آموزش افزونه All In One WP Security & Firewall
قبلا شما را با افزونه All in One WP Security آشنا کردیم. دیدیم که این افزونه در عین ساده بودن و بیدردسر بودن، امکانات فوقالعادهای در اختیار ما قرار میدهد تا بتوانیم سایت وردپرسیمان را از همیشه امنتر کنیم. حالا در این مقاله قصد داریم شما را با نحوه تنظیم کردن این افزونه و استفاده حداکثری از قابلیتهای آن آشنا کنیم. پس بیایید آموزش افزونه All In One WP Security & Firewall را شروع کنیم.
ویدیوی زیر در تاریخ ۴ شهریور ۱۳۹۴ ضبط شده و کیفیت بالایی ندارد. ویدیوی بالا پیشنهاد میشود. برای یادگاری هم که شده حذفش نمیکنیم. ?
آنچه در این مقاله میخوانید
نصب افزونه All In One WP Security
شیوه نصب افزونه All In One WP Security با افزونههای دیگر هیچ تفاوتی ندارد. برای این کار میتوانید به دو صورت عمل کنید.
- فایل زیپ این افزونه را در روت اصلی هاست خود آپلود کنید و سپس آن را از طریق داشبورد و بخش افزونهها فعال کنید.
- در بخش افزونههای وردپرس این افزونه را جستجو کنید و سپس آن را نصب و فعال کنید.
برای اطلاعات بیشتر در مورد نحوه نصب افزونه میتوانید آموزش نصب افزونه را مطالعه نمایید. بعد از نصب افزونه بخش جدیدی به نام امنیت فراگیر وردپرس به پنل مدیریت سایت وردپرسی شما اضافه خواهد شد.
این افزونه میتواند برای سایت شما بسیار کارآمد باشد و شما میتوانید با خیال راحت با استفاده از آن امنیت سایت خود را تأمین کنید. با استفاده از این افزونه میتوانید بهراحتی مانع نفوذ هکرها به سایت خود شوید. شما میتوانید توسط این افزونه امنیت موارد مختلفی ازجمله اطلاعات حساب کاربران، تأمین امنیت فایلهای سایت، بالا بردن امنیت قسمت ورود و ثبتنام و… ازجمله اقدامات بسیار مهم و مفیدی است که این افزونه در اختیار شما قرار خواهد داد.
آموزش افزونه All In One WP Security
در ادامه نحوه کار با بخشهای مختلف افزونه All In One WP Security را به صورت گام به گام آموزش خواهیم داد.
بخش داشبورد
برای ورود به این بخش، از قسمت افزونهها روی امنیت فراگیر وردپرس کلیک کنید و سپس داشبورد را انتخاب کنید.
در صفحه داشبورد میزان قدرت امنیتی براساس ویژگیهای امنیتی که فعال کردهایم، نمایش داده میشود. باید توجه داشته باشید که در این مرحله اندازه گیری امنیتی بسیار پایین است. در واقع داشبورد All In One WP Security مهمترین ویژگیهایی را که برای دستیابی به حداقل سطح امنیت باید در سایت خود اعمال کنید، برجسته میکند.
مهمترین بخش این قسمت نشانگر میزان امنیت وردپرس شما است که میزان امنیت سایت وردپرسی شما را نمایش میدهد. اگر میزان امنیت سایت شما پایین است اصلاً نگران نباشید. چراکه با خواندن ادامه این مطلب قادر هستید آن را تا حد بسیار زیادی افزایش دهید. در این قسمت شما میتوانید اطلاعات کلی را مشاهده کنید. این اطلاعات در قالب نمودار برای شما نمایش داده میشود.
بخش داشبورد از 4 سربرگ تشکیل شده است:
- Dashboard: بخش فعلی که در آن قرار داریم.
- System info(اطلاعات سیستم): در این قسمت میتوانید اطلاعات سایت، اطلاعات php و افزونههای فعال خود را مشاهده کنید.
- Locked IP Addresses(آدرس آی پیهای مسدود شده): همانطور که از نامش پیداست، میتوانید IPهایی که به طور موقت مسدود شدهاند را در این قسمت ببینید.
- ALOWPS LOGS: میتوانید فایلهای گزارش امنیتی افزونه را در این سربرگ مشاهده کنید.
تنظیمات افزونه All In One WP Security
این بخش بهترین افزونه امنیتی شامل پشتیبانگیری از فایلهای اصلی سایت وردپرسی شما و بکآپگیری از دیتابیس وردپرس است. البته توصیه میکنیم قبل از شروع کار با این افزونه حتماً بکآپگیری از وردپرس را حتماً انجام دهید. بهاینترتیب میتوانید اطلاعات سایت خود را در شرایط مختلف حفظ کنید.
با رفتن به قسمت تنظیمات در تب افزونه به پنل تنظیمات دسترسی پیدا میکنید. در بخش تنظیمات پنج سربرگ پیش روی شما خواهد بود. در سربرگ تنظیمات عمومی یا General settings میتوانید از دیتابیس(پایگاه داده)، htaccess و wp-config.php پشتیبانگیری کنید. انجام این کار به شدت توصیه میشود، چرا که این فایلها زیربنای اصلی سایت شما هستند.
سربرگهای دوم و سوم نیز زیاد مهم نیستند و به شما امکان تغییرات در فایلهای htaccess و Wp-Config.php را میدهند.
بعد از پشتیبان گیری روی سربرگ WP Version Infoکلیک کنید و گزینه Remove WP Generator Meta Info را تیک بزنید. با این کار متا تگی که نسخه وردپرس شما را نشان میدهد، حذف میشود. اگر نسخه وردپرس شما قابل رویت باشد، هکرها به راحتی میتوانند ورژن وردپرس شما را ببینند و از خلاء امنیتی موجود در نسخه وردپرس شما برای نفوذ به سایت استفاده میکنند، به خصوص اگر وردپرس خود را بروز نکرده باشید. بعد از زدن تیک، تنظیمات را ذخیره کنید.
حذف متای سازنده در وردپرس
بخش اطلاعات متای وردپرس به شما امکان حذف متای سازنده را میدهد. این متا در کدهای سایت شما نمایش دادهشده و نسخه وردپرس سایتتان را به معرض دید عموم قرار میدهد. حالا اگر شما چند ماهی سایت را بهروز نکرده باشید؛ بهطور قطع هکرها میفهمند که نسخه وردپرس شما قدیمی است. مثلاً همین مشکل بسیار مهم امنیتی در وردپرس ۴٫۲ که دیروز در موردش صحبت کردیم. پس با حذف این خط از کدهای سایتتان میتوانید وردپرس را امنتر از گذشته کنید.
بخش Import/ Export نیز برای خروجی و ورودی گرفتن اطلاعات این افزونه میباشد.
بخش حسابهای کاربری
تغییر نام کاربری Admin در وردپرس
توسط این بخش میتوانید نام کاربری Admin را بدون حذف و اضافه کردن کاربران بهصورت مستقیم تغییر دهید. درصورتیکه در این مورد مشکلی امنیتی وجود نداشته باشد و حسابی بانام کاربری Admin در سایت شما موجود نباشد، شکل زیر برای شما نمایش داده خواهد شد:
در این بخش میتوانید نام کاربری وردپرس، رمز عبور و نام نمایشی خود را تغییر دهید. زمانی که شما برای اولین بار وردپرس را نصب میکنید، نام کاربری “Admin” است. بسیار مهم است که این نام کاربری را تغییر دهید چرا که سهل انگاری، شما را طعمه راحتی برای هکرها میکند.
این بخش شامل تأمین امنیت حسابهای کاربری در سایت شما است. این قسمت برای شما مشخص میکند که چه حسابهای کاربری برای شما خطر ایجاد میکند و نباید به سایت شما وارد شوند. شما قادر هستید حسابهای مشکوک را در این قسمت شناسایی کنید.
شما نباید از نام کاربری و نام نمایشی یکسان استفاده کنید. نام نمایشی، آیدی است که برای کاربران نمایش داده میشود. اگر شما از نام کاربری و نام نمایشی یکسان استفاده کنید، هکرها دیگر نیازی به جست و جوی نام کاربری شما نخواهند داشت چرا که شما نام کاربری خود را دو دستی تقدیمشان کردهاید و هکرها باید فقط به دنبال رمز عبور باشند.
نام نمایشی
این قسمت برای امنیت بیشتر در مورد شناسایی نام کاربری مدیر و نویسندگان سایت بهکار میرود. بهعنوانمثال وقتی نویسندهای در سایت شما نظر میدهد و یا پستی ارسال میکند؛ در قسمت اطلاعات نظر و یا پست، نام کاربری مدیر و نویسنده نمایش داده میشود.
بهاینترتیب هکرها میتوانند بهراحتی نام کاربری مدیر یا نویسنده را پیداکرده و با آن وارد سایت شوند. یعنی بااینوجود هکرها فقط نیاز به حدس پسورد سایت دارند. اما اگر بهجای نام کاربری، نام نویسنده نمایش داده شود؛ مثلاً اگر بهجای Admin ” رضا راد ” نمایش داده شود. در این صورت حدس نام کاربری برای هکر سختتر میشود. اکنون هکر برای ورود به سایت شما هم User و هم Password را نیاز دارد.
لازم به ذکر است که این مورد را میتوان از قسمت پروفایل هر کاربر تغییر داد. درصورتیکه سایت شما در این مورد دارای مشکل امنیتی نباشد پیغام تصویر زیر برای شما نمایش داده میشود:
نمایش قدرت رمز عبور
همانطور که میدانید انتخاب یک رمز عبور قوی و استاندارد در سایت شما بسیار مهم است. پسازاینکه شما این کار را انجام دادید میتوانید توسط این قسمت آن را امتحان کنید. درواقع در تب گذرواژه امکان این را دارید که با واردکردن گذرواژه، میزان قدرت رمز عبوری که برای سایت خود انتخاب کردهاید را بسنجید.
بخش مدیریت ورود کاربران
بخش چهارم که همان ورود کاربران است؛ برای شما امنیت فرم لاگین وردپرس را تأمین میکند. این قسمت از تنظیمات شامل بخشهای متفاوتی است که در اینجا برای شما توضیح دادهایم:
قفل ورود: فعال کردن قفل ورود کاربر پس از تعداد معینی از تلاشهای ناموفق. این ویژگی به توقف همه رباتها و ارسال اعلان ایمیل در زمانی که شناسه کاربری قفل است کمک میکند.
سوابق ورود ناموفق(رکورد ورود ناموفق): در این سربرگ تلاشهای ناموفق برای ورود به سیستم را به همراه آدرس IP و نام کاربری مشاهده میکنید.
خروج اجباری: این گزینه را فعال کنید تا همه کاربران پس از مدت زمان معینی مجبور به خروج از سیستم شوند.
گزارش فعالیتهای حساب: در این قسمت فهرست آخرین 50 شناسه کاربری وارد شده به سایت خود را مشاهده خواهید کرد.
کاربران وارد شده: مشاهده کاربرانی که در حال حاضر وارد سایت شما شدهاند.
جلوگیری از Brute Force Attack
یکی از موارد مهمی که باید در این قسمت در نظر داشته باشید این است که شما باید بهکارگیری ویژگی بازداری از ورود را حتماً تیک بزنید. این گزینه را فعال کنید تا درصورتیکه یک کاربر بیش از چند بار اطلاعات فرم لاگین را بهاشتباه تکمیل کرد، آی پی شخص Ban شده و تا مدتی از ورود این آی پی به سایت شما جلوگیری شود.
سپس قسمت حداکثر تلاش برای ورود میزان دفعاتی که کاربر مجاز به پر کردن فرم ورود میباشد را تعیین میکند. بهاینترتیب افراد بیش از یک تعداد خاص نمیتوانند رمز عبور و نام کاربری اشتباهی را در صفحه ورود وارد کنند.
بازه زمانی تلاش برای ورود میزان زمانی را تعیین میکند؛ که کاربر پس از واردکردن اطلاعات اشتباه باید منتظر بماند.
درواقع بازه زمانی قفلکردن دوباره مدتزمانی را که کاربر تحریم میشود را تعیین میکند.
همچنین مشکل امنیتی دیگری که در وردپرس وجود دارد و این افزونه قادر به حذف آن است؛ این است که بعد از واردکردن نام کاربری اشتباه، پیغام نام کاربری اشتباه است به کاربر نمایش داده میشود. بهاینترتیب هکر درمییابد که نام کاربری اشتباه را وارد کرده است. شما باید نمایش پیام خطای عمومی را فعال کنید؛ تا درصورتیکه کاربر نام کاربری را هم اشتباه وارد کرد پیغام نام کاربری و یا رمز عبور اشتباه است نمایش داده شود.
علاوه بر این قسمت آگاه کردن از طریق ایمیل به شما این امکان را میدهد تا از ورودهای ناموفق از طریق ایمیل باخبر شوید.
خروج اتوماتیک کاربر از وردپرس
قسمت دیگری که به شما کمک زیادی میکند خروج اتوماتیک کاربر از وردپرس است. شما با استفاده از سربرگ خروج اجباری میتوانید مدتزمانی را تعیین کنید تا بعد از گذشت زمان مشخصشده کاربر از سایت بهصورت اتوماتیک خارج شود و نیاز به ورود مجدد کاربر باشد. عدم فعالیت کاربر در یک بازه زمانی مشخص منجر به خروج اجباری او از سایت خواهد شد.
نمایش کاربران لاگین شده در وردپرس
این تب همه کاربرانی را که هماکنون در سایت شما حاضر هستند، نشان میدهد. با استفاده از این قابلیت اگر شما به یک یا چند نفر از کاربران حاضر در سایت خود بدگمان هستید، میتوانید IP آدرس آنها را از جدول زیر برداشته و در لیست سیاه سایت خود قرار دهید.
بخش نام نویسی کاربران در افزونه
قسمت بعدی نامنویسی است. این قسمت به شما این امکان را میدهد تا برای عضویت در سایت خود از کپچا استفاده کنید و درصورتیکه نامنویسی را از قسمت تنظیمات > همگانی غیرفعال کردید از شر این مورد بگذرید. این قسمت قابلیت این را دارد که از ورود اسپمرها و یا رباتها به سایت شما جلوگیری کند. کد کپچا باعث میشود یک قسمت امنیتی دیگر نیز به سایت شما اضافه شود.
در این بخش میتوانید گزینه تایید خودکار ثبتنام را به تایید دستی تغییر دهید. با این کار از ثبت نام کاربران غیرواقعی جلوگیری میشود. همچنین میتوانید از این بخش کد کپچا را به فرم ثبت نامی خود اضافه کنید. هنگامی که شما افزونه تجارت الکترونیکی برای فروش اقلام در سایت خود با ثبت نام کاربری دارید، فعال کردن این ویژگی باعث توقف مشتریان واقعی میشود چرا که نمیتوانند به طور خودکار ثبت نام کنند. بنابراین، هنگامی که برای اهداف دیگری نیاز به داشتن ویژگی ثبت خودکار دارید، این بخش را فعال نکنید.
بخش امنیت پایگاه داده
دیتابیس وردپرس شما، مهمترین قسمت سایت شما است. زیرا بخش ارزشمند اطلاعات سایت شما در آن قسمت قرار دارد. دیتابیس همچنین هدفی برای هکرها میباشد که از طریق SQL Injections یا کدهای خرابکارانه خودکار جدولهای خاصی را هدف میگیرند.
وردپرس به طور پیشفرض از پیشوند wp برای تمامی پایگاه دادههای خود استفاده میکند. از این بخش میتوانید پیش فرض را به صورت تصادفی تغییر دهید تا امنیت سایت افزایش پیدا کند.
از سربرگ دیگر این بخش میتوانید قابلیت پشتیبانگیری از دیتابیس را فعال کنید. اما فعال کردن این بخش توصیه نمیشود. برخی گزارشها مبنی بر اختلال در عملکرد این قسمت است. راههای پشتیبانگیری اختصاصی زیادی برای وردپرس وجود دارد.
یک راه برای حفاظت از دیتابیس، تغییر پیشوند وردپرس برای جدولها یعنی “wp_” به چیز دیگری است که حدس زدن آن برای هکرها دشوار باشد. این ویژگی در این سیستم به شما امکان تغییر آسان پیشوند دیتابیس را میدهد. شما میتوانید از پیشوند دلخواه خود یا از یک پیشوند تصادفی در این افزونه استفاده کنید.
شما باید روی تغییر پیشوند دیتابیس کلیک کنید تا پیشوند دیتابیس سایت شما بهصورت خودکار تغییر داده شود. به این صورت میتوانید از شر هکرها در امان باشید.
تب دوم نیز برای پشتیبان گیری از دیتابیس میباشد که کار همان افزونه WP db Backup را برای سایت شما انجام میدهد.
بخش امنیت فایلهای سیستم
فایلهای مختلفی در سایت شما وجود دارند که هرکدام از آنها دارای سطوح دسترسی مختلفی هستند. شما باید توجه داشته باشید که سطح دسترسی فایلهای سایت خود را امن نگهدارید. این قسمت از افزونه به شما کمک میکند فایلهایی که سطح دسترسی ناامنی را دارند شناسایی کنید. این قسمت از تبهای مختلفی تشکیلشده که هرکدام برای انجام دادن کارهای مختلفی در این قسمت است.
ممکن است برخی از فایلها دارای سطوح دسترسی ناامنی باشند که شما از وجود آنها اطلاعی ندارید. از این بخش میتوانید سطوح دسترسی فایلهای موجود روی هاست خود را تقویت کنید. در این بخش چهار سربرگ پیش روی شماست:
تب اول: مجوز فایلها
این قسمت سطح دسترسی تمامی فایلهای سایتتان را بررسی کرده و طبق مجوزهایی که استاندارد و پیشنهادی افزونه است، Chmod فایل و پوشههای سایت وردپرسی شما را تعیین میکند.
تب دوم : ویرایش فایل php
این قسمت امکان تغییر فایلهای php از پنل مدیریت وردپرس را غیرفعال میکند. البته ما به شما پیشنهاد نمیکنیم که این قسمت را فعال کنید.
تب سوم: دسترسی به فایلهای وردپرس
این ویژگی امکان جلوگیری از دسترسی به فایلهایی مانند Readme.html license.txt و Wp-Config-Sample.php را فراهم میکند. در نظر داشته باشید که این فایلها به همراه هر نگارش وردپرس عرضه میشوند. با جلوگیری از دسترسی به این فایلها شما تعدادی از اطلاعات کلیدی (مانند نسخه وردپرس) را از چشم هکرها پنهان میکنید که شما بسیار مفید است.
تب چهارم: گزارش سیستم هاست
این قسمت فایل Error_log را برای شما نمایش میدهد؛ که توسط آن میتوانید خطاهای موجود در سایتتان را پیدا کرده و به رفع آنها بپردازید.
بخش مراجعه به Whois در افزونه All In One WP Security
اگرچه جستجوی WHOIS یک ویژگی امنیتی نیست، اما امکان بررسی جزئیات آدرس IP یا نام دامنههای مشکوک را در داشبورد مدیریت فراهم میکند. با استفاده از بخش Whois شما میتوانید اطلاعات آیپیهایی که برای شما مشکوک به نظر میرسد را بهدست آورید.
بخش مدیریت فهرست سیاه
در این بخش میتوانید آیپیهایی را که دوست ندارید به سایت شما دسترسی داشته باشند مسدود کنید. بنابراین آیپیهایی که مشکوک هستند را در این قسمت وارد نمایید. توجه داشته باشید در این قسمت برای مسدود کردن هر آدرس IP باید یک اسم همراه با یک اسلش در ابتدای آن انتخاب کنید.
بخش فایروال
در بخش معرفی افزونه All In One WP Security ، ویژگیهای مهم این بخش را بررسی کردیم. یکی از مهمترین مزیتهای این بخش مسدودسازی کدهای مخرب است. با فعال کردن تمامی گزینههای این بخش، وبسایتتان را در برابر عوامل ویروسی مخرب، بیمه کنید.
اول از همه این نکته را در نظر داشته باشید که قبل از استفاده از دیواره آتش یا فایروال از دیتابیس و فایل htaccess خود بک آپ بگیرید. ما پیشنهاد میکنیم تمامی قسمتهای این بخش را فعالسازی کنید. چراکه برای شما کارآمد هستند. این قسمت باعث میشود شما بتوانید یک فایروال بسیار قوی برای سایت خود ایجاد کنید. توسط این قسمت از ورود اسکریپتهای مخرب جلوگیری میشود.
بخش تنظیمات بروت فورث در افزونه All In One WP Security
این قسمت مربوط به حملات Brute Force میباشد که اکثر هکرها از این راه اقدام به تخریب سایت مقصد میکنند. بنابراین این قسمت از اهمیت زیادی برخوردار است. این بخش شامل ۲ قسمت مهم میباشد که به بررسی آنها میپردازیم.
Brute Force حملاتی هستند که بر مبنای آزمون و خطا سعی بر پیدا کردن رمز ورود شما دارند. شاید یکی از مهمترین بخشهای افزونه All In One WP Security همین بخش باشد، چرا که بیشتر هکرها سعی میکنند از این طریق به وبسایت شما دسترسی پیدا کنند. این بخش دارای 5 سربرگ است که هر کدام وظیفه مهمی در حفظ امنیت وبسایت شما دارند.
تغییر نام ورود کاربر
این گزینه به شما امکان تغییر پوشه مدیریت Wp-Admin را به هر آدرسی که دوست دارید میدهد. با استفاده از این کار پیدا کردن این پوشه برای هکر ساده نیست.
با افزودن پسوند “/wp-admin/” یا “/wp-login.php?action=login” به آدرس سایت به راحتی میتوان به صفحه ورود وردپرس سایت دسترسی داشت. از آنجایی که هر کسی میتواند با یکی از این URLها به سایت شما دسترسی داشته باشد، اولین قدم در پیشگیری از حملات بروت فورس تغییر نام صفحه ورود است. کادر ” قابلیت تغییر آدرس صفحه ورود” را علامت بزنید و یک پیشوند مورد نظر که حدس زدن آن سخت است را ارائه دهید.
به عنوان مثال، اگر می خواهید URL صفحه ورود به سیستم را به عنوان “yoursite.com/login/” تغییر دهید، کلمه “login” را در کادر متن وارد کنید. قبل از فعال کردن این بخش به نکات زیر دقت کنید:
- تغییر نام صفحه ورود، شما را از سیستم خارج میکند و باید دوباره با URL جدید وارد شوید.
- این عملکرد بر همه کاربران تأثیر میگذارد، بنابراین اگر برای نظر دادن در سایتتان نیاز به ثبتنام است، آن را فعال نکنید.
- این بخش بر ویژگی هر افزونه دیگری که از صفحه ورود پیش فرض استفاده میکند تأثیر میگذارد.
جلوگیری از بروت فورس بر اساس کوکی
گزینه بعدی برای جلوگیری از حملات brute force بر اساس کوکی موجود در مرورگر شما است. چک باکس «جلوگیری از حمله Brute Force» را فعال کنید و یک کلمه سخت برای قسمت «Secret Word» انتخاب کنید.
به عنوان مثال، اگر میخواهید کلمه مورد نظر خود را به عنوان “test” اضافه کنید،URL ورود به سیستم “http://yoursite.com/?test=1” خواهد بود. برای دسترسی به صفحه ورود میتوانید “/?secret-word=1″ را به URL سایت خود اضافه کنید. اگر صفحات محافظت شده با رمز عبور دارید، کادر انتخاب ” سایت من دارای پستها یا صفحاتی است که با رمز عبور محافظت میشوند” را فعال کنید.
اگر تم یا افزونهای دارید که از Ajax استفاده میکند، کادر انتخاب ” سایت من دارای تم یا افزونههایی است که از AJAX استفاده میکنند” را فعال کنید. به طور کلی اکثر تمها و افزونهها از Ajax استفاده میکنند، از این رو باید این گزینه را فعال کنید و بررسی کنید که آیا سایت شما به درستی بارگذاری میشود یا خیر.
- این روش شبیه به تغییر نام صفحه ورود به سیستم است، بنابراین تمام هشدارهای ذکر شده در بالا برای این روش نیز قابل اجرا هستند.
- از آنجایی که هر دو روش «تغییر نام صفحه ورود به سیستم» و «پیشگیری از نیروی brute force مبتنی بر کوکی» URL صفحه ورود را تغییر میدهند، میتوانید هر بار از یکی از این روشها در سایت خود استفاده کنید.
سربرگ کد امنیتی برای ورود
در این قسمت برای محکمکاری یک کد کپچا در فرم ورود به پنل مدیریت وردپرس اضافه میکند که تاثیر بهسزایی در امنیت سایت شما خواهد داشت.
از آنجایی که دو گزینه اول بر محیطهای چند کاربره مانند سایتهایی با ویژگیهای ورود، ثبت نام و تجارت الکترونیک تأثیر میگذارند، تنها فعال کردن کپچا یکی از سادهترین روشهایی است که میتوانید برای جلوگیری از حمله brute force استفاده کنید. در این بخش سه گزینه برای فعال کردن کد امنیتی روی فرمها دارید:
- کد امنیتی را در صفحه ورود پیش فرض وردپرس اضافه کنید.
- کد امنیتی را در تمام فرمهای مورد استفاده در سایتی که از تابع وردپرس «wp_login_form()» استفاده میکنند، فعال کنید.
- در فرم درخواست رمز عبور گم شده، کد امنیتی را فعال کنید.
سربرگ لیست سفید ورود
افزونه All in One WP Security گزینه “Login Whitelist” را نیز ارائه میدهد. این قسمت فقط به آدرسهای IP فهرست شده اجازه میدهد تا به صفحه ورود به سیستم وردپرس شما دسترسی داشته باشند و همه آدرسهای IP دیگر مسدود خواهند شد .
سربرگ گلدان عسل (Honey pot)
آخرین گزینه فعال کردن “ Enable Honeypot On Login Page” است. این بخش یک فیلد جدید در فرم ورود ایجاد میکند که برای کاربران انسانی نامرئی و فقط برای رباتها قابل مشاهده است. از آنجایی که رباتها برای ورود تمام فیلدهای فرم ورود را پر میکنند، در صورت پر شدن فیلد پنهان، افزونه دسترسی ربات را متوقف میکند. بنابراین به توقف موثر روباتها کمک میکند.
بخش جلوگیری از اسپم در افزونه All In One WP Security
این قسمت افزونه با اضافه کردن یک کد کپچا به فرم ارسال نظرات وردپرس از ارسال جفنگ (اسپم) در سایت شما جلوگیری میکند. البته برای راحتتر بودن کاربران سایتتان پیشنهاد میکنم از اکیسمت وردپرس استفاده کنید.
افزونه AIOWPS به جلوگیری از کامنتهای اسپم ارسال شده توسط رباتها کمک میکند و اجازه میدهد تا کپچا را در فرم نظرات اضافه کنید.
اسکنر افزونه All In One WP Security
این بخش که کمترین استفاده را در این افزونه خواهد داشت؛ هرچند مدت یک بار فایلهای سایت وردپرسی شما را اسکن میکند و درصورتیکه فایلها تغییر دادهشده باشند به شما اطلاعرسانی میکند.
در این بخش دو گزینه برای استفاده خواهید داشت. یکی از این قابلیتها رایگان است، اما برای استفاده از دیگری باید هزینه پرداخت کنید.
تشخیص تغییر فایل: این بخش هر چند وقت یک بار فایلهای سایت شما را بررسی میکند و در صورت تغییر هر یک از فایلها به شما اطلاع میدهد.
اسکن بدافزار: این بخش از یک سایت شخص ثالث برای اسکن سایت شما استفاده میکند. طبیعتا برای استفاده از این بخش باید هزینه پرداخت کنید.
بخش تعمیر و نگهداری
این بخش همانطور که از اسمش پیدا است حالت تعمیر و در دست ساخت بودن سایت وردپرسی شما را فعال میکند و سایت شما را فقط برای مدیران نمایش میدهد.
این بخش را زمانی که میخواهید تغییرات اساسی در وبسایتتان ایجاد کنید، باید فعال کنید. با فعال کردن این گزینه سایت از دسترس کاربران خارج میشود و فقط مدیران میتوانند به وبسایت دسترسی داشته باشند.
جلوگیری کننده از کپی شدن محتوای سایت
این قسمت آخرین امکانات موجود در افزونه امنیت فراگیر وردپرس محسوب میشود که برای شما امکان انجام دو مورد زیر را فراهم میکند:
- در سربرگ حفاظت از کپی میتوانید قابلیت راست کلیک کردن را غیرفعال کنید. با این کار کاربران دیگر نمیتوانند محتوای سایت شما را کپی کنند.
- با فعال کردن بخش فریمها، سایت شما دیگر در سایتهای اسپمر به نمایش در نخواهد آمد.
- با فعال کردن بخش شمارش کاربران، از شمارش کاربران توسط رباتها از طریق API جلوگیری میشود.
حذف و غیرفعال کردن افزونه All In One WP Security
برخی مواقع ممکن است شما تنظیمات افزونه All In One WP Security را اشتباه پیکربندی کنید و دسترسی خودتان به وبسایت قطع شود. با نصب این افزونه دایرکتوری پشتیبان و چندین جدول MYSQL اضافه میشود. از این رو فقط حذف نصب و حذف افزونه، فایلهای افزونه را به طور کامل از سایت شما حذف نمیکند. بهترین راه این است که مراحل زیر را مرحله به مرحله دنبال کنید:
- همه تنظیمات امنیتی و فایروال را در قسمت “WP Security > Settings > General Settings” غیرفعال کنید.
- افزونه را از داشبورد حذف نصب کنید.
- فایلهای افزونه را از داشبورد حذف کنید.
- از طریق FTP به هاست خود متصل شوید و فایلهای پشتیبان ذخیره شده توسط افزونه را حذف کنید.
- 5. “phpMyAdmin” را از “cPanel” خود باز کنید و جداول افزونهها را از دیتابیس سایت خود حذف کنید.
- اگر در دسترسی به سایت خود مشکلی دارید، سعی کنید قبل از نصب افزونه، فایلهای «.htaccess» و «wp-config.php» را از نسخه پشتیبان بازیابی کنید.
سخن پایانی
All In One WP Security یک افزونه قدرتمند در زمینه امنیت سایت وردپرسی است. اگرچه استفاده از این افزونه بسیار جذاب به نظر میرسد، اما مطمئن شوید تمام ویژگیها را به طور جداگانه آزمایش کنید و تا زمانی که به یک ویژگی نیاز پیدا نکردهاید از آن استفاده نکنید. تغییر نام صفحه ورود، گزینه مبتنی بر کوکی و لیست سفید IP را میتوان در سایتهای تک کاربر بدون ثبت نام کاربری استفاده کرد. گزینههای باقیمانده مانند فعال کردن کپچای ورود و honeypot را میتوان در همه انواع سایتها بدون هیچ مشکلی استفاده کرد.
اگر قصد دارید امنیت وردپرس را به صورت کاملتر و جامعتر یاد بگیرید، پیشنهاد میکنیم در دوره جامع سایت برتر شرکت کنید.
این مطلب از سایت میهن وردپرس گردآوری شده و صرفا چهت اگاه سازی است.