آموزش افزونه All In One WP Security & Firewall
- امنیت وردپرس
- بروزرسانی شده در
قبلا شما را با افزونه All in One WP Security آشنا کردیم. دیدیم که این افزونه در عین ساده بودن و بیدردسر بودن، امکانات فوقالعادهای در اختیار ما قرار میدهد تا بتوانیم سایت وردپرسیمان را از همیشه امنتر کنیم. حالا در این مقاله قصد داریم شما را با نحوه تنظیم کردن این افزونه و استفاده حداکثری از قابلیتهای آن آشنا کنیم. پس بیایید آموزش افزونه All In One WP Security & Firewall را شروع کنیم.
ویدیوی زیر در تاریخ ۴ شهریور ۱۳۹۴ ضبط شده و کیفیت بالایی ندارد. ویدیوی بالا پیشنهاد میشه. برای یادگاری هم که شده حذفش نمیکنیم. 😁
تاریخ ضبط ویدیو: ۴ شهریور ۱۳۹۴
اگر بخوایم مقایسه کنیم، افزونههایی مثل Wordfence هم گزینههای خوبی هستن، اما تجربهی ما نشون داده که All In One WP Security عملکرد سبکتر و پایدارتری داره، بدون اینکه روی سرعت سایت تأثیر منفی بذاره. علاوه بر این، رابط کاربری واضح و بخشبندی دقیقش باعث میشه حتی افرادی که تازه با وردپرس کار میکنن هم بتونن بهراحتی تنظیمات امنیتی سایتشون رو انجام بدن.
در این آموزش قراره گامبهگام یاد بگیریم چطور این افزونه رو روی سایت نصب کنیم، بخشهای مختلف تنظیماتش رو بررسی کنیم و ازش برای افزایش امنیت وردپرس استفاده کنیم. نسخههای جدید این پلاگین تغییراتی در ظاهر و منوها داشتن و به پیشنهاد کاربران، تصمیم گرفتیم آموزش رو بهصورت بهروز و دقیق منتشر کنیم تا شما هم بتونید از آخرین قابلیتهاش بهره ببرید. بریم سراغ نصب و راهاندازی All In One WP Security & Firewall تا قدمبهقدم امنیت سایتتون رو به سطح بالاتری برسونیم.
آنچه در این مقاله میخوانید
نصب افزونه All In One WP Security & Firewall
برای شروع کار با افزونه All In One WP Security & Firewall، ابتدا باید اون رو روی سایتتون نصب کنید. این افزونه درست مثل بقیه افزونههای وردپرسی نصب میشه و هیچ پیچیدگی خاصی نداره. کافیه وارد پیشخوان وردپرس بشید، از منوی سمت راست روی گزینه «افزونهها» کلیک کنید و بعد «افزودن» رو بزنید. حالا در قسمت جستجو، عبارت All In One WP Security یا فقط «security» رو تایپ کنید تا افزونه در نتایج براتون ظاهر بشه.

اسم کامل این افزونه معمولاً بهصورت All In One WP Security & Firewall نمایش داده میشه و آیکن آبی رنگی داره. بعد از اینکه پیداش کردید، روی دکمهی «نصب» کلیک کنید و بعد از چند لحظه، گزینهی «فعالسازی» رو بزنید تا افزونه روی سایت شما فعال بشه. به محض فعال شدن، گزینهی جدیدی با عنوان امنیت وردپرس یا WP Security به منوی مدیریت وردپرس اضافه میشه که از طریق اون میتونید وارد تنظیمات اصلی افزونه بشید.

این افزونه یکی از کارآمدترین ابزارهایی هست که میتونه امنیت سایت وردپرسی شما رو چندین برابر کنه. بعد از نصب، بهصورت کاملاً خودکار شروع به بررسی تنظیمات امنیتی سایت میکنه و بخشهایی مثل امنیت صفحه ورود، محافظت از فایلهای مهم وردپرس، امنیت حساب کاربری و دیتابیس رو پوشش میده. شما بدون نیاز به هیچ دانش فنی خاصی میتونید با چند کلیک ساده سطح امنیت سایتتون رو بالا ببرید.
اگر در نصب افزونه با خطایی مواجه شدید، جای نگرانی نیست؛ نصب افزونه در وردپرس همیشه از همین مسیر انجام میشه و در صورت نیاز میتونید از آموزش نصب افزونه در وردپرس کمک بگیرید. بعد از اینکه افزونه نصب و فعال شد، فقط کافیه روی گزینهی «امنیت وردپرس» کلیک کنید تا وارد صفحهی اصلی تنظیمات بشید و از اونجا قدمبهقدم به سراغ بخشهای مختلفش بریم.
آشنایی با داشبورد افزونه
بعد از اینکه مراحل نصب و راهاندازی سریع تموم شد، اولین بخشی که واردش میشید داشبورد (Dashboard) افزونه هست. این صفحه درواقع مرکز کنترل و دید کلی شما روی وضعیت امنیتی سایته. در نگاه اول شاید بهنظر برسه که تنظیمات خاصی برای انجام دادن وجود نداره، اما همین بخش اطلاعات بسیار مهمی درباره امنیت فعلی سایتتون نمایش میده.

در صفحه داشبورد میتونید میزان امنیت کلی سایت رو بهصورت عددی و گرافیکی ببینید. افزونه بر اساس گزینههایی که فعال یا غیرفعال کردید، به سایت شما امتیاز امنیتی میده. هرچقدر این امتیاز بالاتر باشه، یعنی سایتتون از لحاظ تنظیمات امنیتی در وضعیت بهتری قرار داره.
همچنین در همین بخش، خلاصهای از بخشهای مهم افزونه مثل فایروال، تنظیمات ورود، حفاظت از فایلها، و پایگاه داده نمایش داده میشه تا بتونید با یک نگاه متوجه بشید کدوم قسمتها فعال هستن و کدوم هنوز نیاز به تنظیم دارن. مثلاً اگر گزینهای غیرفعال باشه، در این صفحه بهصورت هشدار مشخص میشه تا سریعتر اون رو بررسی و فعال کنید.
بهطور کلی، داشبورد افزونه All In One WP Security بیشتر جنبهی نمایش وضعیت و نظارت داره، نه تنظیمات. یعنی در این بخش لازم نیست چیزی تغییر بدید، فقط میتونید عملکرد بخشهای مختلف افزونه رو ببینید و تصمیم بگیرید در ادامه روی کدوم قسمتها تمرکز بیشتری داشته باشید.
اگر سایتتون تازه راهاندازی شده یا هنوز همهی قابلیتهای امنیتی رو فعال نکردید، پیشنهاد میشه از همین صفحه، لینکهای سریع به بخشهای مختلف مثل User Accounts، Login Security، و Firewall رو دنبال کنید تا قدمبهقدم امنیت سایتتون کاملتر بشه.
بخش تنظیمات افزونه
بعد از داشبورد، نوبت به بخش تنظیمات (Settings) میرسه. این قسمت یکی از مهمترین بخشهای افزونه است چون از اینجا میتونید کنترل کلی روی فایلها و ساختار امنیتی وردپرس داشته باشید. بیشتر تغییرات اصلی افزونه از همین بخش انجام میشه، اما خوشبختانه محیطش کاملاً ساده و قابلفهم طراحی شده تا کاربران تازهکار هم بدون نگرانی بتونن ازش استفاده کنن.
فایل .htaccess
در اولین تب تنظیمات، با گزینهی مربوط به فایل .htaccess روبهرو میشید. این فایل یکی از حساسترین فایلهای وردپرسه چون وظیفهی کنترل سطح دسترسی به بخشهای مختلف سایت رو داره. هر تغییری در این فایل میتونه روی امنیت و عملکرد سایت تأثیر بذاره، به همین خاطر افزونه All In One WP Security اینجا به شما امکان میده از فایل htaccess نسخهی پشتیبان (Backup) بگیرید یا در صورت نیاز اون رو بازیابی (Restore) کنید.

در واقع، این افزونه هیچ تغییری خودکار روی این فایل اعمال نمیکنه مگر اینکه شما شخصاً تنظیمی رو فعال کنید که مستقیماً به فایل htaccess مربوط بشه. بنابراین اگر بهتازگی افزونه رو نصب کردید، بهترین کار اینه که همین ابتدا یک نسخه پشتیبان از فایل htaccess تهیه کنید تا اگر بعداً تغییری باعث خطا در سایت شد، بتونید خیلی سریع اون رو به حالت اولیه برگردونید.
بهصورت خلاصه، در این بخش کاری نیاز نیست انجام بدید جز گرفتن بکاپ از فایل و اطمینان از اینکه تنظیمات اولیه درست ذخیره شدن. این کار ساده اما بسیار مهمه، چون فایل htaccess مثل قفل درِ ورودی سایت شماست و اگر درست ازش محافظت نکنید، ممکنه باعث بروز مشکلات امنیتی یا حتی خطا در بارگذاری سایت بشه.
پشتیبانگیری از فایل wp-config در تنظیمات افزونه
در ادامهی بخش تنظیمات، به قسمت مربوط به فایل wp-config.php میرسیم. این فایل یکی از مهمترین و حیاتیترین فایلهای وردپرسه، چون اطلاعات اصلی سایت از جمله مشخصات پایگاه داده (Database)، کلیدهای امنیتی، و تنظیمات پایه در اون ذخیره میشه.

افزونه All In One WP Security در این قسمت گزینهای برای گرفتن نسخهی پشتیبان از فایل wp-config در اختیارتون میذاره. با یک کلیک میتونید از این فایل بکاپ بگیرید تا اگر به هر دلیلی در آینده تغییری در اون ایجاد شد یا سایت با خطایی مواجه شد، بتونید نسخهی سالم قبلی رو برگردونید.
با این حال، از اونجایی که معمولاً بیشتر مدیران سایتها بهصورت منظم از کل سایت خودشون (شامل تمام فایلها و دیتابیس) بکاپ میگیرن، نیازی نیست حتماً از این گزینه جداگانه استفاده کنید. این قابلیت بیشتر برای مواقعیه که بخواید بهسرعت فقط از فایلهای اصلی وردپرس نسخهی پشتیبان بگیرید بدون اینکه بخواید کل سایت رو دانلود کنید.
پس اگر سیستم پشتیبانگیری منظم دارید (چه از طریق هاست، چه با افزونههایی مثل UpdraftPlus یا Duplicator)، نیازی نیست وقتتون رو صرف این گزینه کنید. اما اگه هنوز سیستم بکاپ خودکار ندارید، پیشنهاد میشه حداقل از همین بخش یه نسخه پشتیبان از فایل wp-config بگیرید تا در مواقع اضطراری بتونید سایت رو سریعتر بازیابی کنید.
حذف تنظیمات افزونه پس از پاکسازی
در آخرین قسمت از بخش تنظیمات، گزینهای با عنوان حذف تنظیمات افزونه هنگام پاکسازی (Delete Settings Upon Plugin Deactivation or Removal) دیده میشه. این گزینه تعیین میکنه که وقتی افزونه All In One WP Security رو از سایت حذف میکنید، آیا تمام تنظیمات و اطلاعات ذخیرهشده در دیتابیس هم حذف بشن یا باقی بمونن.

بهصورت پیشفرض، این گزینه غیرفعاله، یعنی اگر افزونه رو حذف کنید، تنظیمات امنیتی و دادههای مربوط به اون همچنان داخل دیتابیس وردپرس باقی میمونه تا اگر بعداً دوباره افزونه رو نصب کردید، نیازی به تنظیم مجدد همهچیز نداشته باشید. اما اگر این گزینه رو فعال کنید، با حذف افزونه تمام دادهها، گزارشها و تنظیماتش بهطور کامل از بین میره.
معمولاً نیازی به فعال کردن این گزینه نیست، چون ممکنه بعداً بخواید افزونه رو مجدد نصب کنید و دوست دارید تنظیمات قبلی باقی بمونن. بنابراین بهتره این بخش رو بدون تغییر رها کنید و فقط زمانی ازش استفاده کنید که تصمیم قطعی دارید افزونه رو برای همیشه از سایت حذف کنید.
در کل، بخش تنظیمات افزونه All In One WP Security بیشتر برای تهیه نسخهی پشتیبان از فایلهای اصلی و کنترل نحوهی ذخیرهسازی دادهها در نظر گرفته شده و نیازی به تغییر مداوم در اون نیست. بعد از اینکه این تنظیمات رو بررسی کردید، میتونید با خیال راحت سراغ بخشهای اصلیتر و کاربردیتر افزونه برید تا امنیت سایتتون رو گامبهگام افزایش بدید.
اطلاعات نگارش وردپرس
وقتی سایت وردپرسی شما نسخه دقیق وردپرس رو توی سورس HTML نشون میده، هر کسی میتونه با یه نگاه به سورس صفحه بفهمه از چه نسخهای استفاده میکنید. این اطلاعات معمولاً بهصورت یه تگ به اسم generator داخل بخش head صفحه قرار میگیره. هکرها و رباتهایی که دنبال سایتهای آسیبپذیر میگردن معمولاً اول از همه همین اطلاعات رو جمعآوری میکنن. چون اگه یه نسخه خاص از وردپرس حفره امنیتی شناختهشدهای داشته باشه، خیلی راحتتر میتونن اون سایتها رو هدف بگیرن. برای همین، هر چی اطلاعات فنی کمتری از سایت در دسترس باشه، مسیر حمله برای مهاجم سختتر میشه و این خودش یه لایه ساده ولی مفید از امنیته.

غیرفعال کردن نمایش نسخه وردپرس کار خاصی نداره و هیچ تأثیر منفی هم روی عملکرد سایت نمیذاره. با این کار فقط اون تگ generator از خروجی صفحات حذف میشه و دیگه بازدیدکنندهها یا ابزارهای اسکن خودکار نمیتونن بهراحتی بفهمن سایت شما از چه نسخهای استفاده میکنه. البته باید بدونید که این کار بهتنهایی سایت رو امن نمیکنه و فقط نوعی پنهانکاریه. یعنی باعث میشه اطلاعات کمتری در دسترس باشه، ولی امنیت واقعی از طریق بهروزرسانی منظم وردپرس، افزونهها و قالبها، داشتن فایروال قوی و بکاپگیری منظم به دست میاد. بهترین حالت اینه که همه این کارها رو با هم انجام بدید؛ یعنی نسخه وردپرس رو پنهون کنید، سایت رو همیشه بهروز نگه دارید، بکاپ بگیرید و فایروال و ورود امن رو هم فعال کنید.
یه نکته دیگه اینه که بعضی قالبها یا افزونهها ممکنه نسخه وردپرس رو توی جاهای دیگه مثل فایلهای CSS، JS یا حتی فید RSS نشون بدن. پس بهتره بعد از حذف تگ generator یه بار سورس صفحه و بقیه بخشها رو هم بررسی کنید تا مطمئن بشید هیچجا نسخه وردپرس نمایش داده نمیشه.
اگه از افزونه All In One WP Security استفاده میکنید، این افزونه خودش گزینهای داره که با فعال کردنش، تگ generator از خروجی صفحات حذف میشه. ولی اگه بخواید دستی این کار رو انجام بدید، فقط کافیه یه خط کد ساده به فایل functions.php قالبتون یا حتی یه پلاگین اختصاصی کوچیک اضافه کنید. اون خط کد اینه:
remove_action('wp_head', 'wp_generator');
بعد از اینکه کد رو اضافه کردید، یه بار صفحه اصلی سایت رو باز کنید، روی View Source بزنید و مطمئن بشید که تگ generator دیگه وجود نداره. این کار سادهست، هزینه خاصی هم نداره و باعث میشه هکرها یهذره سختتر بتونن هدفگیری کنن، ولی هیچوقت جایگزین امنیت واقعی نیست. همیشه یادتون باشه که آپدیت، بکاپ و فایروال مهمترین بخشهای امنیت سایت هستن.
درونریزی و برونریزی
حالا بریم سراغ درونریزی و برونریزی تنظیمات افزونه All In One WP Security. این افزونه یه قابلیت خیلی کاربردی داره که میتونید تنظیماتی که روی یه سایت انجام دادید رو خروجی بگیرید و روی یه سایت دیگه وارد کنید. مثلاً فرض کنید یه سایت رو کامل تنظیم کردید و همه چیزش امنه. حالا میخواید دقیقاً همین تنظیمات رو روی چند تا سایت دیگه هم اعمال کنید. لازم نیست دوباره همه گزینهها رو یکییکی تنظیم کنید، فقط کافیه از سایت اول یه فایل خروجی بگیرید و اون رو روی سایت بعدی درونریزی کنید. با این روش هم کلی زمان صرفهجویی میشه، هم احتمال خطا پایین میاد.

فقط باید دقت کنید نسخه افزونه توی هر دو سایت یکی یا حداقل خیلی نزدیک به هم باشه، چون اگه گزینهها تغییر کرده باشن ممکنه بعضی تنظیمات درست منتقل نشن. یه نکته مهم دیگه اینه که اگه تنظیمات شامل مسیرهای خاص یا دادههای سریالیشده باشن، بعد از درونریزی حتماً یه بررسی سریع انجام بدید تا مطمئن بشید همه چیز درسته. قبل از درونریزی هم همیشه از سایت مقصد بکاپ کامل بگیرید تا اگه مشکلی پیش اومد بتونید برگردید. اگه هم سایت اصلیه و فعال، بهتره اول همه چیز رو توی محیط تست امتحان کنید تا مطمئن بشید تنظیمات بهدرستی منتقل شدن.
در کل این قابلیت Import و Export افزونه، ابزار خیلی خوبی برای مدیریت امنیت چند سایت با تنظیمات یکسانه و کار رو خیلی راحتتر میکنه. فقط حواستون به نسخه افزونه و بکاپ گرفتن باشه تا انتقال تنظیمات بدون دردسر انجام بشه.
تنظیمات پیشرفته
در قسمت تنظیمات پیشرفته (Advanced Settings) افزونه All In One WP Security، گزینههایی برای نحوهی شناسایی و ثبت آیپی کاربران وجود داره. این بخش شاید در نگاه اول کمی فنی بهنظر برسه، اما در واقع هدفش اینه که افزونه بتونه آدرس IP بازدیدکنندگان یا مهاجمان رو بهدرستی تشخیص بده تا در صورت نیاز، اونها رو مسدود کنه.

وردپرس در سایتهای مختلف ممکنه پشت سر چند نوع سرور یا لایهی امنیتی مثل Cloudflare یا CDN قرار گرفته باشه. در چنین شرایطی، گاهی آدرس IP واقعی کاربر در لاگهای وردپرس اشتباه تشخیص داده میشه و افزونه ممکنه آیپی سرور میانی رو ثبت کنه، نه آیپی واقعی بازدیدکننده. برای همین، All In One WP Security گزینههایی در اختیار شما قرار میده تا تعیین کنید از چه روشی برای شناسایی IP استفاده بشه.
وقتی وارد این بخش میشید، افزونه چند مدل مختلف برای شناسایی آیپی نشون میده. شما باید بررسی کنید کدوم روش در سایت شما بهدرستی عمل میکنه. برای این کار، خیلی ساده در گوگل عبارت What is my IP رو جستجو کنید تا آیپی فعلی خودتون رو ببینید، بعد اون عدد رو با مقداری که افزونه در تنظیمات پیشرفته نشون میده مقایسه کنید. اگر آیپی نمایشدادهشده با آیپی واقعی شما یکی بود، یعنی تنظیمات فعلی درسته و نیازی به تغییر نداره. اما اگر متفاوت بود، میتونید بین گزینههای موجود جابهجا بشید تا حالتی رو پیدا کنید که آیپی درست نمایش داده بشه.
دلیل اهمیت این موضوع اینه که افزونه برای مسدود کردن کاربران مشکوک، آیپی اونها رو در لیست سیاه ذخیره میکنه. حالا اگر آیپی واقعی درست شناسایی نشه، ممکنه کاربر اشتباهی بلاک بشه یا مهاجم اصلی از فیلتر عبور کنه. پس تنظیم دقیق این بخش باعث میشه سیستم امنیتی سایت با دقت بیشتری کار کنه و مسدودسازیها کاملاً هدفمند انجام بشن.
در نهایت، بعد از اینکه مطمئن شدید آیپی شما درست تشخیص داده میشه، تنظیمات رو ذخیره کنید و دیگه نیازی به تغییرش نیست. این کار رو فقط یک بار انجام بدید تا افزونه در ادامه بتونه بهصورت خودکار آیپی کاربران رو برای تحلیل و بلاک کردن دقیقتر استفاده کنه.
احراز هویت دوعاملی
در بخش احراز هویت دوعاملی افزونه All In One WP Security، شما میتونید امنیت ورود به سایتتون رو یه مرحله بالاتر ببرید. این قابلیت باعث میشه علاوه بر رمز عبور، برای ورود به پنل مدیریت یه کد موقتی هم نیاز داشته باشید که معمولاً توسط اپلیکیشن Google Authenticator روی گوشی تولید میشه.

به این ترتیب حتی اگه کسی رمز عبور شما رو هم بدونه، بدون داشتن اون کد موقتی نمیتونه وارد سایت بشه. فعالسازی این بخش در افزونه خیلی سادهست؛ فقط باید افزونه Google Authenticator رو نصب کنید و بعد از طریق تنظیمات افزونه All In One WP Security، احراز هویت دوعاملی رو برای حساب کاربریتون فعال کنید.
البته اگه از پلاگین میهن پنل پرو استفاده میکنید، نیازی نیست این مرحله رو جداگانه انجام بدید، چون میهن پنل پرو خودش سیستم احراز هویت دوعاملی داخلی داره. این قابلیت به شما اجازه میده بدون نصب افزونههای جانبی، برای کاربرها یا مدیران سایت کدهای تأیید دو مرحلهای تعریف کنید و امنیت ورود به سایت رو خیلی راحتتر و حرفهایتر مدیریت کنید.
بهنوعی میشه گفت اگر میهن پنل پرو روی سایت فعاله، همونجا میتونید احراز هویت دوعاملی رو فعال کنید و دیگه لازم نیست از تنظیمات All In One WP Security برای این مورد استفاده کنید. برای دریافت افزونه میهن پنل پرو روی دکمه پایین کلیک کنید.
امنیت کاربر
در بخش امنیت کاربر افزونه All In One WP Security، تمرکز اصلی روی محافظت از حسابهای کاربری وردپرس و جلوگیری از دسترسی غیرمجاز به پنل مدیریت است. این بخش امکاناتی مثل محدود کردن تعداد تلاش برای ورود ناموفق، فعالسازی کپچا در فرم ورود و ثبتنام، بررسی قدرت رمز عبور کاربران و جلوگیری از استفاده از نام کاربری «admin» را فراهم میکند. با فعال کردن این گزینهها میتونید احتمال نفوذ از طریق حدس زدن رمز یا حملات Brute Force رو به حداقل برسونید و امنیت کلی حسابهای کاربری سایت رو بالا ببرید.
حسابهای کاربری
نام کاربریتون نباید «admin» باشه. مثلاً من خودم اسم کاربری رو از «admin» میذارم «رضا» و از اون به بعد برای ورود باید با یوزرنیم «رضا» لاگین کنم. تغییرش خیلی سادهست و امنیّت رو کمی بالاتر میبره، شاید چیز حیاتیای نباشه ولی توصیه میشه. یه نکته دیگه اینکه نام نمایشی (همونی که تو سایت نمایش داده میشه) و نام ورود (همونی که باهاش لاگین میکنید) بهتره یکی نباشن؛

اگر یکی باشن، کسی که آدرس کاربر شما رو از طریق API یا جاهای دیگه پیدا کنه راحتتر میتونه اطلاعات بیشتری بهدست بیاره. تو افزونه یه گزینه هست که اجازه میده دسترسی به اطلاعات کاربران از طریق WP JSON API رو غیرفعال کنید؛ اگه این گزینه رو فعال کنید، دیگران نمیتونن با استفاده از WP-JSON اطلاعات کاربران رو ببینن و این یه لایه ساده اما مؤثر برای محافظت از حریم خصوصی و حسابهاست.

قفل ورود
بذار راحت بگم: قفل ورود همون چیزیه که جلوی تلاشهای بیوقفه هکرها برای حدس زدن رمز عبور سایتت رو میگیره. معمولاً وقتی یه نفر (یا یه ربات!) میخواد وارد سایت بشه، شروع میکنه با کلی نام کاربری و رمز مختلف امتحان کردن تا بالاخره یکی جواب بده. اینجاست که قفل ورود وارد بازی میشه و میگه: «صبر کن رفیق! زیادی تلاش کردی، یه مدت دیگه بیا!»

با فعال کردن این بخش توی افزونه All In One WP Security & Firewall میتونی مشخص کنی هر کاربر چند بار اجازه داره رمز اشتباه بزنه. مثلاً بگی اگه یکی دوبار اشتباه وارد کرد، حسابش برای ۱۵ دقیقه قفل بشه. به این ترتیب دیگه هیچکس نمیتونه پشتسرهم رمزها رو امتحان کنه تا یکی رو درست حدس بزنه. این ویژگی در واقع یه دیوار دفاعی خیلی مهم برای جلوگیری از حملات Brute Force به حساب میاد.
حالا نکته مهم اینجاست که باید تنظیماتش رو با دقت انجام بدی. مثلاً اگه سایتت چندتا کاربر واقعی داره، نیا بذار فقط با یه اشتباه قفل بشن، چون بیچارهها نمیتونن وارد شن! یه تنظیم منطقی مثلاً ۳ تا ۵ بار اشتباه خوبه. بعدش میتونی مدت زمان قفل شدن آیپی رو هم تعیین کنی، مثلاً ۱۵ یا ۳۰ دقیقه. افزونه خودش یه لیست از آیپیهایی که قفل شدن نشونت میده و اگه یکی اشتباهی بلاک شد، میتونی از همونجا آزادش کنی.
یه پیشنهاد دیگه هم اینه که اگه از افزونههایی مثل میهن پنل استفاده میکنی، لازم نیست این گزینه رو فعال کنی، چون اون خودش قابلیت گارد ورود داره. فعال کردن دوتا سیستم مشابه فقط باعث دردسر میشه.

یه گزینه جالب دیگه توی این قسمت، پیام خطای ورود هست. بهصورت پیشفرض وردپرس میگه «رمز اشتباهه» یا «نام کاربری اشتباهه». ولی این اطلاعات برای هکرها مثل طلا میمونه! چون راحت میفهمن کدوم بخش رو اشتباه زدن. با فعال کردن گزینه “نمایش پیام خطای عمومی” افزونه کاری میکنه که پیام همیشه یکی باشه: «نام کاربری یا رمز عبور اشتباه است.» اینطوری طرف نمیفهمه کدومش اشتباه بوده.
آخرش هم یه بخش داره برای لیست سفید (Whitelist) که میتونی آیپیهایی مثل آیپی خودت یا تیمت رو وارد کنی تا هر اتفاقی هم بیفته، اونها همیشه بتونن وارد سایت بشن. البته یادت باشه آیپی ثابت وارد کنی، نه یه آیپی متغیر که هر روز عوض میشه.

در کل، قفل ورود یکی از اون قابلیتهاییه که شاید ساده بهنظر بیاد، ولی واقعاً نقش بزرگی تو امنیت سایت داره. اگه درست تنظیمش کنی، یه خط دفاعی محکم جلوی هر نوع ورود غیرمجاز برات میسازه.
خروج خودکار کاربران غیرفعال
یه بخش دیگه از افزونه All In One WP Security & Firewall هست به اسم بیرون کردن اجباری کاربر یا خروج خودکار (Force Logout). این قابلیت دقیقاً برای زمانی ساخته شده که یکی وارد حسابش میشه، ولی یادش میره خارج بشه! مثلاً یه کاربر یا حتی خودِ مدیر سایت وارد پیشخوان میشه، کارش رو انجام میده و میره، اما مرورگرش باز میمونه. خب این یعنی اگه کسی دیگه به اون سیستم دسترسی داشته باشه، راحت میتونه وارد پنل بشه و خرابکاری کنه.

اینجاست که این گزینه میدرخشه! با فعال کردنش، میتونی یه بازه زمانی مشخص کنی تا اگه کاربر برای مدتی فعالیتی نداشت، سیستم خودش بهصورت خودکار اون رو لاگاوت کنه. مثلاً بگی اگه ۶۰ دقیقه هیچ حرکتی نکرد، از سایت بیرونش کن. به همین راحتی! اینطوری مطمئن میشی که هیچ حساب باز و بدون محافظتی توی سیستم نمیمونه.
این قابلیت برای سایتهایی که چندتا کاربر دارن یا مدیرهای مختلف روش کار میکنن خیلی مهمه. چون نهتنها امنیت حسابها رو بالا میبره، بلکه جلوی سوءاستفادههای احتمالی رو هم میگیره. البته اگه سایتت تکمدیرهست و خودت همیشه پشت سیستم میمونی، نیازی نیست خیلی روی این بخش سختگیری کنی، ولی برای سایتهای چندکاربره واقعاً پیشنهاد میشه فعالش کنی.
در کل، خروج خودکار کاربران یه راه ساده و هوشمندانهست برای بالا بردن امنیت ورودها و جلوگیری از دسترسی ناخواسته، مخصوصاً وقتی چند نفر با نقشهای مختلف توی سایت فعالیت دارن.
کاربران وارد شده
یه بخش دیگه تو افزونه All In One WP Security & Firewall هست به اسم کاربران وارد شده (Logged In Users) که خیلی کاربردیه، مخصوصاً برای سایتهایی که چند تا نویسنده، مدیر یا کاربر فعال دارن. توی این قسمت، افزونه بهت نشون میده که چه کسایی الان وارد سایت شدن، با چه نام کاربریهایی لاگین کردن و از چه آیپیهایی دارن استفاده میکنن. در واقع یه جور مرکز کنترل ورود کاربران حساب میشه.

فرض کن چند نفر دارن همزمان روی سایتت کار میکنن و یهویی حس میکنی سایت کند شده یا رفتار مشکوکی داره. با یه نگاه به این لیست میتونی ببینی چه کاربرایی الان آنلایندن. اگه یه ورود مشکوک دیدی، مثلاً یه کاربر از آیپی یه کشور عجیب وارد شده، میتونی همونجا از همین بخش اون رو بیرون بندازی (Force Logout) تا بلافاصله دسترسیش قطع بشه.
این قابلیت فقط برای امنیت نیست، بلکه گاهی برای مدیریت تیم هم به درد میخوره. مثلاً میخوای بدونی کی الان توی سایت فعاله یا چند نفر همزمان وارد شدن. یه نکتهی خوبش هم اینه که حتی اگه یه کاربر یادش بره از سایت خارج بشه، تو میتونی از همین بخش اون رو دستی لاگاوت کنی تا امنیت سایت حفظ بشه.
به طور خلاصه، بخش کاربران وارد شده یه جور دیدبان هوشمند برای وردپرسه؛ هر لحظه میتونی ببینی چه کسی داخل سایته، از کجا اومده، و اگه لازم بود با یه کلیک بیرونش کنی.
تأیید دستی کاربران
یکی از قابلیتهای افزونه All In One WP Security & Firewall مربوط به بخش تأیید دستی کاربرانه. این گزینه مخصوص سایتهایی هست که ثبتنام کاربر براشون فعاله، مثلاً سایتهای آموزشی، انجمنها یا فروشگاههایی که کاربران باید حساب بسازن. وقتی این قابلیت رو فعال کنی، هر کاربری که توی سایت ثبتنام میکنه، تا وقتی مدیر سایت تأییدش نکنه، حسابش فعال نمیشه و نمیتونه وارد بشه.

در واقع این گزینه یه جور فیلتر امنیتیه برای کنترل عضویتها. مثلاً اگه نگران اسپمرها یا رباتهایی هستی که میان ثبتنام میکنن، با فعال کردن تأیید دستی، جلوی این اتفاق رو میگیری چون هیچ کاربری بدون اجازهی تو فعال نمیشه. البته برای سایتهای معمولی یا شخصی، فعال کردنش لازم نیست چون ممکنه فقط باعث بشه مدیریت کاربران برات دردسر بشه و مجبور شی مدام بری بررسی و تأییدشون کنی.
بهطور کلی این ویژگی برای سایتهایی که ثبتنام کاربر بخش مهمی از روند کارشونه خیلی مفیده، ولی اگه فقط مدیرها یا اعضای خاصی وارد سایت میشن، میتونی راحت ازش بگذری تا کار خودت هم سادهتر بمونه.
سالتهای وردپرس (SALT)
سالتها در وردپرس در واقع رشتههای تصادفی و طولانیای هستن که توی فایل wp-config.php قرار میگیرن و نقششون امنتر کردن کوکیها و نشستهای کاربریه. اینها همون AUTH_KEY، SECURE_AUTH_KEY، LOGGED_IN_KEY و بقیهی کلیدهایی هستن که هر وردپرس تازهای موقع نصب توی wp-config.php میذاره تا دادههای نشست و کوکی رمزنگاری بشن. وقتی این کلیدها و سالتها وجود دارن، حتی اگر کسی کوکیِ یک کاربر رو داشته باشه، بدون همین مقادیر نمیتونه ازش سوءاستفاده کنه.

نکتهی خیلی مهم اینه که اگر این سالتها رو عوض کنی، وردپرس همهی نشستهای فعال (session) رو باطل میکنه و همهی کاربران باید دوباره وارد بشن. یعنی کاربران «از سایت پر میشن بیرون»، دقیقاً همینی که گفتی. این رفتار کاملاً طبیعی و عمدیِ؛ چون با عوض شدن کلیدها، کوکیهای قدیمی معتبر نیستن و بهنوعی بازنشانی امنیتی انجام شده. پس اگه تصمیم گرفتی سالتها رو ریجنریت کنی، حتماً به کاربران یا تیم خبر بده که ممکنه لازم باشه دوباره لاگین کنن.
در مورد «پست فیک سالت» که گفتی، معمولاً منظور چیز عجیب و پیچیدهای نیست: بعضی افزونهها یا ابزارها گزینهای برای «افزودن یک سالت جعلی/موقت» یا «پستفیکس به سالت» دارن تا بدون تغییر کلیدهای اصلی، تغییری ایجاد کنن که باعث باطل شدن نشستها یا سختتر شدن حدسزدن الگوها بشه. این روش هم کار میکنه اما باید با احتیاط استفاده بشه چون هر تغییری در مقدارهای سالت معادلِ ریست شدن نشستهاست. اگر از این امکان استفاده میکنی، اول بکاپ از wp-config.php
و دیتابیس بگیر و مطمئن شو که پیام لاگاوت گسترده برای تیم یا کاربران مشکلی ایجاد نمیکنه.
اگه خواستی سالتها رو امن و اصولی عوض کنی، بهترین کار اینه که از ابزار رسمی وردپرس برای تولید کلیدهای تصادفی استفاده کنی (WordPress.org secret-key service) و مقادیر جدید رو جایگزین کنی. بعد از جایگزینی، سایت بهسرعت نشستها رو لغو میکنه و کاربران باید دوباره لاگین کنن. این خودش میتونه یک حرکت امنیتی خوب باشه وقتی شک به نشت یا مشکل وجود داره.
خلاصهاش اینکه سالت یعنی «نمک» امنیت؛ عوضکردنش قویِ اما پیامدش خروج همهست، و «پست فیک سالت» یا هر چیزی که بهعنوان مقدار اضافه یا موقتی عمل کنه هم همین رفتار رو خواهد داشت. اگر میخوای این کار رو انجام بدی، اول بکاپ بگیر، تیم رو خبردار کن و از روش تولید کلید تصادفی معتبر استفاده کن تا همهچیز امن بمونه.
رفع مشکل قفل شدن مدیر بعد از فعالسازی SALT
یکی از اتفاقهایی که ممکنه بعد از فعال کردن یا تغییر SALTها توی وردپرس بیفته، همین چیزیه که گفتی: مدیر سایت از حساب خودش بیرون میمونه و دیگه نمیتونه وارد بشه. دلیلش هم اینه که وقتی سالتها عوض میشن، وردپرس تمام نشستهای (Sessions) فعال رو بیاعتبار میکنه. یعنی همهی کوکیهای ورود از کار میافتن و هر کسی که لاگین بوده، بهصورت خودکار از سایت خارج میشه. در ظاهر این اتفاق چیز بدی نیست، ولی بعضی وقتا ممکنه همزمان با فعال بودن تنظیمات امنیتی افزونه، سایت حتی اجازه ورود مجدد به مدیر رو هم نده.
اگه بعد از فعال کردن سالتها یا زدن گزینه “Enable Salt” دیدی دیگه نمیتونی وارد پیشخوان بشی و سایت خطای قفل شدن یا بلاک شدن آیپی میده، جای نگرانی نیست. راهحلش خیلی سادهست. فقط کافیه وارد phpMyAdmin هاستت بشی. توی لیست دیتابیسهات، دیتابیس مربوط به سایت وردپرسیت رو انتخاب کن. حالا دنبال جدولی بگرد به اسم aiowps_login_lockdown. این جدول مخصوص افزونهی All In One WP Security هست و اطلاعات مربوط به آیپیهایی که به خاطر ورود اشتباه یا قوانین امنیتی بلاک شدن رو نگه میداره.

کافیه اون جدول رو باز کنی، همهی رکوردها رو انتخاب و حذفشون کنی (با گزینه “Delete” یا “Empty”). با این کار قفل ورود از بین میره و آیپی تو هم از لیست بلاکشدهها پاک میشه. حالا دوباره برو به صفحهی ورود وردپرس (/wp-login.php) و با خیال راحت وارد شو.
نکتهی مهم اینه که این اتفاق به معنی اشتباه بودن تنظیمات سالت نیست؛ فقط نشونهی اینه که افزونه درست داره کار میکنه و برای محافظت از سایت جلوی ورودهای مشکوک رو گرفته. اما چون بعد از تغییر سالت، کوکیها و نشستها تغییر میکنن، ممکنه سیستم فکر کنه ورود مدیر غیرعادیه و موقتاً بلاکش کنه.
اگه نمیخوای هر بار این مشکل تکرار بشه، میتونی آیپی خودت رو به لیست سفید (Whitelist) افزونه اضافه کنی تا هیچوقت بلاک نشی. در نهایت، تغییر سالت یه اقدام امنیتی خیلی خوبه و باعث افزایش امنیت رمزگذاری توی سایتت میشه، فقط باید بدونی اگه بعدش از سایت بیرون افتادی، راه برگشت خیلی سادهست و فقط چند دقیقه زمان میبره.
احراز هویت HTTP (HTTP Authentication)
یکی از بخشهای جالب ولی کمی حساس افزونه All In One WP Security & Firewall مربوط به احراز هویت HTTP یا همون HTTP Authentication هست. این قابلیت یه لایه امنیتی اضافه برای ورود به پیشخوان وردپرس درست میکنه. وقتی فعالش میکنی، قبل از اینکه صفحهی ورود اصلی وردپرس حتی دیده بشه، مرورگر ازت یه نام کاربری و رمز عبور دیگه میخواد. یعنی عملاً قبل از رسیدن به صفحهی لاگین سایت، باید از یه سد امنیتی دیگه رد بشی.

این ویژگی مخصوصاً برای سایتهایی خوبه که امنیت براشون خیلی مهمه، مثلاً سایتهای سازمانی، فروشگاهها یا پروژههایی که اطلاعات حساس دارن. با فعال شدنش، رباتها و هکرهایی که مستقیم به آدرس ورود حمله میکنن، از همون اول گیر میکنن و به صفحهی اصلی ورود دسترسی پیدا نمیکنن.
با این حال، برای بیشتر سایتهای معمولی یا شخصی نیازی به فعال کردنش نیست. چون اگه بهدرستی تنظیم نشه، ممکنه دردسر درست کنه. مثلاً اگه اطلاعات ورود HTTP Auth رو اشتباه وارد کنی یا مرورگرت بهدرستی ذخیرهش نکنه، خودت هم دیگه نمیتونی وارد پیشخوان بشی و ممکنه فکر کنی سایتت خراب شده.
در واقع کاری که این بخش میکنه، اینه که یه رمز اضافی روی پوشهی wp-admin میذاره. یعنی برای ورود، باید هم رمز احراز هویت HTTP رو بدونی و هم رمز وردپرس خودت رو. اگه هرکدوم اشتباه باشه، دسترسی قطع میشه.
در مجموع، HTTP Authentication گزینهی بدی نیست، اما فقط وقتی توصیه میشه فعالش کنی که واقعاً نیاز به امنیت چندمرحلهای داشته باشی یا سایتت حساس باشه. در غیر این صورت، بهتره به تنظیمات امنیتی دیگهی افزونه بسنده کنی چون فعال کردن این بخش بدون ضرورت، فقط ورود خودت و تیمت رو سختتر میکنه.
HIBP
در افزونه All In One WP Security یه بخش خیلی جالب به اسم HIBP وجود داره که مخفف Have I Been Pwned هست. این قابلیت بهصورت خودکار بررسی میکنه که آیا رمز عبوری که کاربر برای حسابش انتخاب کرده، قبلاً در نشتهای اطلاعاتی اینترنت فاش شده یا نه. در واقع، وقتی این گزینه رو فعال میکنی، افزونه رمزهای عبور جدید رو با پایگاه دادهی HIBP تطبیق میده و اگه اون رمز قبلاً در جایی لو رفته باشه، بهت هشدار میده که ازش استفاده نکنی.

این یعنی اگه کاربر بخواد یه رمز ناامن یا لو رفته رو وارد کنه، افزونه اجازه ذخیره یا استفاده از اون رمز رو نمیده. به این ترتیب جلوی خیلی از حملات ناشی از رمزهای تکراری یا ضعیف گرفته میشه.
نکته مثبتش اینه که بررسی رمز از طریق الگوریتم امن و ناشناس انجام میشه، یعنی رمز واقعی شما برای سرور HIBP ارسال نمیشه، فقط بخشی از هش رمز فرستاده میشه تا امنیت کاملاً حفظ بشه.
در کل، بخش HIBP توی این افزونه یه لایهی هوشمند و خودکار از امنیت رمز عبور رو فراهم میکنه که کمک میکنه حتی قبل از اینکه خطر به سایت برسه، جلویش گرفته بشه.
تنظیمات اضافی
یه بخش دیگه توی افزونه All In One WP Security هست به اسم تنظیمات اضافی امنیتی که معمولاً کمتر بهش توجه میشه ولی میتونه تأثیر خیلی زیادی روی امنیت کلی سایت بذاره. وقتی این گزینه رو فعال میکنی، افزونه میاد و یه سری توکن یا کلیدهای دسترسی مربوط به اپلیکیشنها و وباپلیکیشنهایی که به سایتت وصل هستن رو محدود میکنه. این کار باعث میشه هر اتصال بیرونی که مجوز درستی نداره یا ممکنه امنیت سایت رو تهدید کنه، بسته بشه.

در عمل یعنی چی؟ فرض کن یه اپ اندروید یا iOS داری که با سایت وردپرسیت کار میکنه، مثلاً برای نمایش محصولات یا ثبتنام کاربران. اگه این گزینه رو فعال کنی، ممکنه اون اپلیکیشن ناگهان از کار بیفته و دیگه نتونه با سایتت ارتباط بگیره. دلیلش هم واضحه: افزونه جلوی دسترسیهای غیرمجاز رو گرفته.
اینجا باید حواست باشه. اگه بعد از فعال کردن این تنظیمات دیدی یه اپلیکیشن یا سرویس خاص از کار افتاد، قدمبهقدم بیا و گزینهها رو غیرفعال کن تا بفهمی کدوم یکی باعث تداخل شده. افزونه خودش کاری به عملکرد اصلی سایت نداره، فقط جلوی درخواستهایی که ممکنه خطرناک باشن رو میگیره.
در کل، فعال کردن تنظیمات اضافی میتونه یه لایهی امنیتی قویتر برای وردپرست بسازه. فقط باید بدونی دقیقاً چی رو فعال کردی و بعد از اون حتماً یه تست کلی روی سایت و اپهات انجام بدی تا مطمئن شی چیزی از کار نیفتاده. اینطوری هم امنیتت بالاست، هم عملکرد سایتت بدون مشکل ادامه پیدا میکنه.
امنیت پایگاه داده
در بخش امنیت پایگاه داده افزونه All In One WP Security، تمرکز روی محافظت از دیتابیس وردپرسه، چون تمام اطلاعات مهم سایت مثل نوشتهها، کاربران و تنظیمات اونجا ذخیره میشن. یکی از مهمترین کارهایی که میتونید اینجا انجام بدید، تغییر پیشوند (prefix) جداول دیتابیسه؛ چون وردپرس بهصورت پیشفرض از پیشوند wp_ استفاده میکنه و این مورد برای هکرها قابل پیشبینیه.
با تغییرش به یه عبارت خاصتر، کار برای اسکریپتهای خودکار و حملات SQL Injection سختتر میشه. علاوه بر این، افزونه به شما اجازه میده از دیتابیس بکاپ بگیرید تا در صورت بروز مشکل یا حمله، بتونید بهراحتی اطلاعات سایت رو برگردونید. در کل این بخش کمک میکنه ساختار پایگاه دادهتون هم از نظر امنیتی ایمنتر و هم از نظر پشتیبانگیری مطمئنتر باشه.
تغییر پیشوند جداول دیتابیس
اگه یادت باشه موقع نصب وردپرس بهصورت پیشفرض پیشوند جداول wp_
هست و همین پیشوند ثابت یکی از چیزاییه که هکرها و ابزارهای خودکار اول از همه دنبال میکنن. وقتی کسی بخواد تزریق SQL یا حملهای به دیتابیس بزنه، راحتتر میتونه اسم جدولها رو حدس بزنه و هدفگیری کنه.

حالا اگر پیشوند جداول رو به یه عبارت رندم یا اختصاصی تغییر بدی، کار برای مهاجم یکدفعه سختتر میشه چون دیگه جدولها توی مسیر پیشفرض نیستن و اسکریپتهای آماده دیگه بهراحتی نمیتونن اونا رو پیدا کنن. این کار بهتنهایی معجزهٔ امنیت نیست ولی مثل گذاشتن یه قفل ساده روی دره؛ یعنی یک لایهٔ اضافه که وقت و انرژی حملهکننده رو میگیره و خیلی وقتا باعث میشه از سایتت بگذره.
توی عمل باید خیلی مراقب باشی: تغییر پیشوند معمولاً شامل تغییر اسامی جدولها در دیتابیس و بهروزرسانی مقدار table_prefix
در فایل wp-config.php
میشه. اول از همه از دیتابیس بکاپ بگیر، بعد تغییر رو توی محیط لوکال یا استیجینگ تست کن و وقتی همهچیز اوکی بود، روی سایت اصلی اجراش کن.
بعضی افزونهها یا کوئریهای سفارشی ممکنه به پیشوند wp_ فرض بستگی داشته باشن، پس بعد از تغییر یه بررسی سریع انجام بده که همهی بخشها درست کار میکنن. در نهایت یادت باشه که این کار باید با احتیاط انجام بشه؛ اگر بدون بکاپ یا تست اقدام کنی ممکنه سایتت به خطا بخوره، اما اگر طبق اصول انجام بشه، باعث میشه هکرها نتونن خیلی راحت سراغ جداول استاندارد وردپرس بیان و این یکی از قدمهای ساده اما مؤثر در هاردنینگ دیتابیسه.
پشتیبانگیری از پایگاه داده
پشتیبانگیری از دیتابیس رو دستِکم نگیر؛ این یکی از پایهایترین کارهاییه که همیشه باید انجام بدی چون هر وقت کاری مثل تغییر پیشوند یا اعمال تنظیمات امنیتی انجام میدی، یه چیزی ممکنه اشتباه بشه و اگر بکاپ نداشته باشی بازگشت خیلی دردسرده. بهترین روش اینه که قبل از هر تغییر مهم، یک بکاپ کامل از دیتابیس بگیری، چه از طریق هاست (کنترل پنل هاست معمولاً داره)، چه با افزونههای محبوب بکاپگیری، تا در صورت بروز مشکل بتونی دیتابیس رو سریع رستور کنی و سایت به حالت قبل برگرده.

یه نکته عملی، بعضی افزونههای بکاپگیر مثل UpdraftPlus یا افزونههای مدیریت هاست این کار رو اتوماتیک هم انجام میدن و میتونن نسخهها رو روی فضای ابری نگه دارن، که اگه مشکلی پیش بیاد بهراحتی قابل بازیابیه. اگر از این افزونهها استفاده میکنی، قبل از شروع تغییرات یک بکاپ دستی هم بگیر تا خیالت راحت باشه.
همچنین تاکید میکنم بعد از گرفتن بکاپ، تغییرات رو اول توی محیط تست اعمال کن و بعد در سایت اصلی؛ اینطوری احتمال خطا به صفر نزدیک میشه. در نهایت یادت باشه بکاپگیری فقط برای زمان تغییر نیست؛ نگهداری دورهای بکاپ و نگهداری چند نسخهٔ گذشته از دیتابیس بهترین راه برای مقابله با هک، خطاهای انسانی یا حتی اشتباهات آپدیتهای افزونهست.
امنیت فایل
یکی از بخشهای خیلی مهم توی این افزونه، قسمت امنیت فایلها هست. اینجا جاییه که میتونیم سطح دسترسی (Permission) فایلهای اصلی سایت رو بررسی کنیم تا مطمئن بشیم کسی غیر از خودمون یا وردپرس اجازهی تغییرشون رو نداره. مثلاً فایلهایی مثل wp-config.php یا index.php نباید قابل ویرایش برای همه باشن. افزونه بهصورت خودکار بررسی میکنه و پیشنهادهایی میده که با زدن دکمه “تنظیم” میتونی پرمیشنها رو به حالت امن تغییر بدی.

محافظت از پرونده
در بخش محافظت از پروندهها چند گزینه هست که میتونه واقعاً مفید باشه. مثلاً حذف فایلهای اضافه مثل readme.html یا license.txt که معمولاً بعد از نصب وردپرس باقی میمونن و نسخه وردپرس رو لو میدن. وقتی این فایلها حذف بشن، هکر دیگه نمیتونه بفهمه از چه نسخهای استفاده میکنی و در نتیجه سختتر میتونه راه نفوذ پیدا کنه. افزونه حتی میتونه این حذف رو بعد از هر بهروزرسانی وردپرس بهصورت خودکار انجام بده تا خیالت راحت باشه.

گزارشهای سیستم هاست
گزینهی بعدی مربوط به جلوگیری از استفادهی منابع سایته. اگه فعالش کنی، هیچ سایت دیگهای نمیتونه تصاویرت رو مستقیماً لود کنه (که بهش میگن hotlinking). اما راستش اگه بخوای گوگل متوجه بشه اون تصویر برای سایت توئه، بهتره این گزینه رو غیرفعال بذاری.

یه گزینهی خیلی مهم دیگه هم هست به اسم غیرفعال کردن ویرایش فایلهای PHP. اگه فعالش کنی، دیگه از داخل پنل وردپرس نمیتونی کدهای PHP قالب یا افزونههارو ویرایش کنی. این کار باعث میشه اگه کسی به ادمین دسترسی پیدا کرد، نتونه از همونجا فایلهای سایت رو خراب کنه یا بدافزار تزریق کنه.
حفاظت ا زکپی و قابها
در بخشهای پایانی این قسمت هم تنظیماتی مثل “جلوگیری از راستکلیک و کپی متن” یا “غیرفعال کردن نمایش سایت در آیفریم” وجود داره که واقعاً ضروری نیستن. مثلاً جلوگیری از کپی متن ممکنه باعث بشه کاربر تجربهی بدی از سایت بگیره. پس بهتره فقط گزینههایی رو فعال کنی که واقعاً روی امنیت اثر دارن، نه اونایی که صرفاً عدد امتیاز امنیتی رو زیاد میکنن.

در نهایت، بخش امنیت فایلها قراره بهت کمک کنه تا جلوی نفوذ از طریق فایلها و اطلاعات لو رفته رو بگیری. اگه فقط گزینههای حیاتی مثل تنظیم پرمیشنها، حذف فایلهای اضافه و غیرفعال کردن ویرایش PHP رو فعال کنی، خیالت از امنیت سایت خیلی راحتتر میشه.

دیواره آتش
بریم سراغ یکی از مهمترین و تأثیرگذارترین بخشهای این افزونه: دیواره آتش یا همون فایروال. فایروال در واقع یه لایهی حفاظتیه که جلوی ورود درخواستهای مشکوک یا مخرب به سایت رو میگیره. خیلی از افزونهها مثل Wordfence هم فایروال دارن، ولی معمولاً باعث افت سرعت سایت میشن. خوبی All In One WP Security اینه که بدون اینکه سرعت سایتت پایین بیاد، یه فایروال سبک و کارآمد به سایتت اضافه میکنه. این بخش چند تا تب داره که هر کدوم یه قسمت از امنیت فایروال رو کنترل میکنن. بریم دونهدونه بررسیشون کنیم.
قوانین PHP
تب «قوانین PHP» توی دیوارهٔ آتش، جلوی اجرای فایلهای PHP در پوشههایی که نباید اجرا بشن رو میگیره. یعنی پوشههایی مثل uploads یا بعضی پوشههای wp-content که معمولا کاربرها فایل توش آپلود میکنن، امنتر میشن و کسی نمیتونه کد مخرب اونجا اجرا کنه. این کار خیلی مهمه چون خیلی وقتها هکرها از همین مسیرها وارد میشن.

قوانین htaccess
این بخش مربوط به فایل .htaccess سایتته. افزونه میتونه یهسری قوانین امنیتی جدید به این فایل اضافه کنه که باعث میشه دسترسیهای غیرمجاز بسته بشن. این کار جلوی دسترسی مستقیم به فایلهای حساس، لیست شدن دایرکتوریها و درخواستهای مخرب رو میگیره. افزونه قبل از تغییر، یه نسخه پشتیبان از .htaccess میگیره تا اگه چیزی درست نشد، بتونید راحت برگردونید. فقط یادتون باشه اگه سایت روی Nginx باشه، این بخش مستقیم روی سایت اثر نمیکنه و باید قوانین رو توی کانفیگ سرور اعمال کنید.

مثلاً:
- Trace و Track رو غیر فعال میکنه تا کسی نتونه درخواستهای خطرناک ارسال کنه.
- دسترسی به فایلهای لاگ و خطاها (debug.log) رو میبنده.
- دسترسی به دایرکتوریها رو محدود میکنه تا کسی نتونه محتویات پوشههات رو ببینه.
- حتی میتونی از همینجا حجم حداکثر فایل آپلودی یا رم سرور رو تغییر بدی، بدون نیاز به نصب پلاگین دیگه!
پیشنهاد من اینه که همهی این گزینهها رو فعال کن. اگه بعدش دیدی سایتت با خطا مواجه شد، فقط غیرفعالش کن و تست کن ببین مشکل حل میشه یا نه.
6G Firewall Rules
این بخش مربوط به قوانین فایروال 6G هست. این قوانین توسط متخصصهای امنیتی طراحی شدن و جلوی بخش بزرگی از حملات وب مثل SQL Injection یا XSS رو میگیرن. وقتی فعالش میکنید، افزونه هزاران امضای ربات و حملهی رایج رو بلاک میکنه. البته بعضی وقتها ممکنه یه کاربر یا سرویس مشروع هم اشتباها بلاک بشه، پس بعدش حتماً لاگها رو چک کنید و آیپیهای مجاز رو whitelist کنید.
اینا رو هم حتماً فعال کن. افزونه خودش تنظیمات لازم رو به صورت خودکار انجام میده و سایتت حسابی ایمنتر میشه.
رباتهای اینترنت
تب «رباتهای اینترنت» به شما کمک میکنه رباتهای بد رو شناسایی و محدود کنید و رفتارهایی مثل تعداد بالای درخواست از یه آیپی رو کنترل کنید. این کار بار روی سرور رو کم میکنه و جلوی scraping یا حملات خودکار گرفته میشه. البته اگر سرویس قانونی دارید که با یه User-Agent خاص کار میکنه، حتماً اون رو توی فهرست مجاز قرار بدید.
لیستها را مسدود و مجاز کنید
در «لیستها را مسدود و مجاز کنید» میتونید آیپیها، بازههای IP یا مسیرهای مشخصی رو که میخواید همیشه بلاک یا همیشه اجازه داده بشن، تعریف کنید. این برای مواقعی که یه آیپی مهاجم میخواید سریع بلاک کنید یا دسترسی یه سرویس داخلی رو تضمین کنید خیلی کاربردیه. فقط حواستون باشه که آیپی خودتون رو بهاشتباه بلاک نکنید.
تنظیمات پیشرفته
آخرین تب، «تنظیمات پیشرفته» هست که برای قوانین پیشرفتهتر و سفارشی استفاده میشه. مثلا میتونید زمانبندی بلاکها، پیامهای خطای سفارشی برای بازدیدکنندهها، لاگینگ و هشدارها یا قواعد دلخواه خودتون رو اضافه کنید. این بخش به شما انعطاف زیادی میده ولی باید با احتیاط عمل کنید چون قوانین نادرست ممکنه سایت رو از دسترس خارج کنه. در قسمت پایین چند تا گزینهی کاربردی دیگه هم هست:
- Block Fake Google Bots: این گزینه جلوی رباتهایی رو میگیره که خودشون رو جای گوگل جا میزنن. به نظرم نیازی نیست فعالش کنی، چون ممکنه روی خزندههای مفید تأثیر بذاره.
- Block Empty HTTP Headers: درخواستهایی که اطلاعات لازم مثل user-agent یا referrer ندارن رو بلاک میکنه. این یکی خوبه، فعالش کن چون خیلی وقتها حملات از همین درخواستهای خالی میان.
- Blacklist: اگه آیپی خاصی هست که مدام حمله میکنه یا اسپم میفرسته، میتونی اینجا واردش کنی تا برای همیشه بلاک بشه.
- Disable WP REST API: اگه اپ موبایل نداری، بهتره این گزینه رو فعال کنی تا REST API فقط برای کاربران واردشده و با رمز عبور قابل دسترس باشه. اینم یه لایه امنیتی دیگهست.
یه دکمه به اسم Setup Firewall هست. اونو بزن تا افزونه فایروال رو به صورت کامل روی سایتت ستاپ کنه. با این کار، همه قوانین فعال میشن و سایتت در برابر بیشتر حملات وب محافظت میشه.

پیشنهاد من اینه که همه گزینهها رو فعال کن و بعد از تست، اگه دیدی چیزی روی سایتت درست کار نمیکنه، یکییکی غیرفعالش کن تا به تعادل برسی. فایروال این افزونه هم سبکه، هم کاربردی، و میتونه امنیت وردپرس رو چند پله بالا ببره بدون اینکه سرعت سایت بیاد پایین.
در کل دیوارهٔ آتش افزونه یه لایه خیلی قوی برای محافظت سایت شماست و وقتی با بروزرسانیها و بکاپهای منظم ترکیب بشه، میتونه جلوی خیلی از حملات رایج اینترنتی رو بگیره.
جلوگیری از حملات Brute Force در وردپرس
Brute Force همون چیزیِ که همیشه ته ذهنمون باید باشه: یه ربات یا آدمِ بد مدام میاد یوزرنیم و پسوردهای مختلف رو امتحان میکنه تا بلاخره یکی جواب بده. ساده که بنویسم، وقتی این اتفاق بیفته سرور شما درگیر میشه، حسابها به خطر میافتن و احتمال هک بالا میره. برای مقابله با این روش چند تا کار پایهای و مؤثر داریم که اول از همه باید انجام بدی تا از ورود اجباری مهاجمها جلوگیری کنی.
تغییرنام برگه ورود
اول از همه آدرس صفحهٔ ورودت رو عوض کن؛ یعنی بهجای /wp-login.php
یه آدرس اختصاصی بذار. این کار خیلی ساده ولی مؤثره چون اکثر باتها و اسکریپتها دنبال آدرس پیشفرض میگردن. اگه پلاگینهایی مثل میهنپنل رو داری که این کار رو خودشون انجام میدن، نیازی به فعالکردن دوباره این گزینه توی All In One WP Security نداری.

جلوگیری از بروتفورس بر اساس کوکی
گزینهٔ جلوگیری از بروتفورس بر اساس کوکی یکم پیچیدهست: افزونه یک مقدار محرمانه توی کوکی ذخیره میکنه و از اون برای اعتبارسنجی استفاده میکنه، اما این روش گاهی باعث تداخل میشه و من معمولاً پیشنهاد نمیکنم مگر اگر دقیقاً بدونی چی داری انجام میدی.

تنظیمات کپچا
کپچا یکی از بهترین راههای سادهست؛ کپچا باعث میشه رباتها نتونن فرم لاگین رو خودکار ارسال کنن. پیشنهاد میکنم کپچا رو فعال کنی و از حالتهای ساده و کمدردسر استفاده کنی، (مثلاً Simple Math یا reCAPTCHA) تا تجربهٔ کاربری خراب نشه اما امنیت بالا بره.

لیست سفید ورود
لیست سفید ورود هم داشته باش؛ آیپیهای ثابت خودت یا تیمت رو بذار داخل whitelist تا اگر سیستم یه روز اشتباهی شما رو بلاک کرد، همیشه بتونی وارد شی. همینطور اگه دیدی یه آیپی خاص مدام تلاش میکنه، خیلی راحت از همون بخش بلاکش کن.

تشخیص خطای ۴۰۴
الزامی که باید بدونی اینه که قابلیت تشخیص حملهٔ 404 یا flood هم خیلی مفیده. وقتی یه ربات با زدن آدرسهای تصادفی سرور رو درگیر میکنه، این گزینه میتونه اون آیپی رو برای مثلاً ۶۰ دقیقه بلاک کنه تا منابعت آزاد بشه.

هانیپات
هانیپات هم کار جالبی میکنه؛ یه فیلد مخفی به فرم ورود اضافه میکنه که کاربر عادی نمیبینه، ولی رباتهایی که فرمها رو خودکار پر میکنن حتماً اون فیلد رو پر میکنن و بهاینترتیب فوراً قابل تشخیص و بلاک هستن. هانیپات رو حتماً فعال کن چون تقریباً بدون مزاحمت برای کاربر واقعی، خیلی از باتها رو میگیره.

یه نکتهٔ مدیریتی هم هست، تنظیمات فایروال و محدودیت لاگین رو با هم ترکیب کن؛ محدود کردن تعداد تلاشها، قفل موقتی برای آیپیها و کپچا در کنار هانیپات خیلی قوی عمل میکنن. اگر دیدی بعد از فعالسازی یه بخش خاصی از سایت یا اپ موبایلت مشکل پیدا کرد، بهصورت گامبهگام اون گزینهها رو خاموش کن تا بفهمی کدومش باعث تداخل شده. در نهایت لاگها رو نگاه کن و امتیاز امنیت داشبورد رو بررسی کن تا ببینی تغییرات چه تأثیری داشتن؛ عدد گراف یا درصد مهمه ولی اینکه سایتت واقعی امن بمونه مهمتره.
جلوگیری از اسپم در وردپرس
یکی از دردسرهای همیشگی هر سایتی، کامنتهای اسپم هستن! همون پیامهای تبلیغاتی و بیربطی که زیر پستها پر میشن از لینک و متن بیفایده. توی افزونه All In One WP Security یه بخش مخصوص برای همین موضوع هست که واقعاً عالی کار میکنه و باعث میشه دیگه نیازی به پلاگینهایی مثل Akismet نداشته باشی.
Comment spam
کافیه وارد قسمت جلوگیری از اسپم (Spam Prevention) بشی و تیک مربوط به فعالسازی رو بزنی. این گزینه باعث میشه وقتی کسی میخواد توی سایتت کامنت بذاره، سیستم هوشمندانه بررسی کنه که آیا اون کامنت از یه کاربر واقعیه یا یه ربات اسپمر. با فعال شدنش، بیشتر اون کامنتهای خودکار و تبلیغاتی بهطور کامل بلاک میشن و حتی به لیست انتظار نمیرن.

نظارت بر آی پی دیدگاههای جفنگ
یه گزینه دیگه هم هست به اسم نظارت بر آیپی دیدگاههای جفنگ که میتونه آیپیهایی که قبلاً اسپم ارسال کردن رو شناسایی و مسدود کنه. این مورد اختیاریه، ولی اگه بخش دیدگاههای سایتت خیلی فعاله، پیشنهاد میکنم اونم روشن بذاری تا خیالت راحتتر باشه.

در کل با همین تنظیم ساده، دیگه لازم نیست دنبال نصب پلاگینهای جدا برای اسپم باشی. افزونه خودش کارش رو عالی انجام میده، فقط بعد از فعالسازی حتماً دکمهٔ ذخیره تنظیمات رو بزن تا همهچیز اعمال بشه. بعد از اون، هر وقت رفتی سراغ بخش دیدگاهها، میبینی چقدر فضای اونجا تمیزتر شده و دیگه از اون کامنتهای تبلیغاتی خبری نیست!
اسکن فایلها و بدافزارها
یکی از قابلیتهای پلاگین امنیتی، بخش اسکن فایلها و بدافزارها است. این قسمت هر چند روز یکبار کل فایلهای سایت رو بررسی میکنه و اگه تغییری در پوشهها یا فایلها ایجاد شده باشه بهتون اطلاع میده. اما واقعیتش اینه که برای اکثر سایتها نیازی نیست این قابلیت رو فعال کنید. چون ما مرتب وردپرس، قالبها و پلاگینهامون رو آپدیت میکنیم و همین باعث میشه اسکنها مدام هشدار بدن و شما هم سردرگم بشید که کدوم تغییر عادیه و کدوم مشکوک.

اسکن بدافزار
از طرفی بخش اسکن بدافزار معمولاً کارایی بالایی نداره و ممکنه حتی باعث سنگینی سایت هم بشه. پس پیشنهاد من اینه که این قسمت رو غیرفعال نگه دارید، چون تأثیر خاصی روی امنیت واقعی سایت نداره و فقط باعث مصرف منابع و هشدارهای بیمورد میشه.

ابزارها
بخش ابزارها توی این افزونه یه سری امکانات کاربردی و جالب داره که بیشتر جنبه آموزشی و بررسی امنیتی دارن تا تغییر مستقیم توی سایت.
ابزار گذرواژه
یکی از گزینههاش، بررسی قدرت رمز عبورهست. این ابزار بهتون میگه رمزی که وارد کردین چقدر قویه و برای یه کامپیوتر معمولی چقدر طول میکشه تا بتونه اون رمز رو حدس بزنه. مثلاً اگه رمزتون «123456» باشه، کمتر از یه ثانیه میتونه تشخیصش بده! پس میفهمیم باید از رمزهای پیچیدهتر استفاده کنیم.

جستجوی WHOIS
یه ابزار دیگه هم داره به اسم جستجوی WHOIS. با این ابزار میتونید یه آیپی آدرس رو وارد کنید تا اطلاعات صاحب اون آیپی براتون بیاد، مثلاً از کجا اومده، به چه شبکهای تعلق داره و حتی موقعیت جغرافیایی تقریبی اون. این ابزار زمانی به کار میاد که مثلاً یه نفر روی سایتتون حمله کرده باشه یا اتک ارسال کرده باشه و بخواین ببینین از کجا بوده. البته توصیه میکنم بههیچوجه دنبال مقابله یا حمله متقابل نباشید، چون این کار غیرقانونیه.

همین چند وقت پیش هم یه خبر جالب منتشر شد: یه کاربر بدون اجازه به سایت «دیوار» حمله کرده بود و باعث کلی آگهی تکراری و اختلال توی سیستمشون شده بود. در نهایت هم دادگاه اون شخص رو به پرداخت ۱۸ میلیارد ریال جریمه محکوم کرد. این نشون میده که قانون داره جدیتر با حملات سایبری برخورد میکنه و بدون اجازه، حتی یه تست ساده امنیتی روی سایت دیگران هم میتونه دردسرساز بشه.
سفارشی سازی قوانین .htaccess
در این بخش همچنین یه قسمت داریم به نام سفارشیسازی قوانین htaccess که میتونید باهاش تنظیمات خاص امنیتی برای سایتتون بنویسید، مثل قفل کردن دسترسی به فایلها یا محدود کردن آیپیها.

قفل کردن بازدید
یه گزینه هم هست به اسم قفل کردن بازدید سایت که بهصورت موقت میتونه کل سایت رو ببنده، ولی فعلاً نیازی به استفاده ازش نیست.

احراز هویت دو عاملی
احراز هویت دو عاملی یا همون 2FA عملاً یه لایهٔ امنیتی اضافهست که جلوی ورودِ کسی رو میگیره حتی اگر یوزرنیم و رمزتون لو رفته باشه؛ یعنی از این به بعد دیگه فقط داشتن رمز کافی نیست و برای ورود باید یه کد موقتی هم داشته باشی که معمولاً با اپلیکیشنهایی مثل Google Authenticator یا Authy تولید میشه.

وقتی این قابلیت رو فعال میکنی، افزونه All In One WP Security یه کد QR بهت میده که با اپلیکیشن گوشی اسکنش میکنی و بعد از اون هر بار که میخوای لاگین کنی، علاوه بر یوزر و پسورد باید اون کدی که اپلیکیشن تولید کرده رو هم وارد کنی؛ این کد هر چند ثانیه تغییر میکنه و به سختی قابل جعل یا فشینگ هست، بنابراین حتی اگه هکر رمز شما رو داشته باشه بدون دسترسی به گوشی شما کاری از پیش نمیبره.
برای فعالسازی کار خیلی سادهست: وارد بخش احراز هویت دو عاملی افزونه شو، گزینهٔ فعال کردن رو بزن، کد QR رو با Google Authenticator یا هر اپ TOTP دیگهای اسکن کن و بعد گزینهٔ فعالسازی رو کلیک کن. بعد از فعال کردن، حتماً Recovery Code یا کدهای پشتیبان رو یادداشت و در جای امن نگه دار، چون اگه گوشیت رو گم کنی یا اپلیکیشن پاک بشه، بدون این کدها دیگه نمیتونی وارد بشی.
یک نکتهٔ مهم دیگه اینکه بهتره احراز هویت دو عاملی رو اول برای حسابهای مدیر (Administrator) فعال کنی و بعد برای بقیهٔ کاربران؛ فعالکردن اجباری 2FA برای همه ممکنه تجربهٔ کاربری رو سخت کنه مخصوصاً برای کاربرانی که آشنایی فنی ندارن، پس اول تست کن و بعد به تدریج اجرا کن. اگر سایتت از سیستمهایی مثل میهنپنل استفاده میکنه، قبل از فعالسازی بررسی کن چون بعضی پنلها این قابلیت رو داخلی دارن و فعالکردن همزمان ممکنه تداخل ایجاد کنه؛ در این حالت یکی از دو روش رو انتخاب کن تا به هم نزنن.
در عمل 2FA یک حرکت امنیتی کمهزینه ولی بسیار مؤثره؛ بهخصوص برای حسابهای حساس مثل مدیر اصلی یا حسابهای مالی و اداری. یادت باشه بعد از فعالسازی، یک بار لاگین تست بزن از یک دستگاه دیگه و مطمئن شو همه چیز درست کار میکنه، و اگر تیمی هستید حتماً به اعضا آموزش بدی که چطور اپلیکیشن احراز هویت نصب کنن و کدهای پشتیبان رو ذخیره کنن تا در موقع اضطراری سایت قفل نشه.
تداخل تنظیمات امنیتی
یه چیزی که باید حتماً بدونی و خیلیا هم رعایتش نمیکنن اینه که تنظیمات امنیتی، مخصوصاً توی افزونههایی مثل All In One WP Security، درست مثل پلاگینهای کش (مثلاً LiteSpeed Cache یا WP Rocket) میتونه با بقیهٔ بخشهای سایتت تداخل پیدا کنه. یعنی ممکنه شما یه گزینه رو با نیت تقویت امنیت فعال کنی، ولی یه جای دیگه از سایت از کار بیفته، فرمها درست لود نشن یا بعضی درخواستها بلاک بشن. این کاملاً طبیعیه و اصلاً نشونهٔ بدی نیست.
مهمترین کاری که باید انجام بدی اینه که با حوصله و مرحله به مرحله تنظیمات رو فعال کنی. هر بار یه بخش یا یه گزینه رو فعال کن، سایت رو تست کن و مطمئن شو که همه چیز درست کار میکنه. اگه یه جا دیدی مثلاً فرم لاگین کار نمیکنه، یا افزونهٔ خاصی از کار افتاد، یا اپ موبایل به API وصل نشد، سریع نرو کل پلاگین رو پاک کنی! فقط کافیه موقتاً افزونه رو غیرفعال کنی و ببینی مشکل حل میشه یا نه. اگه حل شد، یعنی منشأ مشکل همین افزونهست. بعدش دوباره افزونه رو فعال کن و یکییکی تنظیماتش رو خاموش کن تا بفهمی دقیقاً کدوم گزینه باعث اختلال شده.
بیشتر وقتا اگه مشکلی پیش بیاد، از بخش فایروال (Firewall) هست، چون اون قسمت دسترسیها و درخواستهای سایت رو کنترل میکنه. مثلاً ممکنه یه درخواست API اشتباه تشخیص داده بشه و جلوی کار یه افزونه گرفته بشه. اما نکته اینجاست که این اتفاق همیشه نمیافته و در خیلی از سایتها همه چیز بدون مشکل کار میکنه. پس نه باید از فعال کردن تنظیمات بترسی، نه باید یههو همه رو خاموش کنی.
در واقع، امنیت وردپرس مثل تنظیم سیستم دفاعی یه خونهست؛ باید طوری تنظیمش کنی که هم جلوی دزد رو بگیره، هم خودت بتونی راحت در خونه رو باز و بسته کنی. پس با آرامش جلو برو، هر بار تست بزن، و یادت باشه هر مشکلی هم که پیش بیاد، «بدون خون و خونریزی» قابل حل شدنه. فقط کافیه بری از منوی تنظیمات → تنظیمات کلی (General Settings) توی داشبورد وردپرس، اونجا میتونی همهٔ ویژگیها رو موقتاً از کار بندازی و سایت رو به حالت عادی برگردونی.
همیشه یادت باشه که امنیت یه فراینده، نه یه دکمه. با صبر، آزمون و خطا و بررسی مرحلهای، هم امنیت بالا میره، هم سایتت پایدار و سریع باقی میمونه.
جمع بندی
در آخر یه نکته خیلی مهم میخوام بگم؛ حتماً هوشینا و چتینا رو توی میهن وردپرس دنبال کنین. این دوتا ابزار جدید قراره یه دگرگونی واقعی توی مدیریت سایتهاتون ایجاد کنن. ما داریم هر روز روشون کار میکنیم و امکاناتی اضافه میکنیم که واقعاً کار شما رو راحتتر کنه، از تولید محتوا گرفته تا پشتیبانی و فروش.
خود من بهجرئت میتونم بگم که این ابزارها حدود ۷۰ تا ۸۰ درصد زمان روزم رو ذخیره کردن و باعث شدن خیلی از هزینههایی که قبلاً برای تولید محتوا یا مدیریت سایت میدادم، حذف بشه. پس اگر دنبال اینی که مدیریت سایتت آسونتر، سریعتر و هوشمندتر بشه، حتماً پیگیر هوشینا و چتینا باش. هر دوشون از منوی سمت راست توی پیشخوان وردپرس میهن وردپرس در دسترسن.
در نهایت امیدوارم این آموزش بهت کمک کرده باشه تا سایتت رو یه مرحله امنتر کنی و با خیال راحتتر پیش بری.
شاد، موفق و سربلند باشی 🌱✨
برای من هیچ کدوم از اون گزینه های select all و delet رو نمیاره ولی بازم نمیتونم وارد پنل بشم
متوجه نشدم
ممنون بابت این قلب بزرگتون ❤️
سپاس از شما
گزینه salt رو فعال کردم و حالا پنلم باز نمیشه
پسوردم رو هم با دیتابیس ریست کردم باز نشد
چجوری این گزینه رو از افزونه غیر فعال کنم
سلام تمام تنظیمات را طبق گفته شما انجام دادم اما الان برای ویرایش صحفه هام با المنتور به صحفه 404 میخورم چرا؟ لطفا راهنمایی کنید
لطفاً بررسی کنید که آیا افزونههای دیگر با المنتور تداخل دارند یا خیر. همچنین، کش مرورگر و سایت را پاک کنید. اگر مشکل ادامه داشت، ممکن است نیاز به بررسی تنظیمات سرور باشد.
سلام استاد یه مشکلی دارم من وقتی این افزونه امنیت رو نصب میکنم و تنظیماتش رو اینجوری که شما گفتید تنظیم میکنم دیگه لینک های فارسی سایتم از جمله صفحات محصول و… باز نمیشه و قتی که لینک رو به انگلیسی تغییر میدم صفحه باز میشه نمیدونم مشکل از چیه میشه راهنمایی کنید
فوق العاده عمل کردید.
سپاس
سلام وقتتون بخیر ممنون از توجه شما
سلام واقعا عالی هستید ممنون بابت اموزش های عالی تون
مرسی از توجه و محبت شما
سلام خسته نباشید دوستان
من فهمیدم مشکل کجاست ، منم همین مشکل رو داشتم که وقتی طبق ویدیو تنضیمات رو انجام میدیم دیگه وارد سایت نمیشه
اول از همه ما میاییم قابلیت کیک کردن کاربر بعد 60 دقیقه رو فعال میکنیم و یه آدرس جدید لوگین میدیم اول /wp-admin بوده میزاریم روی wp-login
بعد 60 دقیقه طبق تنظیمات خودمون میاییم بیرون و وقتی میخواییم لوگین کنیم آدرس قبلی رو میزنیم که خوب ما خودمون عوضش کردیم
شما باید بعد از این تنضیمات با سرچ اون لوگین جدیدی که وارد کردید وارد بشید ، امیدوام مشکل حل شده باشه
سلام خسته نباشید
همه ی مراحلی که گفتین تو ویدئو رو انجام دادم ولی آخر ویدئو اجازه دسترسی به سایت رو بست
پلاگین رو حذف کردم از روی هاست و درست شد دسترسی ها و از روی دیتابیس هم پاک کردم all in one رو ولی همچنان موقع نصب مجدد ارور دسترسی داده میشه باز هم و نمیتونم لاگین شم
ممنون میشم راهنمایی کنید
سلام
طبق تجربه فهمیدم که دوتا قسمت توی این پلاگین باید غیر فعال باشه حتما تا
برای سایت مشکلی پیش نیاد:
هردو توی منوی اول قسمت فایروال هستن:
1- بستن دسترسی کامل به xmlrpc باید غیر فعال باشه
2- فعال کردن فیلتر پیشرفته رشته های کاراکتری باید غیر فعال باشه.
البته اگر از کاربرد xmlrpc استفاده نمی کنید.
اشتباه نوشتم
اگر از xmlrpc استفاده میکنید مثلا برای جت پک
غیر فعال باشه
اگر استفاده نمکنید حتما توقسمت فایروال افزونه، ببندینش چون ایراد امنیتی مهمی حساب میشه
واقعا افزونه مزخرفیه!
سلام، برای err 403 باید دو تا از گزینه های fir wall غیر فعال کنید.
php Rules / URL security
php Rules / String filtering
سایته من درست شد با غیر فعال کردن این دو تا.
لطفا ویدیو آموزشی این مقاله رو آپدیت کنید پلاگین all in one wp security تغییر کرده
سلام بخدا این افزونه مشکل داره یکی دیگه معرفی کنید وقتی نصب میکنی و تنظیمات انجم میدی دیگه نمیشه وارد سایت شد و هزار مشکل دیگه . فقط من نمیگم که 90 درصد کامنت ها با این افزونه مشکل دارن شاید یه نفر مشکل نداشته باش دلیل نمیشه که همه خرابن فقط اون یه نفر درست و افزونه بدون ایراد لطفا یا بروز کنید این اموزش یا باگ هارو رفع کنید . این همه اموزش خوب میزارید حیفه این یدونه
سلام
خیلی ممنون بخاطر دراختیار گذاشتن این مقاله پربار
دوستانی که با انجام تنظیمات به ارور 403 برخورد میکنن، باید از قسمت دیوارآتش -> php rules -> گزینه “فیلتر پیشرفته رشتههای کارکتری” رو غیر فعال کنن تا مشکل برطرف بشه.
سلام
این گزینه خاموش هست ولی پشتیبان ترب نمیتونه وارد بشه و میگه : هنگام ارسال درخواست به پلاگین ترب در وبسایت شما با ارور ۴۰۳ مواجه میشویم. لطفا بررسی کنید رنج آیپی ترب سفید باشد و کلی مشکل دیگه به نظرم این ویدیو باید یکم دقیق تر بررسی میکرد تمام گزینه های این افزونه رو تا الان تمام مشکلات من زیر سر همین امنیت بوده
سلام وقت بخیر …. ممنون بابت ویدیوهای خیلی خوبتون، امکانش هست یه آپدیت روی این ویدیو داشته باشید؟ الان تیر ماه 1403 هست و بسیاری از آپشن های یان افزونه تغییر کرده ، اگر امکانش هست طبق نسخه جدید آموزش رو مجددا ضبط کنید.
با تشکر
سلام وقت بخیر
بعد فعال کردن و مطابق ویدیو تنظیمات رو لحاظ کردم ولی بعضی از لینک محصولاتم خطای 404 میده برای رفع این مشکل باید چیکار کنم؟؟
سلام وقت بخیر
ممنون از همکاری شما
من از وقتی که این افزونه رو نصب کردم و تنظیماتش رو انجام دادم دیگه سایتم و پنل وردپرسم بالا نمیاد و این ارور رو میده :
You do not have permission to access this page. Please log in and try again.
لطف می کنیدا گر راهنمایی کنید.
سلام روز بخیر
من این افزونه رو نصب کردم تا چند وقت اوکی بود ولی الان دیگه موقع ورود به وردپرس با وارد کردن رمز دومرحله ای بهم خطا میده از هاست این افزونه رو پاک کردم ولی مجدد نصب کردم باز این اختلال رو داره ، چطوری تنظیماتش رو از دیتابیس پاک کنم دوباره از اول نصب کنم ؟ اسم این افزونه رو داخل php پیدا نمیکنم
سلام جناب راد، من ۱ ماهه مشغول ساخت سایتمم و از یوتیوب شمارو پیدا کردم، میخاستم وقتی تمام و کمال تموم شد سایتم ازتون تشکر کنم ولی بعد از دیدن این صفحه مجاب شدم همین الان حس خوب و قدردانیمو با شما و تیمتون در میون بزارم. من هنر خوندم و اصلا دانشی از کامپیوتر ندارم اما الان یک سایت پروفشنال دارم که مدیون شمام🥲🥲
واقعا نمیدونم چجوری ازتون تشکر کنم فقط شمارو به تمام دوستانم معرفی کردم و سابسکرایبرتون شدن. بی نهاااایت ممنونم از زحمتتون و توضیحات دقیق و جامع.
بااینکه ویدیو برای الان قدیمیه ولی تمام نکات رو ریز به ریز گقتین فقط الان جای قرار گیری اپشنها کمی تغییر کرده بود وگرنه اموزش شما جامع و کامل بود
خدا نگهدارتون باشه در همه ی امور
سلام. وقتتون بخیر.
من از این افزونه استفاده می کنم ولی با اینکه گزینه های پرداخت مهمان تو ووکامرس رو فعال کردم ، باز هنگام خرید کاربر مهمان ، ارور میده و کاربر نمی تونه هزینه محصول رو پرداخت کنه. این مشکل با غیر فعال کردن این افزونه حل شد و تداخل داشت . ولی گفتم از افزونه استفاده کنم و شاید گزینه ای رو غیرفعال کنم درست بشه.چیکار کنم ؟ ممنون میشم راهنماییم کنید. باتشکر از وبسایت خوبتون.
سلام وقتتون بخیر
تموم تنظیماتی که گفتین رو انجام دادم ولی ویرایش با المنتور برای برگه ها برام باز نمیشه و خطا میده. با غیرفعال کردن افزونه درست میشه.
مشکل از کدوم بخش و تنظیماته؟
درود
همه آموزش ها بی شک یکی از بهترین و کاربردی ترین برنامه های آموزشی بو د که تا حالا دیدم
خدا قوت و سپاسگزارم
سلام ممنونم از اموزش خوب تون، ولی خدایی اموزش بروز کنید افزونه تغییراتی داشته
سلام مجدد ، با اموزش شما جلو میرم یه سری چیزها جا به جا شده تنظیمات که انجام میدم هر چند وقت یک بار میگه دسترسی به toneka-group.irرد شد، لطفا کمکم کنید، نمیذاره وارد پنل بشم
وقتتون بخیر
من گزینه salt فعال کردم و الان بهم میخوام وارد صفحه پیشخوان بشم ۴۰۳ میده حالا با پشتیبانی هاست مشکل حل شد اما الان مجدد فعالش میونم افزونه رو مجدد خطای ۴۰۳ میده؟
سلام ، برای من هم همینطوره، شما حلش کردین؟
سلام لطفا اگه فهمیدین به من هم اطلاع بدین خیلی ممنونم
سلام من الان افزونه رو نصب کردم تاریخ۱۴۰۳/۲/۱۳خیلی از قسمت های افزونه تغییراتی پیدا کرده و خیلی قسمت ها رو نداره.اون چیزایی ک داخل افزونه بود رو طبق آموزش انجام دادم بازم مچکرم از تیم شما🌸😇
شما عالی هستین نمیدونید چقدر نیاز داشتم به این آموزش ها واقعا دمتون گرم
سلام خسته نباشید
توی تنظیمات بورت فورث زمانی که قابلیت تغییر آدرس ورود به وبسایت رو فعال میکنم کاربرا برای وارد شدن به پنل کاربری مشکل پیدا میکنن و ارور redirected you too many times رو برای ورود به پنل کاربری میده
سلام ببخشید
من وقتی افزونه رو نصب میکنم نمی تونم وارد پنل کاربری بشم چون به یک آدرس آیپی هدایت می کنتم
یه سوال خیلی مهم و تخصصی از آقای راد
آیا با استفاده همزمان All In One WP Security و افزونه Wordfence موافقید؟
بنظرتون مشکلی پیش نمیاد؟
سلام و درود ، وقت بخیر ، آیا این افزونه توی تنظیماتش بخشی داره که نوار پیشخوان وردپرس رو به مشتری ها نشون نده !؟
من سایتم نوار پیشخوان وردپرس رو به مشتری وارد شده به سایت نمایش میده !
یا افزونه دیگه ای باید نصب کنم ؟
ممنون میشم راهنماییم کنین
سلام بله افزونه میهن پنل نصب کنید حل میشه.
سلام و درود این افزونه رو نصب میکنم انگلیسی روی سایتم نصب میشه و چند بار تستش کردم از وردپرس فارسی هم جدا دانلود کردم باز فارسی نمیشه ! چه جوری فارسیش کنم اصن میشه آیا ؟
سلام از بخش بروزرسانی ها باید ترجمه رو بروزرسانی کنید.
سلام استاد عزیز
اول تشکر میکنم بابت اینکه کمکم کردید بتونم سایت ام رو بسازم . و در باره این آموزش خیلی خوب داشتم پیش می رفتم و تنظیمات افزونه رو همون طور که شما عرض کردید تنظیم میکردم که یکهو از سایت به کل پرت شدم بیرون و با خطای 403 رو به شدم و با کلی اعصاب خوردی و تیکت زدن بلاخره سایتم بالا اومد . من الان این افزونه رو حذف کردم و می خواهم دوباره نصب اش کنم لطفا راهنمایی ام کنید کدوم بخش و گزینه رو فعال نکنم تا دوباره اتفاق نا خوشایند نیفته؟
سلام سپاس از شما. بستگی به سایت شما داره باید ببینید سری قبل با کدوم گزینه این خطا رخ داده
دوباره یک موردی دیگه ای پیش اومد من اومدم دوباره این افزونه رو فعال کنم و به محض فعال کردنش دوباره سایتم خراب شدو خطای 403 داد . الان مشکل کارم از کجاست؟
تو سایت سرچ کنید خطای ۴۰۳ آموزشش میاد
سلام من با توجه به آموزش 403 و تغییر کد دسترسی ها هم نتونستم این مشکل رو حل کنم و فقط وقتی مشکل رفع میشه که خود پلاگین رو حذف یا اسمشو عوض کنیم ، و مشکل اصلی تر اینه که بعد از تنظیمات اول و پاک کردن پلاگین و رفع مشکل و وارد شدن به پیشخوان و نصب دوباره افزونه ، به محض نصبش خطای 403 میاد بالا ، یعنی حتی فرصت تغییر تنضیمات فایروال داده نمیشه تا اون گزینه ها رو خاموش روشن کرد ! الان چه میشه کرد ؟
درست نشد با دوتا مختلف امتحان کردم
سلام چه چیزی درست نشد؟
سلام استاد من افزونهall in one security رو نصب کردم اما صفحات سابتم 404 شده.فایر وال رو غیر فعال کردم درست نشد.چیکار کنم؟
سلام با ای پی دیگری تست کنید احتمالا درسته
سلام وقت بخیر
مشکلی با این افزونه دارم
تمام مراحل دقیق انجام دادم تنها مشکلی که دارم در پیشخوان مشتری زمانی که لینک ثبت نشانی میزنه صفحه باز نمیکنه و زمانی که این افزونه غیرفعال میکنم صفه ثبت نشانی با میشه مشکل چیه
سلام ثبت نشانی رو نمیدونم با چی اضافه کردین ولی ظاهرا افزونه ای که براش استفاده کردید با این افزونه تداخل داره
سلام استاد بزرگ….من بد از نصب این افزونه انجام مراحل.سایتم دچار مشکل شد و دسترسی به برگه های سبد خرید فروشگاه و وبلاگ ندارم
اگر میشه راه حل بگید ممنون
سلام مشکل از این افزونه نمیتونه باشه چون کاری با برگه های سبد خرید و تسویه حساب نداره
مال منم اینجوری شده وجدانن اموزش جدید بدید خیلی ها توی ارور 404 و 403 به شخص خودم مشکل دارم ، دسترسی به خیلی از محصولاتم و وبلاگم ندارم حتی مشتریهام ، ارور 403 میده
بهترین مقاله در مورد این افزونه رو خوندم
ممنون از استاد راد و همکارانشون
مرسی از توجهتون شاد و پیروز باشید
سلام طبق توضیحاتتون برا فعال سازی امنیت عمل کردم ولی وقتی خواستم ابزار های پلاگین امنیت را باز کنم من رو از سایت انداخت بیرون و حالا بعد ۱۶ ساعت خواستم وارد بشم ولی اخطار داد و چن بار سرچ کردم حالا دوباره ادرس سایتم رو نشون نمیده اصلا
چه کاری انجام بدم
سلام چه اخطاری بهتون میده
سلام. من در هر بار نصب و فعالسازی افزونه طبق دستورالعمل آموزش عمل میکنم و هربار پس از اتمام فعالسازی از سایت اخراج میشم و دسترسیم به پنل مدیریت قطع میشه. از طریق غیرفعالسازی افزونه توی هاست با تغییر نامش، میتونم وارد پنل مدیریتی خودم بشم. از اونجا افزونه رو حذف کردم و نصب مجدد کردم و بصورت دقیق طبق آموزه عمل کردم ولی باز هم اخراج شدم و اکسز دینای پیام میده، دوباره از طریق پنل هاست اقدام به غیرفعالسازی کردم و این داستان تکرار شد.
چکار کنم ؟
سلام یوزر شما توی افزونه بلاک شده باید از دیتابیس اول حذف کنید اطلاعاتش رو یا اینکه صبر کنید ۲۴ ساعت سپس دوباره نصب کنید.
پس از نصب پلاگین هر چند مدت با یک سری مشکل مواجه میشوم .در ابتدا ارور ۴۰۴ ظاهر مشد. بعدا توی سرچ کنسول صفحات محصول ارور سرور ۵xx . میداد .غیر فعال کردم درست شد . تنظیمات رو هم از روی فیلم انجام دادم . کجا را اشتباه کردم
این خطاها مربوط به این پلاگین نمیتونه باشه. دلیل هر کدوم رو توی سایت توضیح دادیم سرچ بفرمایید.
سلام خسته نباشین تو قسمت تنظیمات بیشتر قسمت salt رو که فعال کردم دیگه دسترسی به سایتم ندارم یعنی وردپرس سابتم بالا نمیاد هرکاری کردم با ایپی های متفاوت چیشده برای شماهم تو ام.زس اینجوری شد الان ۱روز شده چیکار باید بکنم
سلام با هاست در ارتباط باشید نباید بخاطر این تنظیمات باشه.
سلام استاد وقت به خیر
استاد خواهش میکنم تو سایت برتر بصدرت جامع تر در مورد این پلاگین توضیح بدین و عملی انجام بدین.
از کامنت ها استنباط میشه نصب این پلاگین در بخش هایی ممکنه مشکلاتی ایجاد کنه و در عین حال وجودش هم خیلی لازم و ارزشمنده لطفا واضح تر و عملی انجام بدین توی دوره.
ممنونم،ممنونم، ممنون
سلام قطعا آموزش میدیم صبر کنید.
سلام
آیا افزونه all in one security با افزونه really simple ssl تداخل ایجاد میکنه (چون یکسری تنظیمات امنیتی مشابه دارن) ؟ یا اینکه در کل به عنوان افزونه مهم نیاز هست really simple ssl در کنار all in one security نصب بشه؟
سلام خیر مشکلی نداره. بله اگر ssl سایت شما خطا داره نیازه نصب بشه اگر خیر نیازی نیست نصب کنید.
Access to clinic-sanatab.com was deniedYou don’t have authorization to view this page.
HTTP ERROR 403
این ارور میاد
سلام تمامی تنظیمات بخش فایروال رو غیرفعال و تست کنید.
سلام ممنون بابت پاسخگوییتون
قسمت قوانین اضافی فایروال رو غیر فعال کردم و مشکل رفع شد