All In One wp Security
All In One wp Security
آموزش وردپرس

معرفی افزونه All In One WP Security and Firewall در وردپرس

بوسیله شهلا جمشیدی

قبل از نصب و فعال سازی افزونه به نکات زیر توجه کنید:

  • قبل از نصب افزونه امنیتی All In One Security and Firewall ، نسخه پشتیبان تهیه کنید. برای این کار می توانید از بهترین افزونه های پشتیبان گیر وردپرس استفاده کنید.
  • یک استراتژی خوب پس از نصب این است که ابتدا ویژگی های امنیتی پایه را فعال کنید.
  • قبل از استفاده از ویژگی های متوسط یا پیشرفته، اجازه دهید افزونه برای مدت چند روز به طور معمولی کار کند.

افزونه را از پایین صفحه دریافت نموده و آن را در سایت خود در بخش افزونه ها نصب کنید. اگر منو افزونه را ندیدید یا اطلاعات جزئی تری لازم دارید، به راهنمای گام به گام ما در مورد آموزش نصب افزونه وردپرس مراجعه کنید.

بعد از اینکه افزونه نصب شد آن را فعال کنید. پس از فعالسازی افزونه، منوی جدیدی به نام “امنیت کامل وردپرس” در پیشخوان سایت نشان داده می شود. روی این منو رفته و روی داشبورد کلیک کنید.

صفحه پیشخوان افزونه برای شما باز می شود و می توانید تمامی اتفاقات سایت را به صورت نموداری در آن مشاهده کنید.

در صفحه داشبورد یک معیار اندازه گیری قدرت امنیت سایت (Security Strength Meter) وجود دارد. هدف از این معیار این است که شما را مطلع سازد که سایت شما بر اساس اینکه چند تا از ویژگی های امنیتی را در سایت خود اعمال کرده اید، تا چه اندازه امن است.

این کار با استفاده از سیستم نقاط امنیتی افزونه انجام می شود که نمره امنیت فعلی شما را از حداکثر نمره کل قابل دستیابی بر اساس ویژگی هایی که فعال کرده اید، محاسبه می کند.

همچنین پیشخوان افزونه مهمترین ویژگیهایی که باید برای دستیابی به حداقل سطح قابل قبول امنیت در سایت خود استفاده کنید را هایلایت می کند. این ویژگی ها در یک پنل نمایش داده می شوند و نشان می دهد آیا در حال حاضر فعال هستند یا خیر.

شدیداً توصیه می کنیم که این ویژگی های مهم پایه را که برای امنیت سایت شما بسیار حیاتی هستند، فعال کنید.

با فعال کردن هریک از ویژگی های فوق، صفحه تنظیمات مربوط به آن ویژگی باز می شود که در ادامه آموزش به بررسی آنها می پردازیم.

دیگر اطلاعاتی که می توانید در تب های مختلف داشبورد افزونه پیدا کنید، عبارتند از:

  • اطلاعات سیستم – جزئیات کامل نصب وردپرس ، نسخه های PHP و جزئیات افزونه های فعال را نشان می دهد.
  • آدرس های آی پی های قفل شده – در صورت فعال بودن گزینه “فعالسازی لیست سفید آی پی قفل کردن صفحه ورود” در زیرمنوی “ورود کاربران” ، لیست آدرس های IP قفل شده را می توانید در این تب مشاهده کنید.
  • لیست سیاه همیشگی – لیست آدرسهای IP که به دلیل کامنت های اسپم مسدود شده اند را نشان می دهد. این گزینه را می توان در مسیر امنیت کامل وردپرس » جلوگیری از اسپم پیشخوان وردپرس فعال کرد.
  • گزارش های AIOWPS – می توانید فایل های گزارش های امنیتی افزونه را در اینجا مشاهده کنید.

ویژگی های امنیتی پایه All In One Security and Firewall

نام کاربری سرپرست (مدیریت)

این همان نام کاربری است که شما برای ورود به پیشخوان وردپرس از آن استفاده می کنید. نام کاربری پیش فرض وردپرس، admin است که اگر هنگام نصب وردپرس، آن را تغییر نداده اید باید به چیز دیگری تغییر کند. قسمت نام کاربری سرپرست را فعال (on) کنید تا صفحه “حساب های کاربری” برای شما باز شود.

در این صفحه یک نام کاربری جدید وارد کرده و روی دکمه “تغییر نام کاربری” کلیک کنید.

بعد از اینکه نام کاربری مدیریت را تغییر دادید باید مجدداً با نام کاربری جدید وارد سایت شوید.

قفل ورود

فعال کردن قفل ورود به سیستم مانع از آزمایش رمز ورودهای مختلف توسط هکرها برای ورود به سایت می شود که تحت عنوان حمله بروت فورس شناخته می شود. با فعال کردن قفل ورود، صفحه “ورود کاربران” باز می شود.

در این صفحه تنظیمات زیر را وارد کرده، سپس روی ذخیره تنظیمات کلیک کنید:

  • به کارگیری ویژگی بازداری از ورود: این گزینه را برای فعال کردن قفل ورود به سیستم فعال کنید.
  • اجازه درخواست قفل گشایی: این گزینه به کاربرانی که حساب شان قفل شده این  امکان را می دهد که یک درخواست خودکار برای باز کردن حساب های قفل شده شان ارسال کنند.
  • حداکثر تعداد تلاش برای ورود: در این قسمت می توانید حداکثر دفعاتی را که یک IP قبل از قفل شدن می تواند اقدام به ورود به سایت در زمان مجاز کند، وارد کنید.
  • بازه زمانی تلاش برای ورود دوباره (دقیقه): تعداد دقیقه هایی که افزونه All In One Security and Firewall یک IP خاص که تلاش برای ورود او ناموفق بوده را تا تلاش برای ورود مجدد، قفل می کند.
  •  بازه زمانی قفل کردن (دقیقه): تعداد دقیقه هایی که یک آدرس IP خاص پس از رسیدن به حداکثر تلاش برای ورود، قفل می شود.
  • نمایش پیام خطای عمومی: این گزینه را فعال کنید تا یک پیام عمومی را برای کاربران قفل شده نمایش دهید.
  • قفل کردن فوری نام های کاربری نامعتبر: این گزینه را فعال کنید تا افزونه به صورت خودکار نام های کاربری که در سایتتان نیست را قفل کند.
  • سریعاً نام های کاربری مشخص را قفل کن: اضافه کردن نام های کاربری که اگر وارد شوند، افزونه آدرس IP کاربر را قفل خواهد کرد.
  • آگاه کرده از راه ایمیل: این گزینه را انتخاب کنید تا زمانی که یک کاربر قفل شده است از طریق ایمیلی که وارد می کنید به شما اطلاع داده شود.

اجازه دسترسی به فایل

با on کردن این گزینه وارد صفحه “امنیت فایل های سیستم” می شوید. در این صفحه سطح دسترسی فایل ها و دایرکتوری های وردپرس نشان داده می شود.

نسخه وردپرس شما به صورت پیش‌فرض با تنظیمات درست مجوزهای فایل ها و دایرکتوری ها عرضه می‌شود.

با این حال، گاهی کاربران یا سایر افزونه ها تنظیمات این مجوزها و سطح دسترسی های فایل ها و فولدرها را به شکل نادرستی تغییر می‌دهند و این در نهایت باعث ناامن شدن سایت می شود.

افزونه All In One Security and Firewall، فایل‌ها و پوشه‌های مهم هسته وردپرس را اسکن می کند و هر تنظیمات سطح دسترسی که ناامن باشد را مشخص می سازد و نتایج را در صفحه “امنیت فایل های سیستم” گزارش می کند.

اگر مجوزهای دایرکتوری و فایل فعلی با توصیه ها مطابقت نداشته باشند، روی تنظیم مجوز های توصیه شده کلیک کنید.

برای آشنایی بیشتر با سطح دسترسی فایل ها و فولدرها در وردپرس روی لینک کلیک کنید.

فایروال عمومی

با on کردن این قسمت، صفحه “فایروال” مشابه شکل زیر باز می شود.

تنظیمات زیر را اعمال کرده و سپس بر روی دکمه “ذخیره تنظیمات دیوار آتش پایه” کلیک کنید.

  • به کار انداختن محافظت دیوار آتش پایه: این گزینه را برای اعمال قوانین فایروال انتخاب کنید. برای اطلاعات بیشتر روی دکمه “اطلاعات بیشتر” کلیک کنید.
  • بصورت کامل دسترسی به XMLRPC را ببند: این گزینه را انتخاب کنید تا از دسترسی خارجی XMLRPC جلوگیری شود. برای اطلاعات بیشتر روی دکمه “اطلاعات بیشتر” کلیک کنید.
  • غیرفعال کردن عملکرد Pingback از XMLRPC: اگر از برنامه هایی که نیاز به XMLRPC دارند، مانند JetPack یا WP iOS استفاده می کنید، این گزینه را انتخاب کنید. برای اطلاعات بیشتر روی دکمه “اطلاعات بیشتر” کلیک کنید.

تنظیمات امنیتی و فایروال زیادی وجود دارد که می توانید در افزونهAll In One Security and Firewall پیکربندی کنید. توصیه می کنیم که در پیشخوان افزونه وارد تک تک منوها شده و تصمیم بگیرید که کدام ویژگی با سایت شما سازگار است. به خاطر داشته باشید که بعد از تغییر تنظیمات امنیتی و فایروال، عملکرد سایت خود را آزمایش کنید.

ویژگی های امنیتی متوسط (Intermediate)

ویژگی های امنیتی متوسط سطح بالاتری از حفاظت را در All In One Security and Firewall ، نسبت به ویژگی های امنیتی پایه ارائه می دهند. بسته به اینکه از چه افزونه ها و ویژگی هایی استفاده می کنید، ممکن است برخی ویژگی های وب سایت شما با این سطح امنیتی سازگار نباشد. برخی از حفاظت های فعال شده توسط ویژگی های متوسط عبارتند از:

  • تشخیص تغییر فایل خودکار
  • تغییر نام صفحه ورود به سیستم
  • غیر فعال کردن فهرست فایل ها و دایرکتوری ها

ویژگی های امنیتی پیشرفته (Advanced)

ویژگی های امنیتی پیشرفته، بالاترین سطح حفاظت را در افزونه All In One Security and Firewall ارائه می دهند. برخی از ویژگی های وب سایت و افزونه ها ممکن است با این سطح امنیتی سازگار نباشد. برخی از حفاظت هایی که توسط ویژگی های پیشرفته فعال می شوند عبارتند از:

  • لیست سیاه و لیست سفید آدرسهای IP
  • غیرفعال کردن کامنت پروکسی
  • جلوگیری از حمله نیروهای بروت فورس مبتنی بر کوکی

در ادامه آموزش به بررسی باقی زیرمنوهای موجود در منوی “امنیت کامل وردپرس” می پردازیم.

تنظیمات افزونه All In One Secutiry and Firewall

در پیشخوان وردپرس به مسیر امنیت کامل وردپرس » تنظیمات بروید. صفحه ای مشابه شکل زیر مشاهده می کنید.

  • تنظیمات عمومی- در این قسمت می توانید تمام ویژگی های امنیتی و تنظیمات فایروال افزونه را با یک کلیک غیرفعال کنید. در صورت خراب شدن سایت شما به دلیل تنظیمات افزونه، این قسمت مورد نیاز خواهد بود. همچنین می توانید گزینه اشکال زدایی را برای افزونه فعال یا غیرفعال کنید.
  • فایل htaccess. – همانطور که در ابتدای آموزش توضیح داده شد، توصیه می شود قبل از فعال کردن هرگونه تنظیمات امنیتی و فایروال ، از فایل htaccess. نسخه پشتیبان تهیه کنید. همچنین می توانید فایل htaccess. را از نسخه پشتیبان بازیابی کنید.
  • فایل wp-config.php – مشابه فایل .htaccess ، در زیر این قسمت می توانید از فایل wp-config.php نسخه پشتیبان تهیه کرده و بازیابی کنید.
  • مشخصات نسخه وردپرس – وردپرس به طور خودکار شماره نسخه مورد استفاده را تولید می کند و با استفاده از برچسب متا آن را در هر صفحه نشان می دهد. هنگام استفاده از آخرین نسخه وردپرس ، نمایش شماره نسخه مشکلی نیست. اما اگر از نسخه های قدیمی استفاده می کنید ، هکرها می توانند به راحتی با پیدا کردن شماره نسخه ، سایت شما را هدف قرار دهند. می توانید نسخه را در این قسمت مخفی کنید.
  • درون ریزی/برون ریزی – در این قسمت می توانید کل تنظیمات افزونه را درون ریزی یا برون سپاری کنید.

حساب های کاربری

در زیرمنوی حساب های کاربری سه تب مشابه شکل زیر مشاهده می کنید.

  • نام کاربری وردپرس – تنظیمات این قسمت از تنظیمات پایه افزونه All In One Security and Firewall است که در قسمت قبل توضیح داده شد و در آن می توانید نام کاربری “admin” را به نام دلخواه دیگری تغییر دهید.
  • نام نمایشی- لیست کاربرانی که دارای نام نمایشی و نام کاربری یکسان هستند را بررسی می کند. به طور کلی توصیه نمی شود که از نام نمایشی و نام کاربری مشابه استفاده کنید زیرا هکرها می توانند نام کاربری شما را به راحتی حدس بزنند.
  • کلمه عبور – در این تب می توانید قدرت رمز عبور خود را بررسی کنید و متریک موجود در این قسمت به شما نشان می دهد که چقدر زمان برای هکر لازم است تا رمز ورود شما را حدس بزند.

ورود کاربران

زیرمنوی ورود کاربران اجازه می دهد تا تنظیمات ورود به سیستم کاربران را به سایت خود کنترل کنید:

  • قفل ورود – این تب از تنظیمات پایه افزونه All In One Security and Firewall است که در قسمت قبل به طور کامل توضیح داده شد و در آن می توانید کاربران را پس از رسیدن به تعداد مشخصی از تلاشهای ناموفق قفل کنید. این ویژگی به جلوگیری از متوقف کردن همه ربات ها و ارسال اعلان ایمیل در هنگام قفل شدن کاربر کمک می کند.
  • رکورد ورودهای ناموفق – در این قسمت می توانید تلاش های ورود به سیستم ناموفق را همراه با آدرس IP و نام کاربری کاربران مشاهده کنید.
  • خروج اجباری- این گزینه را فعال کنید تا پس از مدت زمان مشخصی ، همه کاربران را مجبور به خروج از سیستم کنید.
  • گزارش فعالیت های حساب- در این قسمت می توانید لیست 50 شناسه آخرین کاربران وارد شده به سایت خود را مشاهده کنید.
  • کاربران وارد شده- کاربرانی که اکنون در سایت شما وارد شده اند را مشاهده می کنید.

نام نویسی کاربران

در این بخش می توانید تأیید دستی کاربرانی که سعی در ثبت نام در سایت شما دارند را فعال کنید و captcha را در فرم ثبت نام وردپرس اضافه کنید. اگر یک افزونه تجارت الکترونیک مانند افزونه WooCommerce برای فروش اقلام در سایت خود دارید که کاربران باید در آن ثبت نام کنند، فعال کردن تأیید دستی باعث می شود مشتریان واقعی متوقف شوند زیرا قادر به ثبت نام خودکار نخواهند بود. از این رو ، وقتی نیاز به ویژگی ثبت نام خودکار برای اهداف دیگری دارید ، این گزینه را فعال نکنید.

امنیت پایگاه داده افزونه All In One Security and Firewall

وردپرس به طور پیش فرض پیشوند “_wp” را برای همه جداول بانک اطلاعاتی خود اضافه می کند. در این بخش می توانید پیشوند پیش فرض را به یک پیشوند تصادفی تغییر دهید که باعث افزایش امنیت سایت شما می شود. همچنین می توانید پشتیبان گیری از پایگاه داده در فاصله زمانی مشخص را زمان بندی کنید و ارسال فایل های پشتیبان از طریق ایمیل را فعال کنید.

امنیت فایل های سیستم

در بخش امنیت فایل های سیستم چهار تب زیر وجود دارد.

  • مجوزهای فایل – این قسمت از تنظیمات پایه افزونه All In One Security and Firewall است که در قسمت قبل توضیح داده شد. در این قسمت می توانید بررسی کنید تمام فایل ها و فولدرهای نصب وردپرس شما مجوز لازم برای دسترسی به خواندن/نوشتن را داشته باشند و همچنین مجوز صحیح را تنظیم کنید.
  • ویرایش فایل PHP – در این قسمت می توانید ویرایش فایل را از پیشخوان وردپرس غیرفعال کنید.
  • دسترسی به فایل های وردپرس- هکرها می توانند با استفاده از فایل های readme.html ، licence.txt و wp-config-sample.php اطلاعات بیشتری در مورد نصب وردپرس خود کسب کنند. فعال کردن این گزینه ، دسترسی مستقیم به این پرونده ها را غیرفعال می کند.
  • گزارش های سیستم هاست – مشاهده فایل گزارش خطا در سرور هاست خود.

مدیریت فهرست سیاه

در این قسمت می توانید دسترسی آدرس های IP و عوامل کاربر را به سایت خود مسدود کنید. آدرس IP را می توانید با استفاده از وایلد کارت ها مانند *. *. *195 یا *. *. 195.47 وارد کنید. بخش نماینده کاربر فقط در صورت داشتن کلمه کار می کند. در صورتی که نام نماینده کاربر دارای \ باشد، به نظر نمی رسد که این افزونه کار کند.

فایروال افزونه All In One Security and Firewall

تنظیمات این بخش را باید با دقت فعال کنید و بررسی کنید که آیا این قابلیت دسترسی سایت شما را تحت تأثیر قرار می دهد یا خیر. تنظیمات این بخش را در قسمت تنظیمات پایه افزونه All In One Security and Firewall به طور کامل توضیح دادیم.

تنظیمات بروت فورس

Brute Force روشی است که در آن هکرها با امتحان کردن تعداد رمزها و نام های کاربری متعدد سعی در ورود به سیستم دارند.

جلوگیری از اسپم

افزونه All In One Security and Firewall کمک می کند تا نظرات اسپم ارسال شده توسط ربات ها متوقف شود و به افزودن captcha در فرم نظرات کمک می کند. این افزونه با افزونه بادی پرس و افزونه بی بی پرس نیز کاملاً ادغام شده است و جلوی نظرات اسپم را در فروم ها می گیرد.

اسکنر افزونه All In One Security and Firewall

شما در این بخش دو گزینه دارید:

  • شناسایی تغییر فایل – در این قسمت می توانید اسکن تشخیص خودکار تغییر فایل را برای سایت خود فعال کنید.
  • اسکن بدافزار – این گزینه یک add-on پولی برای اسکن سایت شما برای شناسایی بدافزارها است.

حالت تعمیر

هنگامی که سایت شما برای تعمیر و نگهداری غیرفعال شده و در دسترس کاربران نباشد می توانید حالت نگهداری را فعال کنید. در حالت ایده آل هیچ ارتباطی بین حالت نگهداری و امنیت وجود ندارد مگر اینکه سایت شما از قبل مورد امنیتی پیدا کرده باشد و شما بخواهید کاربران را از دسترسی به محتوا دور نگه دارد.

تنظیمات بیشتر افزونه All In One Security and Firewall

  • حفاظت از کپی – قابلیت کلیک راست را بر روی سایت خود غیرفعال کنید تا کاربران نتوانند محتوای شما را کپی کنند.
  • فریم ها – این گزینه را فعال کنید تا سایت های دیگر نتوانند محتوای شما در یک فریم نمایش دهند.
  • شمارش کاربران – با فعال کردن این گزینه دسترسی مستقیم به جزئیات نویسنده با استفاده از لینکی مانند “yoursite.com/?author=name” غیرفعال می شود. در این صورت، اگر شخصی تلاش کند جزئیات نویسنده را در نوار آدرس مرورگر بدست آورد ، با خطا مواجه خواهد شد.

بیشتر بخوانید:

منبع: مدیر وردپرس

ممکن است شما دوست داشته باشید

افزونه Supsystic

افزونه WooCommerce Email Validation

آموزش wp_debug جهت عیب یابی وردپرس

افزونه Query Monitor

افزونه ارسال خبرنامه به کاربران در وردپرس با SendinBlue

افزونه MashShare

افزونه Media Cleaner

افزونه Health Check

افزونه Nextend Social Login

افزونه Simple Lightbox

ارسال یک پاسخ

آدرس ایمیل شما منتشر نخواهد شد.