تنظیمات امنیتی .

برای دسترسی به تنظیمات امنیتی، از منوی مرکز گارانتی > تنظیمات گزینه امنیت را انتخاب کنید.

محدودیت نرخ درخواست

این قابلیت از ارسال درخواست های مکرر و خودکار به فرم استعلام گارانتی جلوگیری می کند.

مفهوم محدودیت نرخ

محدودیت نرخ یعنی یک کاربر (بر اساس آی پی) فقط تعداد مشخصی درخواست می تواند در یک بازه زمانی مشخص ارسال کند. این کار از موارد زیر جلوگیری می کند:

• حمله جستجوی فراگیر: تلاش برای حدس زدن کدهای گارانتی معتبر

• اسکن خودکار: ربات هایی که کدهای گارانتی را اسکن می کنند

• سوء استفاده: ارسال مکرر فرم برای ایجاد اختلال

تنظیمات

حداکثر تلاش ها:

• تعداد درخواست های مجاز در هر بازه زمانی

• پیش فرض: ۱۰ درخواست

• حداقل: ۱ | حداکثر: ۱۰۰

بازه زمانی (ثانیه):

• مدت زمان پنجره محدودیت به ثانیه

• پیش فرض: ۶۰ ثانیه (۱ دقیقه)

• حداقل: ۱۰ | حداکثر: ۳۶۰۰ (۱ ساعت)

مثال های کاربردی

نحوه عملکرد

۱. مشتری کد گارانتی را در فرم وارد می کند
۲. سیستم آی پی کاربر را بررسی می کند
۳. اگر تعداد درخواست ها کمتر از حد مجاز باشد، پردازش انجام می شود
۴. اگر تعداد درخواست ها به حد مجاز برسد:

• پیام "تعداد تلاش ها بیش از حد مجاز است. لطفا بعدا تلاش کنید" نمایش داده می شود

• کاربر باید تا پایان بازه زمانی صبر کند

محدودیت ثبت نام

علاوه بر استعلام، فرم ثبت نام مشتری نیز مشمول محدودیت نرخ می شود. این دو محدودیت مجزا هستند و روی هم تاثیر نمی گذارند.

اجباری کردن ورود کاربران

با فعال کردن این گزینه، فقط کاربران وارد شده به وردپرس می توانند گارانتی خود را ثبت کنند.

تنظیمات

• اجباری کردن ورود: فعال یا غیرفعال (پیش فرض: غیرفعال)

نحوه عملکرد

وقتی غیرفعال است (پیش فرض):

• هر کاربری می تواند کد گارانتی را استعلام کند

• هر کاربری می تواند فرم ثبت نام را تکمیل کند

وقتی فعال است:

• استعلام گارانتی برای همه آزاد است

• اما برای ثبت نام، کاربر باید وارد حساب کاربری خود شود

• اگر کاربر وارد نشده باشد، پیام "برای ثبت گارانتی باید وارد شوید" نمایش داده می شود

موارد استفاده

• فروشگاه های عضو محور: فقط مشتریان ثبت نام کرده گارانتی را فعال کنند

• جلوگیری از ثبت نام جعلی: با احراز هویت، اطلاعات واقعی تر دریافت کنید

• هماهنگی با باشگاه مشتریان: گارانتی را به حساب کاربری مشتری متصل کنید

توکن امنیتی (Nonce)

تمام فرم ها و درخواست های ای جکس با توکن امنیتی وردپرس محافظت می شوند:

• فرم استعلام گارانتی: توکن cwm-warranty-form

• فرم ثبت نام مشتری: توکن cwm-customer-form

• فرم های مدیریت: توکن های اختصاصی برای هر عملیات

• برون بری و درون بری: توکن cwm_export_backup و cwm_import_backup

توکن ها پس از ۲۴ ساعت منقضی می شوند و از حملات CSRF جلوگیری می کنند.

اعتبارسنجی داده ها

تمام ورودی های کاربران قبل از پردازش اعتبارسنجی می شوند:

• پاکسازی متن: حذف کاراکترهای خطرناک

• بررسی ایمیل: فرمت صحیح ایمیل

• بررسی کد ملی: فرمت ۱۰ رقمی

• بررسی آدرس وب: فرمت صحیح URL

• اعداد فارسی: تبدیل خودکار به انگلیسی

مجوزهای دسترسی

عملیات مدیریتی فقط برای کاربران با نقش مدیر کل مجاز است:

• مشاهده لیست گارانتی ها

• ایجاد و ویرایش شرکت ها

• مدیریت مشتریان

• تغییر وضعیت گارانتی

• برون بری و درون بری داده ها

• دسترسی به تنظیمات

ورود به سیستم (لاگ)

با فعال کردن گزینه فعالسازی لاگ در تنظیمات پیشرفته:

• درخواست های استعلام گارانتی ثبت می شوند

• ثبت نام های جدید مشتریان ذخیره می شوند

• آی پی کاربران ضبط می شود

• لاگ ها در فایل debug.log وردپرس ذخیره می شوند

تنظیمات پیشنهادی برای سایت های مختلف

فروشگاه کوچک:

• حداکثر تلاش: ۱۰

• بازه زمانی: ۶۰ ثانیه

• ورود اجباری: خیر

فروشگاه بزرگ:

• حداکثر تلاش: ۲۰

• بازه زمانی: ۱۲۰ ثانیه

• ورود اجباری: بله

سایت شرکتی:

• حداکثر تلاش: ۵

• بازه زمانی: ۳۰۰ ثانیه

• ورود اجباری: بله

اقدامات تکمیلی

• گواهی SSL: سایت خود را به HTTPS مجهز کنید

• رمز عبور قوی: برای حساب مدیر از رمز عبور قوی استفاده کنید

• به روزرسانی منظم: افزونه و وردپرس را به روز نگه دارید

• پشتیبان گیری: به طور منظم از پایگاه داده نسخه پشتیبان تهیه کنید

• محدودیت آی پی: در صورت نیاز، آی پی های مشکوک را مسدود کنید

• محدودیت نرخ بر اساس آی پی است، نه کاربر. اگر چند کاربر از یک شبکه استفاده کنند، محدودیت مشترک دارند

• آی پی کاربران از هدرهای استاندارد HTTP استخراج می شود و قابل اعتماد نیست

• لاگ ها فقط برای رفع اشکال هستند و نباید در محیط تولید فعال باشند

• توکن های امنیتی در localStorage یا Session ذخیره نمی شوند