افزونه iThemes Security (بررسی و آموزش به زبان ساده)

وقتی که وارد دنیای کامپیوتر می‌شویم مفاهیم مختلفی وجود دارد که در تمامی انواع برنامه‌ها، از سایت گرفته تا برنامه‌های دسکتاپ یک جایگاه خاص و ویژه دارند، یکی از مهم‌ترین این مفاهیم امنیت است. شما در هر محصول نرم‌افزاری‌ای، از سایت گرفته تا بازی‌های رایانه‌ای و برنامه‌های موبایل، می‌توانید ردپای تلاش‌های امنیتی که در بیشتر مواقع هم بسیار گران تمام شده‌اند و زحمات زیادی برای آنها کشیده شده است را مشاهده کنید. ماژول‌های امنیتی ماژول‌هایی هستند که هم از نظر طراحی زمان زیادی را می‌برند، و هم به‌کارگیری آنها در برنامه باعث بزرگ‌تر و سنگین شدن پروژه می‌شود. در این مقاله با معرفی افزونه iThemes Security یکی از فراهم‌کنندگان امنیت را برای سایت وردپرسی شما را معرفی خواهیم کرد.

قبل از اینکه ببینیم افزونه iThemes Security چیست لازم است تا کمی در مورد امنیت در سایت‌های اینترنتی و به‌طور خاص سیستم مدیریت محتوای وردپرس که این افزونه روی آن کار می‌کند صحبت کنیم.

اهمیت امنیت در سایت‌های اینترنتی

امنیت یا همان Security واژه‌ای است که تعابیر مختلفی از آن ارائه می‌شود و معمولاً افراد مختلف، برداشت‌هایی متفاوت از امنیت در ذهن خود دارند. در علوم کامپیوتر واژه امنیت به‌صورت کلی و بزرگ‌تر خود مورداستفاده قرار می‌گیرد. درصورتی‌که بخواهیم بگوییم امنیت در سیستم‌های کامپیوتری چه معنی‌ای می‌دهد، این است که سیستم در برابر ورود کاربرانی که اجازه ورود را ندارند، مصون باشد و وقتی می‌گوییم یک کاربر اجازه استفاده از این سیستم را ندارد به‌هیچ‌عنوان نتواند از آن استفاده کند. سایر مفاهیمی که برای امنیت خاطرنشان می‌شود بر پایه موارد دیگری مانند Protection یا همان حفاظت است که مسئولیت این را بر عهده دارد که وقتی کاربری به داخل سیستم وارد شد صرفاً به چیزی دسترسی داشته باشد که اجازه آن را در اختیار دارد.

اما تصور عامیانه از امنیت در واقع ترکیبی از Security و Protection است. یک سیستمی امن است که دقیقاً بر اساس همان اصولی کار کند که برای آن طراحی شده است و جامعیت آن به‌هیچ‌عنوان از دست نرود. به‌عنوان‌مثال وقتی قرار است کسی که رمز عبور را ندارد، نتواند وارد پنل مدیریت سایت ما شود و همچنین باید مطمئن شویم این اتفاق نمی‌‌افتد یا تا زمانی که دسترسی از سمت ادمین برای کاربر صادر نشده است به اطلاعات بخش‌هایی از سایت دسترسی نداشته باشد. در‌صورتی‌که امنیت در این سایت خدشه‌ای داشته باشد احتمال اینکه سایت ما اصلاً کاری که از آن انتظار می‌رود را برای ما انجام ندهد، وجود خواهد داشت. حتی این احتمال وجود دارد که در‌ این‌ میان شخص سومی اطلاعات کاربر را نیز به سرقت ببرد.

فراهم کردن امنیت برای یک سایت اینترنتی داستان‌های زیادی دارد و ازآنجاکه ماهیت سایت به این صورت است که عمومی بوده و در بستر اینترنت به‌نوعی زیر بادوباران حملات قرار دارد، از برنامه‌هایی که روی سیستم ما نصب می‌شوند، بسیار دشوارتر خواهد بود. برای اینکه شما مطمئن باشید که یک سایت امن دارید باید هم‌زمان به چندین موردتوجه کرده و به دنبال برقراری امنیت باشید. به‌طورکلی امنیت یک سایت در سه زمینه کلی دنبال می‌شود:

• امنیت هاست و میزبانی
• امنیت انتقال داده بین کاربر و سایت
• امنیت سیستم سایت

امنیت هاست از مواردی است که باید با انتخاب هوشمندانه و تهیه سرویس میزبانی از هاستینگ معتبر تایید شود. امنیت انتقال داده به عهده شما است که با استفاده از پروتکل‌های امنیتی آن را تضمین می‌کنید. به‌عنوان‌مثال یکی از موارد مهم که می‌توانید برای جلوگیری از لو رفتن داده‌های کاربران در زمان ارسال اطلاعات به سایت و یا دریافت اطلاعات از سایت استفاده کنید، گواهینامه SSL می‌باشد. برای اطلاعات بیشتر به مقاله SSL چیست مراجعه کنید.

مورد مهم سوم یعنی اینکه سایت شما امن باشد، امنیت سایت شما به‌صورت مستقیم به این بستگی دارد که آن را با چه پلتفرمی پیاده‌سازی کرده باشید. وردپرس به دلیل محبوبیت زیادی که بین دیگر سیستم‌های مدیریت محتوا داشته و کاربران زیادی از آن استفاده می‌کنند، همیشه در معرض هک و نفوذ بیشتری قرار دارد. استفاده از افزونه‌های امنیتی iThemes Security مصداق به خدمت گرفتن یکی از قدرتمندترین این افزونه‌ها است. 

افزونه iThemes Security چیست؟

در پاسخ به این سوال که افزونه iThemes Security چیست مانند هر یک از افزونه‌های وردپرس باید بگوییم که یک قابلیت حرفه‌ای است که برای سیستم مدیریت محتوای وردپرس ارائه شده است، و به‌صورت یک ماژول جدا به آن اضافه می‌گردد، و قابلیت‌های کنترلی خاصی را در راستای تامین امنیت سیستم سایت و کنترل کاربران و دسترسی‌ها به این سیستم اضافه می‌کند. (برای اطلاعات بیشتر در مورد سیستم‌های مدیریت محتوا به مقاله CMS چیست و برای اطلاعات بیشتر در مورد سیستم وردپرس به مقاله وردپرس چیست مراجعه کنید.)

در افزونه iThemes Security مجموعه بسیار کاملی از قابلیت‌های امنیتی وجود دارد که شما با به‌کارگیری این افزونه از آنها استفاده می‌کنید. در واقع کار اصلی افزونه iThemes Security این است که مجموعه اقدامات امنیتی را برای جلوگیری از ورود کاربرانی که نمی‌خواهیم وارد سیستم ما شوند و یا به دنبال نقطه‌ضعف‌های سیستم ما هستند، پیاده‌سازی کند. ما با مسئول قرار دادن این افزونه می‌توانیم یک نگهبان همیشگی را برای بررسی اوضاع سایت به خدمت بگیریم و درصورتی‌که کسی قصد خرابکاری داشته باشد و به جاهایی که نباید سرک بکشد، این نگهبان دسترسی‌اش را مسدود خواهد کرد.

این افزونه قابلیت‌های خوبی را برای محافظت از داده‌های سایت و همچنین در برابر کاربرانی که مشکوک به نظر می‌رسند، دارد که با استفاده از آن یک پشتیبان‌گیری کامل را برای شما خواهد داشت. همین‌طور با استفاده از این افزونه علاوه بر اینکه از کل سایت در برابر حملات محافظت خواهد کرد، از داده‌های سایت در برابر مشکلات فنی و داخلی نیز محافظت می‌نماید. 

به‌طورکلی افزونه iThemes Security از آن دسته افزونه‌هایی است که تمامی مواردی که خطری برای امنیت این سیستم مدیریت محتوا می‌باشند را شناسایی کرده و برای هرکدام از آنها راه‌‌حلی در آستین خود دارد.

ویژگی‌های افزونه iThemes Security

وقتی صحبت از ویژگی‌های افزونه iThemes Security در میان باشد هر مرجعی یک فهرست بلندبالا را برای آن ارائه خواهد داد که اگر بیشتر آنها را بررسی کنیم در مورد حفاظت از IPهای ورودی و محافظت از لینک‌ها می‌باشد. اما این افزونه قابلیت‌های خوب دیگری هم دارد که در ادامه به معرفی و بررسی کامل آنها خواهیم پرداخت.

مسدود کردن کاربران مشکوک

یکی از مهم‌ترین کارهایی که می‌‌شود از افزونه iThemes Security انتظار داشت و قبلاً هم به آن اشاره کردیم، این است که وقتی کاربری به دنبال چیزی در سایت می‌گردد که نباید بگردد و یا اینکه رفتاری را از خود نشان می‌دهد که معمولاً هکرها نشان می‌دهند، این کاربر را مسدود می‌کند. در مورد این موضوع تا اینجا بیشتر از موارد دیگر صحبت کرده‌ایم! اما واقعاً این موضوع تا چه اندازه مهم و نگران‌کننده می‌باشد؟!

عموماً وقتی کاربری به دنبال صفحاتی می‌گردد که برای رفتن به پنل کاربری از آنها استفاده می‌شود. یا وقتی که کاربری سعی می‌کند مقادیری غیر از مقادیر صحیح برای نام کاربری و رمز عبور را وارد کند. مثلاً به‌جای ایمیلی که از وی درخواست شده است یک کد بلند و نامفهوم وارد می‌کند، یا رمز عبور آن یک متن طولانی‌تر از کاراکترها است. در اینجا ما با یک کاربر عادی طرف نیستیم و ممکن است یک هکر در حال نفوذ به سایت ما باشد یا یک ربات که سایت ما را برای نقطه‌ضعف‌ها اسکن می‌کند. 

در حالتی که افزونه iThemes Security با چنین کاربری روی سایت مواجه شود بهترین کار ممکن را انجام خواهد داد، و آن این است که این کاربر مسدود شود. این مسدودسازی بر اساس مرورگر و IP این کاربر که از طریق کد Agent مرورگر در اختیار سایت قرار می‌گیرد، است. (کد Agent یک رشته کد یک خطی است که تعیین می‌کند کاربر از کدام منطقه جغرافیایی آمده است و از چه مرورگری استفاده می‌کند تا سایت بتواند به‌صورت مناسب به وی سرویس‌دهی کند.)

تغییر آدرس پیش‌فرض برای پنل مدیریت

عموماً کسانی که با سیستم مدیریت محتوای وردپرس کار کرده باشند به این موضوع آگاهی دارند آدرسی که برای ورود به پنل مدیریت وردپرس از آن استفاده می‌شود، آدرس Domain.com\wp-admin است. که در آن Domain نام دامنه سایت موردنظر ما است. درصورتی‌که شما این آدرس را تغییر ندهید، افرادی که به دنبال یک راه تلاش برای دسترسی به سایت هستند و همان‌گونه که در بخش قبل به آن اشاره شد، به‌راحتی می‌توانند یک راه ورود خوب را پیدا کنند، و این افزونه هم نمی‌تواند جلوی آنها را بگیرد.

به همین منظور افزونه iThemes Security یک متد امنیتی خوب در اختیار شما قرار می‌دهد که با استفاده از آن بتوانید راه ورود به سایت خود را تغییر داده و کسانی که قصد ورود به سایت و صفحه ورود را دارند، را گمراه کنید. این افزونه به شما اجازه می‌دهد که بخش wp-admin را از آدرس این صفحه تغییر داده و تا زمانی که شما آن را در اختیار کسی قرار ندهید آن را پیدا نمی‌کند.

این روش یکی از بهترین متدهای امنیتی است که توسط سایر افزونه‌ها و یا با استفاده از تنظیمات وردپرس هم می‌شود، آن را تغییر داد. شما با استفاده از افزونه iThemes Security می‌توانید این کار را به ساده‌ترین حالت ممکن انجام دهید.

تشخیص خطای ۴۰۴ به‌صورت زیاد

یکی دیگر از مواردی که نشانه یک رفتار مشکوک است و عموماً در زمانی که حمله‌ای قرار است به سایت انجام شود با آن مواجه خواهیم شد، زیاد شدن ناگهانی و خارج از عرف خطاهای ۴۰۴ می‌باشد. در این وضعیت معمولاً یک ربات در حال اسکن سایت است و هم‌زمان واژه‌های مختلف را برای پیدا کردن صفحه ورود شما تست می‌‌کند. در این نوع اسکن‌ها به یکباره چندین آدرس نامعتبر که معمولاً از عباراتی که استفاده از آنها به‌جای wp-admin محتمل‌تر است، برای این کار استفاده می‌شود.

ممکن است این واژه‌های تستی ترکیبی از نام دامنه شما و همین‌طور واژه‌هایی باشند که برای مفاهیم مدیریتی بیشتر استفاده می‌شود. (به‌ طور‌ مثال کلمه Admin یا Login)  پس بهتر است در انتخاب این آدرس دقت لازم را داشته باشید.

افزونه iThemes Security تعداد اِرور‌های ۴۰۴ که به‌صورت غیرطبیعی ایجاد می‌شوند و معمولاً دلیل آنها همین اسکن‌ها به‌منظور پیدا کردن صفحات لاگین و نقطه‌ضعف‌ها هستند را پیگیری کرده و IP خاطی را پیدا می‌کند. در تنظیمات پیش‌فرض این افزونه بخشی وجود دارد که در صورت ایجاد بیش از ۲۰ مورد خطای ۴۰۴ توسط کاربر IP آن مسدود می‌شود و دیگر نمی‌تواند به سایت دسترسی داشته باشد. البته در بیشتر مواقع کاربرانی که این کار را می‌کنند یک کاربر واقعی نبوده و صرفاً یک ربات از بستر اینترنت هستند که در حال تست کردن این آدرس‌ها می‌باشد.

جلوگیری از حملات Brute Force

وضعیتی را در نظر داشته باشید که یک کاربر مشکوک، توانسته است به سایت شما آن‌گونه که باید سرک بکشد، آدرس صفحه لاگین پنل مدیریت شما را پیدا کرده است و بدون مسدود شدن، قصد دارد تا یک حمله از نوع Brute Force را اجرا کند. در این نوع از حملات یک کتابخانه چندمیلیونی از نام‌های کاربری مختلف و پسوردهایی که برای سایت‌ها استفاده می‌شود و معمولاً موفق بوده‌اند، گردآوری شده است و با اسامی مربوط به مدیران سایت و همین‌طور نام دامنه سایت ترکیب می‌شود. هر اطلاعات احتمالی مفیدی با این واژه‌ها ترکیب شده و امتحان کردن این پسورد‌ها و نام‌های کاربری توسط یک ربات آغاز می‌شود.

در واقع این نوع از حمله، همان حمله معروف دیکشنری اَتک است که از قدیمی‌ترین حملات در دنیای کامپیوتر به‌حساب می‌آید و جلوگیری از آن کار زیاد سختی نیست. البته درصورتی‌که شما برای جلوگیری از آن کاری نکنید، ممکن است اوضاع حسابی به هم بریزد. افزونه iThemes Security این حملات را شناسایی کرده و پس از تعداد مشخصی تلاش برای ورود، کاربری که قصد دارد به سایت شما وارد شود، را مسدود می‌کند.

امکان استفاده از کد Captcha گوگل

یکی دیگر از ویژگی‌های خوبی که افزونه iThemes Security می‌تواند برای شما داشته باشد، این است که از کدهای Captcha برای ورودی‌های سایت خود استفاده کنید. اولین مزیتی که این ویژگی دارد این است که امکان وقوع حملات Brute Force و دیکشنری اَتک‌ها را به صفر می‌رساند. زیرا برای هر بار تلاش برای ورود باید یک کلیک روی Captcha زده شود و چندثانیه‌ای برای تایید صبر کرد. همین موضوع باعث می‌شود امتحان تعداد زیادی از پسوردها سالیان دراز به طول بینجامد، و عملاً این نوع از حملات بِلا‌‌استفاده می‌شود.

این امکان را می‌توان یکی از امکانات خوب افزونه iThemes Security معرفی کرد که بسیار کاربردی می‌باشد. همین تکنیک ساده امنیت سایت را بسیار بالا می‌برد.

فعال‌سازی ورود دومرحله‌ای

همان‌طور که گفته شد تکنیکی مانند Captcha برای ما مفید است و استفاده از آن نیز مانع حملات زیادی می‌شود. اما درصورتی‌که پسورد پیدا شود هَکر به سیستم ما وارد می‌شود. پس نیاز به مکانیزم امنیتی قوی‌تری برای ورود است که افزونه iThemes Security آن را پیاده‌سازی می‌کند. در حال حاضر استفاده از رمزهای یک‌بارمصرف در کنار پسورد اصلی یا همان ورود دومرحله‌ای (Two Step Verification) به‌عنوان قوی‌ترین روش برای ورود به سایت شناخته می‌شود و این افزونه آن را برای شما پیاده‌سازی می‌کند. 

ورود دومرحله‌ای برای سایت در افزونه iThemes Security به‌راحتی پیاده‌سازی می‌شود و دردسر زیاد را برای شما نخواهد داشت پس به شما پیشنهاد می‌کنیم که اگر از استفاده‌کنندگان و کاربران این افزونه امنیتی هستید، حتما این ویژگی را روی سایت خود فعال کنید. شاید در اوایل استفاده از این نوع ورود، منتظر پیامک و ایمیل ماندن و همین‌طور وارد کردن کد در سایت برای ورود کمی اعصاب‌خردکن به نظر برسد، اما در این صورت امنیت سایت شما تضمین شده است و این نوع ورود یکی از امن‌ترین حالات ممکن برای لاگین به سایت می‌باشد.

تشخیص هرگونه تغییرات در سیستم

یکی دیگر از موارد مهمی که در مورد سیستم امنیتی‌ای که افزونه iThemes Security برای ما پیاده‌سازی می‌کند و آن را یکی از مهم‌ترین ابزارها برای این کار می‌دانیم، قابلیتی است که می‌تواند تمامی تغییراتی که در فایل‌های سایت شما ایجاد شده است را تشخیص داده و آنها را به شما اطلاع دهد. به این صورت که اگر هکری به سیستم شما نفوذ کرده و قصد داشته باشد که تغییری در آن ایجاد کند، شما به‌محض اینکه این تغییر اتفاق افتاد، از آن باخبر خواهید شد.

افزونه iThemes Security تمامی تغییرات را شناسایی می‌کند و همین‌طور این قابلیت را دارد که از بعضی تغییرات که شما برای آن تعیین می‌کنید چشم‌پوشی کند. اما به‌صورت کلی هر تغییر بدی که در سایت شما رخ می‌دهد از چشمان تیزبین افزونه iThemes Security پنهان نخواهد ماند.

ایمیل‌های خبری و گزارشی

یکی از مواردی که افزونه iThemes Security در آن بسیار خوب عمل کرده است ارسال ایمیل‌های خبری و گزارش‌های مختلف از سایت است. به این صورت که هر اتفاقی در سایت شما بیفتد، این سرویس به شما می‌گوید که این اتفاق کی و کجا رخ داده و چگونه افزونه iThemes Security آن را مدیریت کرده است.

تمامی مواردی که تا به اینجا بررسی کردیم، به این مکانیزم وابسته هستند، به این صورت که شما می‌توانید از افزونه iThemes Security بخواهید که تمامی آنها را به شما گزارش دهد و این افزونه هم بی‌هیچ دردسری این کار را انجام می‌دهد. به‌عنوان‌مثال اگر کاربری مسدود شود و یا کسی سعی کرد به‌زور وارد سیستم شما بشود، شما مطلع می‌شوید. همین‌طور این موضوعات که کدام فایل شما در حال تغییر است و یا اینکه یکی دو ربات دارند، سایت شما را به دنبال صفحه‌ای که آدرس آن وجود ندارد جستجو می‌کنند را هم به صورت کامل به شما گزارش خواهد داد.

امکانات افزونه iThemes Security را برای ارسال ایمیل و اطلاع از اینکه در سایت شما چه خبر است می‌تواند عالی ارزیابی شود و یکی از مفیدترین ویژگی‌هایی است که این افزونه برای شما فراهم می‌کند.

قفل کردن تغییرات در سایت با حالت Mode

یکی از ویژگی‌های خوب دیگری که این افزونه iThemes Security برای شما دارد، و به‌نوعی یک غافلگیری بزرگ برای هر هَکر و یا نفوذگری به سیستم شما می‌باشد، این است که اگر چند روزی از سایت و سیستم خود دور هستید و نمی‌توانید ایمیل‌های مربوط به حملات مختلف و یا اتفاقاتی که در سایت شما می‌افتد را بررسی کنید، شما ویژگی بسیار خوبی را برای مقابله با هرکسی خواهید داشت که می‌خواهد به سایت شما وارد شود.

قابلیت Mode که توسط افزونه iThemes Security ارائه شده است به شما این امکان را می‌دهد که سایت خود را تا مدت زمانی که می‌خواهید قفل کنید. در این حالت اطلاعات و فایل‌های شما به‌هیچ‌عنوان قابل تغییر نیستند، و سایت شما به همین صورت باقی خواهد ماند. پس اگر هکری هم وارد سایت شما شود و بخواهد موردی را حذف کرده و یا اسکریپتی را داخل فایل‌ها تزریق کند، افزونه iThemes Security به وی امکان این کار را نخواهد داد و تمامی فایل‌های سایت بدون تغییر باقی می‌مانند.

به‌طورکلی ویژگی‌هایی که افزونه iThemes Security به ما ارائه می‌کند این ارزیابی را داریم که با یکی از قوی‌ترین و کاربردی‌ترین افزونه‌های وردپرس خصوصاً در زمینه امنیت طرف هستیم که می‌تواند سایت ما را در بهترین حالت ممکن خود حفظ و فعال نگه دارد.

نتیجه‌گیری

استفاده از افزونه‌های امنیتی مانند افزونه iThemes Security یکی از کارهایی است که عموماً مدیران سایت‌ها و وب‌مسترها به آن روی آورده و در مواردی بسیار کاربردی خواهد بود. این افزونه می‌تواند قابلیت‌های خوب و ویژه‌ای را برای شما داشته باشد و هزینه چندانی را نیز برای شما نخواهد داشت. به‌طورکلی در مورداستفاده از افزونه iThemes Security می‌توانیم بگوییم که با یک مجموعه کامل از امکانات برای شناسایی و جلوگیری از حملات طرف هستیم که به افراد مشکوک اجازه وارسی سیستم و دسترسی به آن را نمی‌دهد. همین‌طور امکاناتی که برای ورودهای تایید شده در این سیستم وجود دارد، مانند ورود دومرحله‌ای و کد Captcha بسیار موثر می‌باشد.

ویژگی بارزی که افزونه iThemes Security در تمامی سرویس‌های امنیتی خود ارائه می‌کند ارائه گزارش‌ها با استفاده از ایمیل است که به شما ‌می‌گوید چه کاری در حال حاضر برای امنیت سایت شما انجام شده است، و یا به کجای سایت شما حمله‌ای صورت گرفته است. این افزونه قابلیت مسدود کردن تغییرات در سیستم را هم برای شما فعال می‌کند که با استفاده از آن افزونه iThemes Security تبدیل به یک افزونه کاملاً عملیاتی شده و مانند افزونه‌هایی که در زمان حساس صرفاً به فرستادن چند آلارم می‌پردازند، عمل نمی‌کند و خودش آستین‌ها را بالا می‌زند و به جنگ حمله‌کنندگان به سایت شما می‌رود. در کل بین سایر افزونه‌های امنیتی می‌توانیم افزونه iThemes Security را یکی از برترین‌ها ارزیابی کنیم.