این روش دو مزیت بزرگ دارد:

  1. ربات‌ها و اسکنرها اصلاً نمی‌توانند به صفحه لاگین دسترسی پیدا کنند که بخواهند آن را تست کنند.
  2. گوگل و سایر موتورهای جستجو با این بخش کاری ندارند، پس هیچ تاثیر منفی روی سئوی شما نخواهد داشت.

یادگیری هوشمندانه، نه پیچیده

امنیت سایت یک بازی موش و گربه دائمی است، اما لازم نیست تمام وقت خود را صرف تنظیمات پیچیده کنید. تمرکز روی سه اصل کلیدی: تغییر آدرس ورود، استفاده از کپچا و محدود کردن دفعات تلاش برای لاگین، بیش از ۹۰ درصد خطرات احتمالی را از سایت شما دور می‌کند.

به یاد داشته باشید که امنیت نباید به قیمت آزار دادن کاربران واقعی یا تیم خودتان تمام شود. با تنظیمات درست، شما محیطی امن خواهید داشت که در آن فقط برای ربات‌های مزاحم جا نیست، نه برای شما و تیم محتوایتان.