وردپرس

آموزش افزونه All In One WP Security & Firewall


قبلا شما را با افزونه All in One WP Security آشنا کردیم. دیدیم که این افزونه در عین ساده بودن و بی‌دردسر بودن، امکانات فوق‌العاده‌ای در اختیار ما قرار می‌دهد تا بتوانیم سایت وردپرسی‌مان را از همیشه امن‌تر کنیم. حالا در این مقاله قصد داریم شما را با نحوه تنظیم کردن این افزونه و استفاده حداکثری از قابلیت‌های آن آشنا کنیم. پس بیایید آموزش افزونه All In One WP Security & Firewall را شروع کنیم.

ویدیوی زیر در تاریخ ۴ شهریور ۱۳۹۴ ضبط شده و کیفیت بالایی ندارد. ویدیوی بالا پیشنهاد می‌شود. برای یادگاری هم که شده حذفش نمی‌کنیم. ?

آنچه در این مقاله می‌خوانید

نصب افزونه All In One WP Security

Install-the-All-In-One-WP-Security-plugin

شیوه نصب افزونه All In One WP Security با افزونه‌های دیگر هیچ تفاوتی ندارد. برای این کار می‌توانید به دو صورت عمل کنید.

  1. فایل زیپ این افزونه را در روت اصلی هاست خود آپلود کنید و سپس آن را از طریق داشبورد و بخش افزونه‌ها فعال کنید.
  2. در بخش افزونه‌های وردپرس این افزونه را جستجو کنید و سپس آن را نصب و فعال کنید.

برای اطلاعات بیشتر در مورد نحوه نصب افزونه می‌توانید آموزش نصب افزونه را مطالعه نمایید. بعد از نصب افزونه بخش جدیدی به نام امنیت فراگیر وردپرس به پنل مدیریت سایت وردپرسی شما اضافه خواهد شد.

این افزونه می‌تواند برای سایت شما بسیار کارآمد باشد و شما می‌توانید با خیال راحت با استفاده از آن امنیت سایت خود را تأمین کنید. با استفاده از این افزونه می‌توانید به‌راحتی مانع نفوذ هکرها به سایت خود شوید. شما می‌توانید توسط این افزونه امنیت موارد مختلفی ازجمله اطلاعات حساب کاربران، تأمین امنیت فایل‌های سایت، بالا بردن امنیت قسمت ورود و ثبت‌نام و… ازجمله اقدامات بسیار مهم و مفیدی است که این افزونه در اختیار شما قرار خواهد داد.

آموزش افزونه All In One WP Security

در ادامه نحوه کار با بخش‌های مختلف افزونه All In One WP Security را به صورت گام به گام آموزش خواهیم داد.

بخش داشبورد

برای ورود به این بخش، از قسمت افزونه‌ها روی امنیت فراگیر وردپرس کلیک کنید و سپس داشبورد را انتخاب کنید.

تنظیمات افزونه All in one WP Security
تنظیمات افزونه All in one WP Security

در صفحه داشبورد میزان قدرت امنیتی براساس ویژگی‌های امنیتی که فعال کرده‌ایم، نمایش داده می‌شود. باید توجه داشته باشید که در این مرحله اندازه گیری امنیتی بسیار پایین است. در واقع داشبورد All In One WP Security مهم‌ترین ویژگی‌هایی را که برای دستیابی به حداقل سطح امنیت باید در سایت خود اعمال کنید، برجسته می‌کند.

مهم‌ترین بخش این قسمت نشانگر میزان امنیت وردپرس شما است که میزان امنیت سایت وردپرسی شما را نمایش می‌دهد. اگر میزان امنیت سایت شما پایین است اصلاً نگران نباشید. چراکه با خواندن ادامه این مطلب قادر هستید آن را تا حد بسیار زیادی افزایش دهید. در این قسمت شما می‌توانید اطلاعات کلی را مشاهده کنید. این اطلاعات در قالب نمودار برای شما نمایش داده می‌شود.

نشان گر میزان امنیت سایت شما
نشان گر میزان امنیت سایت شما

بخش داشبورد از 4 سربرگ تشکیل شده است:

افزونه All In One WP Security
افزونه All In One WP Security
  • Dashboard: بخش فعلی که در آن قرار داریم.
  • System info(اطلاعات سیستم): در این قسمت می‌توانید اطلاعات سایت، اطلاعات php و افزونه‌های فعال خود را مشاهده کنید.
  • Locked IP Addresses(آدرس آی پی‌های مسدود شده): همانطور که از نامش پیداست، می‌توانید IPهایی که به طور موقت مسدود شده‌اند را در این قسمت ببینید.
  • ALOWPS LOGS: می‌توانید فایل‌های گزارش امنیتی افزونه را در این سربرگ  مشاهده کنید.

تنظیمات افزونه All In One WP Security

All-In-One-WP-Security-plugin-settings-2
افزونه All In One WP Security

این بخش بهترین افزونه امنیتی شامل پشتیبان‌‌‌‌‌گیری از فایل‌های اصلی سایت وردپرسی شما و بک‌‌‌‌‌آپ‌‌‌‌‌گیری از دیتابیس وردپرس است. البته توصیه می‌کنیم قبل از شروع کار با این افزونه حتماً بک‌‌‌‌‌آپ‌‌‌‌‌گیری از وردپرس را حتماً انجام دهید. به‌این‌ترتیب می‌توانید اطلاعات سایت خود را در شرایط مختلف حفظ کنید.

با رفتن به قسمت تنظیمات در تب افزونه به پنل تنظیمات دسترسی پیدا می‌کنید. در بخش تنظیمات پنج سربرگ پیش روی شما خواهد بود. در سربرگ تنظیمات عمومی یا General settings می‌توانید از دیتابیس(پایگاه داده)، htaccess و wp-config.php پشتیبان‌گیری کنید. انجام این کار به شدت توصیه می‌شود، چرا که این فایل‌ها زیربنای اصلی سایت شما هستند.

سربرگ‌های دوم و سوم نیز زیاد مهم نیستند و به شما امکان تغییرات در فایل‌های htaccess و Wp-Config.php را می‌دهند.

بعد از پشتیبان گیری روی سربرگ WP Version Infoکلیک کنید و گزینه Remove WP Generator Meta Info را تیک بزنید. با این کار متا تگی که نسخه وردپرس شما را نشان می‌دهد، حذف می‌شود. اگر نسخه وردپرس شما قابل رویت باشد، هکرها به راحتی می‌توانند ورژن وردپرس شما را ببینند و از خلاء امنیتی موجود در نسخه وردپرس شما برای نفوذ به سایت استفاده می‌کنند، به خصوص اگر وردپرس خود را بروز نکرده باشید. بعد از زدن تیک، تنظیمات را ذخیره کنید.

حذف متای سازنده در وردپرس

بخش اطلاعات متای وردپرس به شما امکان حذف متای سازنده را می‌دهد. این متا در کدهای سایت شما نمایش داده‌شده و نسخه وردپرس سایتتان را به معرض دید عموم قرار می‌دهد. حالا اگر شما چند ماهی سایت را به‌‌‌‌‌روز نکرده باشید؛ به‌طور قطع هکرها می‌فهمند که نسخه وردپرس شما قدیمی است. مثلاً همین مشکل بسیار مهم امنیتی در وردپرس ۴٫۲ که دیروز در موردش صحبت کردیم. پس با حذف این خط از کدهای سایتتان می‌‌‌‌‌توانید وردپرس را امن‌تر از گذشته کنید.

حذف نسخه از متاهای وردپرس
حذف نسخه از متاهای وردپرس

بخش Import/ Export نیز برای خروجی و ورودی گرفتن اطلاعات این افزونه می‌باشد.

بخش حساب‌های کاربری

Accounts-section-3

تغییر نام کاربری Admin در وردپرس

توسط این بخش می‌توانید نام کاربری Admin را بدون حذف و اضافه کردن کاربران به‌صورت مستقیم تغییر دهید. درصورتی‌که در این مورد مشکلی امنیتی وجود نداشته باشد و حسابی بانام کاربری Admin در سایت شما موجود نباشد، شکل زیر برای شما نمایش داده خواهد شد:

تغییر نام کاربری Admin در وردپرس
تغییر نام کاربری Admin در وردپرس

در این بخش می‌توانید نام کاربری وردپرس، رمز عبور و نام نمایشی خود را تغییر دهید. زمانی که شما برای اولین بار وردپرس را نصب می‌کنید، نام کاربری “Admin” است. بسیار مهم است که این نام کاربری را تغییر دهید چرا که سهل انگاری، شما را طعمه راحتی برای هکرها می‌کند.

این بخش شامل تأمین امنیت حساب‌های کاربری در سایت شما است. این قسمت برای شما مشخص می‌کند که چه حساب‌های کاربری برای شما خطر ایجاد می‌کند و نباید به سایت شما وارد شوند. شما قادر هستید حساب‌های مشکوک را در این قسمت شناسایی کنید.

شما نباید از نام کاربری و نام نمایشی یکسان استفاده کنید. نام نمایشی، آیدی است که برای کاربران نمایش داده می‌شود. اگر شما از نام کاربری و نام نمایشی یکسان استفاده کنید، هکرها دیگر نیازی به جست و جوی نام کاربری شما نخواهند داشت چرا که شما نام کاربری خود را دو دستی تقدیمشان کرده‌اید و هکرها باید فقط به دنبال رمز عبور باشند.

نام نمایشی

این قسمت برای امنیت بیشتر در مورد شناسایی نام کاربری مدیر و نویسندگان سایت به‌کار می‌رود. به‌عنوان‌مثال وقتی نویسنده‌ای در سایت شما نظر می‌دهد و یا پستی ارسال می‌کند؛ در قسمت اطلاعات نظر و یا پست، نام کاربری مدیر و نویسنده نمایش داده می‌شود.

به‌این‌ترتیب هکرها می‌توانند به‌راحتی نام کاربری مدیر یا نویسنده را پیداکرده و با آن وارد سایت شوند. یعنی بااین‌وجود هکرها فقط نیاز به حدس پسورد سایت دارند. اما اگر به‌جای نام کاربری، نام نویسنده نمایش داده شود؛ مثلاً اگر به‌جای Admin ” رضا راد ” نمایش داده شود. در این صورت حدس نام کاربری برای هکر سخت‌تر می‌شود. اکنون هکر برای ورود به سایت شما هم User و هم Password را نیاز دارد.

لازم به ذکر است که این مورد را می‌توان از قسمت پروفایل هر کاربر تغییر داد. درصورتی‌که سایت شما در این مورد دارای مشکل امنیتی نباشد پیغام تصویر زیر برای شما نمایش داده می‌شود:

نام نمایشی
نام نمایشی

نمایش قدرت رمز عبور

همان‌طور که می‌دانید انتخاب یک رمز عبور قوی و استاندارد در سایت شما بسیار مهم است. پس‌ازاینکه شما این کار را انجام دادید می‌توانید توسط این قسمت آن را امتحان کنید. درواقع در تب گذرواژه امکان این را دارید که با واردکردن گذرواژه، میزان قدرت رمز عبوری که برای سایت خود انتخاب کرده‌اید را بسنجید.

بخش مدیریت ورود کاربران

User-login-management-4

بخش چهارم که همان ورود کاربران است؛ برای شما امنیت فرم لاگین وردپرس را تأمین می‌کند. این قسمت از تنظیمات شامل بخش‌های متفاوتی است که در اینجا برای شما توضیح داده‌ایم:

قفل ورود: فعال کردن قفل ورود کاربر پس از تعداد معینی از تلاش‌های ناموفق. این ویژگی به توقف همه ربات‌ها و ارسال اعلان ایمیل در زمانی که شناسه کاربری قفل است کمک می‌کند.

سوابق ورود ناموفق(رکورد ورود ناموفق): در این سربرگ تلاش‌های ناموفق برای ورود به سیستم را به همراه آدرس IP و نام کاربری مشاهده می‌کنید.

خروج اجباری: این گزینه را فعال کنید تا همه کاربران پس از مدت زمان معینی مجبور به خروج از سیستم شوند.

گزارش‌ فعالیتهای حساب: در این قسمت فهرست آخرین 50 شناسه کاربری وارد شده به سایت خود را مشاهده خواهید کرد.

کاربران وارد شده: مشاهده کاربرانی که در حال حاضر وارد سایت شما شده‌اند.

جلوگیری از Brute Force Attack

یکی از موارد مهمی که باید در این قسمت در نظر داشته باشید این است که شما باید به‌کارگیری ویژگی بازداری از ورود را حتماً تیک بزنید. این گزینه را فعال کنید تا درصورتی‌که یک کاربر بیش از چند بار اطلاعات فرم لاگین را به‌اشتباه تکمیل کرد، آی پی شخص Ban شده و تا مدتی از ورود این آی پی به سایت شما جلوگیری شود.

سپس قسمت حداکثر تلاش برای ورود میزان دفعاتی که کاربر مجاز به پر کردن فرم ورود می‌باشد را تعیین می‌کند. به‌این‌ترتیب افراد بیش از یک تعداد خاص نمی‌توانند رمز عبور و نام کاربری اشتباهی را در صفحه ورود وارد کنند.

بازه زمانی تلاش برای ورود میزان زمانی را تعیین می‌کند؛ که کاربر پس از واردکردن اطلاعات اشتباه باید منتظر بماند.

درواقع بازه زمانی قفل‌کردن دوباره مدت‌زمانی را که کاربر تحریم می‌شود را تعیین می‌کند.

همچنین مشکل امنیتی دیگری که در وردپرس وجود دارد و این افزونه قادر به حذف آن است؛ این است که بعد از واردکردن نام کاربری اشتباه، پیغام نام کاربری اشتباه است به کاربر نمایش داده می‌شود. به‌این‌ترتیب هکر درمی‌یابد که نام کاربری اشتباه را وارد کرده است. شما باید نمایش پیام خطای عمومی را فعال کنید؛ تا درصورتی‌که کاربر نام کاربری را هم اشتباه وارد کرد پیغام نام کاربری و یا رمز عبور اشتباه است نمایش داده شود.

علاوه بر این قسمت آگاه کردن از طریق ایمیل به شما این امکان را می‌دهد تا از ورودهای ناموفق از طریق ایمیل باخبر شوید.

خروج اتوماتیک کاربر از وردپرس

قسمت دیگری که به شما کمک زیادی می‌کند خروج اتوماتیک کاربر از وردپرس است. شما با استفاده از سربرگ خروج اجباری می‌توانید مدت‌زمانی را تعیین کنید تا بعد از گذشت زمان مشخص‌شده کاربر از سایت به‌صورت اتوماتیک خارج شود و نیاز به ورود مجدد کاربر باشد. عدم فعالیت کاربر در یک بازه زمانی مشخص منجر به خروج اجباری او از سایت خواهد شد.

نمایش کاربران لاگین شده در وردپرس

این تب همه کاربرانی را که هم‌اکنون در سایت شما حاضر هستند، نشان می‌دهد. با استفاده از این قابلیت اگر شما به یک یا چند نفر از کاربران حاضر در سایت خود بدگمان هستید، می‌توانید IP آدرس آن‌ها را از جدول زیر برداشته و در لیست سیاه سایت خود قرار دهید.

بخش نام نویسی کاربران در افزونه

قسمت بعدی نام‌نویسی است. این قسمت به شما این امکان را می‌دهد تا برای عضویت در سایت خود از کپچا استفاده کنید و درصورتی‌که نام‌نویسی را از قسمت تنظیمات > همگانی غیرفعال کردید از شر این مورد بگذرید. این قسمت قابلیت این را دارد که از ورود اسپمرها و یا ربات‌ها به سایت شما جلوگیری کند. کد کپچا باعث می‌شود یک قسمت امنیتی دیگر نیز به سایت شما اضافه شود.

User-registration-section-in-the-All-In-One-WP-Security-plugin-5

در این بخش می‌توانید گزینه تایید خودکار ثبت‌نام را به تایید دستی تغییر دهید. با این کار از ثبت نام کاربران غیرواقعی جلوگیری می‌شود. همچنین می‌توانید از این بخش  کد کپچا را به فرم ثبت نامی خود اضافه کنید. هنگامی که شما افزونه تجارت الکترونیکی برای فروش اقلام در سایت خود با ثبت نام کاربری دارید، فعال کردن این ویژگی باعث توقف مشتریان واقعی می‌شود چرا که نمی‌توانند به طور خودکار ثبت نام کنند. بنابراین، هنگامی که برای اهداف دیگری نیاز به داشتن ویژگی ثبت خودکار دارید، این بخش را فعال نکنید.

بخش امنیت پایگاه داده

دیتابیس وردپرس شما، مهم‌ترین قسمت سایت شما است. زیرا بخش ارزشمند اطلاعات سایت شما در آن قسمت قرار دارد. دیتابیس همچنین هدفی برای هکرها می‌باشد که از طریق SQL Injections یا کدهای خرابکارانه خودکار جدول‌های خاصی را هدف می‌گیرند.

Database-security-section-6

وردپرس به طور پیش‌فرض از پیشوند wp برای تمامی پایگاه داده‌های خود استفاده می‌کند. از این بخش می‌توانید پیش فرض را به صورت تصادفی تغییر دهید تا امنیت سایت افزایش پیدا کند.

از سربرگ دیگر این بخش می‌توانید قابلیت پشتیبان‌گیری از دیتابیس را فعال کنید. اما فعال کردن این بخش توصیه نمی‌شود. برخی گزارش‌ها مبنی بر اختلال در عملکرد این قسمت است. راه‌های پشتیبان‌گیری اختصاصی زیادی برای وردپرس وجود دارد.

یک راه برای حفاظت از دیتابیس، تغییر پیشوند وردپرس برای جدول‌ها یعنی “wp_” به چیز دیگری است که حدس زدن آن برای هکرها دشوار باشد. این ویژگی در این سیستم به شما امکان تغییر آسان پیشوند دیتابیس را می‌دهد. شما می‌توانید از پیشوند دلخواه خود یا از یک پیشوند تصادفی در این افزونه استفاده کنید.

شما باید روی تغییر پیشوند دیتابیس کلیک کنید تا پیشوند دیتابیس سایت شما به‌صورت خودکار تغییر داده شود. به این صورت می‌توانید از شر هکرها در امان باشید.

تب دوم نیز برای پشتیبان گیری از دیتابیس می‌باشد که کار همان افزونه WP db Backup را برای سایت شما انجام می‌دهد.

بخش امنیت فایل‌های سیستم

فایل‌های مختلفی در سایت شما وجود دارند که هرکدام از آن‌ها دارای سطوح دسترسی مختلفی هستند. شما باید توجه داشته باشید که سطح دسترسی فایل‌های سایت خود را امن نگه‌دارید. این قسمت از افزونه به شما کمک می‌کند فایل‌هایی که سطح دسترسی ناامنی را دارند شناسایی کنید. این قسمت از تب‌های مختلفی تشکیل‌شده که هرکدام برای انجام دادن کارهای مختلفی در این قسمت است.

System-files-security-section-7

ممکن است برخی از فایل‌ها دارای سطوح دسترسی ناامنی باشند که شما از وجود آن‌ها اطلاعی ندارید. از این بخش می‌توانید سطوح دسترسی فایل‌های موجود روی هاست خود را تقویت کنید. در این بخش چهار سربرگ پیش روی شماست:

تب اول: مجوز فایل‌‌‌‌‌ها

این قسمت سطح دسترسی تمامی فایل‌های سایتتان را بررسی کرده و طبق مجوزهایی که استاندارد و پیشنهادی افزونه است، Chmod فایل و پوشه‌های سایت وردپرسی شما را تعیین می‌کند.

تب دوم : ویرایش فایل php

این قسمت امکان تغییر فایل‌‌های php از پنل مدیریت وردپرس را غیرفعال می‌‌‌‌‌کند. البته ما به شما پیشنهاد نمی‌‌‌‌‌کنیم که این قسمت را فعال کنید. 

تب سوم: دسترسی به فایل‌‌های وردپرس

این ویژگی امکان جلوگیری از دسترسی به فایل‌هایی مانند Readme.html license.txt و Wp-Config-Sample.php را فراهم می‌کند. در نظر داشته باشید که این فایل‌ها به همراه هر نگارش وردپرس عرضه می‌شوند. با جلوگیری از دسترسی به این فایل‌ها شما تعدادی از اطلاعات کلیدی (مانند نسخه وردپرس) را از چشم هکرها پنهان می‌کنید که شما بسیار مفید است.

تب چهارم: گزارش سیستم هاست

این قسمت فایل Error_log را برای شما نمایش می‌‌‌‌‌د‌‌‌‌‌هد؛ که توسط آن می‌‌‌‌‌توانید خطاهای موجود در سایتتان را پیدا کرده و به رفع آن‌‌‌‌‌ها بپردازید.

بخش مراجعه به Whois در افزونه All In One WP Security

اگرچه جستجوی WHOIS یک ویژگی امنیتی نیست، اما امکان بررسی جزئیات آدرس IP یا نام دامنه‌های مشکوک را در داشبورد مدیریت فراهم می‌کند. با استفاده از بخش Whois شما می‌‌‌‌‌توانید اطلاعات آی‌‌‌‌‌پی‌‌‌‌‌هایی که برای شما مشکوک به نظر می‌‌‌‌‌رسد را به‌‌‌‌‌دست آورید.

بخش مدیریت فهرست سیاه

Blacklist-Management-8

در این بخش می‌‌‌‌‌توانید آی‌‌‌‌‌پی‌‌‌‌‌هایی را که دوست ندارید به سایت شما دسترسی داشته باشند مسدود کنید. بنابراین آی‌‌‌‌‌پی‌‌هایی که مشکوک هستند را در این قسمت وارد نمایید. توجه داشته باشید در این قسمت برای مسدود کردن هر آدرس IP باید یک اسم همراه با یک اسلش در ابتدای آن انتخاب کنید.

بخش فایروال

Firewall-section-9

در بخش معرفی افزونه All In One WP Security ، ویژگی‌های مهم این بخش را بررسی کردیم. یکی از مهم‌ترین مزیت‌های این بخش مسدودسازی کدهای مخرب است. با فعال کردن تمامی گزینه‌های این بخش، وبسایت‌تان را در برابر عوامل ویروسی مخرب، بیمه کنید.

اول از همه این نکته را در نظر داشته باشید که قبل از استفاده از دیواره آتش یا فایروال از دیتابیس و فایل htaccess خود بک آپ بگیرید. ما پیشنهاد می‌کنیم تمامی قسمت‌های این بخش را فعال‌سازی کنید. چراکه برای شما کارآمد هستند. این قسمت باعث می‌شود شما بتوانید یک فایروال بسیار قوی برای سایت خود ایجاد کنید. توسط این قسمت از ورود اسکریپت‌های مخرب جلوگیری می‌شود.

بخش تنظیمات بروت فورث در افزونه All In One WP Security

این قسمت مربوط به حملات Brute Force می‌باشد که اکثر هکرها از این راه اقدام به تخریب سایت مقصد می‌کنند. بنابراین این قسمت از اهمیت زیادی برخوردار است. این بخش شامل ۲ قسمت مهم می‌باشد که به بررسی آنها می‌پردازیم.

Brute-Force-10

Brute Force حملاتی هستند که بر مبنای آزمون و خطا سعی بر پیدا کردن رمز ورود شما دارند. شاید یکی از مهم‌ترین بخش‌های افزونه All In One WP Security همین بخش باشد، چرا که بیشتر هکرها سعی می‌کنند از این طریق به وبسایت شما دسترسی پیدا کنند. این بخش دارای 5 سربرگ است که هر کدام وظیفه مهمی در حفظ امنیت وبسایت شما دارند.

تغییر نام ورود کاربر

این گزینه به شما امکان تغییر پوشه مدیریت Wp-Admin را به هر آدرسی که دوست دارید می‌‌‌‌‌دهد. با استفاده از این کار پیدا کردن این پوشه برای هکر ساده نیست.

با افزودن پسوند “/wp-admin/” یا “/wp-login.php?action=login” به آدرس سایت به راحتی می‌توان به صفحه ورود وردپرس سایت دسترسی داشت. از آنجایی که هر کسی می‌تواند با یکی از این URL‌ها به سایت شما دسترسی داشته باشد، اولین قدم در پیشگیری از حملات بروت فورس تغییر نام صفحه ورود است. کادر ” قابلیت تغییر آدرس صفحه ورود” را علامت بزنید و یک پیشوند مورد نظر که حدس زدن آن سخت است را ارائه دهید.

به عنوان مثال، اگر می خواهید URL صفحه ورود به سیستم را به عنوان “yoursite.com/login/” تغییر دهید، کلمه “login” را در کادر متن وارد کنید. قبل از فعال کردن این بخش به نکات زیر دقت کنید:

  • تغییر نام صفحه ورود، شما را از سیستم خارج می‌کند و باید دوباره با URL جدید وارد شوید.
  • این عملکرد بر همه کاربران تأثیر می‌گذارد، بنابراین اگر برای نظر دادن در سایت‌تان نیاز به ثبت‌نام است، آن را فعال نکنید.
  • این بخش بر ویژگی هر افزونه دیگری که از صفحه ورود پیش فرض استفاده می‌کند تأثیر می‌گذارد.

جلوگیری از بروت فورس بر اساس کوکی

گزینه بعدی برای جلوگیری از حملات brute force بر اساس کوکی موجود در مرورگر شما است. چک باکس «جلوگیری از حمله Brute Force» را فعال کنید و یک کلمه سخت برای قسمت «Secret Word» انتخاب کنید.

به عنوان مثال، اگر می‌خواهید کلمه مورد نظر خود را به عنوان “test” اضافه کنید،URL  ورود به سیستم “http://yoursite.com/?test=1” خواهد بود. برای دسترسی به صفحه ورود می‌توانید “/?secret-word=1″ را به URL سایت خود اضافه کنید. اگر صفحات محافظت شده با رمز عبور دارید، کادر انتخاب ” سایت من دارای پست‌ها یا صفحاتی است که با رمز عبور محافظت می‌شوند” را فعال کنید.

اگر تم یا افزونه‌ای دارید که از Ajax استفاده می‌کند، کادر انتخاب ” سایت من دارای تم یا افزونه‌هایی است که از AJAX استفاده می‌کنند” را فعال کنید. به طور کلی اکثر تم‌ها و افزونه‌ها از Ajax استفاده می‌کنند، از این رو باید این گزینه را فعال کنید و بررسی کنید که آیا سایت شما به درستی بارگذاری می‌شود یا خیر.

  • این روش شبیه به تغییر نام صفحه ورود به سیستم است، بنابراین تمام هشدارهای ذکر شده در بالا برای این روش نیز قابل اجرا هستند.
  • از آنجایی که هر دو روش «تغییر نام صفحه ورود به سیستم» و «پیشگیری از نیروی brute force مبتنی بر کوکی» URL صفحه ورود را تغییر می‌دهند، می‌توانید هر بار از یکی از این روش‌ها در سایت خود استفاده کنید.

سربرگ کد امنیتی برای ورود

در این قسمت برای محکم‌‌‌‌‌کاری یک کد کپچا در فرم ورود به پنل مدیریت وردپرس اضافه می‌‌‌‌‌کند که تاثیر به‌‌‌‌‌سزایی در امنیت سایت شما خواهد داشت.

از آنجایی که دو گزینه اول بر محیط‌های چند کاربره مانند سایت‌هایی با ویژگی‌های ورود، ثبت نام و تجارت الکترونیک تأثیر می‌گذارند، تنها فعال کردن کپچا یکی از ساده‌ترین روش‌هایی است که می‌توانید برای جلوگیری از حمله brute force استفاده کنید. در این بخش سه گزینه برای فعال کردن کد امنیتی روی فرم‌ها دارید:

  • کد امنیتی را در صفحه ورود پیش فرض وردپرس اضافه کنید.
  • کد امنیتی را در تمام فرم‌های مورد استفاده در سایتی که از تابع وردپرس «wp_login_form()» استفاده می‌کنند، فعال کنید.
  • در فرم درخواست رمز عبور گم شده، کد امنیتی را فعال کنید.

سربرگ لیست سفید ورود

افزونه All in One WP Security گزینه “Login Whitelist”  را نیز ارائه می‌دهد. این قسمت فقط به آدرس‌های IP فهرست شده اجازه می‌دهد تا به صفحه ورود به سیستم وردپرس شما دسترسی داشته باشند و همه آدرس‌های IP  دیگر مسدود خواهند شد .

سربرگ گلدان عسل (Honey pot)

آخرین گزینه فعال کردن “ Enable Honeypot On Login Page” است. این بخش یک فیلد جدید در فرم ورود ایجاد می‌کند که برای کاربران انسانی نامرئی و فقط برای ربات‌ها قابل مشاهده است. از آنجایی که ربات‌ها برای ورود تمام فیلدهای فرم ورود را پر می‌کنند، در صورت پر شدن فیلد پنهان، افزونه دسترسی ربات را متوقف می‌کند. بنابراین به توقف موثر روبات‌ها کمک می‌کند.

بخش جلوگیری از اسپم در افزونه All In One WP Security

این قسمت افزونه با اضافه کردن یک کد کپچا به فرم ارسال نظرات وردپرس از ارسال جفنگ (اسپم) در سایت شما جلوگیری می‌کند. البته برای راحت‌تر بودن کاربران سایتتان پیشنهاد می‌کنم از اکیسمت وردپرس استفاده کنید.

Spam-prevention-section-in-the-11-All-In-One-WP-Security-plugin

افزونه AIOWPS به جلوگیری از کامنتهای اسپم ارسال شده توسط ربات‌ها کمک می‌کند و اجازه می‌دهد تا کپچا را در فرم نظرات اضافه کنید.

اسکنر افزونه All In One WP Security

این بخش که کمترین استفاده را در این افزونه خواهد داشت؛ هرچند مدت یک بار فایل‌های سایت وردپرسی شما را اسکن می‌کند و درصورتی‌که فایل‌ها تغییر داده‌شده باشند به شما اطلاع‌رسانی می‌کند.

All-In-One-WP-Security-Plugin-Scanner-12

در این بخش دو گزینه برای استفاده خواهید داشت. یکی از این قابلیت‌ها رایگان است، اما برای استفاده از دیگری باید هزینه پرداخت کنید.

تشخیص تغییر فایل: این بخش هر چند وقت یک بار فایل‌های سایت شما را بررسی می‌کند و در صورت تغییر هر یک از فایل‌ها به شما اطلاع می‌دهد.

اسکن بدافزار: این بخش از یک سایت شخص ثالث برای اسکن سایت شما استفاده می‌کند. طبیعتا برای استفاده از این بخش باید هزینه پرداخت کنید.

بخش تعمیر و نگهداری

این بخش همان‌طور که از اسمش پیدا است حالت تعمیر و در دست ساخت بودن سایت وردپرسی شما را فعال می‌کند و سایت شما را فقط برای مدیران نمایش می‌دهد.

Maintenance-department-13

این بخش را زمانی که می‌خواهید تغییرات اساسی در وبسایت‌تان ایجاد کنید، باید فعال کنید. با فعال کردن این گزینه سایت از دسترس کاربران خارج می‌شود و فقط مدیران می‌توانند به وبسایت دسترسی داشته باشند.

جلوگیری کننده از کپی شدن محتوای سایت

این قسمت آخرین امکانات موجود در افزونه امنیت فراگیر وردپرس محسوب می‌شود که برای شما امکان انجام دو مورد زیر را فراهم می‌‌‌‌‌کند:

Prevent-copying-of-site-content-in-the-All-In-One-WP-Security-plugin-14
  • در سربرگ حفاظت از کپی می‌توانید قابلیت راست کلیک کردن را غیرفعال کنید. با این کار کاربران دیگر نمی‌توانند محتوای سایت شما را کپی کنند.
  • با فعال کردن بخش فریم‌ها، سایت شما دیگر در سایت‌های اسپمر به نمایش در نخواهد آمد.
  • با فعال کردن بخش شمارش کاربران، از شمارش کاربران توسط ربات‌ها از طریق API جلوگیری می‌شود.

حذف و غیرفعال کردن افزونه All In One WP Security

برخی مواقع ممکن است شما تنظیمات افزونه All In One WP Security را اشتباه پیکربندی کنید و دسترسی خودتان به وبسایت قطع شود. با نصب این افزونه دایرکتوری پشتیبان و چندین جدول MYSQL اضافه می‌شود. از این رو فقط حذف نصب و حذف افزونه، فایل‌های افزونه را به طور کامل از سایت شما حذف نمی‌کند. بهترین راه این است که مراحل زیر را مرحله به مرحله دنبال کنید:

  1. همه تنظیمات امنیتی و فایروال را در قسمت “WP Security > Settings > General Settings” غیرفعال کنید.
  2. افزونه را از داشبورد حذف نصب کنید.
  3. فایل‌های افزونه را از داشبورد حذف کنید.
  4. از طریق FTP به هاست خود متصل شوید و فایل‌های پشتیبان ذخیره شده توسط افزونه را حذف کنید.
  5. 5.   “phpMyAdmin” را از “cPanel” خود باز کنید و جداول افزونه‌ها را از دیتابیس سایت خود حذف کنید.
  6. اگر در دسترسی به سایت خود مشکلی دارید، سعی کنید قبل از نصب افزونه، فایل‌های «.htaccess» و «wp-config.php» را از نسخه پشتیبان بازیابی کنید.

سخن پایانی

All In One WP Security یک افزونه قدرتمند در زمینه امنیت سایت وردپرسی است. اگرچه استفاده از این افزونه بسیار جذاب به نظر می‌رسد، اما مطمئن شوید تمام ویژگی‌ها را به طور جداگانه آزمایش کنید و تا زمانی که به یک ویژگی نیاز پیدا نکرده‌اید از آن استفاده نکنید. تغییر نام صفحه ورود، گزینه مبتنی بر کوکی و لیست سفید IP را می‌توان در سایت‌های تک کاربر بدون ثبت نام کاربری استفاده کرد. گزینه‌های باقی‌مانده مانند فعال کردن کپچای ورود و honeypot را می‌توان در همه انواع سایت‌ها بدون هیچ مشکلی استفاده کرد.

اگر قصد دارید امنیت وردپرس را به صورت کامل‌تر و جامع‌تر یاد بگیرید، پیشنهاد می‌کنیم در دوره جامع سایت برتر شرکت کنید.

این خبر را در ایران وب سازان مرجع وب و فناوری دنبال کنید

این مطلب از سایت میهن وردپرس گردآوری شده و صرفا چهت اگاه سازی است.

منبع: سایت میهن وردپرس

دکمه بازگشت به بالا