افزونه Solid Security – چکاپ دوره ای امنیت، فعال کردن SSl و بکاپ گیری

11:36

باید ببینم

دوباره ببینم

یاد گرفتم

دسترسی به ویدیو

ویژه کاربران

معرفی و خرید دوره

تصور کنید یک روز صبح که قصد دارید سفارش‌های جدید سایتتان را چک کنید، با یک صفحه سفید یا بدتر از آن، پیامی از سمت گوگل مبنی بر هک شدن سایت مواجه می‌شوید. این کابوس هر مدیر سایتی است. بسیاری از ما تصور می‌کنیم همین که افزونه‌ای مثل Solid Security را نصب کردیم، کار تمام است. اما واقعیت این است که امنیت، یک «تنظیم» نیست؛ یک «فرآیند» است.

برای یک کارشناس سئو یا مدیر سایت جونیور، درک لایه‌های امنیتی به اندازه تولید محتوا اهمیت دارد. اگر امنیت سایت تأمین نشود، تمام زحمات شما در نتایج جستجو با یک نفوذ ساده به باد می‌رود. در ادامه، یاد می‌گیریم چطور با ابزارهای داخلی این افزونه، مثل یک نگهبان ۲۴ ساعته از سایت محافظت کنیم.

چشم تیزبین سایت: تشخیص تغییرات فایل‌ها (File Change)

یکی از اولین کارهایی که یک هکر بعد از نفوذ انجام می‌دهد، تزریق کدهای مخرب در فایل‌های اصلی سایت است. بخش Site Check و به‌ویژه ابزار File Change، دقیقاً برای مچ‌گیری در همین لحظات طراحی شده است.

این ابزار به شما می‌گوید: «فلان فایل در فلان ساعت تغییر کرد؛ آیا کار خودت بود؟». اما اگر تنظیمات آن را درست انجام ندهید، با هر بار آپلود یک عکس ساده، یک ایمیل هشدار دریافت می‌کنید و بعد از مدتی، دیگر به این اخطارها توجه نخواهید کرد. اینجاست که مفهوم Exclude یا استثنا کردن اهمیت پیدا می‌کند.

فولدرها را فیلتر کنید: لازم نیست تغییرات در پوشه تصاویر (Uploads) مداوم چک شود، چون فعالیت عادی سایت است. اما تغییر در پوشه افزونه‌ها (Plugins) یا هسته اصلی وردپرس؟ این یعنی آژیر قرمز!
پسوندهای حساس را بپایید: هکرها معمولاً با فایل‌های .php و اسکریپت‌ها سر و کار دارند. کسی که فایل .jpg آپلود می‌کند، بعید است قصد تخریب داشته باشد. پس با استثنا کردن فرمت‌های تصویری و غیرضروری، نویزِ هشدارهای کاذب را کم کنید.

هکرها می‌دانند که اکثر ادمین‌ها پوشه wp-admin را به دقت چک می‌کنند، به همین دلیل کدهای مخرب خود را در پوشه‌هایی مثل uploads مخفی می‌کنند. پس پوشه‌ها را به کلی رها نکنید؛ در عوض، پسوندهای بی‌خطر را فیلتر کنید.

گزارش فعالیت‌ها: چه کسی، چه زمانی، چه کرد؟ (User Logging)

اگر سایت شما چند مدیر یا نویسنده دارد، User Logging شناسنامه فعالیت‌های آن‌هاست. این بخش به شما می‌گوید چه کسی وارد شد، چه افزونه‌ای را فعال یا غیرفعال کرد و از چه آی‌پی (IP) استفاده کرده است.

یک نکته حیاتی در مورد لاگ‌ها وجود دارد: محل ذخیره‌سازی. اگر لاگ‌ها را روی دیتابیس (Database) ذخیره کنید، به مرور حجم دیتابیس سنگین شده و سرعت سایتتان به شدت افت می‌کند. بهترین روش، ذخیره لاگ‌ها به صورت File است. این کار باعث می‌شود دیتابیس شما سبک بماند و هر زمان که نیاز به بررسی داشتید، سراغ فایل مربوطه بروید. این گزارش‌ها در زمان‌هایی که خرید مشکوکی انجام می‌شود یا تغییر ناخواسته‌ای در چیدمان سایت رخ می‌دهد، مثل جعبه سیاه هواپیما عمل می‌کنند.

مدیریت نسخه‌ها و آپدیت خودکار: احتیاط شرط عقل است

افزونه Solid Security گزینه‌ای برای آپدیت خودکار وردپرس و افزونه‌ها دارد (Version Management). شاید در نگاه اول عالی به نظر برسد که همه‌چیز همیشه به‌روز باشد، اما یک ریسک بزرگ وجود دارد: تداخل کدهای جدید با قالب شما.

بسیار پیش می‌آید که یک آپدیت جدید، چیدمان سایت را به‌هم می‌ریزد. بنابراین، پیشنهاد می‌شود به جای آپدیت خودکار، از سیستم Reminder یا یادآور استفاده کنید. با این کار، شما متوجه نسخه‌های جدید می‌شوید، اما آپدیت را به صورت دستی و پس از اطمینان از سلامت سایت انجام می‌دهید.

جعبه ابزار کاربردی (Utilities)

در بخش ابزارها، دو ویژگی وجود دارد که نباید از آن‌ها غافل شد:

اجبار به استفاده از SSL (Enforce SSL): این گزینه باعث می‌شود تمام کاربران (چه در بخش مدیریت و چه در ظاهر سایت) به صورت اجباری از پروتکل امن https استفاده کنند.
بک‌آپ دیتابیس (Database Backup): این شاید مهم‌ترین بخش برای روز مبدا باشد. تنظیم کنید که دیتابیس سایت به صورت دوره‌ای (مثلاً هر ۵ روز یک‌بار) برای شما ایمیل شود.

- هشدار فضا: اگر بک‌آپ‌ها را فقط روی هاست ذخیره کنید و محدودیت تعداد نگذارید، بعد از مدتی هاست شما پر شده و سایت از دسترس خارج می‌شود. همیشه سقف تعداد بک‌آپ‌های ذخیره شده را تعیین کنید (مثلاً ۳ نسخه آخر).
- سبک‌سازی بک‌آپ: جداول غیرضروری (مثل لاگ‌های قدیمی افزونه‌های امنیتی) را از لیست بک‌آپ خارج کنید تا فایلی که برایتان ایمیل می‌شود سبک و قابل استفاده باشد.

فایروال و امنیت ورود؛ سدهای دفاعی نهایی

در لایه نهایی، باید جلوی حملات ربات‌ها را بگیرید. استفاده از کپچا (Captcha) و محدود کردن تلاش‌های ناموفق برای ورود (Local Brute Force)، ابتدایی‌ترین و موثرترین کارهایی است که باید انجام دهید.

شاید وسوسه شوید دسترسی به سایت را فقط به آی‌پی‌های ایران محدود کنید (Geolocation)، اما مراقب باشید! با توجه به وضعیت ناپایدار اینترنت و استفاده کاربران از ابزارهای تغییر آی‌پی، این کار ممکن است باعث شود بخش زیادی از مشتریان واقعی خود را پشت درهای بسته نگه دارید.

امنیت یک بازی دائمی است. با تنظیم درست این بخش‌ها، شما نه‌تنها از داده‌های خود محافظت می‌کنید، بلکه اعتبار سئو سایتتان را در نگاه گوگل حفظ خواهید کرد. سایت امن، سایتی است که هم کاربر و هم گوگل به آن اعتماد دارند.