آموزش افزونه All In One WP Security & Firewall

قبلا شما را با افزونه All in One WP Security آشنا کردیم. دیدیم که این افزونه در عین ساده بودن و بی‌دردسر بودن، امکانات فوق‌العاده‌ای در اختیار ما قرار می‌دهد تا بتوانیم سایت وردپرسی‌مان را از همیشه امن‌تر کنیم. حالا در این مقاله قصد داریم شما را با نحوه تنظیم کردن این افزونه و استفاده حداکثری از قابلیت‌های آن آشنا کنیم. پس بیایید آموزش افزونه All In One WP Security & Firewall را شروع کنیم.

ویدیوی زیر در تاریخ ۴ شهریور ۱۳۹۴ ضبط شده و کیفیت بالایی ندارد. ویدیوی بالا پیشنهاد می‌شه. برای یادگاری هم که شده حذفش نمی‌کنیم. 😁

تاریخ ضبط ویدیو: ۴ شهریور ۱۳۹۴

اگر بخوایم مقایسه کنیم، افزونه‌هایی مثل Wordfence هم گزینه‌های خوبی هستن، اما تجربه‌ی ما نشون داده که All In One WP Security عملکرد سبک‌تر و پایدارتری داره، بدون اینکه روی سرعت سایت تأثیر منفی بذاره. علاوه بر این، رابط کاربری واضح و بخش‌بندی دقیقش باعث میشه حتی افرادی که تازه با وردپرس کار می‌کنن هم بتونن به‌راحتی تنظیمات امنیتی سایتشون رو انجام بدن.

در این آموزش قراره گام‌به‌گام یاد بگیریم چطور این افزونه رو روی سایت نصب کنیم، بخش‌های مختلف تنظیماتش رو بررسی کنیم و ازش برای افزایش امنیت وردپرس استفاده کنیم. نسخه‌های جدید این پلاگین تغییراتی در ظاهر و منوها داشتن و به پیشنهاد کاربران، تصمیم گرفتیم آموزش رو به‌صورت به‌روز و دقیق منتشر کنیم تا شما هم بتونید از آخرین قابلیت‌هاش بهره ببرید. بریم سراغ نصب و راه‌اندازی All In One WP Security & Firewall تا قدم‌به‌قدم امنیت سایتتون رو به سطح بالاتری برسونیم.

نصب افزونه All In One WP Security & Firewall

برای شروع کار با افزونه All In One WP Security & Firewall، ابتدا باید اون رو روی سایتتون نصب کنید. این افزونه درست مثل بقیه افزونه‌های وردپرسی نصب میشه و هیچ پیچیدگی خاصی نداره. کافیه وارد پیشخوان وردپرس بشید، از منوی سمت راست روی گزینه «افزونه‌ها» کلیک کنید و بعد «افزودن» رو بزنید. حالا در قسمت جستجو، عبارت All In One WP Security یا فقط «security» رو تایپ کنید تا افزونه در نتایج براتون ظاهر بشه.

اسم کامل این افزونه معمولاً به‌صورت All In One WP Security & Firewall نمایش داده میشه و آیکن آبی رنگی داره. بعد از اینکه پیداش کردید، روی دکمه‌ی «نصب» کلیک کنید و بعد از چند لحظه، گزینه‌ی «فعال‌سازی» رو بزنید تا افزونه روی سایت شما فعال بشه. به محض فعال شدن، گزینه‌ی جدیدی با عنوان امنیت وردپرس یا WP Security به منوی مدیریت وردپرس اضافه میشه که از طریق اون می‌تونید وارد تنظیمات اصلی افزونه بشید.

این افزونه یکی از کارآمدترین ابزارهایی هست که می‌تونه امنیت سایت وردپرسی شما رو چندین برابر کنه. بعد از نصب، به‌صورت کاملاً خودکار شروع به بررسی تنظیمات امنیتی سایت می‌کنه و بخش‌هایی مثل امنیت صفحه ورود، محافظت از فایل‌های مهم وردپرس، امنیت حساب کاربری و دیتابیس رو پوشش میده. شما بدون نیاز به هیچ دانش فنی خاصی می‌تونید با چند کلیک ساده سطح امنیت سایتتون رو بالا ببرید.

اگر در نصب افزونه با خطایی مواجه شدید، جای نگرانی نیست؛ نصب افزونه در وردپرس همیشه از همین مسیر انجام میشه و در صورت نیاز می‌تونید از آموزش نصب افزونه در وردپرس کمک بگیرید. بعد از اینکه افزونه نصب و فعال شد، فقط کافیه روی گزینه‌ی «امنیت وردپرس» کلیک کنید تا وارد صفحه‌ی اصلی تنظیمات بشید و از اونجا قدم‌به‌قدم به سراغ بخش‌های مختلفش بریم.

آشنایی با داشبورد افزونه

بعد از اینکه مراحل نصب و راه‌اندازی سریع تموم شد، اولین بخشی که واردش می‌شید داشبورد (Dashboard) افزونه هست. این صفحه درواقع مرکز کنترل و دید کلی شما روی وضعیت امنیتی سایته. در نگاه اول شاید به‌نظر برسه که تنظیمات خاصی برای انجام دادن وجود نداره، اما همین بخش اطلاعات بسیار مهمی درباره امنیت فعلی سایتتون نمایش میده.

در صفحه داشبورد می‌تونید میزان امنیت کلی سایت رو به‌صورت عددی و گرافیکی ببینید. افزونه بر اساس گزینه‌هایی که فعال یا غیرفعال کردید، به سایت شما امتیاز امنیتی میده. هرچقدر این امتیاز بالاتر باشه، یعنی سایتتون از لحاظ تنظیمات امنیتی در وضعیت بهتری قرار داره.

همچنین در همین بخش، خلاصه‌ای از بخش‌های مهم افزونه مثل فایروال، تنظیمات ورود، حفاظت از فایل‌ها، و پایگاه داده نمایش داده میشه تا بتونید با یک نگاه متوجه بشید کدوم قسمت‌ها فعال هستن و کدوم هنوز نیاز به تنظیم دارن. مثلاً اگر گزینه‌ای غیرفعال باشه، در این صفحه به‌صورت هشدار مشخص میشه تا سریع‌تر اون رو بررسی و فعال کنید.

به‌طور کلی، داشبورد افزونه All In One WP Security بیشتر جنبه‌ی نمایش وضعیت و نظارت داره، نه تنظیمات. یعنی در این بخش لازم نیست چیزی تغییر بدید، فقط می‌تونید عملکرد بخش‌های مختلف افزونه رو ببینید و تصمیم بگیرید در ادامه روی کدوم قسمت‌ها تمرکز بیشتری داشته باشید.

اگر سایتتون تازه راه‌اندازی شده یا هنوز همه‌ی قابلیت‌های امنیتی رو فعال نکردید، پیشنهاد میشه از همین صفحه، لینک‌های سریع به بخش‌های مختلف مثل User Accounts، Login Security، و Firewall رو دنبال کنید تا قدم‌به‌قدم امنیت سایتتون کامل‌تر بشه.

بخش تنظیمات افزونه

بعد از داشبورد، نوبت به بخش تنظیمات (Settings) می‌رسه. این قسمت یکی از مهم‌ترین بخش‌های افزونه است چون از اینجا می‌تونید کنترل کلی روی فایل‌ها و ساختار امنیتی وردپرس داشته باشید. بیشتر تغییرات اصلی افزونه از همین بخش انجام میشه، اما خوشبختانه محیطش کاملاً ساده و قابل‌فهم طراحی شده تا کاربران تازه‌کار هم بدون نگرانی بتونن ازش استفاده کنن.

فایل .htaccess

در اولین تب تنظیمات، با گزینه‌ی مربوط به فایل .htaccess روبه‌رو می‌شید. این فایل یکی از حساس‌ترین فایل‌های وردپرسه چون وظیفه‌ی کنترل سطح دسترسی به بخش‌های مختلف سایت رو داره. هر تغییری در این فایل می‌تونه روی امنیت و عملکرد سایت تأثیر بذاره، به همین خاطر افزونه All In One WP Security اینجا به شما امکان میده از فایل htaccess نسخه‌ی پشتیبان (Backup) بگیرید یا در صورت نیاز اون رو بازیابی (Restore) کنید.

در واقع، این افزونه هیچ تغییری خودکار روی این فایل اعمال نمی‌کنه مگر اینکه شما شخصاً تنظیمی رو فعال کنید که مستقیماً به فایل htaccess مربوط بشه. بنابراین اگر به‌تازگی افزونه رو نصب کردید، بهترین کار اینه که همین ابتدا یک نسخه پشتیبان از فایل htaccess تهیه کنید تا اگر بعداً تغییری باعث خطا در سایت شد، بتونید خیلی سریع اون رو به حالت اولیه برگردونید.

به‌صورت خلاصه، در این بخش کاری نیاز نیست انجام بدید جز گرفتن بکاپ از فایل و اطمینان از اینکه تنظیمات اولیه درست ذخیره شدن. این کار ساده اما بسیار مهمه، چون فایل htaccess مثل قفل درِ ورودی سایت شماست و اگر درست ازش محافظت نکنید، ممکنه باعث بروز مشکلات امنیتی یا حتی خطا در بارگذاری سایت بشه.

پشتیبان‌گیری از فایل wp-config در تنظیمات افزونه

در ادامه‌ی بخش تنظیمات، به قسمت مربوط به فایل wp-config.php می‌رسیم. این فایل یکی از مهم‌ترین و حیاتی‌ترین فایل‌های وردپرسه، چون اطلاعات اصلی سایت از جمله مشخصات پایگاه داده (Database)، کلیدهای امنیتی، و تنظیمات پایه در اون ذخیره میشه.

افزونه All In One WP Security در این قسمت گزینه‌ای برای گرفتن نسخه‌ی پشتیبان از فایل wp-config در اختیارتون می‌ذاره. با یک کلیک می‌تونید از این فایل بکاپ بگیرید تا اگر به هر دلیلی در آینده تغییری در اون ایجاد شد یا سایت با خطایی مواجه شد، بتونید نسخه‌ی سالم قبلی رو برگردونید.

با این حال، از اونجایی که معمولاً بیشتر مدیران سایت‌ها به‌صورت منظم از کل سایت خودشون (شامل تمام فایل‌ها و دیتابیس) بکاپ می‌گیرن، نیازی نیست حتماً از این گزینه جداگانه استفاده کنید. این قابلیت بیشتر برای مواقعیه که بخواید به‌سرعت فقط از فایل‌های اصلی وردپرس نسخه‌ی پشتیبان بگیرید بدون اینکه بخواید کل سایت رو دانلود کنید.

پس اگر سیستم پشتیبان‌گیری منظم دارید (چه از طریق هاست، چه با افزونه‌هایی مثل UpdraftPlus یا Duplicator)، نیازی نیست وقتتون رو صرف این گزینه کنید. اما اگه هنوز سیستم بکاپ خودکار ندارید، پیشنهاد میشه حداقل از همین بخش یه نسخه پشتیبان از فایل wp-config بگیرید تا در مواقع اضطراری بتونید سایت رو سریع‌تر بازیابی کنید.

حذف تنظیمات افزونه پس از پاک‌سازی

در آخرین قسمت از بخش تنظیمات، گزینه‌ای با عنوان حذف تنظیمات افزونه هنگام پاک‌سازی (Delete Settings Upon Plugin Deactivation or Removal) دیده میشه. این گزینه تعیین می‌کنه که وقتی افزونه All In One WP Security رو از سایت حذف می‌کنید، آیا تمام تنظیمات و اطلاعات ذخیره‌شده در دیتابیس هم حذف بشن یا باقی بمونن.

به‌صورت پیش‌فرض، این گزینه غیرفعاله، یعنی اگر افزونه رو حذف کنید، تنظیمات امنیتی و داده‌های مربوط به اون همچنان داخل دیتابیس وردپرس باقی می‌مونه تا اگر بعداً دوباره افزونه رو نصب کردید، نیازی به تنظیم مجدد همه‌چیز نداشته باشید. اما اگر این گزینه رو فعال کنید، با حذف افزونه تمام داده‌ها، گزارش‌ها و تنظیماتش به‌طور کامل از بین میره.

معمولاً نیازی به فعال کردن این گزینه نیست، چون ممکنه بعداً بخواید افزونه رو مجدد نصب کنید و دوست دارید تنظیمات قبلی باقی بمونن. بنابراین بهتره این بخش رو بدون تغییر رها کنید و فقط زمانی ازش استفاده کنید که تصمیم قطعی دارید افزونه رو برای همیشه از سایت حذف کنید.

در کل، بخش تنظیمات افزونه All In One WP Security بیشتر برای تهیه نسخه‌ی پشتیبان از فایل‌های اصلی و کنترل نحوه‌ی ذخیره‌سازی داده‌ها در نظر گرفته شده و نیازی به تغییر مداوم در اون نیست. بعد از اینکه این تنظیمات رو بررسی کردید، می‌تونید با خیال راحت سراغ بخش‌های اصلی‌تر و کاربردی‌تر افزونه برید تا امنیت سایتتون رو گام‌به‌گام افزایش بدید.

اطلاعات نگارش وردپرس

وقتی سایت وردپرسی شما نسخه دقیق وردپرس رو توی سورس HTML نشون می‌ده، هر کسی می‌تونه با یه نگاه به سورس صفحه بفهمه از چه نسخه‌ای استفاده می‌کنید. این اطلاعات معمولاً به‌صورت یه تگ به اسم generator داخل بخش head صفحه قرار می‌گیره. هکرها و ربات‌هایی که دنبال سایت‌های آسیب‌پذیر می‌گردن معمولاً اول از همه همین اطلاعات رو جمع‌آوری می‌کنن. چون اگه یه نسخه خاص از وردپرس حفره امنیتی شناخته‌شده‌ای داشته باشه، خیلی راحت‌تر می‌تونن اون سایت‌ها رو هدف بگیرن. برای همین، هر چی اطلاعات فنی کمتری از سایت در دسترس باشه، مسیر حمله برای مهاجم سخت‌تر می‌شه و این خودش یه لایه ساده ولی مفید از امنیته.

غیرفعال کردن نمایش نسخه وردپرس کار خاصی نداره و هیچ تأثیر منفی هم روی عملکرد سایت نمی‌ذاره. با این کار فقط اون تگ generator از خروجی صفحات حذف می‌شه و دیگه بازدیدکننده‌ها یا ابزارهای اسکن خودکار نمی‌تونن به‌راحتی بفهمن سایت شما از چه نسخه‌ای استفاده می‌کنه. البته باید بدونید که این کار به‌تنهایی سایت رو امن نمی‌کنه و فقط نوعی پنهان‌کاریه. یعنی باعث می‌شه اطلاعات کمتری در دسترس باشه، ولی امنیت واقعی از طریق به‌روزرسانی منظم وردپرس، افزونه‌ها و قالب‌ها، داشتن فایروال قوی و بکاپ‌گیری منظم به دست میاد. بهترین حالت اینه که همه این کارها رو با هم انجام بدید؛ یعنی نسخه وردپرس رو پنهون کنید، سایت رو همیشه به‌روز نگه دارید، بکاپ بگیرید و فایروال و ورود امن رو هم فعال کنید.

یه نکته دیگه اینه که بعضی قالب‌ها یا افزونه‌ها ممکنه نسخه وردپرس رو توی جاهای دیگه مثل فایل‌های CSS، JS یا حتی فید RSS نشون بدن. پس بهتره بعد از حذف تگ generator یه بار سورس صفحه و بقیه بخش‌ها رو هم بررسی کنید تا مطمئن بشید هیچ‌جا نسخه وردپرس نمایش داده نمی‌شه.

اگه از افزونه All In One WP Security استفاده می‌کنید، این افزونه خودش گزینه‌ای داره که با فعال کردنش، تگ generator از خروجی صفحات حذف می‌شه. ولی اگه بخواید دستی این کار رو انجام بدید، فقط کافیه یه خط کد ساده به فایل functions.php قالب‌تون یا حتی یه پلاگین اختصاصی کوچیک اضافه کنید. اون خط کد اینه:

remove_action('wp_head', 'wp_generator');

بعد از اینکه کد رو اضافه کردید، یه بار صفحه اصلی سایت رو باز کنید، روی View Source بزنید و مطمئن بشید که تگ generator دیگه وجود نداره. این کار ساده‌ست، هزینه خاصی هم نداره و باعث می‌شه هکرها یه‌ذره سخت‌تر بتونن هدف‌گیری کنن، ولی هیچ‌وقت جایگزین امنیت واقعی نیست. همیشه یادتون باشه که آپدیت، بکاپ و فایروال مهم‌ترین بخش‌های امنیت سایت هستن.

درون‌ریزی و برون‌ریزی

حالا بریم سراغ درون‌ریزی و برون‌ریزی تنظیمات افزونه All In One WP Security. این افزونه یه قابلیت خیلی کاربردی داره که می‌تونید تنظیماتی که روی یه سایت انجام دادید رو خروجی بگیرید و روی یه سایت دیگه وارد کنید. مثلاً فرض کنید یه سایت رو کامل تنظیم کردید و همه چیزش امنه. حالا می‌خواید دقیقاً همین تنظیمات رو روی چند تا سایت دیگه هم اعمال کنید. لازم نیست دوباره همه گزینه‌ها رو یکی‌یکی تنظیم کنید، فقط کافیه از سایت اول یه فایل خروجی بگیرید و اون رو روی سایت بعدی درون‌ریزی کنید. با این روش هم کلی زمان صرفه‌جویی می‌شه، هم احتمال خطا پایین میاد.

فقط باید دقت کنید نسخه افزونه توی هر دو سایت یکی یا حداقل خیلی نزدیک به هم باشه، چون اگه گزینه‌ها تغییر کرده باشن ممکنه بعضی تنظیمات درست منتقل نشن. یه نکته مهم دیگه اینه که اگه تنظیمات شامل مسیرهای خاص یا داده‌های سریالی‌شده باشن، بعد از درون‌ریزی حتماً یه بررسی سریع انجام بدید تا مطمئن بشید همه چیز درسته. قبل از درون‌ریزی هم همیشه از سایت مقصد بکاپ کامل بگیرید تا اگه مشکلی پیش اومد بتونید برگردید. اگه هم سایت اصلیه و فعال، بهتره اول همه چیز رو توی محیط تست امتحان کنید تا مطمئن بشید تنظیمات به‌درستی منتقل شدن.

در کل این قابلیت Import و Export افزونه، ابزار خیلی خوبی برای مدیریت امنیت چند سایت با تنظیمات یکسانه و کار رو خیلی راحت‌تر می‌کنه. فقط حواستون به نسخه افزونه و بکاپ گرفتن باشه تا انتقال تنظیمات بدون دردسر انجام بشه.

تنظیمات پیشرفته

در قسمت تنظیمات پیشرفته (Advanced Settings) افزونه All In One WP Security، گزینه‌هایی برای نحوه‌ی شناسایی و ثبت آی‌پی کاربران وجود داره. این بخش شاید در نگاه اول کمی فنی به‌نظر برسه، اما در واقع هدفش اینه که افزونه بتونه آدرس IP بازدیدکنندگان یا مهاجمان رو به‌درستی تشخیص بده تا در صورت نیاز، اون‌ها رو مسدود کنه.

وردپرس در سایت‌های مختلف ممکنه پشت سر چند نوع سرور یا لایه‌ی امنیتی مثل Cloudflare یا CDN قرار گرفته باشه. در چنین شرایطی، گاهی آدرس IP واقعی کاربر در لاگ‌های وردپرس اشتباه تشخیص داده میشه و افزونه ممکنه آی‌پی سرور میانی رو ثبت کنه، نه آی‌پی واقعی بازدیدکننده. برای همین، All In One WP Security گزینه‌هایی در اختیار شما قرار میده تا تعیین کنید از چه روشی برای شناسایی IP استفاده بشه.

وقتی وارد این بخش میشید، افزونه چند مدل مختلف برای شناسایی آی‌پی نشون میده. شما باید بررسی کنید کدوم روش در سایت شما به‌درستی عمل می‌کنه. برای این کار، خیلی ساده در گوگل عبارت What is my IP رو جستجو کنید تا آی‌پی فعلی خودتون رو ببینید، بعد اون عدد رو با مقداری که افزونه در تنظیمات پیشرفته نشون میده مقایسه کنید. اگر آی‌پی نمایش‌داده‌شده با آی‌پی واقعی شما یکی بود، یعنی تنظیمات فعلی درسته و نیازی به تغییر نداره. اما اگر متفاوت بود، می‌تونید بین گزینه‌های موجود جابه‌جا بشید تا حالتی رو پیدا کنید که آی‌پی درست نمایش داده بشه.

دلیل اهمیت این موضوع اینه که افزونه برای مسدود کردن کاربران مشکوک، آی‌پی اون‌ها رو در لیست سیاه ذخیره می‌کنه. حالا اگر آی‌پی واقعی درست شناسایی نشه، ممکنه کاربر اشتباهی بلاک بشه یا مهاجم اصلی از فیلتر عبور کنه. پس تنظیم دقیق این بخش باعث میشه سیستم امنیتی سایت با دقت بیشتری کار کنه و مسدودسازی‌ها کاملاً هدفمند انجام بشن.

در نهایت، بعد از اینکه مطمئن شدید آی‌پی شما درست تشخیص داده میشه، تنظیمات رو ذخیره کنید و دیگه نیازی به تغییرش نیست. این کار رو فقط یک بار انجام بدید تا افزونه در ادامه بتونه به‌صورت خودکار آی‌پی کاربران رو برای تحلیل و بلاک کردن دقیق‌تر استفاده کنه.

احراز هویت دوعاملی

در بخش احراز هویت دوعاملی افزونه All In One WP Security، شما می‌تونید امنیت ورود به سایتتون رو یه مرحله بالاتر ببرید. این قابلیت باعث می‌شه علاوه بر رمز عبور، برای ورود به پنل مدیریت یه کد موقتی هم نیاز داشته باشید که معمولاً توسط اپلیکیشن Google Authenticator روی گوشی تولید می‌شه.

به این ترتیب حتی اگه کسی رمز عبور شما رو هم بدونه، بدون داشتن اون کد موقتی نمی‌تونه وارد سایت بشه. فعال‌سازی این بخش در افزونه خیلی ساده‌ست؛ فقط باید افزونه Google Authenticator رو نصب کنید و بعد از طریق تنظیمات افزونه All In One WP Security، احراز هویت دوعاملی رو برای حساب کاربری‌تون فعال کنید.

البته اگه از پلاگین میهن پنل پرو استفاده می‌کنید، نیازی نیست این مرحله رو جداگانه انجام بدید، چون میهن پنل پرو خودش سیستم احراز هویت دوعاملی داخلی داره. این قابلیت به شما اجازه می‌ده بدون نصب افزونه‌های جانبی، برای کاربرها یا مدیران سایت کدهای تأیید دو مرحله‌ای تعریف کنید و امنیت ورود به سایت رو خیلی راحت‌تر و حرفه‌ای‌تر مدیریت کنید.

به‌نوعی می‌شه گفت اگر میهن پنل پرو روی سایت فعاله، همون‌جا می‌تونید احراز هویت دوعاملی رو فعال کنید و دیگه لازم نیست از تنظیمات All In One WP Security برای این مورد استفاده کنید. برای دریافت افزونه میهن پنل پرو روی دکمه پایین کلیک کنید.

امنیت کاربر

در بخش امنیت کاربر افزونه All In One WP Security، تمرکز اصلی روی محافظت از حساب‌های کاربری وردپرس و جلوگیری از دسترسی غیرمجاز به پنل مدیریت است. این بخش امکاناتی مثل محدود کردن تعداد تلاش برای ورود ناموفق، فعال‌سازی کپچا در فرم ورود و ثبت‌نام، بررسی قدرت رمز عبور کاربران و جلوگیری از استفاده از نام کاربری «admin» را فراهم می‌کند. با فعال کردن این گزینه‌ها می‌تونید احتمال نفوذ از طریق حدس زدن رمز یا حملات Brute Force رو به حداقل برسونید و امنیت کلی حساب‌های کاربری سایت رو بالا ببرید.

حساب‌های کاربری

نام کاربری‌تون نباید «admin» باشه. مثلاً من خودم اسم کاربری رو از «admin» می‌ذارم «رضا» و از اون به بعد برای ورود باید با یوزرنیم «رضا» لاگین کنم. تغییرش خیلی ساده‌ست و امنیّت رو کمی بالاتر می‌بره، شاید چیز حیاتی‌ای نباشه ولی توصیه می‌شه. یه نکته دیگه اینکه نام نمایشی (همونی که تو سایت نمایش داده می‌شه) و نام ورود (همونی که باهاش لاگین می‌کنید) بهتره یکی نباشن؛

اگر یکی باشن، کسی که آدرس کاربر شما رو از طریق API یا جاهای دیگه پیدا کنه راحت‌تر می‌تونه اطلاعات بیشتری به‌دست بیاره. تو افزونه یه گزینه هست که اجازه می‌ده دسترسی به اطلاعات کاربران از طریق WP JSON API رو غیرفعال کنید؛ اگه این گزینه رو فعال کنید، دیگران نمی‌تونن با استفاده از WP-JSON اطلاعات کاربران رو ببینن و این یه لایه ساده اما مؤثر برای محافظت از حریم خصوصی و حساب‌هاست.

قفل ورود

بذار راحت بگم: قفل ورود همون چیزیه که جلوی تلاش‌های بی‌وقفه هکرها برای حدس زدن رمز عبور سایتت رو می‌گیره. معمولاً وقتی یه نفر (یا یه ربات!) می‌خواد وارد سایت بشه، شروع می‌کنه با کلی نام کاربری و رمز مختلف امتحان کردن تا بالاخره یکی جواب بده. اینجاست که قفل ورود وارد بازی میشه و میگه: «صبر کن رفیق! زیادی تلاش کردی، یه مدت دیگه بیا!»

با فعال کردن این بخش توی افزونه All In One WP Security & Firewall می‌تونی مشخص کنی هر کاربر چند بار اجازه داره رمز اشتباه بزنه. مثلاً بگی اگه یکی دوبار اشتباه وارد کرد، حسابش برای ۱۵ دقیقه قفل بشه. به این ترتیب دیگه هیچ‌کس نمی‌تونه پشت‌سرهم رمزها رو امتحان کنه تا یکی رو درست حدس بزنه. این ویژگی در واقع یه دیوار دفاعی خیلی مهم برای جلوگیری از حملات Brute Force به حساب میاد.

حالا نکته مهم اینجاست که باید تنظیماتش رو با دقت انجام بدی. مثلاً اگه سایتت چندتا کاربر واقعی داره، نیا بذار فقط با یه اشتباه قفل بشن، چون بیچاره‌ها نمی‌تونن وارد شن! یه تنظیم منطقی مثلاً ۳ تا ۵ بار اشتباه خوبه. بعدش می‌تونی مدت زمان قفل شدن آی‌پی رو هم تعیین کنی، مثلاً ۱۵ یا ۳۰ دقیقه. افزونه خودش یه لیست از آی‌پی‌هایی که قفل شدن نشونت میده و اگه یکی اشتباهی بلاک شد، می‌تونی از همونجا آزادش کنی.

یه پیشنهاد دیگه هم اینه که اگه از افزونه‌هایی مثل میهن پنل استفاده می‌کنی، لازم نیست این گزینه رو فعال کنی، چون اون خودش قابلیت گارد ورود داره. فعال کردن دوتا سیستم مشابه فقط باعث دردسر میشه.

یه گزینه جالب دیگه توی این قسمت، پیام خطای ورود هست. به‌صورت پیش‌فرض وردپرس میگه «رمز اشتباهه» یا «نام کاربری اشتباهه». ولی این اطلاعات برای هکرها مثل طلا می‌مونه! چون راحت می‌فهمن کدوم بخش رو اشتباه زدن. با فعال کردن گزینه “نمایش پیام خطای عمومی” افزونه کاری می‌کنه که پیام همیشه یکی باشه: «نام کاربری یا رمز عبور اشتباه است.» اینطوری طرف نمی‌فهمه کدومش اشتباه بوده.

آخرش هم یه بخش داره برای لیست سفید (Whitelist) که می‌تونی آی‌پی‌هایی مثل آی‌پی خودت یا تیم‌ت رو وارد کنی تا هر اتفاقی هم بیفته، اون‌ها همیشه بتونن وارد سایت بشن. البته یادت باشه آی‌پی ثابت وارد کنی، نه یه آی‌پی متغیر که هر روز عوض میشه.

در کل، قفل ورود یکی از اون قابلیت‌هاییه که شاید ساده به‌نظر بیاد، ولی واقعاً نقش بزرگی تو امنیت سایت داره. اگه درست تنظیمش کنی، یه خط دفاعی محکم جلوی هر نوع ورود غیرمجاز برات می‌سازه.

خروج خودکار کاربران غیرفعال

یه بخش دیگه از افزونه All In One WP Security & Firewall هست به اسم بیرون کردن اجباری کاربر یا خروج خودکار (Force Logout). این قابلیت دقیقاً برای زمانی ساخته شده که یکی وارد حسابش میشه، ولی یادش میره خارج بشه! مثلاً یه کاربر یا حتی خودِ مدیر سایت وارد پیشخوان میشه، کارش رو انجام میده و میره، اما مرورگرش باز می‌مونه. خب این یعنی اگه کسی دیگه به اون سیستم دسترسی داشته باشه، راحت می‌تونه وارد پنل بشه و خراب‌کاری کنه.

اینجاست که این گزینه می‌درخشه! با فعال کردنش، می‌تونی یه بازه زمانی مشخص کنی تا اگه کاربر برای مدتی فعالیتی نداشت، سیستم خودش به‌صورت خودکار اون رو لاگ‌اوت کنه. مثلاً بگی اگه ۶۰ دقیقه هیچ حرکتی نکرد، از سایت بیرونش کن. به همین راحتی! این‌طوری مطمئن می‌شی که هیچ حساب باز و بدون محافظتی توی سیستم نمی‌مونه.

این قابلیت برای سایت‌هایی که چندتا کاربر دارن یا مدیرهای مختلف روش کار می‌کنن خیلی مهمه. چون نه‌تنها امنیت حساب‌ها رو بالا می‌بره، بلکه جلوی سوءاستفاده‌های احتمالی رو هم می‌گیره. البته اگه سایتت تک‌مدیره‌ست و خودت همیشه پشت سیستم می‌مونی، نیازی نیست خیلی روی این بخش سخت‌گیری کنی، ولی برای سایت‌های چندکاربره واقعاً پیشنهاد میشه فعالش کنی.

در کل، خروج خودکار کاربران یه راه ساده و هوشمندانه‌ست برای بالا بردن امنیت ورودها و جلوگیری از دسترسی ناخواسته، مخصوصاً وقتی چند نفر با نقش‌های مختلف توی سایت فعالیت دارن.

کاربران وارد شده

یه بخش دیگه تو افزونه All In One WP Security & Firewall هست به اسم کاربران وارد شده (Logged In Users) که خیلی کاربردیه، مخصوصاً برای سایت‌هایی که چند تا نویسنده، مدیر یا کاربر فعال دارن. توی این قسمت، افزونه بهت نشون میده که چه کسایی الان وارد سایت شدن، با چه نام کاربری‌هایی لاگین کردن و از چه آی‌پی‌هایی دارن استفاده می‌کنن. در واقع یه جور مرکز کنترل ورود کاربران حساب میشه.

فرض کن چند نفر دارن هم‌زمان روی سایتت کار می‌کنن و یهویی حس می‌کنی سایت کند شده یا رفتار مشکوکی داره. با یه نگاه به این لیست می‌تونی ببینی چه کاربرایی الان آنلایندن. اگه یه ورود مشکوک دیدی، مثلاً یه کاربر از آی‌پی یه کشور عجیب وارد شده، می‌تونی همون‌جا از همین بخش اون رو بیرون بندازی (Force Logout) تا بلافاصله دسترسیش قطع بشه.

این قابلیت فقط برای امنیت نیست، بلکه گاهی برای مدیریت تیم هم به درد می‌خوره. مثلاً می‌خوای بدونی کی الان توی سایت فعاله یا چند نفر هم‌زمان وارد شدن. یه نکته‌ی خوبش هم اینه که حتی اگه یه کاربر یادش بره از سایت خارج بشه، تو می‌تونی از همین بخش اون رو دستی لاگ‌اوت کنی تا امنیت سایت حفظ بشه.

به طور خلاصه، بخش کاربران وارد شده یه جور دیدبان هوشمند برای وردپرسه؛ هر لحظه می‌تونی ببینی چه کسی داخل سایته، از کجا اومده، و اگه لازم بود با یه کلیک بیرونش کنی.

تأیید دستی کاربران

یکی از قابلیت‌های افزونه All In One WP Security & Firewall مربوط به بخش تأیید دستی کاربرانه. این گزینه مخصوص سایت‌هایی هست که ثبت‌نام کاربر براشون فعاله، مثلاً سایت‌های آموزشی، انجمن‌ها یا فروشگاه‌هایی که کاربران باید حساب بسازن. وقتی این قابلیت رو فعال کنی، هر کاربری که توی سایت ثبت‌نام می‌کنه، تا وقتی مدیر سایت تأییدش نکنه، حسابش فعال نمی‌شه و نمی‌تونه وارد بشه.

در واقع این گزینه یه جور فیلتر امنیتیه برای کنترل عضویت‌ها. مثلاً اگه نگران اسپمرها یا ربات‌هایی هستی که میان ثبت‌نام می‌کنن، با فعال کردن تأیید دستی، جلوی این اتفاق رو می‌گیری چون هیچ کاربری بدون اجازه‌ی تو فعال نمی‌شه. البته برای سایت‌های معمولی یا شخصی، فعال کردنش لازم نیست چون ممکنه فقط باعث بشه مدیریت کاربران برات دردسر بشه و مجبور شی مدام بری بررسی و تأییدشون کنی.

به‌طور کلی این ویژگی برای سایت‌هایی که ثبت‌نام کاربر بخش مهمی از روند کارشونه خیلی مفیده، ولی اگه فقط مدیرها یا اعضای خاصی وارد سایت می‌شن، می‌تونی راحت ازش بگذری تا کار خودت هم ساده‌تر بمونه.

سالت‌های وردپرس (SALT)

سالت‌ها در وردپرس در واقع رشته‌های تصادفی و طولانی‌ای هستن که توی فایل wp-config.php قرار می‌گیرن و نقششون امن‌تر کردن کوکی‌ها و نشست‌های کاربریه. اینها همون AUTH_KEY، SECURE_AUTH_KEY، LOGGED_IN_KEY و بقیه‌ی کلیدهایی هستن که هر وردپرس تازه‌ای موقع نصب توی wp-config.php می‌ذاره تا داده‌های نشست و کوکی رمزنگاری بشن. وقتی این کلیدها و سالت‌ها وجود دارن، حتی اگر کسی کوکیِ یک کاربر رو داشته باشه، بدون همین مقادیر نمی‌تونه ازش سوءاستفاده کنه.

نکته‌ی خیلی مهم اینه که اگر این سالت‌ها رو عوض کنی، وردپرس همه‌ی نشست‌های فعال (session) رو باطل می‌کنه و همه‌ی کاربران باید دوباره وارد بشن. یعنی کاربران «از سایت پر می‌شن بیرون»، دقیقاً همینی که گفتی. این رفتار کاملاً طبیعی و عمدیِ؛ چون با عوض شدن کلیدها، کوکی‌های قدیمی معتبر نیستن و به‌نوعی بازنشانی امنیتی انجام شده. پس اگه تصمیم گرفتی سالت‌ها رو ری‌جنریت کنی، حتماً به کاربران یا تیم خبر بده که ممکنه لازم باشه دوباره لاگین کنن.

در مورد «پست فیک سالت» که گفتی، معمولاً منظور چیز عجیب و پیچیده‌ای نیست: بعضی افزونه‌ها یا ابزارها گزینه‌ای برای «افزودن یک سالت جعلی/موقت» یا «پست‌فیکس به سالت» دارن تا بدون تغییر کلیدهای اصلی، تغییری ایجاد کنن که باعث باطل شدن نشست‌ها یا سخت‌تر شدن حدس‌زدن الگوها بشه. این روش هم کار می‌کنه اما باید با احتیاط استفاده بشه چون هر تغییری در مقدارهای سالت معادلِ ریست شدن نشست‌هاست. اگر از این امکان استفاده می‌کنی، اول بکاپ از wp-config.php و دیتابیس بگیر و مطمئن شو که پیام لاگ‌اوت گسترده برای تیم یا کاربران مشکلی ایجاد نمی‌کنه.

اگه خواستی سالت‌ها رو امن و اصولی عوض کنی، بهترین کار اینه که از ابزار رسمی وردپرس برای تولید کلیدهای تصادفی استفاده کنی (WordPress.org secret-key service) و مقادیر جدید رو جایگزین کنی. بعد از جایگزینی، سایت به‌سرعت نشست‌ها رو لغو می‌کنه و کاربران باید دوباره لاگین کنن. این خودش می‌تونه یک حرکت امنیتی خوب باشه وقتی شک به نشت یا مشکل وجود داره.

خلاصه‌اش اینکه سالت‌ یعنی «نمک» امنیت؛ عوض‌کردنش قویِ اما پیامدش خروج همه‌ست، و «پست فیک سالت» یا هر چیزی که به‌عنوان مقدار اضافه یا موقتی عمل کنه هم همین رفتار رو خواهد داشت. اگر می‌خوای این کار رو انجام بدی، اول بکاپ بگیر، تیم رو خبردار کن و از روش تولید کلید تصادفی معتبر استفاده کن تا همه‌چیز امن بمونه.

رفع مشکل قفل شدن مدیر بعد از فعال‌سازی SALT

یکی از اتفاق‌هایی که ممکنه بعد از فعال کردن یا تغییر SALT‌ها توی وردپرس بیفته، همین چیزیه که گفتی: مدیر سایت از حساب خودش بیرون می‌مونه و دیگه نمی‌تونه وارد بشه. دلیلش هم اینه که وقتی سالت‌ها عوض می‌شن، وردپرس تمام نشست‌های (Sessions) فعال رو بی‌اعتبار می‌کنه. یعنی همه‌ی کوکی‌های ورود از کار می‌افتن و هر کسی که لاگین بوده، به‌صورت خودکار از سایت خارج میشه. در ظاهر این اتفاق چیز بدی نیست، ولی بعضی وقتا ممکنه هم‌زمان با فعال بودن تنظیمات امنیتی افزونه، سایت حتی اجازه ورود مجدد به مدیر رو هم نده.

اگه بعد از فعال کردن سالت‌ها یا زدن گزینه “Enable Salt” دیدی دیگه نمی‌تونی وارد پیشخوان بشی و سایت خطای قفل شدن یا بلاک شدن آی‌پی میده، جای نگرانی نیست. راه‌حلش خیلی ساده‌ست. فقط کافیه وارد phpMyAdmin هاستت بشی. توی لیست دیتابیس‌هات، دیتابیس مربوط به سایت وردپرسی‌ت رو انتخاب کن. حالا دنبال جدولی بگرد به اسم aiowps_login_lockdown. این جدول مخصوص افزونه‌ی All In One WP Security هست و اطلاعات مربوط به آی‌پی‌هایی که به خاطر ورود اشتباه یا قوانین امنیتی بلاک شدن رو نگه می‌داره.

کافیه اون جدول رو باز کنی، همه‌ی رکوردها رو انتخاب و حذفشون کنی (با گزینه “Delete” یا “Empty”). با این کار قفل ورود از بین می‌ره و آی‌پی تو هم از لیست بلاک‌شده‌ها پاک میشه. حالا دوباره برو به صفحه‌ی ورود وردپرس (/wp-login.php) و با خیال راحت وارد شو.

نکته‌ی مهم اینه که این اتفاق به معنی اشتباه بودن تنظیمات سالت نیست؛ فقط نشونه‌ی اینه که افزونه درست داره کار می‌کنه و برای محافظت از سایت جلوی ورودهای مشکوک رو گرفته. اما چون بعد از تغییر سالت، کوکی‌ها و نشست‌ها تغییر می‌کنن، ممکنه سیستم فکر کنه ورود مدیر غیرعادیه و موقتاً بلاکش کنه.

اگه نمی‌خوای هر بار این مشکل تکرار بشه، می‌تونی آی‌پی خودت رو به لیست سفید (Whitelist) افزونه اضافه کنی تا هیچ‌وقت بلاک نشی. در نهایت، تغییر سالت یه اقدام امنیتی خیلی خوبه و باعث افزایش امنیت رمزگذاری توی سایتت میشه، فقط باید بدونی اگه بعدش از سایت بیرون افتادی، راه برگشت خیلی ساده‌ست و فقط چند دقیقه زمان می‌بره.

احراز هویت HTTP (HTTP Authentication)

یکی از بخش‌های جالب ولی کمی حساس افزونه All In One WP Security & Firewall مربوط به احراز هویت HTTP یا همون HTTP Authentication هست. این قابلیت یه لایه امنیتی اضافه برای ورود به پیشخوان وردپرس درست می‌کنه. وقتی فعالش می‌کنی، قبل از اینکه صفحه‌ی ورود اصلی وردپرس حتی دیده بشه، مرورگر ازت یه نام کاربری و رمز عبور دیگه می‌خواد. یعنی عملاً قبل از رسیدن به صفحه‌ی لاگین سایت، باید از یه سد امنیتی دیگه رد بشی.

این ویژگی مخصوصاً برای سایت‌هایی خوبه که امنیت براشون خیلی مهمه، مثلاً سایت‌های سازمانی، فروشگاه‌ها یا پروژه‌هایی که اطلاعات حساس دارن. با فعال شدنش، ربات‌ها و هکرهایی که مستقیم به آدرس ورود حمله می‌کنن، از همون اول گیر می‌کنن و به صفحه‌ی اصلی ورود دسترسی پیدا نمی‌کنن.

با این حال، برای بیشتر سایت‌های معمولی یا شخصی نیازی به فعال کردنش نیست. چون اگه به‌درستی تنظیم نشه، ممکنه دردسر درست کنه. مثلاً اگه اطلاعات ورود HTTP Auth رو اشتباه وارد کنی یا مرورگرت به‌درستی ذخیره‌ش نکنه، خودت هم دیگه نمی‌تونی وارد پیشخوان بشی و ممکنه فکر کنی سایتت خراب شده.

در واقع کاری که این بخش می‌کنه، اینه که یه رمز اضافی روی پوشه‌ی wp-admin می‌ذاره. یعنی برای ورود، باید هم رمز احراز هویت HTTP رو بدونی و هم رمز وردپرس خودت رو. اگه هرکدوم اشتباه باشه، دسترسی قطع میشه.

در مجموع، HTTP Authentication گزینه‌ی بدی نیست، اما فقط وقتی توصیه میشه فعالش کنی که واقعاً نیاز به امنیت چندمرحله‌ای داشته باشی یا سایتت حساس باشه. در غیر این صورت، بهتره به تنظیمات امنیتی دیگه‌ی افزونه بسنده کنی چون فعال کردن این بخش بدون ضرورت، فقط ورود خودت و تیم‌ت رو سخت‌تر می‌کنه.

HIBP

در افزونه All In One WP Security یه بخش خیلی جالب به اسم HIBP وجود داره که مخفف Have I Been Pwned هست. این قابلیت به‌صورت خودکار بررسی می‌کنه که آیا رمز عبوری که کاربر برای حسابش انتخاب کرده، قبلاً در نشت‌های اطلاعاتی اینترنت فاش شده یا نه. در واقع، وقتی این گزینه رو فعال می‌کنی، افزونه رمزهای عبور جدید رو با پایگاه داده‌ی HIBP تطبیق می‌ده و اگه اون رمز قبلاً در جایی لو رفته باشه، بهت هشدار می‌ده که ازش استفاده نکنی.

این یعنی اگه کاربر بخواد یه رمز ناامن یا لو رفته رو وارد کنه، افزونه اجازه ذخیره یا استفاده از اون رمز رو نمی‌ده. به این ترتیب جلوی خیلی از حملات ناشی از رمزهای تکراری یا ضعیف گرفته می‌شه.

نکته مثبتش اینه که بررسی رمز از طریق الگوریتم امن و ناشناس انجام می‌شه، یعنی رمز واقعی شما برای سرور HIBP ارسال نمی‌شه، فقط بخشی از هش رمز فرستاده می‌شه تا امنیت کاملاً حفظ بشه.

در کل، بخش HIBP توی این افزونه یه لایه‌ی هوشمند و خودکار از امنیت رمز عبور رو فراهم می‌کنه که کمک می‌کنه حتی قبل از اینکه خطر به سایت برسه، جلویش گرفته بشه.

تنظیمات اضافی

یه بخش دیگه توی افزونه All In One WP Security هست به اسم تنظیمات اضافی امنیتی که معمولاً کمتر بهش توجه میشه ولی می‌تونه تأثیر خیلی زیادی روی امنیت کلی سایت بذاره. وقتی این گزینه رو فعال می‌کنی، افزونه میاد و یه سری توکن‌ یا کلیدهای دسترسی مربوط به اپلیکیشن‌ها و وب‌اپلیکیشن‌هایی که به سایتت وصل هستن رو محدود می‌کنه. این کار باعث میشه هر اتصال بیرونی که مجوز درستی نداره یا ممکنه امنیت سایت رو تهدید کنه، بسته بشه.

در عمل یعنی چی؟ فرض کن یه اپ اندروید یا iOS داری که با سایت وردپرسی‌ت کار می‌کنه، مثلاً برای نمایش محصولات یا ثبت‌نام کاربران. اگه این گزینه رو فعال کنی، ممکنه اون اپلیکیشن ناگهان از کار بیفته و دیگه نتونه با سایتت ارتباط بگیره. دلیلش هم واضحه: افزونه جلوی دسترسی‌های غیرمجاز رو گرفته.

اینجا باید حواست باشه. اگه بعد از فعال کردن این تنظیمات دیدی یه اپلیکیشن یا سرویس خاص از کار افتاد، قدم‌به‌قدم بیا و گزینه‌ها رو غیرفعال کن تا بفهمی کدوم یکی باعث تداخل شده. افزونه خودش کاری به عملکرد اصلی سایت نداره، فقط جلوی درخواست‌هایی که ممکنه خطرناک باشن رو می‌گیره.

در کل، فعال کردن تنظیمات اضافی می‌تونه یه لایه‌ی امنیتی قوی‌تر برای وردپرست بسازه. فقط باید بدونی دقیقاً چی رو فعال کردی و بعد از اون حتماً یه تست کلی روی سایت و اپ‌هات انجام بدی تا مطمئن شی چیزی از کار نیفتاده. اینطوری هم امنیتت بالاست، هم عملکرد سایتت بدون مشکل ادامه پیدا می‌کنه.

امنیت پایگاه داده

در بخش امنیت پایگاه داده افزونه All In One WP Security، تمرکز روی محافظت از دیتابیس وردپرسه، چون تمام اطلاعات مهم سایت مثل نوشته‌ها، کاربران و تنظیمات اونجا ذخیره می‌شن. یکی از مهم‌ترین کارهایی که می‌تونید اینجا انجام بدید، تغییر پیش‌وند (prefix) جداول دیتابیسه؛ چون وردپرس به‌صورت پیش‌فرض از پیش‌وند wp_ استفاده می‌کنه و این مورد برای هکرها قابل پیش‌بینیه.

با تغییرش به یه عبارت خاص‌تر، کار برای اسکریپت‌های خودکار و حملات SQL Injection سخت‌تر می‌شه. علاوه بر این، افزونه به شما اجازه می‌ده از دیتابیس بکاپ بگیرید تا در صورت بروز مشکل یا حمله، بتونید به‌راحتی اطلاعات سایت رو برگردونید. در کل این بخش کمک می‌کنه ساختار پایگاه داده‌تون هم از نظر امنیتی ایمن‌تر و هم از نظر پشتیبان‌گیری مطمئن‌تر باشه.

تغییر پیشوند جداول دیتابیس

اگه یادت باشه موقع نصب وردپرس به‌صورت پیش‌فرض پیشوند جداول wp_ هست و همین پیشوند ثابت یکی از چیزاییه که هکرها و ابزارهای خودکار اول از همه دنبال می‌کنن. وقتی کسی بخواد تزریق SQL یا حمله‌ای به دیتابیس بزنه، راحت‌تر می‌تونه اسم جدول‌ها رو حدس بزنه و هدف‌گیری کنه.

حالا اگر پیشوند جداول رو به یه عبارت رندم یا اختصاصی تغییر بدی، کار برای مهاجم یک‌دفعه سخت‌تر میشه چون دیگه جدول‌ها توی مسیر پیش‌فرض نیستن و اسکریپت‌های آماده دیگه به‌راحتی نمیتونن اونا رو پیدا کنن. این کار به‌تنهایی معجزهٔ امنیت نیست ولی مثل گذاشتن یه قفل ساده روی دره؛ یعنی یک لایهٔ اضافه که وقت و انرژی حمله‌کننده رو می‌گیره و خیلی وقتا باعث میشه از سایتت بگذره.

توی عمل باید خیلی مراقب باشی: تغییر پیشوند معمولاً شامل تغییر اسامی جدول‌ها در دیتابیس و به‌روزرسانی مقدار table_prefix در فایل wp-config.php میشه. اول از همه از دیتابیس بکاپ بگیر، بعد تغییر رو توی محیط لوکال یا استیجینگ تست کن و وقتی همه‌چیز اوکی بود، روی سایت اصلی اجراش کن.

بعضی افزونه‌ها یا کوئری‌های سفارشی ممکنه به پیشوند wp_ فرض بستگی داشته باشن، پس بعد از تغییر یه بررسی سریع انجام بده که همه‌ی بخش‌ها درست کار می‌کنن. در نهایت یادت باشه که این کار باید با احتیاط انجام بشه؛ اگر بدون بکاپ یا تست اقدام کنی ممکنه سایتت به خطا بخوره، اما اگر طبق اصول انجام بشه، باعث میشه هکرها نتونن خیلی راحت سراغ جداول استاندارد وردپرس بیان و این یکی از قدم‌های ساده اما مؤثر در هاردنینگ دیتابیسه.

پشتیبان‌گیری از پایگاه داده

پشتیبان‌گیری از دیتابیس رو دست‌ِ‌کم نگیر؛ این یکی از پایه‌ای‌ترین کارهاییه که همیشه باید انجام بدی چون هر وقت کاری مثل تغییر پیشوند یا اعمال تنظیمات امنیتی انجام میدی، یه چیزی ممکنه اشتباه بشه و اگر بکاپ نداشته باشی بازگشت خیلی دردسرده. بهترین روش اینه که قبل از هر تغییر مهم، یک بکاپ کامل از دیتابیس بگیری، چه از طریق هاست (کنترل پنل هاست معمولاً داره)، چه با افزونه‌های محبوب بکاپ‌گیری، تا در صورت بروز مشکل بتونی دیتابیس رو سریع رستور کنی و سایت به حالت قبل برگرده.

یه نکته عملی، بعضی افزونه‌های بکاپ‌گیر مثل UpdraftPlus یا افزونه‌های مدیریت هاست این کار رو اتوماتیک هم انجام می‌دن و می‌تونن نسخه‌ها رو روی فضای ابری نگه دارن، که اگه مشکلی پیش بیاد به‌راحتی قابل بازیابیه. اگر از این افزونه‌ها استفاده می‌کنی، قبل از شروع تغییرات یک بکاپ دستی هم بگیر تا خیالت راحت باشه.

همچنین تاکید می‌کنم بعد از گرفتن بکاپ، تغییرات رو اول توی محیط تست اعمال کن و بعد در سایت اصلی؛ اینطوری احتمال خطا به صفر نزدیک میشه. در نهایت یادت باشه بکاپ‌گیری فقط برای زمان تغییر نیست؛ نگه‌داری دوره‌ای بکاپ و نگهداری چند نسخهٔ گذشته از دیتابیس بهترین راه برای مقابله با هک، خطاهای انسانی یا حتی اشتباهات آپدیت‌های افزونه‌ست.

امنیت فایل

یکی از بخش‌های خیلی مهم توی این افزونه، قسمت امنیت فایل‌ها هست. اینجا جاییه که می‌تونیم سطح دسترسی (Permission) فایل‌های اصلی سایت رو بررسی کنیم تا مطمئن بشیم کسی غیر از خودمون یا وردپرس اجازه‌ی تغییرشون رو نداره. مثلاً فایل‌هایی مثل wp-config.php یا index.php نباید قابل ویرایش برای همه باشن. افزونه به‌صورت خودکار بررسی می‌کنه و پیشنهادهایی میده که با زدن دکمه “تنظیم” می‌تونی پرمیشن‌ها رو به حالت امن تغییر بدی.

محافظت از پرونده‌

در بخش محافظت از پرونده‌ها چند گزینه هست که می‌تونه واقعاً مفید باشه. مثلاً حذف فایل‌های اضافه مثل readme.html یا license.txt که معمولاً بعد از نصب وردپرس باقی می‌مونن و نسخه وردپرس رو لو میدن. وقتی این فایل‌ها حذف بشن، هکر دیگه نمی‌تونه بفهمه از چه نسخه‌ای استفاده می‌کنی و در نتیجه سخت‌تر می‌تونه راه نفوذ پیدا کنه. افزونه حتی می‌تونه این حذف رو بعد از هر به‌روزرسانی وردپرس به‌صورت خودکار انجام بده تا خیالت راحت باشه.

گزارش‌های سیستم هاست

گزینه‌ی بعدی مربوط به جلوگیری از استفاده‌ی منابع سایته. اگه فعالش کنی، هیچ سایت دیگه‌ای نمی‌تونه تصاویرت رو مستقیماً لود کنه (که بهش می‌گن hotlinking). اما راستش اگه بخوای گوگل متوجه بشه اون تصویر برای سایت توئه، بهتره این گزینه رو غیرفعال بذاری.

یه گزینه‌ی خیلی مهم دیگه هم هست به اسم غیرفعال کردن ویرایش فایل‌های PHP. اگه فعالش کنی، دیگه از داخل پنل وردپرس نمی‌تونی کدهای PHP قالب یا افزونه‌هارو ویرایش کنی. این کار باعث میشه اگه کسی به ادمین دسترسی پیدا کرد، نتونه از همون‌جا فایل‌های سایت رو خراب کنه یا بدافزار تزریق کنه.

حفاظت ا زکپی و قاب‌ها

در بخش‌های پایانی این قسمت هم تنظیماتی مثل “جلوگیری از راست‌کلیک و کپی متن” یا “غیرفعال کردن نمایش سایت در آی‌فریم” وجود داره که واقعاً ضروری نیستن. مثلاً جلوگیری از کپی متن ممکنه باعث بشه کاربر تجربه‌ی بدی از سایت بگیره. پس بهتره فقط گزینه‌هایی رو فعال کنی که واقعاً روی امنیت اثر دارن، نه اونایی که صرفاً عدد امتیاز امنیتی رو زیاد می‌کنن.

در نهایت، بخش امنیت فایل‌ها قراره بهت کمک کنه تا جلوی نفوذ از طریق فایل‌ها و اطلاعات لو رفته رو بگیری. اگه فقط گزینه‌های حیاتی مثل تنظیم پرمیشن‌ها، حذف فایل‌های اضافه و غیرفعال کردن ویرایش PHP رو فعال کنی، خیالت از امنیت سایت خیلی راحت‌تر میشه.

دیواره آتش

بریم سراغ یکی از مهم‌ترین و تأثیرگذارترین بخش‌های این افزونه: دیواره آتش یا همون فایروال. فایروال در واقع یه لایه‌ی حفاظتیه که جلوی ورود درخواست‌های مشکوک یا مخرب به سایت رو می‌گیره. خیلی از افزونه‌ها مثل Wordfence هم فایروال دارن، ولی معمولاً باعث افت سرعت سایت می‌شن. خوبی All In One WP Security اینه که بدون اینکه سرعت سایتت پایین بیاد، یه فایروال سبک و کارآمد به سایتت اضافه می‌کنه. این بخش چند تا تب داره که هر کدوم یه قسمت از امنیت فایروال رو کنترل می‌کنن. بریم دونه‌دونه بررسی‌شون کنیم.

قوانین PHP

تب «قوانین PHP» توی دیوارهٔ آتش، جلوی اجرای فایل‌های PHP در پوشه‌هایی که نباید اجرا بشن رو می‌گیره. یعنی پوشه‌هایی مثل uploads یا بعضی پوشه‌های wp-content که معمولا کاربرها فایل توش آپلود می‌کنن، امن‌تر می‌شن و کسی نمی‌تونه کد مخرب اونجا اجرا کنه. این کار خیلی مهمه چون خیلی وقت‌ها هکرها از همین مسیرها وارد می‌شن.

قوانین htaccess

این بخش مربوط به فایل .htaccess سایتته. افزونه می‌تونه یه‌سری قوانین امنیتی جدید به این فایل اضافه کنه که باعث میشه دسترسی‌های غیرمجاز بسته بشن. این کار جلوی دسترسی مستقیم به فایل‌های حساس، لیست شدن دایرکتوری‌ها و درخواست‌های مخرب رو می‌گیره. افزونه قبل از تغییر، یه نسخه پشتیبان از .htaccess می‌گیره تا اگه چیزی درست نشد، بتونید راحت برگردونید. فقط یادتون باشه اگه سایت روی Nginx باشه، این بخش مستقیم روی سایت اثر نمی‌کنه و باید قوانین رو توی کانفیگ سرور اعمال کنید.

مثلاً:

• Trace و Track رو غیر فعال می‌کنه تا کسی نتونه درخواست‌های خطرناک ارسال کنه.
• دسترسی به فایل‌های لاگ و خطاها (debug.log) رو می‌بنده.
• دسترسی به دایرکتوری‌ها رو محدود می‌کنه تا کسی نتونه محتویات پوشه‌هات رو ببینه.
• حتی می‌تونی از همین‌جا حجم حداکثر فایل آپلودی یا رم سرور رو تغییر بدی، بدون نیاز به نصب پلاگین دیگه!

پیشنهاد من اینه که همه‌ی این گزینه‌ها رو فعال کن. اگه بعدش دیدی سایتت با خطا مواجه شد، فقط غیرفعالش کن و تست کن ببین مشکل حل میشه یا نه.

6G Firewall Rules

این بخش مربوط به قوانین فایروال 6G هست. این قوانین توسط متخصص‌های امنیتی طراحی شدن و جلوی بخش بزرگی از حملات وب مثل SQL Injection یا XSS رو می‌گیرن. وقتی فعالش می‌کنید، افزونه هزاران امضای ربات و حمله‌ی رایج رو بلاک می‌کنه. البته بعضی وقت‌ها ممکنه یه کاربر یا سرویس مشروع هم اشتباها بلاک بشه، پس بعدش حتماً لاگ‌ها رو چک کنید و آی‌پیهای مجاز رو whitelist کنید.

اینا رو هم حتماً فعال کن. افزونه خودش تنظیمات لازم رو به صورت خودکار انجام میده و سایتت حسابی ایمن‌تر میشه.

ربات‌های اینترنت

تب «ربات‌های اینترنت» به شما کمک می‌کنه ربات‌های بد رو شناسایی و محدود کنید و رفتارهایی مثل تعداد بالای درخواست از یه آی‌پی رو کنترل کنید. این کار بار روی سرور رو کم می‌کنه و جلوی scraping یا حملات خودکار گرفته می‌شه. البته اگر سرویس قانونی دارید که با یه User-Agent خاص کار می‌کنه، حتماً اون رو توی فهرست مجاز قرار بدید.

لیست‌ها را مسدود و مجاز کنید

در «لیست‌ها را مسدود و مجاز کنید» می‌تونید آی‌پی‌ها، بازه‌های IP یا مسیرهای مشخصی رو که می‌خواید همیشه بلاک یا همیشه اجازه داده بشن، تعریف کنید. این برای مواقعی که یه آی‌پی مهاجم می‌خواید سریع بلاک کنید یا دسترسی یه سرویس داخلی رو تضمین کنید خیلی کاربردیه. فقط حواستون باشه که آی‌پی خودتون رو به‌اشتباه بلاک نکنید.

تنظیمات پیشرفته

آخرین تب، «تنظیمات پیشرفته» هست که برای قوانین پیشرفته‌تر و سفارشی استفاده می‌شه. مثلا می‌تونید زمان‌بندی بلاک‌ها، پیام‌های خطای سفارشی برای بازدیدکننده‌ها، لاگینگ و هشدارها یا قواعد دلخواه خودتون رو اضافه کنید. این بخش به شما انعطاف زیادی می‌ده ولی باید با احتیاط عمل کنید چون قوانین نادرست ممکنه سایت رو از دسترس خارج کنه. در قسمت پایین چند تا گزینه‌ی کاربردی دیگه هم هست:

• Block Fake Google Bots: این گزینه جلوی ربات‌هایی رو می‌گیره که خودشون رو جای گوگل جا می‌زنن. به نظرم نیازی نیست فعالش کنی، چون ممکنه روی خزنده‌های مفید تأثیر بذاره.
• Block Empty HTTP Headers: درخواست‌هایی که اطلاعات لازم مثل user-agent یا referrer ندارن رو بلاک می‌کنه. این یکی خوبه، فعالش کن چون خیلی وقت‌ها حملات از همین درخواست‌های خالی میان.
• Blacklist: اگه آی‌پی خاصی هست که مدام حمله می‌کنه یا اسپم می‌فرسته، می‌تونی اینجا واردش کنی تا برای همیشه بلاک بشه.
• Disable WP REST API: اگه اپ موبایل نداری، بهتره این گزینه رو فعال کنی تا REST API فقط برای کاربران واردشده و با رمز عبور قابل دسترس باشه. اینم یه لایه امنیتی دیگه‌ست.

یه دکمه به اسم Setup Firewall هست. اونو بزن تا افزونه فایروال رو به صورت کامل روی سایتت ستاپ کنه. با این کار، همه قوانین فعال می‌شن و سایتت در برابر بیشتر حملات وب محافظت میشه.

پیشنهاد من اینه که همه گزینه‌ها رو فعال کن و بعد از تست، اگه دیدی چیزی روی سایتت درست کار نمی‌کنه، یکی‌یکی غیرفعالش کن تا به تعادل برسی. فایروال این افزونه هم سبکه، هم کاربردی، و می‌تونه امنیت وردپرس رو چند پله بالا ببره بدون اینکه سرعت سایت بیاد پایین.

در کل دیوارهٔ آتش افزونه یه لایه خیلی قوی برای محافظت سایت شماست و وقتی با بروزرسانی‌ها و بکاپ‌های منظم ترکیب بشه، می‌تونه جلوی خیلی از حملات رایج اینترنتی رو بگیره.

جلوگیری از حملات Brute Force در وردپرس

Brute Force همون چیزیِ که همیشه ته ذهن‌مون باید باشه: یه ربات یا آدمِ بد مدام میاد یوزرنیم و پسوردهای مختلف رو امتحان می‌کنه تا بلاخره یکی جواب بده. ساده که بنویسم، وقتی این اتفاق بیفته سرور شما درگیر میشه، حساب‌ها به خطر می‌افتن و احتمال هک بالا میره. برای مقابله با این روش چند تا کار پایه‌ای و مؤثر داریم که اول از همه باید انجام بدی تا از ورود اجباری مهاجم‌ها جلوگیری کنی.

تغییرنام برگه ورود

اول از همه آدرس صفحهٔ ورود‌ت رو عوض کن؛ یعنی به‌جای /wp-login.php یه آدرس اختصاصی بذار. این کار خیلی ساده ولی مؤثره چون اکثر بات‌ها و اسکریپت‌ها دنبال آدرس پیش‌فرض می‌گردن. اگه پلاگین‌هایی مثل میهن‌پنل رو داری که این کار رو خودشون انجام میدن، نیازی به فعال‌کردن دوباره این گزینه توی All In One WP Security نداری.

جلوگیری از بروت‌فورس بر اساس کوکی

گزینهٔ جلوگیری از بروت‌فورس بر اساس کوکی یکم پیچیده‌ست: افزونه یک مقدار محرمانه توی کوکی ذخیره می‌کنه و از اون برای اعتبارسنجی استفاده می‌کنه، اما این روش گاهی باعث تداخل میشه و من معمولاً پیشنهاد نمی‌کنم مگر اگر دقیقاً بدونی چی داری انجام میدی.

تنظیمات کپچا

کپچا یکی از بهترین راه‌های ساده‌ست؛ کپچا باعث میشه ربات‌ها نتونن فرم لاگین رو خودکار ارسال کنن. پیشنهاد می‌کنم کپچا رو فعال کنی و از حالت‌های ساده و کم‌دردسر استفاده کنی، (مثلاً Simple Math یا reCAPTCHA) تا تجربهٔ کاربری خراب نشه اما امنیت بالا بره.

لیست سفید ورود

لیست سفید ورود هم داشته باش؛ آی‌پی‌های ثابت خودت یا تیم‌ت رو بذار داخل whitelist تا اگر سیستم یه روز اشتباهی شما رو بلاک کرد، همیشه بتونی وارد شی. همین‌طور اگه دیدی یه آی‌پی خاص مدام تلاش می‌کنه، خیلی راحت از همون بخش بلاکش کن.

تشخیص خطای ۴۰۴

الزامی که باید بدونی اینه که قابلیت تشخیص حملهٔ 404 یا flood هم خیلی مفیده. وقتی یه ربات با زدن آدرس‌های تصادفی سرور رو درگیر می‌کنه، این گزینه می‌تونه اون آی‌پی رو برای مثلاً ۶۰ دقیقه بلاک کنه تا منابعت آزاد بشه.

هانی‌پات

هانی‌پات هم کار جالبی می‌کنه؛ یه فیلد مخفی به فرم ورود اضافه می‌کنه که کاربر عادی نمی‌بینه، ولی ربات‌هایی که فرم‌ها رو خودکار پر می‌کنن حتماً اون فیلد رو پر می‌کنن و به‌این‌ترتیب فوراً قابل تشخیص و بلاک هستن. هانی‌پات رو حتماً فعال کن چون تقریباً بدون مزاحمت برای کاربر واقعی، خیلی از بات‌ها رو می‌گیره.

یه نکتهٔ مدیریتی هم هست، تنظیمات فایروال و محدودیت لاگین رو با هم ترکیب کن؛ محدود کردن تعداد تلاش‌ها، قفل موقتی برای آی‌پی‌ها و کپچا در کنار هانی‌پات خیلی قوی عمل می‌کنن. اگر دیدی بعد از فعال‌سازی یه بخش خاصی از سایت یا اپ موبایلت مشکل پیدا کرد، به‌صورت گام‌به‌گام اون گزینه‌ها رو خاموش کن تا بفهمی کدومش باعث تداخل شده. در نهایت لاگ‌ها رو نگاه کن و امتیاز امنیت داشبورد رو بررسی کن تا ببینی تغییرات چه تأثیری داشتن؛ عدد گراف یا درصد مهمه ولی اینکه سایتت واقعی امن بمونه مهم‌تره.

جلوگیری از اسپم در وردپرس

یکی از دردسرهای همیشگی هر سایتی، کامنت‌های اسپم هستن! همون پیام‌های تبلیغاتی و بی‌ربطی که زیر پست‌ها پر میشن از لینک و متن بی‌فایده. توی افزونه All In One WP Security یه بخش مخصوص برای همین موضوع هست که واقعاً عالی کار می‌کنه و باعث میشه دیگه نیازی به پلاگین‌هایی مثل Akismet نداشته باشی.

Comment spam

کافیه وارد قسمت جلوگیری از اسپم (Spam Prevention) بشی و تیک مربوط به فعال‌سازی رو بزنی. این گزینه باعث میشه وقتی کسی می‌خواد توی سایتت کامنت بذاره، سیستم هوشمندانه بررسی کنه که آیا اون کامنت از یه کاربر واقعیه یا یه ربات اسپمر. با فعال شدنش، بیشتر اون کامنت‌های خودکار و تبلیغاتی به‌طور کامل بلاک می‌شن و حتی به لیست انتظار نمی‌رن.

نظارت بر آی پی دیدگاه‌های جفنگ

یه گزینه دیگه هم هست به اسم نظارت بر آی‌پی دیدگاه‌های جفنگ که می‌تونه آی‌پی‌هایی که قبلاً اسپم ارسال کردن رو شناسایی و مسدود کنه. این مورد اختیاریه، ولی اگه بخش دیدگاه‌های سایتت خیلی فعاله، پیشنهاد می‌کنم اونم روشن بذاری تا خیال‌ت راحت‌تر باشه.

در کل با همین تنظیم ساده، دیگه لازم نیست دنبال نصب پلاگین‌های جدا برای اسپم باشی. افزونه خودش کارش رو عالی انجام میده، فقط بعد از فعال‌سازی حتماً دکمهٔ ذخیره تنظیمات رو بزن تا همه‌چیز اعمال بشه. بعد از اون، هر وقت رفتی سراغ بخش دیدگاه‌ها، می‌بینی چقدر فضای اونجا تمیزتر شده و دیگه از اون کامنت‌های تبلیغاتی خبری نیست!

اسکن فایل‌ها و بدافزارها

یکی از قابلیت‌های پلاگین امنیتی، بخش اسکن فایل‌ها و بدافزارها است. این قسمت هر چند روز یک‌بار کل فایل‌های سایت رو بررسی می‌کنه و اگه تغییری در پوشه‌ها یا فایل‌ها ایجاد شده باشه بهتون اطلاع می‌ده. اما واقعیتش اینه که برای اکثر سایت‌ها نیازی نیست این قابلیت رو فعال کنید. چون ما مرتب وردپرس، قالب‌ها و پلاگین‌هامون رو آپدیت می‌کنیم و همین باعث می‌شه اسکن‌ها مدام هشدار بدن و شما هم سردرگم بشید که کدوم تغییر عادیه و کدوم مشکوک.

اسکن بدافزار

از طرفی بخش اسکن بدافزار معمولاً کارایی بالایی نداره و ممکنه حتی باعث سنگینی سایت هم بشه. پس پیشنهاد من اینه که این قسمت رو غیرفعال نگه دارید، چون تأثیر خاصی روی امنیت واقعی سایت نداره و فقط باعث مصرف منابع و هشدارهای بی‌مورد می‌شه.

ابزارها

بخش ابزارها توی این افزونه یه سری امکانات کاربردی و جالب داره که بیشتر جنبه آموزشی و بررسی امنیتی دارن تا تغییر مستقیم توی سایت.

ابزار گذرواژه

یکی از گزینه‌هاش، بررسی قدرت رمز عبورهست. این ابزار بهتون می‌گه رمزی که وارد کردین چقدر قویه و برای یه کامپیوتر معمولی چقدر طول می‌کشه تا بتونه اون رمز رو حدس بزنه. مثلاً اگه رمزتون «123456» باشه، کمتر از یه ثانیه می‌تونه تشخیصش بده! پس می‌فهمیم باید از رمزهای پیچیده‌تر استفاده کنیم.

جستجوی WHOIS

یه ابزار دیگه هم داره به اسم جستجوی WHOIS. با این ابزار می‌تونید یه آی‌پی آدرس رو وارد کنید تا اطلاعات صاحب اون آی‌پی براتون بیاد، مثلاً از کجا اومده، به چه شبکه‌ای تعلق داره و حتی موقعیت جغرافیایی تقریبی اون. این ابزار زمانی به کار میاد که مثلاً یه نفر روی سایتتون حمله کرده باشه یا اتک ارسال کرده باشه و بخواین ببینین از کجا بوده. البته توصیه می‌کنم به‌هیچ‌وجه دنبال مقابله یا حمله متقابل نباشید، چون این کار غیرقانونیه.

همین چند وقت پیش هم یه خبر جالب منتشر شد: یه کاربر بدون اجازه به سایت «دیوار» حمله کرده بود و باعث کلی آگهی تکراری و اختلال توی سیستمشون شده بود. در نهایت هم دادگاه اون شخص رو به پرداخت ۱۸ میلیارد ریال جریمه محکوم کرد. این نشون می‌ده که قانون داره جدی‌تر با حملات سایبری برخورد می‌کنه و بدون اجازه، حتی یه تست ساده امنیتی روی سایت دیگران هم می‌تونه دردسرساز بشه.

سفارشی سازی قوانین .htaccess

در این بخش همچنین یه قسمت داریم به نام سفارشی‌سازی قوانین htaccess که می‌تونید باهاش تنظیمات خاص امنیتی برای سایتتون بنویسید، مثل قفل کردن دسترسی به فایل‌ها یا محدود کردن آی‌پی‌ها.

قفل کردن بازدید

یه گزینه هم هست به اسم قفل کردن بازدید سایت که به‌صورت موقت می‌تونه کل سایت رو ببنده، ولی فعلاً نیازی به استفاده ازش نیست.

احراز هویت دو عاملی

احراز هویت دو عاملی یا همون 2FA عملاً یه لایهٔ امنیتی اضافه‌ست که جلوی ورودِ کسی رو می‌گیره حتی اگر یوزرنیم و رمزتون لو رفته باشه؛ یعنی از این به بعد دیگه فقط داشتن رمز کافی نیست و برای ورود باید یه کد موقتی هم داشته باشی که معمولاً با اپلیکیشن‌هایی مثل Google Authenticator یا Authy تولید می‌شه.

وقتی این قابلیت رو فعال می‌کنی، افزونه All In One WP Security یه کد QR بهت می‌ده که با اپلیکیشن گوشی اسکنش می‌کنی و بعد از اون هر بار که می‌خوای لاگین کنی، علاوه بر یوزر و پسورد باید اون کدی که اپلیکیشن تولید کرده رو هم وارد کنی؛ این کد هر چند ثانیه تغییر می‌کنه و به سختی قابل جعل یا فشینگ هست، بنابراین حتی اگه هکر رمز شما رو داشته باشه بدون دسترسی به گوشی شما کاری از پیش نمی‌بره.

برای فعال‌سازی کار خیلی ساده‌ست: وارد بخش احراز هویت دو عاملی افزونه شو، گزینهٔ فعال کردن رو بزن، کد QR رو با Google Authenticator یا هر اپ TOTP دیگه‌ای اسکن کن و بعد گزینهٔ فعال‌سازی رو کلیک کن. بعد از فعال کردن، حتماً Recovery Code یا کدهای پشتیبان رو یادداشت و در جای امن نگه دار، چون اگه گوشیت رو گم کنی یا اپلیکیشن پاک بشه، بدون این کدها دیگه نمی‌تونی وارد بشی.

یک نکتهٔ مهم دیگه اینکه بهتره احراز هویت دو عاملی رو اول برای حساب‌های مدیر (Administrator) فعال کنی و بعد برای بقیهٔ کاربران؛ فعال‌کردن اجباری 2FA برای همه ممکنه تجربهٔ کاربری رو سخت کنه مخصوصاً برای کاربرانی که آشنایی فنی ندارن، پس اول تست کن و بعد به تدریج اجرا کن. اگر سایتت از سیستم‌هایی مثل میهن‌پنل استفاده می‌کنه، قبل از فعال‌سازی بررسی کن چون بعضی پنل‌ها این قابلیت رو داخلی دارن و فعال‌کردن هم‌زمان ممکنه تداخل ایجاد کنه؛ در این حالت یکی از دو روش رو انتخاب کن تا به هم نزنن.

در عمل 2FA یک حرکت امنیتی کم‌هزینه ولی بسیار مؤثره؛ به‌خصوص برای حساب‌های حساس مثل مدیر اصلی یا حساب‌های مالی و اداری. یادت باشه بعد از فعال‌سازی، یک بار لاگین تست بزن از یک دستگاه دیگه و مطمئن شو همه چیز درست کار می‌کنه، و اگر تیمی هستید حتماً به اعضا آموزش بدی که چطور اپلیکیشن احراز هویت نصب کنن و کدهای پشتیبان رو ذخیره کنن تا در موقع اضطراری سایت قفل نشه.

تداخل تنظیمات امنیتی

یه چیزی که باید حتماً بدونی و خیلیا هم رعایتش نمی‌کنن اینه که تنظیمات امنیتی، مخصوصاً توی افزونه‌هایی مثل All In One WP Security، درست مثل پلاگین‌های کش (مثلاً LiteSpeed Cache یا WP Rocket) می‌تونه با بقیهٔ بخش‌های سایتت تداخل پیدا کنه. یعنی ممکنه شما یه گزینه رو با نیت تقویت امنیت فعال کنی، ولی یه جای دیگه از سایت از کار بیفته، فرم‌ها درست لود نشن یا بعضی درخواست‌ها بلاک بشن. این کاملاً طبیعیه و اصلاً نشونهٔ بدی نیست.

مهم‌ترین کاری که باید انجام بدی اینه که با حوصله و مرحله به مرحله تنظیمات رو فعال کنی. هر بار یه بخش یا یه گزینه رو فعال کن، سایت رو تست کن و مطمئن شو که همه چیز درست کار می‌کنه. اگه یه جا دیدی مثلاً فرم لاگین کار نمی‌کنه، یا افزونهٔ خاصی از کار افتاد، یا اپ موبایل به API وصل نشد، سریع نرو کل پلاگین رو پاک کنی! فقط کافیه موقتاً افزونه رو غیرفعال کنی و ببینی مشکل حل میشه یا نه. اگه حل شد، یعنی منشأ مشکل همین افزونه‌ست. بعدش دوباره افزونه رو فعال کن و یکی‌یکی تنظیماتش رو خاموش کن تا بفهمی دقیقاً کدوم گزینه باعث اختلال شده.

بیشتر وقتا اگه مشکلی پیش بیاد، از بخش فایروال (Firewall) هست، چون اون قسمت دسترسی‌ها و درخواست‌های سایت رو کنترل می‌کنه. مثلاً ممکنه یه درخواست API اشتباه تشخیص داده بشه و جلوی کار یه افزونه گرفته بشه. اما نکته اینجاست که این اتفاق همیشه نمی‌افته و در خیلی از سایت‌ها همه چیز بدون مشکل کار می‌کنه. پس نه باید از فعال کردن تنظیمات بترسی، نه باید یه‌هو همه رو خاموش کنی.

در واقع، امنیت وردپرس مثل تنظیم سیستم دفاعی یه خونه‌ست؛ باید طوری تنظیمش کنی که هم جلوی دزد رو بگیره، هم خودت بتونی راحت در خونه رو باز و بسته کنی. پس با آرامش جلو برو، هر بار تست بزن، و یادت باشه هر مشکلی هم که پیش بیاد، «بدون خون و خون‌ریزی» قابل حل شدنه. فقط کافیه بری از منوی تنظیمات → تنظیمات کلی (General Settings) توی داشبورد وردپرس، اون‌جا می‌تونی همهٔ ویژگی‌ها رو موقتاً از کار بندازی و سایت رو به حالت عادی برگردونی.

همیشه یادت باشه که امنیت یه فراینده، نه یه دکمه. با صبر، آزمون و خطا و بررسی مرحله‌ای، هم امنیت بالا می‌ره، هم سایتت پایدار و سریع باقی می‌مونه.

جمع بندی

در آخر یه نکته خیلی مهم می‌خوام بگم؛ حتماً هوشینا و چتینا رو توی میهن وردپرس دنبال کنین. این دوتا ابزار جدید قراره یه دگرگونی واقعی توی مدیریت سایت‌هاتون ایجاد کنن. ما داریم هر روز روشون کار می‌کنیم و امکاناتی اضافه می‌کنیم که واقعاً کار شما رو راحت‌تر کنه، از تولید محتوا گرفته تا پشتیبانی و فروش.

خود من به‌جرئت می‌تونم بگم که این ابزارها حدود ۷۰ تا ۸۰ درصد زمان روزم رو ذخیره کردن و باعث شدن خیلی از هزینه‌هایی که قبلاً برای تولید محتوا یا مدیریت سایت می‌دادم، حذف بشه. پس اگر دنبال اینی که مدیریت سایتت آسون‌تر، سریع‌تر و هوشمندتر بشه، حتماً پیگیر هوشینا و چتینا باش. هر دوشون از منوی سمت راست توی پیشخوان وردپرس میهن وردپرس در دسترسن.

در نهایت امیدوارم این آموزش بهت کمک کرده باشه تا سایتت رو یه مرحله امن‌تر کنی و با خیال راحت‌تر پیش بری.
شاد، موفق و سربلند باشی 🌱✨