محدودیت دسترسی وردپرس به صفحات چگونه دسترسی به داشبورد وردپرس خود را محدود کنیم

سلام به همه! در این مقاله به نقش کاربران وردپرس و به عبارتی حقوق کاربران در گروه ها می پردازیم. هر یک از آنها چه کاری می توانند انجام دهند و چگونه حقوق دسترسی را پیکربندی کنند.

قبل از تنظیم حقوق کاربر وردپرس، بیایید ببینیم چگونه می توان این کاربران جدید ایجاد کرد.

روش شماره 1

به خوانندگان اجازه دهید در وبلاگ ثبت نام کنند. این را می توان در بخش "تنظیمات عمومی" انجام داد:

کادر کنار «هر کس می تواند ثبت نام کند» را علامت بزنید و نقش کاربر وردپرس را انتخاب کنید، یعنی خواننده ثبت شده در وبلاگ متعلق به کدام گروه است.

روش شماره 2

به صورت دستی یک کاربر جدید ایجاد کنید. برای انجام این کار، باید از بخش مدیریت وردپرس "کاربران" - "افزودن جدید" استفاده کنید:

تنها فیلدهای مورد نیاز عبارتند از نام، ایمیل و رمز عبور. فراموش نکنید که در زیر نقشی را برای او انتخاب کنید.

حال اجازه دهید حقوق و قابلیت های نقش های استاندارد را که به طور پیش فرض در وردپرس در دسترس هستند، درک کنیم.

گروه های کاربر استاندارد (نقش ها) و حقوق دسترسی آنها

مشترک

ناتوان ترین موجودات ثبت شده در WP. فقط به تنظیمات پروفایل خود دسترسی دارد.

اگر در وردپرس نصب شده باشد، یک مشترک ساده به تمام تنظیمات آن دسترسی دارد. البته این یک باگ افزونه و بسیار ناخوشایند است. بنابراین به شما توصیه می کنم در هنگام استفاده از وبلاگ از ثبت نام کاربران جدید در وبلاگ خودداری کنید.

شرکت کننده

علاوه بر ویرایش نمایه خود، شرکت کننده می تواند:

• عناوین ورودی های وبلاگ موجود، از جمله مواردی که هنوز منتشر نشده اند را مشاهده کنید. در این صورت فقط عناوین؛ نگاه به مطالب ممنوع است.
• مقاله بنویسید و برای تایید برای مدیر ارسال کنید.
• نظرات را مشاهده کنید، اما نمی توانید آنها را ویرایش کنید.
• اگر وبلاگی وجود دارد، شرکت‌کننده می‌تواند کد بازخورد را ببیند که می‌تواند به مقاله اضافه شود.

نویسنده

• می تواند به طور مستقل مقالات را بدون تایید مدیر منتشر کند.
• فایل های رسانه ای را به وردپرس اضافه کنید.
• در صورت موجود بودن، امکان آپلود انواع فایل ها را در سرور فراهم می کند.

ویرایشگر

ویرایشگر کلیه حقوق مربوط به انتشار و ویرایش مطالب سایت را دارد. تنظیمات خود پنل مدیریت WP و اکثر افزونه ها در دسترس او نیست. و بنابراین، شیرینی زنجبیلی سردبیر:

• امکان انتشار پست ها و صفحات در وبلاگ و همچنین تغییر موارد موجود.
• دسته ها، برچسب ها و لینک های خارجی ایجاد کنید.
• کنترل کامل بر نظرات - حذف/ایجاد/ویرایش.
• علاوه بر موارد ذکر شده در بالا، چه افزونه های دیگری در دسترس هستند (از آنهایی که متوجه شدم): فرم تماس 7 - اکنون همه تنظیمات برای فرم بازخورد. FV Gravatar Cache - تنظیمات ذخیره آواتارها در نظرات. اشتراک در نظرات - اشتراک در نظرات جدید. WP-Filebase - اکنون فایل های آپلود شده را می توان بر اساس دسته بندی گروه بندی کرد.

مدیر

ادمین هر کاری میتونه انجام بده!!!

ایجاد و ویرایش نقش های کاربر

اگر نیاز به گسترش کارکردهای یک نقش و دادن حقوق اضافی به آن دارید، چه باید بکنید؟ به کمک می آید افزونه User Role Editor، که به شما امکان می دهد حقوق نقش های موجود را ویرایش کنید و نقش های جدید ایجاد کنید.

این افزونه به صورت استاندارد نصب شده است:

• آرشیو را در دایرکتوری فعلی باز کنید و پوشه حاصل را به سرور در فهرست wp-content/plugins با استفاده از
• به بخش "افزونه ها" در پنل مدیریت وردپرس بروید، ویرایشگر نقش کاربر را پیدا و فعال کنید.

تنظیمات افزونه در «کاربران» - «ویرایشگر نقش کاربر» موجود است. خوشحالم که آنها کاملا به زبان روسی هستند! در فیلد اول می توانید حقوق نقش های موجود را ویرایش کنید.

روند کار به صورت زیر است:

1. نقشی را که می خواهیم ویرایش کنیم انتخاب کنیم.
2. یک تیک در مقابل قرار دهید نمایش ویژگی ها به صورت خوانابرای درک بهتر لیست توابع موجود؛
3. حقوق مورد نیاز را بررسی کنید و تنظیمات را ذخیره کنید.

می توانید یک نقش جدید اضافه کنید. برای این کار از گزینه ای به همین نام استفاده می کنیم:

نام باید با حروف لاتین نوشته شود. برخی از حقوق را می توان از نقش های استاندارد گرفت. پس از ایجاد، گزینه های موجود را بررسی کرده و تنظیمات را ذخیره کنید.

چنین لحظه ای دیگر برخی از افزونه ها عملکردهای خود را اضافه می کنند. در اسکرین شات می توانید توابع غیر استانداردی را مشاهده کنید که مسئول ایجاد گالری ها، آلبوم ها و لایت باکس ها برای تصاویر و از

سلام، خوانندگان عزیز!

در مقاله امروز به بررسی ویژگی های ورود به بخش مدیریت وردپرس یا بهتر است بگوییم محافظت از آن می پردازیم.

ما سه سوال باقی مانده که باید بررسی کنیم:

1. محافظت از پنل مدیریت در برابر حملات brute force.
2. محدود کردن ورود با استفاده از مسدود کردن آی پی-آدرس ها؛
3. تغییر لاگین و رمز عبور از طریق php MyAdmin.

محافظت از پنل مدیریت در برابر حملات brute force.

حملات Brute Force روشی برای هک کردن وب سایت با انتخاب نام کاربری و رمز عبور است. البته چنین هک هایی توسط شخص خاصی انجام نمی شود. فقط یک برنامه رایانه ای که می تواند به سرعت کار کند و محدودیت زمانی ندارد، می تواند هزاران گزینه ورود و رمز عبور را مرتب کند. چنین برنامه ای که بر روی برخی از رایانه های راه دور نصب شده است، می تواند به طور مداوم بر روی پنل مدیریت سایت شما ضربه بزند و گزینه های مختلف را امتحان کند.

با استفاده از پلاگین های خاص، می توانید تعداد چنین تلاش هایی را محدود کنید. برای چنین اهدافی می توانید از یک افزونه استفاده کنید محدود کردن تلاش برای ورود.

قابلیت های آن چیست؟

اولاً، پس از چندین بار تلاش برای ورود نادرست از یک آدرس IP خاص، این آدرس برای مدت زمان مشخص مسدود می شود. ثانیاً، اگر پس از این تلاش های نادرست ادامه یابد، این آدرس برای همیشه مسدود می شود. می توانید هم تعداد تلاش های نادرست و هم زمان مسدود شدن را پیکربندی کنید.

پلاگین محدود کردن تلاش برای ورودعلیرغم این واقعیت که برای مدت طولانی به روز نشده است، بسیار گسترده استفاده می شود.

اما برخی از افزونه های دیگر نیز همین عملکرد را دارند. به عنوان مثال، افزونه ای که قبلاً در مورد آن نوشتم. (می توانید راهنمای تنظیم آن را دانلود کنید). این افزونه جهانی بیش از 30 عملکرد برای محافظت از سایت وردپرس شما دارد، از جمله محدود کردن تلاش برای ورود به بخش مدیریت.

افزونه دیگری که ورود به قسمت مدیریت وردپرس را محدود می کند - با این حال، نقطه ضعف آن این است که سرور را بیش از حد بارگذاری می کند. بهتر است برای بررسی سایت به صورت دوره ای از آن استفاده کنید نه دائم.

محدود کردن ورود با استفاده از مسدود کردنآدرس های IP

روش دیگری که توسط آن مدیر وردپرس از بازدیدکنندگان غیرمجاز محافظت می شود، مسدود کردن آدرس های IP است.

هر رایانه در شبکه دارای آدرس IP منحصر به فرد خود است که شامل چهار عدد است که با نقطه از هم جدا شده اند و شما می توانید از ورود همه آدرس های IP به جز آدرس شما به قسمت مدیریت وردپرس جلوگیری کنید. این روش کمی پیچیده تر از استفاده ساده از پلاگین ها است. برای استفاده از آن باید بتوانید با فایل های روی سرور خود کار کنید.

ابتدا باید آدرس IP خود را پیدا کنید. برای این کار می توانید از سرویس آنلاین استفاده کنید 2ip.ru.

در مرحله دوم، یک فایل ایجاد کنید htaccessدر پوشه wp-admin.

ثالثاً متن زیر را در این فایل بنویسید:

دستور رد، اجازه رد از همه اجازه از ***.***.***.***،

جایی که آدرس IP شما به جای ستاره قرار می گیرد. لطفا توجه داشته باشید که کلمات "رد، اجازه" بدون فاصله نوشته شده است.

این فایل را می توان با استفاده از یک ویرایشگر آنلاین که معمولا توسط هاست ارائه می شود ایجاد کرد یا می توانید ابتدا با استفاده از ویرایشگر متن Notepad++ آن را در رایانه خود ایجاد کنید و سپس آن را در سرور آپلود کنید.

با این حال، این روش همیشه به طور کامل قابل اجرا نیست. واقعیت این است که آدرس های IP می توانند ثابت یا پویا باشند. اگر آدرس شما ثابت است، یعنی در طول زمان تغییر نمی کند، آن را در یک فایل می نویسید htaccessو در نتیجه ورود به پنل مدیریت را برای افراد خارجی مسدود می کند. اما اغلب، ارائه دهندگان اینترنت آدرس های IP پویا را در اختیار کاربران قرار می دهند که با هر اتصال جدید تغییر می کنند. در این صورت چه باید کرد؟ به طور معمول، ارائه دهندگان دارای محدوده مشخصی از آدرس های IP هستند که زیرشبکه خود را تشکیل می دهند. می توانیم آن را باز بگذاریم و بقیه آدرس ها را مسدود کنیم. برای انجام این کار، به فایل htaccessفقط دو عدد اول را وارد می کنیم ***.***. با نقاطی از آدرس IP که تعریف کردید.

تغییر لاگین و رمز عبور از طریقphpMy Admin.

لاگین و رمز ورود به قسمت مدیریت وردپرس در پایگاه داده سایت شما ذخیره می شود و می توانید با استفاده از برنامه php MyAdmin که برای مدیریت پایگاه داده استفاده می شود آنها را تغییر دهید.

برای انجام این کار، باید به کنترل پنل حساب هاست خود بروید. این پنل ها در هاستینگ های مختلف متفاوت به نظر می رسند، اما همیشه یک آیتم وجود دارد php MyAdmin.
با کلیک بر روی آن به کنترل پنل پایگاه داده می رویم. برگه Databases را انتخاب کنید، در لیست پایگاه داده ها را پیدا کنید و آن را باز کنید.

به هر حال، اگر نام پایگاه داده خود را نمی دانید یا باید رمز عبور وارد کنید، ابتدا می توانید آنها را در فایل wp-config.php که در پوشه ریشه سایت در سرور قرار دارد پیدا کنید. .

پایگاه داده از چندین جدول تشکیل شده است که در میان آنها جدولی را پیدا می کنیم که لاگین و رمز عبور در آن ذخیره شده است. به طور پیش فرض نامیده می شود کاربران wp، اما اگر به نوعی، برای مثال از یک افزونه استفاده می کنید امنیت iThemes، پیشوند را تغییر داد، سپس به جای آن wpمجموعه ای متفاوت از شخصیت ها وجود خواهد داشت.

پس از باز کردن این جدول، لاگین و رمز عبور خود را مشاهده خواهید کرد.
تعجب نکنید که به جای رمز عبوری که می دانید، رمز دیگری وجود خواهد داشت. واقعیت این است که رمز عبور به صورت رمزگذاری شده در پایگاه داده ذخیره می شود. اکنون می توانید مشخصات خود را تغییر دهید. برای این کار بر روی دکمه کلیک کنید تغییر دادنو در میدان وارد شدنیک نام جدید وارد کنید
قبل از وارد کردن رمز عبور، در لیست کشویی در مقابل رمز عبور باید انتخاب کنید MD5به طوری که رمز عبور جدید نیز رمزگذاری شده است. پس از آن، تغییرات را ذخیره کنید و سعی کنید با داده های جدید وارد قسمت مدیریت وردپرس شوید.

فعلا این را تمام می کنم. مقاله بعدی مروری کوتاه بر پنل مدیریت وردپرس خواهد بود. در به روز رسانی های وبلاگ مشترک شوید تا آن و مطالب بعدی را از دست ندهید.

بنویسید که آیا مقاله برای شما مفید بوده است. با استفاده از دکمه های رسانه های اجتماعی با دیگران به اشتراک بگذارید.

معمولاً بازدیدکنندگان سایت افراد خوش‌آمدی هستند. اما شرایطی وجود دارد که باید دسترسی به سایت را محدود کنید. آن را برای نخبگان بسازید)) بیایید ببینیم چگونه می توانیم این را اجرا کنیم.

اصلاً چرا باید چنین محدودیت هایی ایجاد کرد؟ دلایل مختلفی می تواند وجود داشته باشد. به عنوان مثال، سایت به تازگی در حال توسعه است، اما در عین حال، شما نمی خواهید که حتی به طور تصادفی زودتر از موعد دیده شود. بله، می‌توانید فهرست‌سازی را ببندید، اما این یک گزینه نیست؛ اگر آدرس سایت را بدانید، همچنان می‌توانید به آن دسترسی پیدا کنید.

دلیل دیگر بسته شدن سایت این است که از آن به عنوان یک باشگاه خصوصی و بسته استفاده می شد. مدیر کاربران را ثبت می کند، رمز عبور را به آنها می دهد و پس از آن کاربران می توانند به سایت دسترسی پیدا کنند. اگر در حال ایجاد یک وب سایت پولی هستید، این کار راحت است. شما اطلاعات لازم را در سایت قرار می دهید، مثلاً دروس یک چیزی، شخص برای عضویت در سایت به شما پول می دهد و به سایت دسترسی پیدا می کند.

اما چگونه این کار را انجام دهیم؟

پلاگین دسترسی محدود به سایت

برای این کار باید افزونه دسترسی محدود به سایت را از مخزن رسمی افزونه وردپرس دانلود کنید. به عبارت ساده، باید به منوی افزونه ها بروید و یک افزونه جدید اضافه کنید.

پس از آن، باید نام افزونه را در جستجو - دسترسی محدود به سایت وارد کنید، آن را نصب و فعال کنید.

حالا بریم سراغ تنظیمات. متأسفانه افزونه زبان روسی ندارد بنابراین اجازه دهید نحوه استفاده از این افزونه را توضیح دهم. ابتدا باید به تنظیمات بروید. اما تنظیمات افزونه در جای خیلی معمولی قرار ندارند. برای پیکربندی، باید به منو بروید تنظیماتدر کنترل پنل سمت چپ سایت، و انتخاب کنید خواندن.

اکنون در تنظیمات مشاهده سایت، گزینه سوم ظاهر شده است: دسترسی به سایت را برای بازدیدکنندگانی که وارد شده اند یا با آدرس IP مجاز هستند محدود کنید، که تقریباً به معنای زیر است، "محدود کردن دسترسی به سایت برای بازدیدکنندگان ثبت نشده یا از طریق آدرس IP".

پس از انتخاب این مورد، بخش کوچک دیگری باز می شود. او اینجا است.

و منظورشان همین است.

و در نهایت مورد Unrestricted IP addresses وجود دارد. اگر یک آدرس IP دائمی دارید، می توانید آن را وارد کنید، پس از آن همه بازدیدکنندگان دیگر نمی توانند به سایت دسترسی پیدا کنند. می توانید چندین آدرس اضافه کنید (تعداد دقیق آن را نمی دانم)، می توانید مجموعه خاصی از آدرس ها را مشخص کنید. یعنی از نظر تئوری امکان محدود کردن دسترسی به آدرس IP کل کشورها وجود دارد.

نتیجه.

همانطور که می بینید، محدود کردن یک سایت وردپرس از بازدیدکنندگان ناخواسته بسیار آسان است. کافی است یک پلاگین نصب کنید و تنظیمات ساده آن را انجام دهید. اگر به طور ناگهانی خود را مسدود کردید، فقط باید به قسمت مدیریت سایت (معمولاً در: moysite.ru/wp-admin) بروید و تنظیمات را تغییر دهید.

همچنین به خاطر داشته باشید: دسترسی محدود به سایت یک افزونه امنیتی نیست. با نصب آن، شما فقط دسترسی به سایت را برای بازدیدکنندگان محدود می کنید. اما این افزونه هیچ گونه محافظت مستقیمی در برابر هک ارائه نمی کند. افزونه‌ها و روش‌های حفاظتی دیگری برای این کار وجود دارد، اما من بار دیگر در مورد آن صحبت خواهم کرد.

از نویسنده:طبق یک مطالعه در سال 2013، تقریباً 30000 وب سایت هر روز هک می شوند. و همانطور که همه ما درک می کنیم، برای محافظت از وب سایت خود در برابر هک، باید اقدامات خاصی را انجام دهید. مهم است که داده های شخصی خود را ایمن نگه دارید، اما مهم تر است که به کاربران اطلاع دهید که داده های آنها نیز محافظت می شود. سایت امن یعنی سایتی که قابل اعتماد باشد.

روش های مختلفی برای جلوگیری از هک شدن سایت وردپرس شما وجود دارد. یکی از آنها محدود کردن دسترسی به کاربران مشخص است. در این مقاله قدم به قدم نحوه محدود کردن دسترسی به پنل مدیریت وردپرس با آدرس IP را به شما خواهم گفت.

اما ابتدا اجازه دهید به سرعت به خطرات امنیتی سایت های وردپرس بپردازیم.

تهدیدات امنیتی وردپرس

هک بی رحمانه – زمانی که یک هکر سعی می کند از طریق فرم ورود به سایت با استفاده از نام های کاربری و رمزهای عبور احتمالی به سایت دسترسی پیدا کند.

اعتبار سنجی ورود - وردپرس به کاربران می گوید که کدام اعتبارنامه های ورود را اشتباه وارد کرده اند. به عنوان مثال، اگر نام کاربری را به درستی وارد کنید، اما با رمز عبور اشتباه کنید، وردپرس این موضوع را از کاربر می‌خواهد که یافتن رمز عبور را با زور ساده بسیار آسان‌تر می‌کند.

نسخه وردپرس – اگر یک هکر نسخه وردپرس شما را بشناسد، می تواند از آسیب پذیری های آن نسخه برای دسترسی به سایت شما سوء استفاده کند.

ثبت جهانی در وردپرس – به طور پیش فرض، وردپرس امکان ثبت نام در سایت را از هر کجای دنیا غیرفعال می کند. بهتر است این گزینه را به عنوان یک اقدام پیشگیرانه غیرفعال کنید.

دسترسی به تم ها و افزونه ها – مدیران سایت به ویرایش فایل عملکرد دسترسی دارند که می تواند منجر به مشکلات امنیتی شود. تغییر فایل عملکرد سایت توصیه نمی شود.

قبل از ویرایش فایل های سایت، بیایید مراحل اولیه ای که باید انجام شود را بررسی کنیم.

تمهیدات امنیتی

در زیر کد PHP را به تنظیمات file.htaccess اضافه می کنیم. اما قبل از آن، باید یک نسخه پشتیبان از فایل پیکربندی تهیه کنید.

برخی از شما می خواهید قبل از تغییر هر چیزی یک کپی کامل از سایت تهیه کنید. پشتیبان گیری منظم یک عادت خوب است. قبل از ایجاد تغییرات اساسی حتما از سایت خود یک کپی تهیه کنید. افزونه VaultPress می تواند در این زمینه به شما کمک کند.

آدرس IP استاتیک یا پویا

در این درس نحوه محدود کردن دسترسی به ادمین سایت را برای آدرس‌های استاتیک و پویا نشان خواهیم داد.
اگر سایت را از رایانه خانگی خود یا از چندین مکان دیگر ویرایش می کنید، از دستورالعمل های آدرس IP ثابت استفاده کنید. در این صورت آدرس IP شما تغییر نمی کند، یعنی. ثابت می ماند

اگر سایت خود را از مکان های مختلف ویرایش می کنید، از دستورالعمل های آدرس IP پویا استفاده کنید. آدرس IP اغلب در موارد زیر تغییر می کند:

وقتی سایر اعضای تیم توسعه وارد می شوند و سایت را از جاهای مختلف ویرایش می کنند

وقتی از تلفن همراه خود برای ویرایش استفاده می کنید

شما مدام در سفر هستید و از مکان های مختلف به سایت دسترسی پیدا می کنید

اصول اولیه مرتب شده اند، اکنون می توانید دست به کار شوید.

بیا شروع کنیم

قبلاً در بالا ذکر کردیم که باید تغییراتی در فایل htaccess ایجاد کنیم. مرحله دوم یافتن فایل پیکربندی .htaccess است. این فایل در پوشه ریشه سایت قرار دارد. اگر به دلایلی فایل موجود نیست، می توانید آن را به صورت دستی ایجاد کنید. از طریق cPanel یا FTP وارد شوید و این فایل را پیدا کنید.

هنگامی که فایل را پیدا کردید، به مرحله سوم بروید - باید یک ویرایشگر متن مناسب برای اضافه کردن کد به فایل پیکربندی پیدا کنید. توصیه می کنیم از ویرایشگر تعبیه شده در cPanel یا نصب شده بر روی رایانه خود (مثلاً Notepad) استفاده کنید.

لطفا توجه داشته باشید: برای اینکه تنظیمات موجود سایت خراب نشود، تمام کدهای موجود در htaccess به بالای صفحه اضافه می شود.

محدود کردن دسترسی با آدرس IP استاتیک

اگر آدرس IP شما تغییر نمی کند یا فقط از چند آدرس شناخته شده استفاده می کنید، می توانید دسترسی به سایت را با استفاده از آدرس های ثابت محدود کنید. شما یاد خواهید گرفت که چگونه لیستی از آدرس های IP ایجاد کنید که مجاز به ورود به پنل مدیریت هستند.

نحوه محدود کردن دسترسی به پنل مدیریت با آدرس IP ثابت

فایل .htaccess را از طریق cPanel یا هر ویرایشگر متن دیگری باز کنید.

کد زیر را در بالای فایل .htaccess (Gist) کپی کنید.

RewriteEngine در RewriteCond %(REQUEST_URI) ^(.*)?wp-admin$ RewriteCond %(REMOTE_ADDR) !^12\.345\.678\.90 RewriteCond %(REMOTE_ADDR) !^IP Address InsertTwo %ADDR(RewriteTwo$) !^ آدرس IP InsertThree$ RewriteRule ^(.*)$ -

در حال ویرایش کد

تنها کاری که باید انجام دهید این است که خطوط 4 و 5 را تغییر دهید (در Gist اینها خطوط 9 و 10 هستند) و آدرس های IP مجاز را اضافه کنید. برای این کار آدرس های مورد نظر را جایگزین IP Address InsertTwo$ و IP Address InsertThree$ کنید. آدرس ها باید در قالب نشان داده شده در خط 3 (خط 8 در Gist) باشند.

افزودن و حذف کاربران مجاز

اگر نیاز به افزودن آدرس های مجاز بیشتری دارید، به سادگی خط RewriteCond %(REMOTE_ADDR) !^IP Address Insert$ را کپی کنید و آدرس IP Address Insert$ را با آدرس مورد نظر جایگزین کنید. همچنین می توانید با حذف خط آدرس RewriteCond %(REMOTE_ADDR) کاربران از دسترسی به پنل مدیریت جلوگیری کنید.

اگر یک کاربر غیرمجاز به صفحه دسترسی پیدا کند چه اتفاقی می افتد؟

پس از اینکه دسترسی به قسمت مدیریت را با آدرس IP محدود کردید، یک کاربر غیرمجاز که به صفحه مجوز یا صفحه wp-admin می رود صفحه 404 را می بیند.

اگر از Gist استفاده می کنید، ممکن است متوجه شوید که تغییر مسیر در همان دو خط اول نوشته شده است. در خطوط 1 و 2، شما باید مسیر سایت خود را با آدرس سایت خود جایگزین کنید.

ما دسترسی را با آدرس IP پویا محدود می کنیم

برخی از شما ممکن است بخواهید پنل مدیریت خود را با چندین کاربر به اشتراک بگذارید. اگر ویرایشگرهای سایت زیادی دارید یا شبکه ای متشکل از چندین سایت را حفظ می کنید، ممکن است این وضعیت پیش بیاید. نکته اصلی در اینجا این است که چندین آدرس IP پویا برای ورود به پنل مدیریت مورد نیاز است.

نحوه محدود کردن دسترسی به پنل مدیریت با آدرس IP پویا

فایل .htaccess را از طریق cPanel یا هر ویرایشگر متن دیگری باز کنید. کد زیر را در بالای فایل .htaccess (Gist) کپی کنید.

RewriteEngine در RewriteCond %(REQUEST_METHOD) POST RewriteCond %(HTTP_REFERER) !^http://(.*)?your-site"s-name.com RewriteCond %(REQUEST_URI) ^(.*)?wp-login\.php (.*)$ RewriteCond %(REQUEST_URI) ^(.*)?wp-admin$ RewriteRule ^(.*)$ - [F]

در حال ویرایش کد

برای اینکه کد کار کند، your-site's-name.com را در خط 3 با URL سایت خود جایگزین کنید (خط 7 در Gist). در نسخه Gist نیز تغییر مسیر در دو خط اول نوشته شده است. در خطوط 1 و 2، مسیر سایت خود را با آدرس سایت خود جایگزین کنید. پس از آن، اگر ریدایرکت کار کند، به صفحه 404 هدایت می شوید.

عملکرد کد

این کد دسترسی هکرهایی را که با کمک ربات ها سعی می کنند لاگین و رمز عبور را با زور ساده از بیرون حدس بزنند، محدود می کند. کد فایل.

نتیجه

هیچ راه حلی وجود ندارد که امنیت 100% وب سایت شما را در برابر هر گونه تهدید احتمالی تضمین کند. محدود کردن دسترسی از طریق آدرس IP مشکلاتی را برای هکرها در هنگام تلاش برای هک کردن یک سایت از طریق زور ساده ایجاد می کند.

امروزه افزونه Advanced Access Manager (به اختصار AAM) یکی از بهترین راه حل ها برای کنترل دسترسی و افزایش امنیت سایت در وردپرس است. استفاده از آن بسیار آسان است و قدرت آن به شما اجازه می دهد تا کنترل انعطاف پذیری بر روی یک یا کل شبکه از سایت ها به دست آورید.

با استفاده از این افزونه می توانید دسترسی به قسمت های مختلف سایت خود را کنترل کنید: پست ها، صفحات، دسته ها، ویجت ها یا منوها. دسترسی را می توان برای هر کاربر خاص، برای گروه های کاربری یا برای بازدیدکنندگان ناشناس تعریف کرد.

ویژگی های افزونه Advanced Access Manager

AAM یک افزونه جدید است که به طور مکرر در صورت نیاز به روز می شود و نسخه های جدید موتور منتشر می شود. ویژگی های کلیدی پیاده سازی شده در آخرین نسخه:

• حفاظت از ورود مدیر(Secure Admin Login) - به شما امکان می دهد فرآیند ورود به سایت خود را کنترل کنید، تعداد یا تلاش های احتمالی ورود را تعیین کنید، موقعیت جغرافیایی را ردیابی کنید و بازدیدکننده را با IP مسدود کنید تا از حملات احتمالی هکرها جلوگیری کنید.
• دسترسی به پست ها، صفحات یا دسته ها را کنترل کنید(کنترل دسترسی به پست‌ها، صفحات یا دسته‌ها) - به شما امکان می‌دهد دسترسی به پست‌ها، صفحات یا دسته‌های خود را برای هر کاربر، نقش یا بازدیدکننده محدود کنید و همچنین اقدامات مجاز بازدیدکننده را تعریف کنید.
• کنترل دسترسی به فایل های رسانه ای- می توانید دسترسی کاربر به فایل های رسانه ای را برای هر کاربر، نقش یا بازدیدکننده تعریف کنید. این ویژگی بدون هیچ گونه پیکربندی اضافی روی سرور بدون استفاده از فایل Htaccess کار می کند.
• مدیریت نقش ها و قابلیت ها- می توانید فهرست نقش ها و قابلیت ها را مدیریت کنید. این ویژگی توسط صدها کاربر و توسعه دهنده باتجربه وردپرس توسعه و آزمایش شده است. این به شما امکان ایجاد، به روز رسانی یا حذف هر نقش یا قابلیتی را می دهد. به دلایل امنیتی، این ویژگی به طور پیش فرض محدود است، اما به راحتی می توان آن را فعال کرد.
• ثبت فعالیت کاربر- می توانید یک رکورد ورود به سیستم را نگه دارید: نحوه و زمان ورود یا خروج کاربر از سیستم.
• فیلتر منوی Backend— مدیریت دسترسی به منوی پشتیبان (از جمله زیر منوها)، یعنی منویی که هنگام ورود به کنسول مدیریت سایت وردپرس نمایش داده می شود.
• متاباکس ها و ویجت ها را فیلتر کنید- متاباکس‌ها یا ویجت‌های موجود را برای هر کاربر، نقش یا بازدیدکننده از پیش تعریف کنید.

و بسیاری بسیار دیگر.

یک افزونه رایگان عالی برای وردپرس که به شما امکان می دهد دسترسی به زبان روسی را پیکربندی کنید.

نصب و راه اندازی

مشابه اکثر افزونه ها برای وردپرس نصب می شود. صفحه در وب سایت رسمی: http://wordpress.org/plugins/advanced-access-manager/. هنگام نصب از طریق کنسول، متن Advanced Access Manager را وارد کنید.

پس از نصب، یک تب اضافی با یک زیر منو در منوی مدیریت سایت ظاهر می شود:

• "کنترل دسترسی" - تنظیمات اولیه؛
• "ConfigPress" - به شما امکان می دهد از کدهای ویژه برای تنظیمات پیشرفته استفاده کنید.
• "برنامه افزودنی" - افزونه ها و برنامه های افزودنی اضافی، عمدتا پولی. آنها قادر به گسترش بیشتر پیکربندی هستند.
• "امنیت" - تنظیمات مربوط به محافظت از پنل مدیریت و خود سایت.

ConfigPress Settings

در زیر لیستی از تمام تنظیمات ممکن ConfigPress با توضیح وجود دارد:

اگر پیکربندی نشده باشد، دسترسی پیش‌فرض به آیتم‌های منوی مدیر را تعریف می‌کنیم. به طور پیش فرض روی "Allow" تنظیم شده است.
menu.undefined = "انکار"

تغییر دسترسی پیش فرض به منوی AAM - کنترل دسترسی. به طور پیش فرض، فقط مدیر دسترسی دارد.
page.access_control.capability = "aam_manager"

تغییر قابلیت پیش فرض دسترسی به "AAM" "ConfigPress" است.
page.configpress.capability = "configpress_guru"

دسترسی پیش فرض را به صفحه AAM - Extension تغییر دهید.
page.extensions.capability = "aam_extensions_manager"

اگر هیچ دسترسی برای مقاله یا صفحه فعلی تعریف نشده باشد، به طور پیش فرض AAM سعی می کند تنظیمات را از دسته والد به ارث ببرد.
post.inherit = "نادرست"

اگر دسترسی برای یک دسته خاص تعریف نشده باشد، به طور پیش فرض AAM سعی می کند تنظیمات را از دسته والد به ارث ببرد.
term.inherit = "نادرست"

برای سرعت بخشیدن به اجرای AAM، نتیجه را می توان کش کرد. با کلیک بر روی دکمه ذخیره، کش به طور خودکار به روز می شود.
ذخیره سازی = "درست"

قفل قابلیت های محدود را در AAM برای یک سرپرست باز کنید. مدیران و سایر مدیران به طور پیش فرض مجاز نیستند.
super_admin = "درست"

هر کدام یک شناسه داخلی (معمولاً معادل حروف کوچک) و یک نام دارند. هر بار که یک نقش جدید با AAM ایجاد می شود، شناسه به چیزی مانند aam_78koi9831933i تغییر می کند. تنظیم زیر این رفتار را سرکوب می کند و نام را با حروف کوچک نگه می دارد.
native_role_id = "درست"

به شما امکان می‌دهد در صورت عدم دسترسی به هر منبع سرور، کاربر را به آدرس اینترنتی پیام یا صفحه با شماره شناسایی مشخص شده در این تنظیم هدایت کنید. به طور پیش فرض، Access Denied را نشان می دهد.
access.deny.redirect = "http://insert_address.ru اینجا"

هنگام دسترسی به قسمت ممنوعه پیام دهید.
access.deny.message = "اوه. اینجا یک منطقه ممنوعه است."

- تنظیمات مشابه

همه این تنظیمات گروه بندی شده و در پنجره مربوطه قرار می گیرند:

تنظیمات امنیتی

در نسخه فعلی AAM، برای امنیت باید از ConfigPress برای فراخوانی برخی از توابع استفاده کنیم. در زیر لیست کاملی از تمام تنظیمات ممکن ConfigPress برای بخش امنیتی آمده است:

ویژگی geo موقعیت مکانی کاربر را بر اساس آدرس IP نظارت می کند. این ویژگی به طور پیش فرض غیرفعال است و با تغییر false به true می توان آن را فعال کرد.
login.geo_lookup = "نادرست"

این افزونه از وب سرویس FreeGeoIP.net برای به دست آوردن موقعیت جغرافیایی بر اساس آدرس IP استفاده می کند. در حال حاضر این تنها گزینه است، اما توسعه دهندگان قول داده اند که لیست گزینه های ممکن را در نسخه های بعدی گسترش دهند.
login.geoip.service = "FreeGeoIP"

عملکرد کنترل فرآیند ورود به پنل مدیریت و مسدود کردن ورود به شما این امکان را می دهد تا با استفاده از ترکیب های مختلف رمز عبور از هک شدن سایت جلوگیری کنید.
login.lockout = "نادرست"

این تنظیم تعداد تلاش برای وارد کردن رمز عبور صحیح را تعیین می کند.
login.attempts = "10"

همچنین login.attempt_failure = "slowdown"، login.slowdown_time = "5"، login.die_message = "شما نمی توانید وارد شوید" و login.cache_limit = "1000" وجود دارد.

تنظیمات "کنترل دسترسی".

ظاهر:

می توانید اطلاعات مربوط به این تنظیمات و سایر تنظیمات افزونه را در بخش راهنما در وب سایت رسمی http://wpaam.com/category/tutorials/ بیابید. ادامه تنظیمات و استفاده در مقالات بعدی!