آموزش افزونه All In One WP Security & Firewall


قبلا شما را با افزونه All in One WP Security آشنا کردیم. دیدیم که این افزونه در عین ساده بودن و بی‌دردسر بودن، امکانات فوق‌العاده‌ای در اختیار ما قرار می‌دهد تا بتوانیم سایت وردپرسی‌مان را از همیشه امن‌تر کنیم. حالا در این مقاله قصد داریم شما را با نحوه تنظیم کردن این افزونه و استفاده حداکثری از قابلیت‌های آن آشنا کنیم. پس بیایید آموزش افزونه All In One WP Security & Firewall را شروع کنیم.

تاریخ ضبط ویدیو: ۴ شهریور ۱۳۹۴

اگر بخوایم مقایسه کنیم، افزونه‌هایی مثل Wordfence هم گزینه‌های خوبی هستن، اما تجربه‌ی ما نشون داده که All In One WP Security عملکرد سبک‌تر و پایدارتری داره، بدون اینکه روی سرعت سایت تأثیر منفی بذاره. علاوه بر این، رابط کاربری واضح و بخش‌بندی دقیقش باعث میشه حتی افرادی که تازه با وردپرس کار می‌کنن هم بتونن به‌راحتی تنظیمات امنیتی سایتشون رو انجام بدن.

در این آموزش قراره گام‌به‌گام یاد بگیریم چطور این افزونه رو روی سایت نصب کنیم، بخش‌های مختلف تنظیماتش رو بررسی کنیم و ازش برای افزایش امنیت وردپرس استفاده کنیم. نسخه‌های جدید این پلاگین تغییراتی در ظاهر و منوها داشتن و به پیشنهاد کاربران، تصمیم گرفتیم آموزش رو به‌صورت به‌روز و دقیق منتشر کنیم تا شما هم بتونید از آخرین قابلیت‌هاش بهره ببرید. بریم سراغ نصب و راه‌اندازی All In One WP Security & Firewall تا قدم‌به‌قدم امنیت سایتتون رو به سطح بالاتری برسونیم.

آنچه در این مقاله می‌خوانید

نصب افزونه All In One WP Security & Firewall

برای شروع کار با افزونه All In One WP Security & Firewall، ابتدا باید اون رو روی سایتتون نصب کنید. این افزونه درست مثل بقیه افزونه‌های وردپرسی نصب میشه و هیچ پیچیدگی خاصی نداره. کافیه وارد پیشخوان وردپرس بشید، از منوی سمت راست روی گزینه «افزونه‌ها» کلیک کنید و بعد «افزودن» رو بزنید. حالا در قسمت جستجو، عبارت All In One WP Security یا فقط «security» رو تایپ کنید تا افزونه در نتایج براتون ظاهر بشه.

 افزونه All In One WP Security & Firewall
افزونه All In One WP Security & Firewall

اسم کامل این افزونه معمولاً به‌صورت All In One WP Security & Firewall نمایش داده میشه و آیکن آبی رنگی داره. بعد از اینکه پیداش کردید، روی دکمه‌ی «نصب» کلیک کنید و بعد از چند لحظه، گزینه‌ی «فعال‌سازی» رو بزنید تا افزونه روی سایت شما فعال بشه. به محض فعال شدن، گزینه‌ی جدیدی با عنوان امنیت وردپرس یا WP Security به منوی مدیریت وردپرس اضافه میشه که از طریق اون می‌تونید وارد تنظیمات اصلی افزونه بشید.

all in one wp security learn2
امنیت وردپرس در داشبورد وردپرس

این افزونه یکی از کارآمدترین ابزارهایی هست که می‌تونه امنیت سایت وردپرسی شما رو چندین برابر کنه. بعد از نصب، به‌صورت کاملاً خودکار شروع به بررسی تنظیمات امنیتی سایت می‌کنه و بخش‌هایی مثل امنیت صفحه ورود، محافظت از فایل‌های مهم وردپرس، امنیت حساب کاربری و دیتابیس رو پوشش میده. شما بدون نیاز به هیچ دانش فنی خاصی می‌تونید با چند کلیک ساده سطح امنیت سایتتون رو بالا ببرید.

اگر در نصب افزونه با خطایی مواجه شدید، جای نگرانی نیست؛ نصب افزونه در وردپرس همیشه از همین مسیر انجام میشه و در صورت نیاز می‌تونید از آموزش نصب افزونه در وردپرس کمک بگیرید. بعد از اینکه افزونه نصب و فعال شد، فقط کافیه روی گزینه‌ی «امنیت وردپرس» کلیک کنید تا وارد صفحه‌ی اصلی تنظیمات بشید و از اونجا قدم‌به‌قدم به سراغ بخش‌های مختلفش بریم.

آشنایی با داشبورد افزونه

بعد از اینکه مراحل نصب و راه‌اندازی سریع تموم شد، اولین بخشی که واردش می‌شید داشبورد (Dashboard) افزونه هست. این صفحه درواقع مرکز کنترل و دید کلی شما روی وضعیت امنیتی سایته. در نگاه اول شاید به‌نظر برسه که تنظیمات خاصی برای انجام دادن وجود نداره، اما همین بخش اطلاعات بسیار مهمی درباره امنیت فعلی سایتتون نمایش میده.

داشبورد افزونه
داشبورد افزونه

در صفحه داشبورد می‌تونید میزان امنیت کلی سایت رو به‌صورت عددی و گرافیکی ببینید. افزونه بر اساس گزینه‌هایی که فعال یا غیرفعال کردید، به سایت شما امتیاز امنیتی میده. هرچقدر این امتیاز بالاتر باشه، یعنی سایتتون از لحاظ تنظیمات امنیتی در وضعیت بهتری قرار داره.

همچنین در همین بخش، خلاصه‌ای از بخش‌های مهم افزونه مثل فایروال، تنظیمات ورود، حفاظت از فایل‌ها، و پایگاه داده نمایش داده میشه تا بتونید با یک نگاه متوجه بشید کدوم قسمت‌ها فعال هستن و کدوم هنوز نیاز به تنظیم دارن. مثلاً اگر گزینه‌ای غیرفعال باشه، در این صفحه به‌صورت هشدار مشخص میشه تا سریع‌تر اون رو بررسی و فعال کنید.

به‌طور کلی، داشبورد افزونه All In One WP Security بیشتر جنبه‌ی نمایش وضعیت و نظارت داره، نه تنظیمات. یعنی در این بخش لازم نیست چیزی تغییر بدید، فقط می‌تونید عملکرد بخش‌های مختلف افزونه رو ببینید و تصمیم بگیرید در ادامه روی کدوم قسمت‌ها تمرکز بیشتری داشته باشید.

اگر سایتتون تازه راه‌اندازی شده یا هنوز همه‌ی قابلیت‌های امنیتی رو فعال نکردید، پیشنهاد میشه از همین صفحه، لینک‌های سریع به بخش‌های مختلف مثل User Accounts، Login Security، و Firewall رو دنبال کنید تا قدم‌به‌قدم امنیت سایتتون کامل‌تر بشه.

بخش تنظیمات افزونه

بعد از داشبورد، نوبت به بخش تنظیمات (Settings) می‌رسه. این قسمت یکی از مهم‌ترین بخش‌های افزونه است چون از اینجا می‌تونید کنترل کلی روی فایل‌ها و ساختار امنیتی وردپرس داشته باشید. بیشتر تغییرات اصلی افزونه از همین بخش انجام میشه، اما خوشبختانه محیطش کاملاً ساده و قابل‌فهم طراحی شده تا کاربران تازه‌کار هم بدون نگرانی بتونن ازش استفاده کنن.

فایل .htaccess

در اولین تب تنظیمات، با گزینه‌ی مربوط به فایل .htaccess روبه‌رو می‌شید. این فایل یکی از حساس‌ترین فایل‌های وردپرسه چون وظیفه‌ی کنترل سطح دسترسی به بخش‌های مختلف سایت رو داره. هر تغییری در این فایل می‌تونه روی امنیت و عملکرد سایت تأثیر بذاره، به همین خاطر افزونه All In One WP Security اینجا به شما امکان میده از فایل htaccess نسخه‌ی پشتیبان (Backup) بگیرید یا در صورت نیاز اون رو بازیابی (Restore) کنید.

فایل .htaccess
فایل .htaccess

در واقع، این افزونه هیچ تغییری خودکار روی این فایل اعمال نمی‌کنه مگر اینکه شما شخصاً تنظیمی رو فعال کنید که مستقیماً به فایل htaccess مربوط بشه. بنابراین اگر به‌تازگی افزونه رو نصب کردید، بهترین کار اینه که همین ابتدا یک نسخه پشتیبان از فایل htaccess تهیه کنید تا اگر بعداً تغییری باعث خطا در سایت شد، بتونید خیلی سریع اون رو به حالت اولیه برگردونید.

به‌صورت خلاصه، در این بخش کاری نیاز نیست انجام بدید جز گرفتن بکاپ از فایل و اطمینان از اینکه تنظیمات اولیه درست ذخیره شدن. این کار ساده اما بسیار مهمه، چون فایل htaccess مثل قفل درِ ورودی سایت شماست و اگر درست ازش محافظت نکنید، ممکنه باعث بروز مشکلات امنیتی یا حتی خطا در بارگذاری سایت بشه.

پشتیبان‌گیری از فایل wp-config در تنظیمات افزونه

در ادامه‌ی بخش تنظیمات، به قسمت مربوط به فایل wp-config.php می‌رسیم. این فایل یکی از مهم‌ترین و حیاتی‌ترین فایل‌های وردپرسه، چون اطلاعات اصلی سایت از جمله مشخصات پایگاه داده (Database)، کلیدهای امنیتی، و تنظیمات پایه در اون ذخیره میشه.

پشتیبان‌گیری از فایل wp-config در تنظیمات افزونه
پشتیبان‌گیری از فایل wp-config در تنظیمات افزونه

افزونه All In One WP Security در این قسمت گزینه‌ای برای گرفتن نسخه‌ی پشتیبان از فایل wp-config در اختیارتون می‌ذاره. با یک کلیک می‌تونید از این فایل بکاپ بگیرید تا اگر به هر دلیلی در آینده تغییری در اون ایجاد شد یا سایت با خطایی مواجه شد، بتونید نسخه‌ی سالم قبلی رو برگردونید.

با این حال، از اونجایی که معمولاً بیشتر مدیران سایت‌ها به‌صورت منظم از کل سایت خودشون (شامل تمام فایل‌ها و دیتابیس) بکاپ می‌گیرن، نیازی نیست حتماً از این گزینه جداگانه استفاده کنید. این قابلیت بیشتر برای مواقعیه که بخواید به‌سرعت فقط از فایل‌های اصلی وردپرس نسخه‌ی پشتیبان بگیرید بدون اینکه بخواید کل سایت رو دانلود کنید.

پس اگر سیستم پشتیبان‌گیری منظم دارید (چه از طریق هاست، چه با افزونه‌هایی مثل UpdraftPlus یا Duplicator)، نیازی نیست وقتتون رو صرف این گزینه کنید. اما اگه هنوز سیستم بکاپ خودکار ندارید، پیشنهاد میشه حداقل از همین بخش یه نسخه پشتیبان از فایل wp-config بگیرید تا در مواقع اضطراری بتونید سایت رو سریع‌تر بازیابی کنید.

حذف تنظیمات افزونه پس از پاک‌سازی

در آخرین قسمت از بخش تنظیمات، گزینه‌ای با عنوان حذف تنظیمات افزونه هنگام پاک‌سازی (Delete Settings Upon Plugin Deactivation or Removal) دیده میشه. این گزینه تعیین می‌کنه که وقتی افزونه All In One WP Security رو از سایت حذف می‌کنید، آیا تمام تنظیمات و اطلاعات ذخیره‌شده در دیتابیس هم حذف بشن یا باقی بمونن.

حذف تنظیمات افزونه پس از پاک‌سازی
حذف تنظیمات افزونه پس از پاک‌سازی

به‌صورت پیش‌فرض، این گزینه غیرفعاله، یعنی اگر افزونه رو حذف کنید، تنظیمات امنیتی و داده‌های مربوط به اون همچنان داخل دیتابیس وردپرس باقی می‌مونه تا اگر بعداً دوباره افزونه رو نصب کردید، نیازی به تنظیم مجدد همه‌چیز نداشته باشید. اما اگر این گزینه رو فعال کنید، با حذف افزونه تمام داده‌ها، گزارش‌ها و تنظیماتش به‌طور کامل از بین میره.

معمولاً نیازی به فعال کردن این گزینه نیست، چون ممکنه بعداً بخواید افزونه رو مجدد نصب کنید و دوست دارید تنظیمات قبلی باقی بمونن. بنابراین بهتره این بخش رو بدون تغییر رها کنید و فقط زمانی ازش استفاده کنید که تصمیم قطعی دارید افزونه رو برای همیشه از سایت حذف کنید.

در کل، بخش تنظیمات افزونه All In One WP Security بیشتر برای تهیه نسخه‌ی پشتیبان از فایل‌های اصلی و کنترل نحوه‌ی ذخیره‌سازی داده‌ها در نظر گرفته شده و نیازی به تغییر مداوم در اون نیست. بعد از اینکه این تنظیمات رو بررسی کردید، می‌تونید با خیال راحت سراغ بخش‌های اصلی‌تر و کاربردی‌تر افزونه برید تا امنیت سایتتون رو گام‌به‌گام افزایش بدید.

اطلاعات نگارش وردپرس

وقتی سایت وردپرسی شما نسخه دقیق وردپرس رو توی سورس HTML نشون می‌ده، هر کسی می‌تونه با یه نگاه به سورس صفحه بفهمه از چه نسخه‌ای استفاده می‌کنید. این اطلاعات معمولاً به‌صورت یه تگ به اسم generator داخل بخش head صفحه قرار می‌گیره. هکرها و ربات‌هایی که دنبال سایت‌های آسیب‌پذیر می‌گردن معمولاً اول از همه همین اطلاعات رو جمع‌آوری می‌کنن. چون اگه یه نسخه خاص از وردپرس حفره امنیتی شناخته‌شده‌ای داشته باشه، خیلی راحت‌تر می‌تونن اون سایت‌ها رو هدف بگیرن. برای همین، هر چی اطلاعات فنی کمتری از سایت در دسترس باشه، مسیر حمله برای مهاجم سخت‌تر می‌شه و این خودش یه لایه ساده ولی مفید از امنیته.

اطلاعات نگارش وردپرس
اطلاعات نگارش وردپرس

غیرفعال کردن نمایش نسخه وردپرس کار خاصی نداره و هیچ تأثیر منفی هم روی عملکرد سایت نمی‌ذاره. با این کار فقط اون تگ generator از خروجی صفحات حذف می‌شه و دیگه بازدیدکننده‌ها یا ابزارهای اسکن خودکار نمی‌تونن به‌راحتی بفهمن سایت شما از چه نسخه‌ای استفاده می‌کنه. البته باید بدونید که این کار به‌تنهایی سایت رو امن نمی‌کنه و فقط نوعی پنهان‌کاریه. یعنی باعث می‌شه اطلاعات کمتری در دسترس باشه، ولی امنیت واقعی از طریق به‌روزرسانی منظم وردپرس، افزونه‌ها و قالب‌ها، داشتن فایروال قوی و بکاپ‌گیری منظم به دست میاد. بهترین حالت اینه که همه این کارها رو با هم انجام بدید؛ یعنی نسخه وردپرس رو پنهون کنید، سایت رو همیشه به‌روز نگه دارید، بکاپ بگیرید و فایروال و ورود امن رو هم فعال کنید.

یه نکته دیگه اینه که بعضی قالب‌ها یا افزونه‌ها ممکنه نسخه وردپرس رو توی جاهای دیگه مثل فایل‌های CSS، JS یا حتی فید RSS نشون بدن. پس بهتره بعد از حذف تگ generator یه بار سورس صفحه و بقیه بخش‌ها رو هم بررسی کنید تا مطمئن بشید هیچ‌جا نسخه وردپرس نمایش داده نمی‌شه.

اگه از افزونه All In One WP Security استفاده می‌کنید، این افزونه خودش گزینه‌ای داره که با فعال کردنش، تگ generator از خروجی صفحات حذف می‌شه. ولی اگه بخواید دستی این کار رو انجام بدید، فقط کافیه یه خط کد ساده به فایل functions.php قالب‌تون یا حتی یه پلاگین اختصاصی کوچیک اضافه کنید. اون خط کد اینه:

remove_action('wp_head', 'wp_generator');

بعد از اینکه کد رو اضافه کردید، یه بار صفحه اصلی سایت رو باز کنید، روی View Source بزنید و مطمئن بشید که تگ generator دیگه وجود نداره. این کار ساده‌ست، هزینه خاصی هم نداره و باعث می‌شه هکرها یه‌ذره سخت‌تر بتونن هدف‌گیری کنن، ولی هیچ‌وقت جایگزین امنیت واقعی نیست. همیشه یادتون باشه که آپدیت، بکاپ و فایروال مهم‌ترین بخش‌های امنیت سایت هستن.

درون‌ریزی و برون‌ریزی

حالا بریم سراغ درون‌ریزی و برون‌ریزی تنظیمات افزونه All In One WP Security. این افزونه یه قابلیت خیلی کاربردی داره که می‌تونید تنظیماتی که روی یه سایت انجام دادید رو خروجی بگیرید و روی یه سایت دیگه وارد کنید. مثلاً فرض کنید یه سایت رو کامل تنظیم کردید و همه چیزش امنه. حالا می‌خواید دقیقاً همین تنظیمات رو روی چند تا سایت دیگه هم اعمال کنید. لازم نیست دوباره همه گزینه‌ها رو یکی‌یکی تنظیم کنید، فقط کافیه از سایت اول یه فایل خروجی بگیرید و اون رو روی سایت بعدی درون‌ریزی کنید. با این روش هم کلی زمان صرفه‌جویی می‌شه، هم احتمال خطا پایین میاد.

درون‌ریزی و برون‌ریزی
درون‌ریزی و برون‌ریزی

فقط باید دقت کنید نسخه افزونه توی هر دو سایت یکی یا حداقل خیلی نزدیک به هم باشه، چون اگه گزینه‌ها تغییر کرده باشن ممکنه بعضی تنظیمات درست منتقل نشن. یه نکته مهم دیگه اینه که اگه تنظیمات شامل مسیرهای خاص یا داده‌های سریالی‌شده باشن، بعد از درون‌ریزی حتماً یه بررسی سریع انجام بدید تا مطمئن بشید همه چیز درسته. قبل از درون‌ریزی هم همیشه از سایت مقصد بکاپ کامل بگیرید تا اگه مشکلی پیش اومد بتونید برگردید. اگه هم سایت اصلیه و فعال، بهتره اول همه چیز رو توی محیط تست امتحان کنید تا مطمئن بشید تنظیمات به‌درستی منتقل شدن.

در کل این قابلیت Import و Export افزونه، ابزار خیلی خوبی برای مدیریت امنیت چند سایت با تنظیمات یکسانه و کار رو خیلی راحت‌تر می‌کنه. فقط حواستون به نسخه افزونه و بکاپ گرفتن باشه تا انتقال تنظیمات بدون دردسر انجام بشه.

تنظیمات پیشرفته

در قسمت تنظیمات پیشرفته (Advanced Settings) افزونه All In One WP Security، گزینه‌هایی برای نحوه‌ی شناسایی و ثبت آی‌پی کاربران وجود داره. این بخش شاید در نگاه اول کمی فنی به‌نظر برسه، اما در واقع هدفش اینه که افزونه بتونه آدرس IP بازدیدکنندگان یا مهاجمان رو به‌درستی تشخیص بده تا در صورت نیاز، اون‌ها رو مسدود کنه.

تنظیمات پیشرفته
تنظیمات پیشرفته

وردپرس در سایت‌های مختلف ممکنه پشت سر چند نوع سرور یا لایه‌ی امنیتی مثل Cloudflare یا CDN قرار گرفته باشه. در چنین شرایطی، گاهی آدرس IP واقعی کاربر در لاگ‌های وردپرس اشتباه تشخیص داده میشه و افزونه ممکنه آی‌پی سرور میانی رو ثبت کنه، نه آی‌پی واقعی بازدیدکننده. برای همین، All In One WP Security گزینه‌هایی در اختیار شما قرار میده تا تعیین کنید از چه روشی برای شناسایی IP استفاده بشه.

وقتی وارد این بخش میشید، افزونه چند مدل مختلف برای شناسایی آی‌پی نشون میده. شما باید بررسی کنید کدوم روش در سایت شما به‌درستی عمل می‌کنه. برای این کار، خیلی ساده در گوگل عبارت What is my IP رو جستجو کنید تا آی‌پی فعلی خودتون رو ببینید، بعد اون عدد رو با مقداری که افزونه در تنظیمات پیشرفته نشون میده مقایسه کنید. اگر آی‌پی نمایش‌داده‌شده با آی‌پی واقعی شما یکی بود، یعنی تنظیمات فعلی درسته و نیازی به تغییر نداره. اما اگر متفاوت بود، می‌تونید بین گزینه‌های موجود جابه‌جا بشید تا حالتی رو پیدا کنید که آی‌پی درست نمایش داده بشه.

دلیل اهمیت این موضوع اینه که افزونه برای مسدود کردن کاربران مشکوک، آی‌پی اون‌ها رو در لیست سیاه ذخیره می‌کنه. حالا اگر آی‌پی واقعی درست شناسایی نشه، ممکنه کاربر اشتباهی بلاک بشه یا مهاجم اصلی از فیلتر عبور کنه. پس تنظیم دقیق این بخش باعث میشه سیستم امنیتی سایت با دقت بیشتری کار کنه و مسدودسازی‌ها کاملاً هدفمند انجام بشن.

در نهایت، بعد از اینکه مطمئن شدید آی‌پی شما درست تشخیص داده میشه، تنظیمات رو ذخیره کنید و دیگه نیازی به تغییرش نیست. این کار رو فقط یک بار انجام بدید تا افزونه در ادامه بتونه به‌صورت خودکار آی‌پی کاربران رو برای تحلیل و بلاک کردن دقیق‌تر استفاده کنه.

احراز هویت دوعاملی

در بخش احراز هویت دوعاملی افزونه All In One WP Security، شما می‌تونید امنیت ورود به سایتتون رو یه مرحله بالاتر ببرید. این قابلیت باعث می‌شه علاوه بر رمز عبور، برای ورود به پنل مدیریت یه کد موقتی هم نیاز داشته باشید که معمولاً توسط اپلیکیشن Google Authenticator روی گوشی تولید می‌شه.

احراز هویت دوعاملی
احراز هویت دوعاملی

به این ترتیب حتی اگه کسی رمز عبور شما رو هم بدونه، بدون داشتن اون کد موقتی نمی‌تونه وارد سایت بشه. فعال‌سازی این بخش در افزونه خیلی ساده‌ست؛ فقط باید افزونه Google Authenticator رو نصب کنید و بعد از طریق تنظیمات افزونه All In One WP Security، احراز هویت دوعاملی رو برای حساب کاربری‌تون فعال کنید.

البته اگه از پلاگین میهن پنل پرو استفاده می‌کنید، نیازی نیست این مرحله رو جداگانه انجام بدید، چون میهن پنل پرو خودش سیستم احراز هویت دوعاملی داخلی داره. این قابلیت به شما اجازه می‌ده بدون نصب افزونه‌های جانبی، برای کاربرها یا مدیران سایت کدهای تأیید دو مرحله‌ای تعریف کنید و امنیت ورود به سایت رو خیلی راحت‌تر و حرفه‌ای‌تر مدیریت کنید.

به‌نوعی می‌شه گفت اگر میهن پنل پرو روی سایت فعاله، همون‌جا می‌تونید احراز هویت دوعاملی رو فعال کنید و دیگه لازم نیست از تنظیمات All In One WP Security برای این مورد استفاده کنید. برای دریافت افزونه میهن پنل پرو روی دکمه پایین کلیک کنید.

امنیت کاربر

در بخش امنیت کاربر افزونه All In One WP Security، تمرکز اصلی روی محافظت از حساب‌های کاربری وردپرس و جلوگیری از دسترسی غیرمجاز به پنل مدیریت است. این بخش امکاناتی مثل محدود کردن تعداد تلاش برای ورود ناموفق، فعال‌سازی کپچا در فرم ورود و ثبت‌نام، بررسی قدرت رمز عبور کاربران و جلوگیری از استفاده از نام کاربری «admin» را فراهم می‌کند. با فعال کردن این گزینه‌ها می‌تونید احتمال نفوذ از طریق حدس زدن رمز یا حملات Brute Force رو به حداقل برسونید و امنیت کلی حساب‌های کاربری سایت رو بالا ببرید.

حساب‌های کاربری

نام کاربری‌تون نباید «admin» باشه. مثلاً من خودم اسم کاربری رو از «admin» می‌ذارم «رضا» و از اون به بعد برای ورود باید با یوزرنیم «رضا» لاگین کنم. تغییرش خیلی ساده‌ست و امنیّت رو کمی بالاتر می‌بره، شاید چیز حیاتی‌ای نباشه ولی توصیه می‌شه. یه نکته دیگه اینکه نام نمایشی (همونی که تو سایت نمایش داده می‌شه) و نام ورود (همونی که باهاش لاگین می‌کنید) بهتره یکی نباشن؛

حساب‌های کاربری
حساب‌های کاربری

اگر یکی باشن، کسی که آدرس کاربر شما رو از طریق API یا جاهای دیگه پیدا کنه راحت‌تر می‌تونه اطلاعات بیشتری به‌دست بیاره. تو افزونه یه گزینه هست که اجازه می‌ده دسترسی به اطلاعات کاربران از طریق WP JSON API رو غیرفعال کنید؛ اگه این گزینه رو فعال کنید، دیگران نمی‌تونن با استفاده از WP-JSON اطلاعات کاربران رو ببینن و این یه لایه ساده اما مؤثر برای محافظت از حریم خصوصی و حساب‌هاست.

امنیت نام نمایشی
امنیت نام نمایشی

قفل ورود

بذار راحت بگم: قفل ورود همون چیزیه که جلوی تلاش‌های بی‌وقفه هکرها برای حدس زدن رمز عبور سایتت رو می‌گیره. معمولاً وقتی یه نفر (یا یه ربات!) می‌خواد وارد سایت بشه، شروع می‌کنه با کلی نام کاربری و رمز مختلف امتحان کردن تا بالاخره یکی جواب بده. اینجاست که قفل ورود وارد بازی میشه و میگه: «صبر کن رفیق! زیادی تلاش کردی، یه مدت دیگه بیا!»

قفل ورود
قفل ورود

با فعال کردن این بخش توی افزونه All In One WP Security & Firewall می‌تونی مشخص کنی هر کاربر چند بار اجازه داره رمز اشتباه بزنه. مثلاً بگی اگه یکی دوبار اشتباه وارد کرد، حسابش برای ۱۵ دقیقه قفل بشه. به این ترتیب دیگه هیچ‌کس نمی‌تونه پشت‌سرهم رمزها رو امتحان کنه تا یکی رو درست حدس بزنه. این ویژگی در واقع یه دیوار دفاعی خیلی مهم برای جلوگیری از حملات Brute Force به حساب میاد.

حالا نکته مهم اینجاست که باید تنظیماتش رو با دقت انجام بدی. مثلاً اگه سایتت چندتا کاربر واقعی داره، نیا بذار فقط با یه اشتباه قفل بشن، چون بیچاره‌ها نمی‌تونن وارد شن! یه تنظیم منطقی مثلاً ۳ تا ۵ بار اشتباه خوبه. بعدش می‌تونی مدت زمان قفل شدن آی‌پی رو هم تعیین کنی، مثلاً ۱۵ یا ۳۰ دقیقه. افزونه خودش یه لیست از آی‌پی‌هایی که قفل شدن نشونت میده و اگه یکی اشتباهی بلاک شد، می‌تونی از همونجا آزادش کنی.

یه پیشنهاد دیگه هم اینه که اگه از افزونه‌هایی مثل میهن پنل استفاده می‌کنی، لازم نیست این گزینه رو فعال کنی، چون اون خودش قابلیت گارد ورود داره. فعال کردن دوتا سیستم مشابه فقط باعث دردسر میشه.

ورود با اکانت گوگل
ورود با اکانت گوگل

یه گزینه جالب دیگه توی این قسمت، پیام خطای ورود هست. به‌صورت پیش‌فرض وردپرس میگه «رمز اشتباهه» یا «نام کاربری اشتباهه». ولی این اطلاعات برای هکرها مثل طلا می‌مونه! چون راحت می‌فهمن کدوم بخش رو اشتباه زدن. با فعال کردن گزینه “نمایش پیام خطای عمومی” افزونه کاری می‌کنه که پیام همیشه یکی باشه: «نام کاربری یا رمز عبور اشتباه است.» اینطوری طرف نمی‌فهمه کدومش اشتباه بوده.

آخرش هم یه بخش داره برای لیست سفید (Whitelist) که می‌تونی آی‌پی‌هایی مثل آی‌پی خودت یا تیم‌ت رو وارد کنی تا هر اتفاقی هم بیفته، اون‌ها همیشه بتونن وارد سایت بشن. البته یادت باشه آی‌پی ثابت وارد کنی، نه یه آی‌پی متغیر که هر روز عوض میشه.

لیست سفید
لیست سفید

در کل، قفل ورود یکی از اون قابلیت‌هاییه که شاید ساده به‌نظر بیاد، ولی واقعاً نقش بزرگی تو امنیت سایت داره. اگه درست تنظیمش کنی، یه خط دفاعی محکم جلوی هر نوع ورود غیرمجاز برات می‌سازه.

خروج خودکار کاربران غیرفعال

یه بخش دیگه از افزونه All In One WP Security & Firewall هست به اسم بیرون کردن اجباری کاربر یا خروج خودکار (Force Logout). این قابلیت دقیقاً برای زمانی ساخته شده که یکی وارد حسابش میشه، ولی یادش میره خارج بشه! مثلاً یه کاربر یا حتی خودِ مدیر سایت وارد پیشخوان میشه، کارش رو انجام میده و میره، اما مرورگرش باز می‌مونه. خب این یعنی اگه کسی دیگه به اون سیستم دسترسی داشته باشه، راحت می‌تونه وارد پنل بشه و خراب‌کاری کنه.

خروج خودکار کاربران غیرفعال
خروج خودکار کاربران غیرفعال

اینجاست که این گزینه می‌درخشه! با فعال کردنش، می‌تونی یه بازه زمانی مشخص کنی تا اگه کاربر برای مدتی فعالیتی نداشت، سیستم خودش به‌صورت خودکار اون رو لاگ‌اوت کنه. مثلاً بگی اگه ۶۰ دقیقه هیچ حرکتی نکرد، از سایت بیرونش کن. به همین راحتی! این‌طوری مطمئن می‌شی که هیچ حساب باز و بدون محافظتی توی سیستم نمی‌مونه.

این قابلیت برای سایت‌هایی که چندتا کاربر دارن یا مدیرهای مختلف روش کار می‌کنن خیلی مهمه. چون نه‌تنها امنیت حساب‌ها رو بالا می‌بره، بلکه جلوی سوءاستفاده‌های احتمالی رو هم می‌گیره. البته اگه سایتت تک‌مدیره‌ست و خودت همیشه پشت سیستم می‌مونی، نیازی نیست خیلی روی این بخش سخت‌گیری کنی، ولی برای سایت‌های چندکاربره واقعاً پیشنهاد میشه فعالش کنی.

در کل، خروج خودکار کاربران یه راه ساده و هوشمندانه‌ست برای بالا بردن امنیت ورودها و جلوگیری از دسترسی ناخواسته، مخصوصاً وقتی چند نفر با نقش‌های مختلف توی سایت فعالیت دارن.

کاربران وارد شده

یه بخش دیگه تو افزونه All In One WP Security & Firewall هست به اسم کاربران وارد شده (Logged In Users) که خیلی کاربردیه، مخصوصاً برای سایت‌هایی که چند تا نویسنده، مدیر یا کاربر فعال دارن. توی این قسمت، افزونه بهت نشون میده که چه کسایی الان وارد سایت شدن، با چه نام کاربری‌هایی لاگین کردن و از چه آی‌پی‌هایی دارن استفاده می‌کنن. در واقع یه جور مرکز کنترل ورود کاربران حساب میشه.

کاربران وارد شده
کاربران وارد شده

فرض کن چند نفر دارن هم‌زمان روی سایتت کار می‌کنن و یهویی حس می‌کنی سایت کند شده یا رفتار مشکوکی داره. با یه نگاه به این لیست می‌تونی ببینی چه کاربرایی الان آنلایندن. اگه یه ورود مشکوک دیدی، مثلاً یه کاربر از آی‌پی یه کشور عجیب وارد شده، می‌تونی همون‌جا از همین بخش اون رو بیرون بندازی (Force Logout) تا بلافاصله دسترسیش قطع بشه.

این قابلیت فقط برای امنیت نیست، بلکه گاهی برای مدیریت تیم هم به درد می‌خوره. مثلاً می‌خوای بدونی کی الان توی سایت فعاله یا چند نفر هم‌زمان وارد شدن. یه نکته‌ی خوبش هم اینه که حتی اگه یه کاربر یادش بره از سایت خارج بشه، تو می‌تونی از همین بخش اون رو دستی لاگ‌اوت کنی تا امنیت سایت حفظ بشه.

به طور خلاصه، بخش کاربران وارد شده یه جور دیدبان هوشمند برای وردپرسه؛ هر لحظه می‌تونی ببینی چه کسی داخل سایته، از کجا اومده، و اگه لازم بود با یه کلیک بیرونش کنی.

تأیید دستی کاربران

یکی از قابلیت‌های افزونه All In One WP Security & Firewall مربوط به بخش تأیید دستی کاربرانه. این گزینه مخصوص سایت‌هایی هست که ثبت‌نام کاربر براشون فعاله، مثلاً سایت‌های آموزشی، انجمن‌ها یا فروشگاه‌هایی که کاربران باید حساب بسازن. وقتی این قابلیت رو فعال کنی، هر کاربری که توی سایت ثبت‌نام می‌کنه، تا وقتی مدیر سایت تأییدش نکنه، حسابش فعال نمی‌شه و نمی‌تونه وارد بشه.

تأیید دستی کاربران
تأیید دستی کاربران

در واقع این گزینه یه جور فیلتر امنیتیه برای کنترل عضویت‌ها. مثلاً اگه نگران اسپمرها یا ربات‌هایی هستی که میان ثبت‌نام می‌کنن، با فعال کردن تأیید دستی، جلوی این اتفاق رو می‌گیری چون هیچ کاربری بدون اجازه‌ی تو فعال نمی‌شه. البته برای سایت‌های معمولی یا شخصی، فعال کردنش لازم نیست چون ممکنه فقط باعث بشه مدیریت کاربران برات دردسر بشه و مجبور شی مدام بری بررسی و تأییدشون کنی.

به‌طور کلی این ویژگی برای سایت‌هایی که ثبت‌نام کاربر بخش مهمی از روند کارشونه خیلی مفیده، ولی اگه فقط مدیرها یا اعضای خاصی وارد سایت می‌شن، می‌تونی راحت ازش بگذری تا کار خودت هم ساده‌تر بمونه.

سالت‌های وردپرس (SALT)

سالت‌ها در وردپرس در واقع رشته‌های تصادفی و طولانی‌ای هستن که توی فایل wp-config.php قرار می‌گیرن و نقششون امن‌تر کردن کوکی‌ها و نشست‌های کاربریه. اینها همون AUTH_KEY، SECURE_AUTH_KEY، LOGGED_IN_KEY و بقیه‌ی کلیدهایی هستن که هر وردپرس تازه‌ای موقع نصب توی wp-config.php می‌ذاره تا داده‌های نشست و کوکی رمزنگاری بشن. وقتی این کلیدها و سالت‌ها وجود دارن، حتی اگر کسی کوکیِ یک کاربر رو داشته باشه، بدون همین مقادیر نمی‌تونه ازش سوءاستفاده کنه.

SALT
SALT

نکته‌ی خیلی مهم اینه که اگر این سالت‌ها رو عوض کنی، وردپرس همه‌ی نشست‌های فعال (session) رو باطل می‌کنه و همه‌ی کاربران باید دوباره وارد بشن. یعنی کاربران «از سایت پر می‌شن بیرون»، دقیقاً همینی که گفتی. این رفتار کاملاً طبیعی و عمدیِ؛ چون با عوض شدن کلیدها، کوکی‌های قدیمی معتبر نیستن و به‌نوعی بازنشانی امنیتی انجام شده. پس اگه تصمیم گرفتی سالت‌ها رو ری‌جنریت کنی، حتماً به کاربران یا تیم خبر بده که ممکنه لازم باشه دوباره لاگین کنن.

در مورد «پست فیک سالت» که گفتی، معمولاً منظور چیز عجیب و پیچیده‌ای نیست: بعضی افزونه‌ها یا ابزارها گزینه‌ای برای «افزودن یک سالت جعلی/موقت» یا «پست‌فیکس به سالت» دارن تا بدون تغییر کلیدهای اصلی، تغییری ایجاد کنن که باعث باطل شدن نشست‌ها یا سخت‌تر شدن حدس‌زدن الگوها بشه. این روش هم کار می‌کنه اما باید با احتیاط استفاده بشه چون هر تغییری در مقدارهای سالت معادلِ ریست شدن نشست‌هاست. اگر از این امکان استفاده می‌کنی، اول بکاپ از wp-config.php و دیتابیس بگیر و مطمئن شو که پیام لاگ‌اوت گسترده برای تیم یا کاربران مشکلی ایجاد نمی‌کنه.

اگه خواستی سالت‌ها رو امن و اصولی عوض کنی، بهترین کار اینه که از ابزار رسمی وردپرس برای تولید کلیدهای تصادفی استفاده کنی (WordPress.org secret-key service) و مقادیر جدید رو جایگزین کنی. بعد از جایگزینی، سایت به‌سرعت نشست‌ها رو لغو می‌کنه و کاربران باید دوباره لاگین کنن. این خودش می‌تونه یک حرکت امنیتی خوب باشه وقتی شک به نشت یا مشکل وجود داره.

خلاصه‌اش اینکه سالت‌ یعنی «نمک» امنیت؛ عوض‌کردنش قویِ اما پیامدش خروج همه‌ست، و «پست فیک سالت» یا هر چیزی که به‌عنوان مقدار اضافه یا موقتی عمل کنه هم همین رفتار رو خواهد داشت. اگر می‌خوای این کار رو انجام بدی، اول بکاپ بگیر، تیم رو خبردار کن و از روش تولید کلید تصادفی معتبر استفاده کن تا همه‌چیز امن بمونه.

رفع مشکل قفل شدن مدیر بعد از فعال‌سازی SALT

یکی از اتفاق‌هایی که ممکنه بعد از فعال کردن یا تغییر SALT‌ها توی وردپرس بیفته، همین چیزیه که گفتی: مدیر سایت از حساب خودش بیرون می‌مونه و دیگه نمی‌تونه وارد بشه. دلیلش هم اینه که وقتی سالت‌ها عوض می‌شن، وردپرس تمام نشست‌های (Sessions) فعال رو بی‌اعتبار می‌کنه. یعنی همه‌ی کوکی‌های ورود از کار می‌افتن و هر کسی که لاگین بوده، به‌صورت خودکار از سایت خارج میشه. در ظاهر این اتفاق چیز بدی نیست، ولی بعضی وقتا ممکنه هم‌زمان با فعال بودن تنظیمات امنیتی افزونه، سایت حتی اجازه ورود مجدد به مدیر رو هم نده.

اگه بعد از فعال کردن سالت‌ها یا زدن گزینه “Enable Salt” دیدی دیگه نمی‌تونی وارد پیشخوان بشی و سایت خطای قفل شدن یا بلاک شدن آی‌پی میده، جای نگرانی نیست. راه‌حلش خیلی ساده‌ست. فقط کافیه وارد phpMyAdmin هاستت بشی. توی لیست دیتابیس‌هات، دیتابیس مربوط به سایت وردپرسی‌ت رو انتخاب کن. حالا دنبال جدولی بگرد به اسم aiowps_login_lockdown. این جدول مخصوص افزونه‌ی All In One WP Security هست و اطلاعات مربوط به آی‌پی‌هایی که به خاطر ورود اشتباه یا قوانین امنیتی بلاک شدن رو نگه می‌داره.

 aiowps_login_lockdown
aiowps_login_lockdown

کافیه اون جدول رو باز کنی، همه‌ی رکوردها رو انتخاب و حذفشون کنی (با گزینه “Delete” یا “Empty”). با این کار قفل ورود از بین می‌ره و آی‌پی تو هم از لیست بلاک‌شده‌ها پاک میشه. حالا دوباره برو به صفحه‌ی ورود وردپرس (/wp-login.php) و با خیال راحت وارد شو.

نکته‌ی مهم اینه که این اتفاق به معنی اشتباه بودن تنظیمات سالت نیست؛ فقط نشونه‌ی اینه که افزونه درست داره کار می‌کنه و برای محافظت از سایت جلوی ورودهای مشکوک رو گرفته. اما چون بعد از تغییر سالت، کوکی‌ها و نشست‌ها تغییر می‌کنن، ممکنه سیستم فکر کنه ورود مدیر غیرعادیه و موقتاً بلاکش کنه.

اگه نمی‌خوای هر بار این مشکل تکرار بشه، می‌تونی آی‌پی خودت رو به لیست سفید (Whitelist) افزونه اضافه کنی تا هیچ‌وقت بلاک نشی. در نهایت، تغییر سالت یه اقدام امنیتی خیلی خوبه و باعث افزایش امنیت رمزگذاری توی سایتت میشه، فقط باید بدونی اگه بعدش از سایت بیرون افتادی، راه برگشت خیلی ساده‌ست و فقط چند دقیقه زمان می‌بره.

احراز هویت HTTP (HTTP Authentication)

یکی از بخش‌های جالب ولی کمی حساس افزونه All In One WP Security & Firewall مربوط به احراز هویت HTTP یا همون HTTP Authentication هست. این قابلیت یه لایه امنیتی اضافه برای ورود به پیشخوان وردپرس درست می‌کنه. وقتی فعالش می‌کنی، قبل از اینکه صفحه‌ی ورود اصلی وردپرس حتی دیده بشه، مرورگر ازت یه نام کاربری و رمز عبور دیگه می‌خواد. یعنی عملاً قبل از رسیدن به صفحه‌ی لاگین سایت، باید از یه سد امنیتی دیگه رد بشی.

احراز هویت HTTP (HTTP Authentication)
احراز هویت HTTP (HTTP Authentication)

این ویژگی مخصوصاً برای سایت‌هایی خوبه که امنیت براشون خیلی مهمه، مثلاً سایت‌های سازمانی، فروشگاه‌ها یا پروژه‌هایی که اطلاعات حساس دارن. با فعال شدنش، ربات‌ها و هکرهایی که مستقیم به آدرس ورود حمله می‌کنن، از همون اول گیر می‌کنن و به صفحه‌ی اصلی ورود دسترسی پیدا نمی‌کنن.

با این حال، برای بیشتر سایت‌های معمولی یا شخصی نیازی به فعال کردنش نیست. چون اگه به‌درستی تنظیم نشه، ممکنه دردسر درست کنه. مثلاً اگه اطلاعات ورود HTTP Auth رو اشتباه وارد کنی یا مرورگرت به‌درستی ذخیره‌ش نکنه، خودت هم دیگه نمی‌تونی وارد پیشخوان بشی و ممکنه فکر کنی سایتت خراب شده.

در واقع کاری که این بخش می‌کنه، اینه که یه رمز اضافی روی پوشه‌ی wp-admin می‌ذاره. یعنی برای ورود، باید هم رمز احراز هویت HTTP رو بدونی و هم رمز وردپرس خودت رو. اگه هرکدوم اشتباه باشه، دسترسی قطع میشه.

در مجموع، HTTP Authentication گزینه‌ی بدی نیست، اما فقط وقتی توصیه میشه فعالش کنی که واقعاً نیاز به امنیت چندمرحله‌ای داشته باشی یا سایتت حساس باشه. در غیر این صورت، بهتره به تنظیمات امنیتی دیگه‌ی افزونه بسنده کنی چون فعال کردن این بخش بدون ضرورت، فقط ورود خودت و تیم‌ت رو سخت‌تر می‌کنه.

HIBP

در افزونه All In One WP Security یه بخش خیلی جالب به اسم HIBP وجود داره که مخفف Have I Been Pwned هست. این قابلیت به‌صورت خودکار بررسی می‌کنه که آیا رمز عبوری که کاربر برای حسابش انتخاب کرده، قبلاً در نشت‌های اطلاعاتی اینترنت فاش شده یا نه. در واقع، وقتی این گزینه رو فعال می‌کنی، افزونه رمزهای عبور جدید رو با پایگاه داده‌ی HIBP تطبیق می‌ده و اگه اون رمز قبلاً در جایی لو رفته باشه، بهت هشدار می‌ده که ازش استفاده نکنی.

HIBP
HIBP

این یعنی اگه کاربر بخواد یه رمز ناامن یا لو رفته رو وارد کنه، افزونه اجازه ذخیره یا استفاده از اون رمز رو نمی‌ده. به این ترتیب جلوی خیلی از حملات ناشی از رمزهای تکراری یا ضعیف گرفته می‌شه.

نکته مثبتش اینه که بررسی رمز از طریق الگوریتم امن و ناشناس انجام می‌شه، یعنی رمز واقعی شما برای سرور HIBP ارسال نمی‌شه، فقط بخشی از هش رمز فرستاده می‌شه تا امنیت کاملاً حفظ بشه.

در کل، بخش HIBP توی این افزونه یه لایه‌ی هوشمند و خودکار از امنیت رمز عبور رو فراهم می‌کنه که کمک می‌کنه حتی قبل از اینکه خطر به سایت برسه، جلویش گرفته بشه.

تنظیمات اضافی

یه بخش دیگه توی افزونه All In One WP Security هست به اسم تنظیمات اضافی امنیتی که معمولاً کمتر بهش توجه میشه ولی می‌تونه تأثیر خیلی زیادی روی امنیت کلی سایت بذاره. وقتی این گزینه رو فعال می‌کنی، افزونه میاد و یه سری توکن‌ یا کلیدهای دسترسی مربوط به اپلیکیشن‌ها و وب‌اپلیکیشن‌هایی که به سایتت وصل هستن رو محدود می‌کنه. این کار باعث میشه هر اتصال بیرونی که مجوز درستی نداره یا ممکنه امنیت سایت رو تهدید کنه، بسته بشه.

تنظیمات اضافی
تنظیمات اضافی

در عمل یعنی چی؟ فرض کن یه اپ اندروید یا iOS داری که با سایت وردپرسی‌ت کار می‌کنه، مثلاً برای نمایش محصولات یا ثبت‌نام کاربران. اگه این گزینه رو فعال کنی، ممکنه اون اپلیکیشن ناگهان از کار بیفته و دیگه نتونه با سایتت ارتباط بگیره. دلیلش هم واضحه: افزونه جلوی دسترسی‌های غیرمجاز رو گرفته.

اینجا باید حواست باشه. اگه بعد از فعال کردن این تنظیمات دیدی یه اپلیکیشن یا سرویس خاص از کار افتاد، قدم‌به‌قدم بیا و گزینه‌ها رو غیرفعال کن تا بفهمی کدوم یکی باعث تداخل شده. افزونه خودش کاری به عملکرد اصلی سایت نداره، فقط جلوی درخواست‌هایی که ممکنه خطرناک باشن رو می‌گیره.

در کل، فعال کردن تنظیمات اضافی می‌تونه یه لایه‌ی امنیتی قوی‌تر برای وردپرست بسازه. فقط باید بدونی دقیقاً چی رو فعال کردی و بعد از اون حتماً یه تست کلی روی سایت و اپ‌هات انجام بدی تا مطمئن شی چیزی از کار نیفتاده. اینطوری هم امنیتت بالاست، هم عملکرد سایتت بدون مشکل ادامه پیدا می‌کنه.

امنیت پایگاه داده

در بخش امنیت پایگاه داده افزونه All In One WP Security، تمرکز روی محافظت از دیتابیس وردپرسه، چون تمام اطلاعات مهم سایت مثل نوشته‌ها، کاربران و تنظیمات اونجا ذخیره می‌شن. یکی از مهم‌ترین کارهایی که می‌تونید اینجا انجام بدید، تغییر پیش‌وند (prefix) جداول دیتابیسه؛ چون وردپرس به‌صورت پیش‌فرض از پیش‌وند wp_ استفاده می‌کنه و این مورد برای هکرها قابل پیش‌بینیه.

با تغییرش به یه عبارت خاص‌تر، کار برای اسکریپت‌های خودکار و حملات SQL Injection سخت‌تر می‌شه. علاوه بر این، افزونه به شما اجازه می‌ده از دیتابیس بکاپ بگیرید تا در صورت بروز مشکل یا حمله، بتونید به‌راحتی اطلاعات سایت رو برگردونید. در کل این بخش کمک می‌کنه ساختار پایگاه داده‌تون هم از نظر امنیتی ایمن‌تر و هم از نظر پشتیبان‌گیری مطمئن‌تر باشه.

تغییر پیشوند جداول دیتابیس

اگه یادت باشه موقع نصب وردپرس به‌صورت پیش‌فرض پیشوند جداول wp_ هست و همین پیشوند ثابت یکی از چیزاییه که هکرها و ابزارهای خودکار اول از همه دنبال می‌کنن. وقتی کسی بخواد تزریق SQL یا حمله‌ای به دیتابیس بزنه، راحت‌تر می‌تونه اسم جدول‌ها رو حدس بزنه و هدف‌گیری کنه.

تغییر پیشوند جداول دیتابیس
تغییر پیشوند جداول دیتابیس

حالا اگر پیشوند جداول رو به یه عبارت رندم یا اختصاصی تغییر بدی، کار برای مهاجم یک‌دفعه سخت‌تر میشه چون دیگه جدول‌ها توی مسیر پیش‌فرض نیستن و اسکریپت‌های آماده دیگه به‌راحتی نمیتونن اونا رو پیدا کنن. این کار به‌تنهایی معجزهٔ امنیت نیست ولی مثل گذاشتن یه قفل ساده روی دره؛ یعنی یک لایهٔ اضافه که وقت و انرژی حمله‌کننده رو می‌گیره و خیلی وقتا باعث میشه از سایتت بگذره.

توی عمل باید خیلی مراقب باشی: تغییر پیشوند معمولاً شامل تغییر اسامی جدول‌ها در دیتابیس و به‌روزرسانی مقدار table_prefix در فایل wp-config.php میشه. اول از همه از دیتابیس بکاپ بگیر، بعد تغییر رو توی محیط لوکال یا استیجینگ تست کن و وقتی همه‌چیز اوکی بود، روی سایت اصلی اجراش کن.

بعضی افزونه‌ها یا کوئری‌های سفارشی ممکنه به پیشوند wp_ فرض بستگی داشته باشن، پس بعد از تغییر یه بررسی سریع انجام بده که همه‌ی بخش‌ها درست کار می‌کنن. در نهایت یادت باشه که این کار باید با احتیاط انجام بشه؛ اگر بدون بکاپ یا تست اقدام کنی ممکنه سایتت به خطا بخوره، اما اگر طبق اصول انجام بشه، باعث میشه هکرها نتونن خیلی راحت سراغ جداول استاندارد وردپرس بیان و این یکی از قدم‌های ساده اما مؤثر در هاردنینگ دیتابیسه.

پشتیبان‌گیری از پایگاه داده

پشتیبان‌گیری از دیتابیس رو دست‌ِ‌کم نگیر؛ این یکی از پایه‌ای‌ترین کارهاییه که همیشه باید انجام بدی چون هر وقت کاری مثل تغییر پیشوند یا اعمال تنظیمات امنیتی انجام میدی، یه چیزی ممکنه اشتباه بشه و اگر بکاپ نداشته باشی بازگشت خیلی دردسرده. بهترین روش اینه که قبل از هر تغییر مهم، یک بکاپ کامل از دیتابیس بگیری، چه از طریق هاست (کنترل پنل هاست معمولاً داره)، چه با افزونه‌های محبوب بکاپ‌گیری، تا در صورت بروز مشکل بتونی دیتابیس رو سریع رستور کنی و سایت به حالت قبل برگرده.

پشتیبان‌گیری از پایگاه داده
پشتیبان‌گیری از پایگاه داده

یه نکته عملی، بعضی افزونه‌های بکاپ‌گیر مثل UpdraftPlus یا افزونه‌های مدیریت هاست این کار رو اتوماتیک هم انجام می‌دن و می‌تونن نسخه‌ها رو روی فضای ابری نگه دارن، که اگه مشکلی پیش بیاد به‌راحتی قابل بازیابیه. اگر از این افزونه‌ها استفاده می‌کنی، قبل از شروع تغییرات یک بکاپ دستی هم بگیر تا خیالت راحت باشه.

همچنین تاکید می‌کنم بعد از گرفتن بکاپ، تغییرات رو اول توی محیط تست اعمال کن و بعد در سایت اصلی؛ اینطوری احتمال خطا به صفر نزدیک میشه. در نهایت یادت باشه بکاپ‌گیری فقط برای زمان تغییر نیست؛ نگه‌داری دوره‌ای بکاپ و نگهداری چند نسخهٔ گذشته از دیتابیس بهترین راه برای مقابله با هک، خطاهای انسانی یا حتی اشتباهات آپدیت‌های افزونه‌ست.

امنیت فایل

یکی از بخش‌های خیلی مهم توی این افزونه، قسمت امنیت فایل‌ها هست. اینجا جاییه که می‌تونیم سطح دسترسی (Permission) فایل‌های اصلی سایت رو بررسی کنیم تا مطمئن بشیم کسی غیر از خودمون یا وردپرس اجازه‌ی تغییرشون رو نداره. مثلاً فایل‌هایی مثل wp-config.php یا index.php نباید قابل ویرایش برای همه باشن. افزونه به‌صورت خودکار بررسی می‌کنه و پیشنهادهایی میده که با زدن دکمه “تنظیم” می‌تونی پرمیشن‌ها رو به حالت امن تغییر بدی.

امنیت فایل
امنیت فایل

محافظت از پرونده‌

در بخش محافظت از پرونده‌ها چند گزینه هست که می‌تونه واقعاً مفید باشه. مثلاً حذف فایل‌های اضافه مثل readme.html یا license.txt که معمولاً بعد از نصب وردپرس باقی می‌مونن و نسخه وردپرس رو لو میدن. وقتی این فایل‌ها حذف بشن، هکر دیگه نمی‌تونه بفهمه از چه نسخه‌ای استفاده می‌کنی و در نتیجه سخت‌تر می‌تونه راه نفوذ پیدا کنه. افزونه حتی می‌تونه این حذف رو بعد از هر به‌روزرسانی وردپرس به‌صورت خودکار انجام بده تا خیالت راحت باشه.

محافظت از پرونده‌
محافظت از پرونده‌

گزارش‌های سیستم هاست

گزینه‌ی بعدی مربوط به جلوگیری از استفاده‌ی منابع سایته. اگه فعالش کنی، هیچ سایت دیگه‌ای نمی‌تونه تصاویرت رو مستقیماً لود کنه (که بهش می‌گن hotlinking). اما راستش اگه بخوای گوگل متوجه بشه اون تصویر برای سایت توئه، بهتره این گزینه رو غیرفعال بذاری.

گزارش‌های سیستم هاست
گزارش‌های سیستم هاست

یه گزینه‌ی خیلی مهم دیگه هم هست به اسم غیرفعال کردن ویرایش فایل‌های PHP. اگه فعالش کنی، دیگه از داخل پنل وردپرس نمی‌تونی کدهای PHP قالب یا افزونه‌هارو ویرایش کنی. این کار باعث میشه اگه کسی به ادمین دسترسی پیدا کرد، نتونه از همون‌جا فایل‌های سایت رو خراب کنه یا بدافزار تزریق کنه.

حفاظت ا زکپی و قاب‌ها

در بخش‌های پایانی این قسمت هم تنظیماتی مثل “جلوگیری از راست‌کلیک و کپی متن” یا “غیرفعال کردن نمایش سایت در آی‌فریم” وجود داره که واقعاً ضروری نیستن. مثلاً جلوگیری از کپی متن ممکنه باعث بشه کاربر تجربه‌ی بدی از سایت بگیره. پس بهتره فقط گزینه‌هایی رو فعال کنی که واقعاً روی امنیت اثر دارن، نه اونایی که صرفاً عدد امتیاز امنیتی رو زیاد می‌کنن.

حفاظت ا زکپی
حفاظت ا زکپی

در نهایت، بخش امنیت فایل‌ها قراره بهت کمک کنه تا جلوی نفوذ از طریق فایل‌ها و اطلاعات لو رفته رو بگیری. اگه فقط گزینه‌های حیاتی مثل تنظیم پرمیشن‌ها، حذف فایل‌های اضافه و غیرفعال کردن ویرایش PHP رو فعال کنی، خیالت از امنیت سایت خیلی راحت‌تر میشه.

قاب‌ها
قاب‌ها

دیواره آتش

بریم سراغ یکی از مهم‌ترین و تأثیرگذارترین بخش‌های این افزونه: دیواره آتش یا همون فایروال. فایروال در واقع یه لایه‌ی حفاظتیه که جلوی ورود درخواست‌های مشکوک یا مخرب به سایت رو می‌گیره. خیلی از افزونه‌ها مثل Wordfence هم فایروال دارن، ولی معمولاً باعث افت سرعت سایت می‌شن. خوبی All In One WP Security اینه که بدون اینکه سرعت سایتت پایین بیاد، یه فایروال سبک و کارآمد به سایتت اضافه می‌کنه. این بخش چند تا تب داره که هر کدوم یه قسمت از امنیت فایروال رو کنترل می‌کنن. بریم دونه‌دونه بررسی‌شون کنیم.

قوانین PHP

تب «قوانین PHP» توی دیوارهٔ آتش، جلوی اجرای فایل‌های PHP در پوشه‌هایی که نباید اجرا بشن رو می‌گیره. یعنی پوشه‌هایی مثل uploads یا بعضی پوشه‌های wp-content که معمولا کاربرها فایل توش آپلود می‌کنن، امن‌تر می‌شن و کسی نمی‌تونه کد مخرب اونجا اجرا کنه. این کار خیلی مهمه چون خیلی وقت‌ها هکرها از همین مسیرها وارد می‌شن.

قوانین PHP
قوانین PHP

قوانین htaccess

این بخش مربوط به فایل .htaccess سایتته. افزونه می‌تونه یه‌سری قوانین امنیتی جدید به این فایل اضافه کنه که باعث میشه دسترسی‌های غیرمجاز بسته بشن. این کار جلوی دسترسی مستقیم به فایل‌های حساس، لیست شدن دایرکتوری‌ها و درخواست‌های مخرب رو می‌گیره. افزونه قبل از تغییر، یه نسخه پشتیبان از .htaccess می‌گیره تا اگه چیزی درست نشد، بتونید راحت برگردونید. فقط یادتون باشه اگه سایت روی Nginx باشه، این بخش مستقیم روی سایت اثر نمی‌کنه و باید قوانین رو توی کانفیگ سرور اعمال کنید.

قوانین htaccess
قوانین htaccess

مثلاً:

  • Trace و Track رو غیر فعال می‌کنه تا کسی نتونه درخواست‌های خطرناک ارسال کنه.
  • دسترسی به فایل‌های لاگ و خطاها (debug.log) رو می‌بنده.
  • دسترسی به دایرکتوری‌ها رو محدود می‌کنه تا کسی نتونه محتویات پوشه‌هات رو ببینه.
  • حتی می‌تونی از همین‌جا حجم حداکثر فایل آپلودی یا رم سرور رو تغییر بدی، بدون نیاز به نصب پلاگین دیگه!

پیشنهاد من اینه که همه‌ی این گزینه‌ها رو فعال کن. اگه بعدش دیدی سایتت با خطا مواجه شد، فقط غیرفعالش کن و تست کن ببین مشکل حل میشه یا نه.

6G Firewall Rules

این بخش مربوط به قوانین فایروال 6G هست. این قوانین توسط متخصص‌های امنیتی طراحی شدن و جلوی بخش بزرگی از حملات وب مثل SQL Injection یا XSS رو می‌گیرن. وقتی فعالش می‌کنید، افزونه هزاران امضای ربات و حمله‌ی رایج رو بلاک می‌کنه. البته بعضی وقت‌ها ممکنه یه کاربر یا سرویس مشروع هم اشتباها بلاک بشه، پس بعدش حتماً لاگ‌ها رو چک کنید و آی‌پیهای مجاز رو whitelist کنید.

اینا رو هم حتماً فعال کن. افزونه خودش تنظیمات لازم رو به صورت خودکار انجام میده و سایتت حسابی ایمن‌تر میشه.

ربات‌های اینترنت

تب «ربات‌های اینترنت» به شما کمک می‌کنه ربات‌های بد رو شناسایی و محدود کنید و رفتارهایی مثل تعداد بالای درخواست از یه آی‌پی رو کنترل کنید. این کار بار روی سرور رو کم می‌کنه و جلوی scraping یا حملات خودکار گرفته می‌شه. البته اگر سرویس قانونی دارید که با یه User-Agent خاص کار می‌کنه، حتماً اون رو توی فهرست مجاز قرار بدید.

لیست‌ها را مسدود و مجاز کنید

در «لیست‌ها را مسدود و مجاز کنید» می‌تونید آی‌پی‌ها، بازه‌های IP یا مسیرهای مشخصی رو که می‌خواید همیشه بلاک یا همیشه اجازه داده بشن، تعریف کنید. این برای مواقعی که یه آی‌پی مهاجم می‌خواید سریع بلاک کنید یا دسترسی یه سرویس داخلی رو تضمین کنید خیلی کاربردیه. فقط حواستون باشه که آی‌پی خودتون رو به‌اشتباه بلاک نکنید.

تنظیمات پیشرفته

آخرین تب، «تنظیمات پیشرفته» هست که برای قوانین پیشرفته‌تر و سفارشی استفاده می‌شه. مثلا می‌تونید زمان‌بندی بلاک‌ها، پیام‌های خطای سفارشی برای بازدیدکننده‌ها، لاگینگ و هشدارها یا قواعد دلخواه خودتون رو اضافه کنید. این بخش به شما انعطاف زیادی می‌ده ولی باید با احتیاط عمل کنید چون قوانین نادرست ممکنه سایت رو از دسترس خارج کنه. در قسمت پایین چند تا گزینه‌ی کاربردی دیگه هم هست:

  • Block Fake Google Bots: این گزینه جلوی ربات‌هایی رو می‌گیره که خودشون رو جای گوگل جا می‌زنن. به نظرم نیازی نیست فعالش کنی، چون ممکنه روی خزنده‌های مفید تأثیر بذاره.
  • Block Empty HTTP Headers: درخواست‌هایی که اطلاعات لازم مثل user-agent یا referrer ندارن رو بلاک می‌کنه. این یکی خوبه، فعالش کن چون خیلی وقت‌ها حملات از همین درخواست‌های خالی میان.
  • Blacklist: اگه آی‌پی خاصی هست که مدام حمله می‌کنه یا اسپم می‌فرسته، می‌تونی اینجا واردش کنی تا برای همیشه بلاک بشه.
  • Disable WP REST API: اگه اپ موبایل نداری، بهتره این گزینه رو فعال کنی تا REST API فقط برای کاربران واردشده و با رمز عبور قابل دسترس باشه. اینم یه لایه امنیتی دیگه‌ست.

یه دکمه به اسم Setup Firewall هست. اونو بزن تا افزونه فایروال رو به صورت کامل روی سایتت ستاپ کنه. با این کار، همه قوانین فعال می‌شن و سایتت در برابر بیشتر حملات وب محافظت میشه.

تنظیمات پیشرفته
تنظیمات پیشرفته

پیشنهاد من اینه که همه گزینه‌ها رو فعال کن و بعد از تست، اگه دیدی چیزی روی سایتت درست کار نمی‌کنه، یکی‌یکی غیرفعالش کن تا به تعادل برسی. فایروال این افزونه هم سبکه، هم کاربردی، و می‌تونه امنیت وردپرس رو چند پله بالا ببره بدون اینکه سرعت سایت بیاد پایین.

در کل دیوارهٔ آتش افزونه یه لایه خیلی قوی برای محافظت سایت شماست و وقتی با بروزرسانی‌ها و بکاپ‌های منظم ترکیب بشه، می‌تونه جلوی خیلی از حملات رایج اینترنتی رو بگیره.

جلوگیری از حملات Brute Force در وردپرس

Brute Force همون چیزیِ که همیشه ته ذهن‌مون باید باشه: یه ربات یا آدمِ بد مدام میاد یوزرنیم و پسوردهای مختلف رو امتحان می‌کنه تا بلاخره یکی جواب بده. ساده که بنویسم، وقتی این اتفاق بیفته سرور شما درگیر میشه، حساب‌ها به خطر می‌افتن و احتمال هک بالا میره. برای مقابله با این روش چند تا کار پایه‌ای و مؤثر داریم که اول از همه باید انجام بدی تا از ورود اجباری مهاجم‌ها جلوگیری کنی.

تغییرنام برگه ورود

اول از همه آدرس صفحهٔ ورود‌ت رو عوض کن؛ یعنی به‌جای /wp-login.php یه آدرس اختصاصی بذار. این کار خیلی ساده ولی مؤثره چون اکثر بات‌ها و اسکریپت‌ها دنبال آدرس پیش‌فرض می‌گردن. اگه پلاگین‌هایی مثل میهن‌پنل رو داری که این کار رو خودشون انجام میدن، نیازی به فعال‌کردن دوباره این گزینه توی All In One WP Security نداری.

تغییرنام برگه ورود
تغییرنام برگه ورود

جلوگیری از بروت‌فورس بر اساس کوکی

گزینهٔ جلوگیری از بروت‌فورس بر اساس کوکی یکم پیچیده‌ست: افزونه یک مقدار محرمانه توی کوکی ذخیره می‌کنه و از اون برای اعتبارسنجی استفاده می‌کنه، اما این روش گاهی باعث تداخل میشه و من معمولاً پیشنهاد نمی‌کنم مگر اگر دقیقاً بدونی چی داری انجام میدی.

جلوگیری از بروت‌فورس بر اساس کوکی
جلوگیری از بروت‌فورس بر اساس کوکی

تنظیمات کپچا

کپچا یکی از بهترین راه‌های ساده‌ست؛ کپچا باعث میشه ربات‌ها نتونن فرم لاگین رو خودکار ارسال کنن. پیشنهاد می‌کنم کپچا رو فعال کنی و از حالت‌های ساده و کم‌دردسر استفاده کنی، (مثلاً Simple Math یا reCAPTCHA) تا تجربهٔ کاربری خراب نشه اما امنیت بالا بره.

تنظیمات کپچا
تنظیمات کپچا

لیست سفید ورود

لیست سفید ورود هم داشته باش؛ آی‌پی‌های ثابت خودت یا تیم‌ت رو بذار داخل whitelist تا اگر سیستم یه روز اشتباهی شما رو بلاک کرد، همیشه بتونی وارد شی. همین‌طور اگه دیدی یه آی‌پی خاص مدام تلاش می‌کنه، خیلی راحت از همون بخش بلاکش کن.

لیست سفید ورود
لیست سفید ورود

تشخیص خطای ۴۰۴

الزامی که باید بدونی اینه که قابلیت تشخیص حملهٔ 404 یا flood هم خیلی مفیده. وقتی یه ربات با زدن آدرس‌های تصادفی سرور رو درگیر می‌کنه، این گزینه می‌تونه اون آی‌پی رو برای مثلاً ۶۰ دقیقه بلاک کنه تا منابعت آزاد بشه.

تشخیص خطای ۴۰۴
تشخیص خطای ۴۰۴

هانی‌پات

هانی‌پات هم کار جالبی می‌کنه؛ یه فیلد مخفی به فرم ورود اضافه می‌کنه که کاربر عادی نمی‌بینه، ولی ربات‌هایی که فرم‌ها رو خودکار پر می‌کنن حتماً اون فیلد رو پر می‌کنن و به‌این‌ترتیب فوراً قابل تشخیص و بلاک هستن. هانی‌پات رو حتماً فعال کن چون تقریباً بدون مزاحمت برای کاربر واقعی، خیلی از بات‌ها رو می‌گیره.

هانی‌پات
هانی‌پات

یه نکتهٔ مدیریتی هم هست، تنظیمات فایروال و محدودیت لاگین رو با هم ترکیب کن؛ محدود کردن تعداد تلاش‌ها، قفل موقتی برای آی‌پی‌ها و کپچا در کنار هانی‌پات خیلی قوی عمل می‌کنن. اگر دیدی بعد از فعال‌سازی یه بخش خاصی از سایت یا اپ موبایلت مشکل پیدا کرد، به‌صورت گام‌به‌گام اون گزینه‌ها رو خاموش کن تا بفهمی کدومش باعث تداخل شده. در نهایت لاگ‌ها رو نگاه کن و امتیاز امنیت داشبورد رو بررسی کن تا ببینی تغییرات چه تأثیری داشتن؛ عدد گراف یا درصد مهمه ولی اینکه سایتت واقعی امن بمونه مهم‌تره.

جلوگیری از اسپم در وردپرس

یکی از دردسرهای همیشگی هر سایتی، کامنت‌های اسپم هستن! همون پیام‌های تبلیغاتی و بی‌ربطی که زیر پست‌ها پر میشن از لینک و متن بی‌فایده. توی افزونه All In One WP Security یه بخش مخصوص برای همین موضوع هست که واقعاً عالی کار می‌کنه و باعث میشه دیگه نیازی به پلاگین‌هایی مثل Akismet نداشته باشی.

Comment spam

کافیه وارد قسمت جلوگیری از اسپم (Spam Prevention) بشی و تیک مربوط به فعال‌سازی رو بزنی. این گزینه باعث میشه وقتی کسی می‌خواد توی سایتت کامنت بذاره، سیستم هوشمندانه بررسی کنه که آیا اون کامنت از یه کاربر واقعیه یا یه ربات اسپمر. با فعال شدنش، بیشتر اون کامنت‌های خودکار و تبلیغاتی به‌طور کامل بلاک می‌شن و حتی به لیست انتظار نمی‌رن.

Comment spam
Comment spam

نظارت بر آی پی دیدگاه‌های جفنگ

یه گزینه دیگه هم هست به اسم نظارت بر آی‌پی دیدگاه‌های جفنگ که می‌تونه آی‌پی‌هایی که قبلاً اسپم ارسال کردن رو شناسایی و مسدود کنه. این مورد اختیاریه، ولی اگه بخش دیدگاه‌های سایتت خیلی فعاله، پیشنهاد می‌کنم اونم روشن بذاری تا خیال‌ت راحت‌تر باشه.

نظارت بر آی پی دیدگاه‌های جفنگ
نظارت بر آی پی دیدگاه‌های جفنگ

در کل با همین تنظیم ساده، دیگه لازم نیست دنبال نصب پلاگین‌های جدا برای اسپم باشی. افزونه خودش کارش رو عالی انجام میده، فقط بعد از فعال‌سازی حتماً دکمهٔ ذخیره تنظیمات رو بزن تا همه‌چیز اعمال بشه. بعد از اون، هر وقت رفتی سراغ بخش دیدگاه‌ها، می‌بینی چقدر فضای اونجا تمیزتر شده و دیگه از اون کامنت‌های تبلیغاتی خبری نیست!

اسکن فایل‌ها و بدافزارها

یکی از قابلیت‌های پلاگین امنیتی، بخش اسکن فایل‌ها و بدافزارها است. این قسمت هر چند روز یک‌بار کل فایل‌های سایت رو بررسی می‌کنه و اگه تغییری در پوشه‌ها یا فایل‌ها ایجاد شده باشه بهتون اطلاع می‌ده. اما واقعیتش اینه که برای اکثر سایت‌ها نیازی نیست این قابلیت رو فعال کنید. چون ما مرتب وردپرس، قالب‌ها و پلاگین‌هامون رو آپدیت می‌کنیم و همین باعث می‌شه اسکن‌ها مدام هشدار بدن و شما هم سردرگم بشید که کدوم تغییر عادیه و کدوم مشکوک.

اسکن فایل‌ها
اسکن فایل‌ها

اسکن بدافزار

از طرفی بخش اسکن بدافزار معمولاً کارایی بالایی نداره و ممکنه حتی باعث سنگینی سایت هم بشه. پس پیشنهاد من اینه که این قسمت رو غیرفعال نگه دارید، چون تأثیر خاصی روی امنیت واقعی سایت نداره و فقط باعث مصرف منابع و هشدارهای بی‌مورد می‌شه.

اسکن بدافزار
اسکن بدافزار

ابزارها

بخش ابزارها توی این افزونه یه سری امکانات کاربردی و جالب داره که بیشتر جنبه آموزشی و بررسی امنیتی دارن تا تغییر مستقیم توی سایت.

ابزار گذرواژه

یکی از گزینه‌هاش، بررسی قدرت رمز عبورهست. این ابزار بهتون می‌گه رمزی که وارد کردین چقدر قویه و برای یه کامپیوتر معمولی چقدر طول می‌کشه تا بتونه اون رمز رو حدس بزنه. مثلاً اگه رمزتون «123456» باشه، کمتر از یه ثانیه می‌تونه تشخیصش بده! پس می‌فهمیم باید از رمزهای پیچیده‌تر استفاده کنیم.

ابزار گذرواژه
ابزار گذرواژه

جستجوی WHOIS

یه ابزار دیگه هم داره به اسم جستجوی WHOIS. با این ابزار می‌تونید یه آی‌پی آدرس رو وارد کنید تا اطلاعات صاحب اون آی‌پی براتون بیاد، مثلاً از کجا اومده، به چه شبکه‌ای تعلق داره و حتی موقعیت جغرافیایی تقریبی اون. این ابزار زمانی به کار میاد که مثلاً یه نفر روی سایتتون حمله کرده باشه یا اتک ارسال کرده باشه و بخواین ببینین از کجا بوده. البته توصیه می‌کنم به‌هیچ‌وجه دنبال مقابله یا حمله متقابل نباشید، چون این کار غیرقانونیه.

جستجوی WHOIS
جستجوی WHOIS

همین چند وقت پیش هم یه خبر جالب منتشر شد: یه کاربر بدون اجازه به سایت «دیوار» حمله کرده بود و باعث کلی آگهی تکراری و اختلال توی سیستمشون شده بود. در نهایت هم دادگاه اون شخص رو به پرداخت ۱۸ میلیارد ریال جریمه محکوم کرد. این نشون می‌ده که قانون داره جدی‌تر با حملات سایبری برخورد می‌کنه و بدون اجازه، حتی یه تست ساده امنیتی روی سایت دیگران هم می‌تونه دردسرساز بشه.

سفارشی سازی قوانین .htaccess

در این بخش همچنین یه قسمت داریم به نام سفارشی‌سازی قوانین htaccess که می‌تونید باهاش تنظیمات خاص امنیتی برای سایتتون بنویسید، مثل قفل کردن دسترسی به فایل‌ها یا محدود کردن آی‌پی‌ها.

سفارشی سازی قوانین .htaccess
سفارشی سازی قوانین .htaccess

قفل کردن بازدید

یه گزینه هم هست به اسم قفل کردن بازدید سایت که به‌صورت موقت می‌تونه کل سایت رو ببنده، ولی فعلاً نیازی به استفاده ازش نیست.

قفل کردن بازدید
قفل کردن بازدید

احراز هویت دو عاملی

احراز هویت دو عاملی یا همون 2FA عملاً یه لایهٔ امنیتی اضافه‌ست که جلوی ورودِ کسی رو می‌گیره حتی اگر یوزرنیم و رمزتون لو رفته باشه؛ یعنی از این به بعد دیگه فقط داشتن رمز کافی نیست و برای ورود باید یه کد موقتی هم داشته باشی که معمولاً با اپلیکیشن‌هایی مثل Google Authenticator یا Authy تولید می‌شه.

احراز هویت دو عاملی
احراز هویت دو عاملی

وقتی این قابلیت رو فعال می‌کنی، افزونه All In One WP Security یه کد QR بهت می‌ده که با اپلیکیشن گوشی اسکنش می‌کنی و بعد از اون هر بار که می‌خوای لاگین کنی، علاوه بر یوزر و پسورد باید اون کدی که اپلیکیشن تولید کرده رو هم وارد کنی؛ این کد هر چند ثانیه تغییر می‌کنه و به سختی قابل جعل یا فشینگ هست، بنابراین حتی اگه هکر رمز شما رو داشته باشه بدون دسترسی به گوشی شما کاری از پیش نمی‌بره.

برای فعال‌سازی کار خیلی ساده‌ست: وارد بخش احراز هویت دو عاملی افزونه شو، گزینهٔ فعال کردن رو بزن، کد QR رو با Google Authenticator یا هر اپ TOTP دیگه‌ای اسکن کن و بعد گزینهٔ فعال‌سازی رو کلیک کن. بعد از فعال کردن، حتماً Recovery Code یا کدهای پشتیبان رو یادداشت و در جای امن نگه دار، چون اگه گوشیت رو گم کنی یا اپلیکیشن پاک بشه، بدون این کدها دیگه نمی‌تونی وارد بشی.

یک نکتهٔ مهم دیگه اینکه بهتره احراز هویت دو عاملی رو اول برای حساب‌های مدیر (Administrator) فعال کنی و بعد برای بقیهٔ کاربران؛ فعال‌کردن اجباری 2FA برای همه ممکنه تجربهٔ کاربری رو سخت کنه مخصوصاً برای کاربرانی که آشنایی فنی ندارن، پس اول تست کن و بعد به تدریج اجرا کن. اگر سایتت از سیستم‌هایی مثل میهن‌پنل استفاده می‌کنه، قبل از فعال‌سازی بررسی کن چون بعضی پنل‌ها این قابلیت رو داخلی دارن و فعال‌کردن هم‌زمان ممکنه تداخل ایجاد کنه؛ در این حالت یکی از دو روش رو انتخاب کن تا به هم نزنن.

در عمل 2FA یک حرکت امنیتی کم‌هزینه ولی بسیار مؤثره؛ به‌خصوص برای حساب‌های حساس مثل مدیر اصلی یا حساب‌های مالی و اداری. یادت باشه بعد از فعال‌سازی، یک بار لاگین تست بزن از یک دستگاه دیگه و مطمئن شو همه چیز درست کار می‌کنه، و اگر تیمی هستید حتماً به اعضا آموزش بدی که چطور اپلیکیشن احراز هویت نصب کنن و کدهای پشتیبان رو ذخیره کنن تا در موقع اضطراری سایت قفل نشه.

تداخل تنظیمات امنیتی

یه چیزی که باید حتماً بدونی و خیلیا هم رعایتش نمی‌کنن اینه که تنظیمات امنیتی، مخصوصاً توی افزونه‌هایی مثل All In One WP Security، درست مثل پلاگین‌های کش (مثلاً LiteSpeed Cache یا WP Rocket) می‌تونه با بقیهٔ بخش‌های سایتت تداخل پیدا کنه. یعنی ممکنه شما یه گزینه رو با نیت تقویت امنیت فعال کنی، ولی یه جای دیگه از سایت از کار بیفته، فرم‌ها درست لود نشن یا بعضی درخواست‌ها بلاک بشن. این کاملاً طبیعیه و اصلاً نشونهٔ بدی نیست.

مهم‌ترین کاری که باید انجام بدی اینه که با حوصله و مرحله به مرحله تنظیمات رو فعال کنی. هر بار یه بخش یا یه گزینه رو فعال کن، سایت رو تست کن و مطمئن شو که همه چیز درست کار می‌کنه. اگه یه جا دیدی مثلاً فرم لاگین کار نمی‌کنه، یا افزونهٔ خاصی از کار افتاد، یا اپ موبایل به API وصل نشد، سریع نرو کل پلاگین رو پاک کنی! فقط کافیه موقتاً افزونه رو غیرفعال کنی و ببینی مشکل حل میشه یا نه. اگه حل شد، یعنی منشأ مشکل همین افزونه‌ست. بعدش دوباره افزونه رو فعال کن و یکی‌یکی تنظیماتش رو خاموش کن تا بفهمی دقیقاً کدوم گزینه باعث اختلال شده.

بیشتر وقتا اگه مشکلی پیش بیاد، از بخش فایروال (Firewall) هست، چون اون قسمت دسترسی‌ها و درخواست‌های سایت رو کنترل می‌کنه. مثلاً ممکنه یه درخواست API اشتباه تشخیص داده بشه و جلوی کار یه افزونه گرفته بشه. اما نکته اینجاست که این اتفاق همیشه نمی‌افته و در خیلی از سایت‌ها همه چیز بدون مشکل کار می‌کنه. پس نه باید از فعال کردن تنظیمات بترسی، نه باید یه‌هو همه رو خاموش کنی.

در واقع، امنیت وردپرس مثل تنظیم سیستم دفاعی یه خونه‌ست؛ باید طوری تنظیمش کنی که هم جلوی دزد رو بگیره، هم خودت بتونی راحت در خونه رو باز و بسته کنی. پس با آرامش جلو برو، هر بار تست بزن، و یادت باشه هر مشکلی هم که پیش بیاد، «بدون خون و خون‌ریزی» قابل حل شدنه. فقط کافیه بری از منوی تنظیمات → تنظیمات کلی (General Settings) توی داشبورد وردپرس، اون‌جا می‌تونی همهٔ ویژگی‌ها رو موقتاً از کار بندازی و سایت رو به حالت عادی برگردونی.

همیشه یادت باشه که امنیت یه فراینده، نه یه دکمه. با صبر، آزمون و خطا و بررسی مرحله‌ای، هم امنیت بالا می‌ره، هم سایتت پایدار و سریع باقی می‌مونه.

جمع بندی

در آخر یه نکته خیلی مهم می‌خوام بگم؛ حتماً هوشینا و چتینا رو توی میهن وردپرس دنبال کنین. این دوتا ابزار جدید قراره یه دگرگونی واقعی توی مدیریت سایت‌هاتون ایجاد کنن. ما داریم هر روز روشون کار می‌کنیم و امکاناتی اضافه می‌کنیم که واقعاً کار شما رو راحت‌تر کنه، از تولید محتوا گرفته تا پشتیبانی و فروش.

خود من به‌جرئت می‌تونم بگم که این ابزارها حدود ۷۰ تا ۸۰ درصد زمان روزم رو ذخیره کردن و باعث شدن خیلی از هزینه‌هایی که قبلاً برای تولید محتوا یا مدیریت سایت می‌دادم، حذف بشه. پس اگر دنبال اینی که مدیریت سایتت آسون‌تر، سریع‌تر و هوشمندتر بشه، حتماً پیگیر هوشینا و چتینا باش. هر دوشون از منوی سمت راست توی پیشخوان وردپرس میهن وردپرس در دسترسن.

در نهایت امیدوارم این آموزش بهت کمک کرده باشه تا سایتت رو یه مرحله امن‌تر کنی و با خیال راحت‌تر پیش بری.
شاد، موفق و سربلند باشی 🌱✨

نظر شما در این مورد چیه؟

  1. U381240 ۲۸ مرداد ۱۴۰۴

    برای من هیچ کدوم از اون گزینه های select all و delet رو نمیاره ولی بازم نمیتونم وارد پنل بشم

  2. U380717 ۱۷ خرداد ۱۴۰۴

    ممنون بابت این قلب بزرگتون ❤️

  3. U379014 ۱۱ اردیبهشت ۱۴۰۴

    گزینه salt رو فعال کردم و حالا پنلم باز نمیشه
    پسوردم رو هم با دیتابیس ریست کردم باز نشد
    چجوری این گزینه رو از افزونه غیر فعال کنم

  4. U367237 ۱۸ فروردین ۱۴۰۴

    سلام تمام تنظیمات را طبق گفته شما انجام دادم اما الان برای ویرایش صحفه هام با المنتور به صحفه 404 میخورم چرا؟ لطفا راهنمایی کنید

    • تیم پشتیبانی تیم پشتیبانی ۱۸ فروردین ۱۴۰۴

      لطفاً بررسی کنید که آیا افزونه‌های دیگر با المنتور تداخل دارند یا خیر. همچنین، کش مرورگر و سایت را پاک کنید. اگر مشکل ادامه داشت، ممکن است نیاز به بررسی تنظیمات سرور باشد.

  5. U376084 ۱۳ فروردین ۱۴۰۴

    سلام استاد یه مشکلی دارم من وقتی این افزونه امنیت رو نصب میکنم و تنظیماتش رو اینجوری که شما گفتید تنظیم میکنم دیگه لینک های فارسی سایتم از جمله صفحات محصول و… باز نمیشه و قتی که لینک رو به انگلیسی تغییر میدم صفحه باز میشه نمیدونم مشکل از چیه میشه راهنمایی کنید

  6. U362472 ۱ اسفند ۱۴۰۳

    فوق العاده عمل کردید.
    سپاس

  7. U369487 ۱۱ بهمن ۱۴۰۳

    سلام واقعا عالی هستید ممنون بابت اموزش های عالی تون

  8. U365222 ۱۸ دی ۱۴۰۳

    سلام خسته نباشید دوستان
    من فهمیدم مشکل کجاست ، منم همین مشکل رو داشتم که وقتی طبق ویدیو تنضیمات رو انجام میدیم دیگه وارد سایت نمیشه
    اول از همه ما میاییم قابلیت کیک کردن کاربر بعد 60 دقیقه رو فعال میکنیم و یه آدرس جدید لوگین میدیم اول /wp-admin بوده میزاریم روی wp-login
    بعد 60 دقیقه طبق تنظیمات خودمون میاییم بیرون و وقتی میخواییم لوگین کنیم آدرس قبلی رو میزنیم که خوب ما خودمون عوضش کردیم
    شما باید بعد از این تنضیمات با سرچ اون لوگین جدیدی که وارد کردید وارد بشید ، امیدوام مشکل حل شده باشه

  9. U353398 ۲۵ مهر ۱۴۰۳

    سلام خسته نباشید
    همه ی مراحلی که گفتین تو ویدئو رو انجام دادم ولی آخر ویدئو اجازه دسترسی به سایت رو بست
    پلاگین رو حذف کردم از روی هاست و درست شد دسترسی ها و از روی دیتابیس هم پاک کردم all in one رو ولی همچنان موقع نصب مجدد ارور دسترسی داده میشه باز هم و نمیتونم لاگین شم
    ممنون میشم راهنمایی کنید

    • U357535 ۱۳ آذر ۱۴۰۳

      سلام
      طبق تجربه فهمیدم که دوتا قسمت توی این پلاگین باید غیر فعال باشه حتما تا
      برای سایت مشکلی پیش نیاد:
      هردو توی منوی اول قسمت فایروال هستن:
      1- بستن دسترسی کامل به xmlrpc باید غیر فعال باشه
      2- فعال کردن فیلتر پیشرفته رشته های کاراکتری باید غیر فعال باشه.

    • U357535 ۱۳ آذر ۱۴۰۳

      البته اگر از کاربرد xmlrpc استفاده نمی کنید.

      • U357535 ۱۳ آذر ۱۴۰۳

        اشتباه نوشتم
        اگر از xmlrpc استفاده میکنید مثلا برای جت پک
        غیر فعال باشه
        اگر استفاده نمکنید حتما توقسمت فایروال افزونه، ببندینش چون ایراد امنیتی مهمی حساب میشه

  10. U344923 ۲۲ شهریور ۱۴۰۳

    واقعا افزونه مزخرفیه!

    • U355330 ۸ آبان ۱۴۰۳

      سلام، برای err 403 باید دو تا از گزینه های fir wall غیر فعال کنید.
      php Rules / URL security
      php Rules / String filtering
      سایته من درست شد با غیر فعال کردن این دو تا.

    • U341975 ۱۱ آذر ۱۴۰۳

      لطفا ویدیو آموزشی این مقاله رو آپدیت کنید پلاگین all in one wp security تغییر کرده

  11. U347609 ۱۴ شهریور ۱۴۰۳

    سلام بخدا این افزونه مشکل داره یکی دیگه معرفی کنید وقتی نصب میکنی و تنظیمات انجم میدی دیگه نمیشه وارد سایت شد و هزار مشکل دیگه . فقط من نمیگم که 90 درصد کامنت ها با این افزونه مشکل دارن شاید یه نفر مشکل نداشته باش دلیل نمیشه که همه خرابن فقط اون یه نفر درست و افزونه بدون ایراد لطفا یا بروز کنید این اموزش یا باگ هارو رفع کنید . این همه اموزش خوب میزارید حیفه این یدونه

  12. U349093 ۳ شهریور ۱۴۰۳

    سلام
    خیلی ممنون بخاطر دراختیار گذاشتن این مقاله پربار
    دوستانی که با انجام تنظیمات به ارور 403 برخورد میکنن، باید از قسمت دیوارآتش -> php rules -> گزینه “فیلتر پیشرفته رشته‌های کارکتری” رو غیر فعال کنن تا مشکل برطرف بشه.

    • U352802 ۲۹ شهریور ۱۴۰۳
    • U352802 ۲۹ شهریور ۱۴۰۳

      این گزینه خاموش هست ولی پشتیبان ترب نمیتونه وارد بشه و میگه : هنگام ارسال درخواست به پلاگین ترب در وب‌سایت شما با ارور ۴۰۳ مواجه می‌شویم. لطفا بررسی کنید رنج آی‌پی ترب سفید باشد و کلی مشکل دیگه به نظرم این ویدیو باید یکم دقیق تر بررسی میکرد تمام گزینه های این افزونه رو تا الان تمام مشکلات من زیر سر همین امنیت بوده

  13. U348592 ۲۵ تیر ۱۴۰۳

    سلام وقت بخیر …. ممنون بابت ویدیوهای خیلی خوبتون، امکانش هست یه آپدیت روی این ویدیو داشته باشید؟ الان تیر ماه 1403 هست و بسیاری از آپشن های یان افزونه تغییر کرده ، اگر امکانش هست طبق نسخه جدید آموزش رو مجددا ضبط کنید.
    با تشکر

  14. U323171 ۲۵ تیر ۱۴۰۳

    سلام وقت بخیر
    بعد فعال کردن و مطابق ویدیو تنظیمات رو لحاظ کردم ولی بعضی از لینک محصولاتم خطای 404 میده برای رفع این مشکل باید چیکار کنم؟؟

  15. U347874 ۲۲ تیر ۱۴۰۳

    سلام وقت بخیر
    ممنون از همکاری شما
    من از وقتی که این افزونه رو نصب کردم و تنظیماتش رو انجام دادم دیگه سایتم و پنل وردپرسم بالا نمیاد و این ارور رو میده :
    You do not have permission to access this page. Please log in and try again.
    لطف می کنیدا گر راهنمایی کنید.

  16. U346680 ۲۷ خرداد ۱۴۰۳

    سلام روز بخیر
    من این افزونه رو نصب کردم تا چند وقت اوکی بود ولی الان دیگه موقع ورود به وردپرس با وارد کردن رمز دومرحله ای بهم خطا میده از هاست این افزونه رو پاک کردم ولی مجدد نصب کردم باز این اختلال رو داره ، چطوری تنظیماتش رو از دیتابیس پاک کنم دوباره از اول نصب کنم ؟ اسم این افزونه رو داخل php پیدا نمیکنم

  17. U341982 ۲۰ فروردین ۱۴۰۳

    سلام جناب راد، من ۱ ماهه مشغول ساخت سایتمم و از یوتیوب شمارو پیدا کردم، میخاستم وقتی تمام و کمال تموم شد سایتم ازتون تشکر کنم ولی بعد از دیدن این صفحه مجاب شدم همین الان حس خوب و قدردانیمو با شما و تیمتون در میون بزارم. من هنر خوندم و اصلا دانشی از کامپیوتر ندارم اما الان یک سایت پروفشنال دارم که مدیون شمام🥲🥲
    واقعا نمیدونم چجوری ازتون تشکر کنم فقط شمارو به تمام دوستانم معرفی کردم و سابسکرایبرتون شدن. بی نهاااایت ممنونم از زحمتتون و توضیحات دقیق و جامع.
    بااینکه ویدیو برای الان قدیمیه ولی تمام نکات رو ریز به ریز گقتین فقط الان جای قرار گیری اپشنها کمی تغییر کرده بود وگرنه اموزش شما جامع و کامل بود
    خدا نگهدارتون باشه در همه ی امور

  18. U341923 ۱۹ فروردین ۱۴۰۳

    سلام. وقتتون بخیر.
    من از این افزونه استفاده می کنم ولی با اینکه گزینه های پرداخت مهمان تو ووکامرس رو فعال کردم ، باز هنگام خرید کاربر مهمان ، ارور میده و کاربر نمی تونه هزینه محصول رو پرداخت کنه. این مشکل با غیر فعال کردن این افزونه حل شد و تداخل داشت . ولی گفتم از افزونه استفاده کنم و شاید گزینه ای رو غیرفعال کنم درست بشه.چیکار کنم ؟ ممنون میشم راهنماییم کنید. باتشکر از وبسایت خوبتون.

  19. U341167 ۷ فروردین ۱۴۰۳

    سلام وقتتون بخیر
    تموم تنظیماتی که گفتین رو انجام دادم ولی ویرایش با المنتور برای برگه ها برام باز نمیشه و خطا میده. با غیرفعال کردن افزونه درست میشه.
    مشکل از کدوم بخش و تنظیماته؟

  20. U340408 ۲۱ اسفند ۱۴۰۲

    درود
    همه آموزش ها بی شک یکی از بهترین و کاربردی ترین برنامه های آموزشی بو د که تا حالا دیدم
    خدا قوت و سپاسگزارم

  21. U338893 ۱۶ اسفند ۱۴۰۲

    سلام ممنونم از اموزش خوب تون، ولی خدایی اموزش بروز کنید افزونه تغییراتی داشته

    • U338893 ۱۸ اسفند ۱۴۰۲

      سلام مجدد ، با اموزش شما جلو میرم یه سری چیزها جا به جا شده تنظیمات که انجام میدم هر چند وقت یک بار میگه دسترسی به toneka-group.irرد شد، لطفا کمکم کنید، نمیذاره وارد پنل بشم

  22. U320598 ۲ اسفند ۱۴۰۲

    وقتتون بخیر
    من گزینه salt فعال کردم و الان بهم میخوام وارد صفحه پیشخوان بشم ۴۰۳ میده حالا با پشتیبانی هاست مشکل حل شد اما الان مجدد فعالش میونم افزونه رو مجدد خطای ۴۰۳ میده؟

    • U328648 ۲۹ اسفند ۱۴۰۲

      سلام ، برای من هم همینطوره، شما حلش کردین؟

    • U343296 ۱۳ اردیبهشت ۱۴۰۳

      سلام من الان افزونه رو نصب کردم تاریخ۱۴۰۳/۲/۱۳خیلی از قسمت های افزونه تغییراتی پیدا کرده و خیلی قسمت ها رو نداره.اون چیزایی ک داخل افزونه بود رو طبق آموزش انجام دادم بازم مچکرم از تیم شما🌸😇

  23. U338910 ۲۸ بهمن ۱۴۰۲

    شما عالی هستین نمیدونید چقدر نیاز داشتم به این آموزش ها واقعا دمتون گرم

  24. U338360 ۲۳ بهمن ۱۴۰۲

    سلام خسته نباشید
    توی تنظیمات بورت فورث زمانی که قابلیت تغییر آدرس ورود به وبسایت رو فعال میکنم کاربرا برای وارد شدن به پنل کاربری مشکل پیدا میکنن و ارور redirected you too many times رو برای ورود به پنل کاربری میده

  25. U329250 ۱۳ بهمن ۱۴۰۲

    سلام ببخشید
    من وقتی افزونه رو نصب میکنم نمی تونم وارد پنل کاربری بشم چون به یک آدرس آیپی هدایت می کنتم

  26. U334991 ۱۳ بهمن ۱۴۰۲

    یه سوال خیلی مهم و تخصصی از آقای راد
    آیا با استفاده همزمان All In One WP Security و افزونه Wordfence موافقید؟
    بنظرتون مشکلی پیش نمیاد؟

  27. U337796 ۱۱ بهمن ۱۴۰۲

    سلام و درود ، وقت بخیر ، آیا این افزونه توی تنظیماتش بخشی داره که نوار پیشخوان وردپرس رو به مشتری ها نشون نده !؟
    من سایتم نوار پیشخوان وردپرس رو به مشتری وارد شده به سایت نمایش میده !
    یا افزونه دیگه ای باید نصب کنم ؟
    ممنون میشم راهنماییم کنین

  28. U337796 ۸ بهمن ۱۴۰۲

    سلام و درود این افزونه رو نصب میکنم انگلیسی روی سایتم نصب میشه و چند بار تستش کردم از وردپرس فارسی هم جدا دانلود کردم باز فارسی نمیشه ! چه جوری فارسیش کنم اصن میشه آیا ؟

  29. U337303 ۸ بهمن ۱۴۰۲

    سلام استاد عزیز
    اول تشکر میکنم بابت اینکه کمکم کردید بتونم سایت ام رو بسازم . و در باره این آموزش خیلی خوب داشتم پیش می رفتم و تنظیمات افزونه رو همون طور که شما عرض کردید تنظیم میکردم که یکهو از سایت به کل پرت شدم بیرون و با خطای 403 رو به شدم و با کلی اعصاب خوردی و تیکت زدن بلاخره سایتم بالا اومد . من الان این افزونه رو حذف کردم و می خواهم دوباره نصب اش کنم لطفا راهنمایی ام کنید کدوم بخش و گزینه رو فعال نکنم تا دوباره اتفاق نا خوشایند نیفته؟

    • Reza Rad رضا راد ۸ بهمن ۱۴۰۲

      سلام سپاس از شما. بستگی به سایت شما داره باید ببینید سری قبل با کدوم گزینه این خطا رخ داده

      • U337303 ۱۱ بهمن ۱۴۰۲

        دوباره یک موردی دیگه ای پیش اومد من اومدم دوباره این افزونه رو فعال کنم و به محض فعال کردنش دوباره سایتم خراب شدو خطای 403 داد . الان مشکل کارم از کجاست؟

        • Reza Rad رضا راد ۱۲ بهمن ۱۴۰۲

          تو سایت سرچ کنید خطای ۴۰۳ آموزشش میاد

          • U365222 ۱۵ دی ۱۴۰۳

            سلام من با توجه به آموزش 403 و تغییر کد دسترسی ها هم نتونستم این مشکل رو حل کنم و فقط وقتی مشکل رفع میشه که خود پلاگین رو حذف یا اسمشو عوض کنیم ، و مشکل اصلی تر اینه که بعد از تنظیمات اول و پاک کردن پلاگین و رفع مشکل و وارد شدن به پیشخوان و نصب دوباره افزونه ، به محض نصبش خطای 403 میاد بالا ، یعنی حتی فرصت تغییر تنضیمات فایروال داده نمیشه تا اون گزینه ها رو خاموش روشن کرد ! الان چه میشه کرد ؟

  30. U333496 ۷ بهمن ۱۴۰۲

    درست نشد با دوتا مختلف امتحان کردم

  31. U333496 ۴ بهمن ۱۴۰۲

    سلام استاد من افزونهall in one security رو نصب کردم اما صفحات سابتم 404 شده.فایر وال رو غیر فعال کردم درست نشد.چیکار کنم؟

    • Reza Rad رضا راد ۴ بهمن ۱۴۰۲

      سلام با ای پی دیگری تست کنید احتمالا درسته

    • U394294 ۱۶ مهر ۱۴۰۴

      سلام وقت بخیر
      مشکلی با این افزونه دارم
      تمام مراحل دقیق انجام دادم تنها مشکلی که دارم در پیشخوان مشتری زمانی که لینک ثبت نشانی میزنه صفحه باز نمیکنه و زمانی که این افزونه غیرفعال میکنم صفه ثبت نشانی با میشه مشکل چیه

      • Reza Rad رضا راد ۲۰ مهر ۱۴۰۴

        سلام ثبت نشانی رو نمیدونم با چی اضافه کردین ولی ظاهرا افزونه ای که براش استفاده کردید با این افزونه تداخل داره

  32. U336783 ۲۶ دی ۱۴۰۲

    سلام استاد بزرگ….من بد از نصب این افزونه انجام مراحل.سایتم دچار مشکل شد و دسترسی به برگه های سبد خرید فروشگاه و وبلاگ ندارم
    اگر میشه راه حل بگید ممنون

    • Reza Rad رضا راد ۲۶ دی ۱۴۰۲

      سلام مشکل از این افزونه نمیتونه باشه چون کاری با برگه های سبد خرید و تسویه حساب نداره

      • U374102 ۲۰ اسفند ۱۴۰۳

        مال منم اینجوری شده وجدانن اموزش جدید بدید خیلی ها توی ارور 404 و 403 به شخص خودم مشکل دارم ، دسترسی به خیلی از محصولاتم و وبلاگم ندارم حتی مشتریهام ، ارور 403 میده

  33. U336408 ۱۶ دی ۱۴۰۲

    بهترین مقاله در مورد این افزونه رو خوندم
    ممنون از استاد راد و همکارانشون

  34. U334637 ۲۹ آذر ۱۴۰۲

    سلام طبق توضیحاتتون برا فعال سازی امنیت عمل کردم ولی وقتی خواستم ابزار های پلاگین امنیت را باز کنم من رو از سایت انداخت بیرون و حالا بعد ۱۶ ساعت خواستم وارد بشم ولی اخطار داد و چن بار سرچ کردم حالا دوباره ادرس سایتم رو نشون نمیده اصلا
    چه کاری انجام بدم

  35. U332963 ۲۱ آذر ۱۴۰۲

    سلام. من در هر بار نصب و فعالسازی افزونه طبق دستورالعمل آموزش عمل میکنم و هربار پس از اتمام فعالسازی از سایت اخراج میشم و دسترسیم به پنل مدیریت قطع میشه. از طریق غیرفعالسازی افزونه توی هاست با تغییر نامش، میتونم وارد پنل مدیریتی خودم بشم. از اونجا افزونه رو حذف کردم و نصب مجدد کردم و بصورت دقیق طبق آموزه عمل کردم ولی باز هم اخراج شدم و اکسز دینای پیام میده، دوباره از طریق پنل هاست اقدام به غیرفعالسازی کردم و این داستان تکرار شد.
    چکار کنم ؟

    • Reza Rad رضا راد ۲۲ آذر ۱۴۰۲

      سلام یوزر شما توی افزونه بلاک شده باید از دیتابیس اول حذف کنید اطلاعاتش رو یا اینکه صبر کنید ۲۴ ساعت سپس دوباره نصب کنید.

  36. U330780 ۱۹ آذر ۱۴۰۲

    پس از نصب پلاگین هر چند مدت با یک سری مشکل مواجه میشوم .در ابتدا ارور ۴۰۴ ظاهر مشد. بعدا توی سرچ کنسول صفحات محصول ارور سرور ۵xx . میداد .غیر فعال کردم درست شد . تنظیمات رو هم از روی فیلم انجام دادم . کجا را اشتباه کردم

    • Reza Rad رضا راد ۲۰ آذر ۱۴۰۲

      این خطاها مربوط به این پلاگین نمیتونه باشه. دلیل هر کدوم رو توی سایت توضیح دادیم سرچ بفرمایید.

  37. U333385 ۱۸ آذر ۱۴۰۲

    سلام خسته نباشین تو قسمت تنظیمات بیشتر قسمت salt رو که فعال کردم دیگه دسترسی به سایتم ندارم یعنی وردپرس سابتم بالا نمیاد هرکاری کردم با ایپی های متفاوت چیشده برای شماهم تو ام.زس اینجوری شد الان ۱روز شده چیکار باید بکنم

  38. U328675 ۸ آذر ۱۴۰۲

    سلام استاد وقت به خیر
    استاد خواهش میکنم تو سایت برتر بصدرت جامع تر در مورد این پلاگین توضیح بدین و عملی انجام بدین.
    از کامنت ها استنباط میشه نصب این پلاگین در بخش هایی ممکنه مشکلاتی ایجاد کنه و در عین حال وجودش هم خیلی لازم و ارزشمنده لطفا واضح تر و عملی انجام بدین توی دوره.
    ممنونم،ممنونم، ممنون

    • Reza Rad رضا راد ۱۱ آذر ۱۴۰۲

      سلام قطعا آموزش میدیم صبر کنید.

      • U336580 ۱۹ دی ۱۴۰۲

        سلام
        آیا افزونه all in one security با افزونه really simple ssl تداخل ایجاد میکنه (چون یکسری تنظیمات امنیتی مشابه دارن) ؟ یا اینکه در کل به عنوان افزونه مهم نیاز هست really simple ssl در کنار all in one security نصب بشه؟

        • Reza Rad رضا راد ۱۹ دی ۱۴۰۲

          سلام خیر مشکلی نداره. بله اگر ssl سایت شما خطا داره نیازه نصب بشه اگر خیر نیازی نیست نصب کنید.

  39. U333450 ۲۸ آبان ۱۴۰۲

    Access to clinic-sanatab.com was deniedYou don’t have authorization to view this page.
    HTTP ERROR 403
    این ارور میاد

پشتیبان
گفتگو با تیم فروش در حال حاضر آفلاین هستیم. لطفاً پیام بگذارید تا در اولین فرصت پاسخ دهیم.

در حال بارگذاری...

سوالی درباره محصولات سایت دارید؟ از ما بپرسید.