حفاظت پیج با پسورد در وب سرورهای Apache, Nginx و WordPress

همه ما ممکنه یه صفحه خیلی حساسی داشته باشیم که بخوایم با پسورد از اون محافظت کنیم، این کار به عنوان احراز هویت اساسی هم شناخته میشه، اما آیا می‌دونین که چطوری میشه کار حفاظت پیج با پسورد رو انجام داد؟

خبر خوب اینه که امروز ما می‌خوایم روش‌های حفاظت از پیج با پسورد رو به شما آموزش بدیم تا خیلی حرفه‌ای و البته بی‌دردسر بتونین این کار رو انجام بدین.

حتماً شما هم می‌خواین یه صفحه خصوصی در وردپرس ایجاد کنین یا از یک یا چند صفحه در وردپرس با رمز عبور محافظت کنین، ایجاد یه صفحه خصوصی وردپرس با ابزار مناسب آسونه و به هیچ گونه تخصص فنی احتیاج ندارین. تو این آموزش، ما به شما نشون خواهیم داد که چطوری می‌تونین از یه صفحه وردپرس محافظت کنین، البته این مقاله همراه با روش‌هایی برای محافظت صفحه با پسورد در وب سرورهای Apache, Nginx, cPanel و SiteGround همراهه.

دلیل حفاظت پیج با پسورد چیست؟

چنین کاری دلایل زیادی می‌تونه داشته باشه اما دو تا از مهم‌ترین اونها شامل موارد زیره:

• داده‌های حساسی در صفحه وجود دارن.
• صفحه آماده نیست و شما نمی‌خواین اون رو به صورت عمومی قابل مشاهده کنین اما قراره که ان رو با اشخاص خاصی به اشتراک بذارین.

در کل دلیل شما هر چیزی که باشه، باید یاد بگیرین چطوری از پیج خودتون با پسورد محافظت کنین و این همون چیزیه که قراره امروز کلی راجع بهش صحبت کنیم:

Apache

در کل بالا بردن امنیت سایت کار حساس و دشواریه ولی شما با تسلط کافی می‌تونین از پس چنین چیزی هم بر بیاین.

اولین مورد حفاظت پیج با پسورد رو از طریق وب سرور آپاچی بررسی می‌کنیم:

اولین چیزی که ما باید ایجاد کنیم یه پرونده رمز عبور است که داخلش تمام اعتبارنامه ذخیره میشه. اسم این پرونده .htpasswd خواهد بود و می‌تونین اون رو در هر جای سرور قرار بدین. مثلاً ما اون رو در پوشه /etc/httpd/conf ایجاد می‌کنیم:

با دستور touch می‌تونین پرونده رو ایجاد کنین:

خب حالا می‌خوایم به یه کاربری اجازه دسترسی به /client رو بدیم. برای این کار باید از دستور htpasswd استفاده کنیم.

آخرین بخش geekflare، نام کاربری اونه. اون رو با چیزی که می‌خواین تغییر بدین و Enter رو بزنین.
حالا گذرواژه رو وارد کنین و بعدش تأیید اضافه شدن کاربر رو مشاهده خواهید کرد.

اگه پرونده رو کپی کنین، متوجه می‌شین که رمز ورود به صورت رمزگذاری شده ذخیره شده است.

بعد ، ما باید به Apache دستور بدیم تا از URI مورد نظر ما محافظت کنه.

پرونده httpd.conf یا پرونده پیکربندی مورد استفاده خودتون رو برای نمونه Apache تغییر بدین. ما اینجا خودمون از نصب پیش فرض استفاده می‌کنیم؛ بنابراین /etc/httpd/conf/httpd.conf رو به کار می‌بریم.
موارد زیر را در هر کجای پرونده اضافه کنین:

اگه قبلاً دستورالعمل /var/www/html/client رو داشتین، به جای اضافه کردن یه بخش جدید، باید موارد زیر رو در بخشنامه موجود اضافه کنین:

حالا وب سرور آپاچی و سرویس httpd رو مجدداً راه اندازی کنین.

سعی کنین به صفحه/سرویس گیرنده دسترسی پیدا کنین و این صفحه باید برای رمز عبور درخواست بده.

برای مشاهده مطالب، اعتبارنامه‌ای رو که قبلاً تنظیم کردین وارد کنین.

مطمئناً، می‌تونین از طریق پرونده .htaccess نیز auth پایه رو پیاده سازی کنین. همونطوری که در بالا توضیح داده شده، هنوز هم باید با استفاده از htpasswd گواهینامه‌ای رو ایجاد کنین. پس از اتمام، می‌تونین موارد زیر رو در پرونده .htaccess پوشه مربوطه اضافه کنین.

خوبیه حفاظت پیج با پسورد از این راه اینه که دیگه لازم نیست مجدداً Apache رو راه اندازی کنین.

Nginx

تو این بخش قراره پیاده سازی حفاظت پیج با پسورد رو در Nginx یاد بگیریم:

اول از همه بگیم که ما برای تولید مدارک از Apache Utils کمک خواهیم گرفت. ما اگه شما سرور Apache HTTP رو نصب نکردین، باید ابزارهای جداگونه رو به صورت زیر نصب کنین. اگه هم مطمئن نیستین، می‌تونین htpasswd رو اجرا کنین تا ببینین آیا کار می‌کنه یا خیر و اگه کار نکرد دیگه مطمئن می‎شین که باید نصبش کنین.

CentOS/RHEL 8

CentOS/RHEL 7

Ubuntu

خب حالا بیاین یه گواهی مثل چیزی که در Apache ایجاد کردیم رو اینجا هم ایجاد کنیم:

یادتون نره که chandan رو با نام کاربری واقعی مورد نظر خودتون جایگزین کنین.
بعد از اون باید Nginx رو پیکربندی کنیم، بنابراین URI خاص رو با رمز عبور محدود می‌کنه.

فرض کنین که ما باید از admin URI/ محافظت کنیم.
پس موارد زیر رو در nginx.conf یا سایر پرونده‌های فعال پیکربندی Nginx اضافه کنین:

Nginx رو دوباره راه اندازی کنین.
حالا بگین ببینم اگه مجبور بشین سرویس دهی کامل وب سایت از طریق Nginx رو محدود کنین، چیکار می‌کنین؟

جواب این سوال خیلی راحته!!

فقط کافیه موارد زیر رو در nginx.conf یا پرونده پیکربندی فعال تحت دستورالعمل location / { اضافه کنین:

SiteGround

بستر میزبانی واقعاً تکامل یافته و سیستم عامل‌های زیادی وجود دارن که ابزارهای مفیدی رو ارائه میدن و SiteGround یکی از همون‌‌هاست.

اگه از SiteGround برای میزبانی وب سایت خودتون استفاده می‌کنین پس لازمه که حفاظت پیج با پسورد روی این سرور رو نیز یاد بگیرین. در این حالت می‌تونین به راحتی از URL در مقابل کنسول مدیریتی اونها محافظت کنین. مثلاً فرض کنین شما از وردپرس استفاده می‌کنین و باید از /wp-admin محافظت کنین.

به SiteGround وارد بشین و به سایتی برین که برای فعال کردن احراز هویت اساسی لازم است.
حالا بر روی Security >> Protected URLs >> Users کلیک کنین.
نام و رمز ورود رو وارد کنین تا اعتبارنامه ایجاد بشه.

در مرحله بعدی، ما از wp-admin با اعتبارنامه‌ای که ایجاد کردیم محافظت خواهیم کرد.

پس به تب URL ها برین و wp-admin رو در مسیر وارد کرده و بر روی protection کلیک کنین حالا روی Manage Access کلیک کنین و کاربری رو که به تازگی ایجاد کردین رو اختصاص بدین.
سعی کنین به صفحه دسترسی پیدا کنین و الانه که SiteGround از شما درخواست کنه تا گواهینامه‌ها رو وارد کنین.

به همین راحتی با وب سرور SiteGround می‌تونین عملیات حفاظت از پیج با پسورد رو انجام بدین!

WordPress

همونطور که همه می‌دونیم اکثر شما ممکنه از وردپرس استفاده کنین و دلتون بخواد حفاظت پیج با پسورد رو روی این وب سرور یاد بگیرین، پس با ما همراه باشین تا بهتون بگیم برای این کار چه مراحلی رو باید طی کنین.

یعنی شما به راحتی می‌تونین یه صفحه وردپرس رو با رمز عبور محافظت کنین تا عموم مردم نتونن اون رو مشاهده کنن. این کار باعث میشه که اکثر مردم نتونن به راحتی اون پیج رو پیدا کنن یا این که محتوای اون رو مشاهده کنن.

با این حال، این روش مانع از ایندکس شدن صفحه توسط موتورهای جستجو نمیشه و محتوای صفحه رو رمزگذاری نمی‌کنه. بنابراین، شما نباید از این روش برای محتوای صفحه‌ای که کاملاً باید خصوصی نگه دارین استفاده کنین.

برای شروع کار اول از همه برین سراغ PPWP (Password Protect WordPress Plugin).

این افزونه رو نصب کنین و روشی رو که می‌خواین از منابع وردپرس محافظت کنین پیکربندی کنین. این افزونه با سازندگان صفحه مانند Elementor ،Divi ،Beaver کار می‌کنه.

متناوباً، اگه به یه پست یا صفحه ساده محافظت شده با رمز عبور نیاز دارین، می‌تونین از ویژگی WP داخلی هم استفاده کنین. برای این کار به پلاگین دیگه‌ای نیاز ندارین.

فقط کافیه به پست یا صفحه موردنظرتون برای فعال کردن گذرواژه برین.
در بخش انتشار، روی ویرایش در کنار visibility: Public کلیک کنین.
رمز محافظت شده رو انتخاب کرده و رمز ورود رو وارد کنین.

حالا یه کلیک کنین….و دیگه همه چیز به خوبی و خوشی آماده شد!

چرا صفحات وردپرس رو با پسورد حفاظت کنیم؟

حفاظت پیج با پسورد در وردپرس به شما امکان میده تا مناطق خاصی از سایت خودتون رو از دید عموم مخفی نگه دارین.

مثلاً ممکنه شما فقط بخواین ویراستاران سایت یا مشتری‌ها صفحه ورود شما رو ببینن یا اصلاً بخواین قسمت‌هایی از سایت خودتون رو که هنوز در دست ساخت هستن پنهان کنین.

به هر دلیلی، افزودن حفاظت از رمز عبور به وردپرس به شما امکان میده محتوا رو از دید بازدیدکنندگان پنهان کنین، مگه این که اونها دارای رمز عبور باشن. این کار می‌تونه فقط برای اعضا یا صفحاتی که برای مخاطبان خاص مشخص شدن مفید باشه.

cPanel

اگه از هاست مشترک استفاده می‌کنین، به احتمال زیاد cPanel خواهید داشت. خبر خوب اینه که cPanel ابزاری به نام Privacy Directory رو برای حفاظت پیج با پسورد ارائه می‌ده. پس شما دیگه از اونجا مثل آب خوردن می‌تونین یه رمز عبور برای پوشه تنظیم کنین.

برای شروع وارد cPanel بشین و Directory Privacy رو جستجو کنین.

پوشه مورد نظر جهت محافظت رو انتخاب کنین. مثل کاری که در قسمت زیر انجام دادیم، پوشه‌ای رو انتخاب کنین که تحت public_html است. حالا کاربری ایجاد کنین که باید مجاز باشه و اون رو ذخیره کنین!

بعد از تموم شدن این قسمت متوجه می‌شین که پوشه قفل شده!

یعنی همه کاری که باید انجام می‌دادین همین بود!!

دیگه الان دایرکتوری شما با رمز عبور محافظت شده است. همونطوری که در بالا مشاهده می‌کنین، ما این کار رو در مورد میزبانی A2 آزمایش کردیم و همه چیز خیلی هم عالی بود!

برای محافظت سایت خودتون در مقابل هرزنامه هم می‌تونین این مقاله رو مطالعه کنین.

و در نهایت

امیدواریم موارد فوق به شما در محافظت از URI خاص، پوشه دارای رمز عبور با استفاده از احراز هویت اساسی کمک کرده باشه. فقط یادتون باشه اگه دنبال امنیت جامع وب سایت هستین هم باید پیاده سازی WAF رو در نظر بگیرین.

هر سوال یا نظری درباره حفاظت پیج با پسورد دارین می‌تونین از طریق کامنت‌ها یا پشتیبانی شرکت با ما در ارتباط باشین.