آموزش افزونه All In One WP Security & Firewall
- امنیت وردپرس
- بروزرسانی شده در
قبلا شما را با افزونه All in One WP Security آشنا کردیم. دیدیم که این افزونه در عین ساده بودن و بیدردسر بودن، امکانات فوقالعادهای در اختیار ما قرار میدهد تا بتوانیم سایت وردپرسیمان را از همیشه امنتر کنیم. حالا در این مقاله قصد داریم شما را با نحوه تنظیم کردن این افزونه و استفاده حداکثری از قابلیتهای آن آشنا کنیم. پس بیایید آموزش افزونه All In One WP Security & Firewall را شروع کنیم.
ویدیوی زیر در تاریخ ۴ شهریور ۱۳۹۴ ضبط شده و کیفیت بالایی ندارد. ویدیوی بالا پیشنهاد میشه. برای یادگاری هم که شده حذفش نمیکنیم. 😁
تاریخ ضبط ویدیو: ۴ شهریور ۱۳۹۴
هر سایتی که راه اندازی می کنید ، برای امنیت آن قطعا باید یک افزونه روی آن نصب باشد. و همانطور که می دانید All In One WP Security بهترین افزونه برای امنیت سایت ما می باشد. در این مقاله قصد داریم ، نحوه نصب این افزونه را برای شما توضیح دهیم . اگر شک دارید که بهترین افزونه ی وردپرسی چیست ، مقاله ی بهترین افزونه امنیتی وردپرس را مطالعه کنید.
آنچه در این مقاله میخوانید
نصب افزونه All In One WP Security
این افزونه میتواند برای سایت شما بسیار کارآمد باشد و شما میتوانید با خیال راحت با استفاده از آن امنیت سایت خود را تأمین کنید. با استفاده از این افزونه میتوانید بهراحتی مانع نفوذ هکرها به سایت خود شوید. شما میتوانید توسط این افزونه امنیت موارد مختلفی ازجمله اطلاعات حساب کاربران، تأمین امنیت فایلهای سایت، بالا بردن امنیت قسمت ورود و ثبتنام و… ازجمله اقدامات بسیار مهم و مفیدی است که این افزونه در اختیار شما قرار خواهد داد.
شیوه نصب افزونه All In One WP Security با افزونههای دیگر هیچ تفاوتی ندارد. وارد پنل مدیریت سایت خود شوید و از بین افزونه ها افزونه ی All In One WP Security را جستجو کنید .
وقتی آن را پیدا کردید ، آن را نصب و فعال کنید . اگر در نصب افزونه مشکلی دارید ، آموزش نصب افزونه در وردپرس می تواند مشکل شما را حل کند.بعد از نصب افزونه یک گزینه در پنل وردپرس نمایان می شود به نام امنیت وردپرس. با کلیک برروی آن می توانید به قسمت های مختلف آن دسترسی داشته باشید.
آموزش افزونه All In One WP Security
در ادامه نحوه کار با بخشهای مختلف افزونه All In One WP Security را به صورت گام به گام آموزش خواهیم داد.
بخش داشبورد
بخش داشبورد از 6 سربرگ تشکیل شده است:
داشبورد
بخش فعلی که در آن قرار داریم.
برای ورود به این بخش، از قسمت افزونهها روی امنیت وردپرس کلیک کنید و سپس داشبورد را انتخاب کنید.در بخش داشبورد آن اطلاعات و یک نمای کلی را مشاهده می کنید .
در صفحه داشبورد میزان قدرت امنیتی براساس ویژگیهای امنیتی که فعال کردهایم، نمایش داده میشود. باید توجه داشته باشید که در این مرحله اندازه گیری امنیتی بسیار پایین است. در واقع داشبورد All In One WP Security مهمترین ویژگیهایی را که برای دستیابی به حداقل سطح امنیت باید در سایت خود اعمال کنید، برجسته میکند.
مهمترین بخش این قسمت نشانگر میزان امنیت وردپرس شما است که میزان امنیت سایت وردپرسی شما را نمایش میدهد. اگر میزان امنیت سایت شما پایین است اصلاً نگران نباشید. چراکه با خواندن ادامه این مطلب قادر هستید آن را تا حد بسیار زیادی افزایش دهید. در این قسمت شما میتوانید اطلاعات کلی را مشاهده کنید. این اطلاعات در قالب نمودار برای شما نمایش داده میشود.
آدرس IP قفل شده
وقتی یک آی پی چندین بار قصد ورود مشکوک به سایت ما را داشته باشد ، می توانیم آن را قفل کنیم ، این تب آی پی های قفل شده را نشان می دهد.
لیست سیاه همیشگی
این زبانه فهرستی از تمام آدرسهای IP مسدود شده همیشگی را نمایش میدهد.اگر آی پی را به لیست سیاه اضافه کرده باشیم ، می توانیم در این سربرگ آن را مشاهده کنیم.
توجه: این ویژگی از فایل htaccess. برای مسدود کردن دائمی آدرسهای IP استفاده نمیکند، بنابراین باید با تمام سرورهای وب در حال اجرا وردپرس سازگار باشد.
Audit logs
ورود های ناموفق به سایت را د راین قسمت می بینیم .
اشکال زدایی گزارش ها
در این بخش گزارش هایی که اشکالی در آن ها وجود دارد جمع آوری می شود.
ارتقا به نسخه حرفه ای
در این بخش می توانید افزونه ی All In One WP Security را ارتقا دهید و نسخه ی پولی آن را تهیه کنید.
بخش تنظیمات
این بخش بهترین افزونه امنیتی ، شامل پشتیبانگیری از فایلهای اصلی سایت وردپرسی شما و بکآپگیری از دیتابیس وردپرس است. البته توصیه میکنیم قبل از شروع کار با این افزونه حتماً بکآپگیری از وردپرس را حتماً انجام دهید. بهاینترتیب میتوانید اطلاعات سایت خود را در شرایط مختلف حفظ کنید.
با رفتن به قسمت تنظیمات در تب افزونه به پنل تنظیمات دسترسی پیدا میکنید. در بخش تنظیمات 8 سربرگ پیش روی شما خواهد بود.
تنظیمات عمومی
در قسمت تنظیمات افزونه بخش های مختلفی را مشاهده می کنید . در بخش اول می توانید از سایت خود پشتیبان گیری کنید.
اگر فکر می کنید برخی از عملیات افزونه در سایت شما به دلیل یک ویژگی امنیتی که در این افزونه فعال کرده اید خراب شده است، از گزینه زیر برای خاموش کردن تمامی ویژگی های امنیتی این افزونه استفاده کنید.دو بخش بعدی ، برای این است که اگر سایتتان با مشکی روبه رو شد با زدن این گزینه تمام گزینه ها امنیتی را غیر فعال کنید ، و ببینید که آیا مشکل سایتتان از این گزینه بوده است یا نه.
این ویژگی تمام تنظیمات مربوط به افزونه All In One WP Security & Firewall را حذف می کند.این ویژگی تمام جداول پایگاه داده افزونه امنیتی را نیز بازنشانی/خالی می کند.
اگر توسط افزونه All In One WP Security & Firewall قفل شده اید و/یا هنگام فعال شدن آن افزونه مشکلی در ورود به سیستم دارید از این ویژگی استفاده کنید.
علاوه بر تنظیمات، هر دستورالعملی را که توسط افزونه All In One WP Security & Firewall به فایل htaccess. اضافه شده است، حذف می کند.
توجه داشته باشید: پس از حذف تنظیمات، باید افزونه All In One WP Security & Firewall را دوباره پیکربندی کنید.
این تنظیمات به شما امکان می دهد اشکال زدایی را برای این افزونه فعال/غیرفعال کنید.در واقع برای رفع یکسری از دیباگ ها استفاده می شود . ترجیحا کاری با آن نداشته باشید.
فایل htaccess.
فایل “.htaccess” شما جزء کلیدی امنیت وب سایت شما است و می توان آن را برای اجرای سطوح مختلف مکانیزم های حفاظتی تغییر داد.این ویژگی به شما امکان میدهد در صورت نیاز به استفاده مجدد از فایل پشتیبانگیری شده در آینده، از فایل htaccess فعال فعلی خود نسخه پشتیبان تهیه و ذخیره کنید.
همچنین می توانید تنظیمات htaccess. سایت خود را با استفاده از یک فایل پشتیبان گیری شده htaccess بازیابی کنید.در این سربرگ همانطور که از نام آن پیداست ، می توانید تنظیماتی را برروی فایل htaccess. انجام دهید . اگر این فایل را نمی شناسید ، ما قبلا یک مقاله با عنوان فایل htaccess. نوشته ایم ، می توانید آن را مطالعه کنید.
در این سربرگ می توانید از این فایل پشتیبان گیری کنید یا اینکه فایل را بازگردانی کنید.
فایل wp-config.php
پرونده «wp-config.php» شما یکی از مهمترین پروندهها در نصب وردپرستان است. این ویژگی به شما امکان می دهد در صورت نیاز به استفاده مجدد از فایل پشتیبان گیری شده در آینده، از فایل wp-config.php فعال فعلی خود نسخه پشتیبان تهیه و ذخیره کنید.
همچنین می توانید تنظیمات wp-config.php سایت خود را با استفاده از یک فایل پشتیبان گیری شده wp-config.php بازیابی کنید.
درواقع در این سربرگ نیز ، مانند سربرگ قبل می توانید از فایل wp-config.php پشتیبان گیری کنید یا آن را بازگردانی کنید . اگر اطلاعاتی درباره ی این فایل ندارید ، ما مقاله ای برای آن نوشته ایم . می توانید آن را مطالعه کنید. فایل wp-config.php چیست
حذف تنظیمات افزونه
اگر تیک دو گزینه را بزنید و ذخیره کنید ، تمام تنظیمات افزونه وقتی که آن را غیرفعال یا حذف کنیم از بین خواهد رفت.
اطلاعات نگارش وردپرس
بخش generator در قسمت کدهای سایت نسخه وردپرس سایتتان را به معرض دید عموم قرار میدهد.
حالا اگر شما چند ماهی سایت را بهروز نکرده باشید؛ بهطور قطع هکرها میفهمند که نسخه وردپرس شما قدیمی است. مثلاً همین مشکل بسیار مهم امنیتی در وردپرس ۴٫۲ که دیروز در موردش صحبت کردیم. پس با حذف این خط از کدهای سایتتان میتوانید وردپرس را امنتر از گذشته کنید.در این سربرگ شما می توانید تنظیمات را به گونه ای قرار دهید که ، نسخه ی وردپرس شما از دید کاربران مخفی شود.
درون ریزی / برون ریزی
این بخش به شما امکان می دهد تنظیمات All In One WP Security & Firewall را صادر یا وارد کنید.اگر می خواهید با اعمال تنظیمات از یک سایت به سایت دیگر در زمان خود ذخیره سازی کنید، این می تواند مفید باشد.
می توانید تنظیمات افزونه را برون ریزی کنید که در زمان های دیگری از آن استفاده کنید . یا اینکه می توانید تنظیماتی که قبلا آن ها را برون ریزی کرده اید ، در این قسمت درون ریزی کنید.
درونریزی کورکورانهی تنظیمات ممکن است باعث قفلشدن سایت به روی شما شود.به عنوان مثال: اگر یک مورد تنظیمات به URL دامنه متکی باشد، ممکن است هنگام وارد کردن به سایتی با دامنه متفاوت، به درستی کار نکند.
تنظیمات پیشرفته
تنظیمات تشخیص آدرس آی پی به شما این امکان را می دهد تا مشخص کنید که چگونه آدرس های آی پی بازدیدکنندگان برای PHP (و از این رو به وردپرس و افزونه های آن) شناخته می شود.
معمولاً این خودکار است و تنها یک انتخاب وجود دارد. با این حال، در برخی از تنظیمات، مانند مواردی که از پراکسیها استفاده میکنند (از جمله load-balancer و فایروالهای امنیتی مانند کلودفلر)، ممکن است لازم باشد این را به صورت دستی تنظیم کنید.
توجه!: مهم است که این را به درستی تنظیم کنید – در غیر این صورت ممکن است این امکان را برای یک هکر ایجاد کنید که همه بازدیدکنندگان شما را ممنوع کند (به عنوان مثال از طریق ممنوع کردن اتصال کلودفلر به شما) به جای اینکه خودش ممنوع شود. این امن ترین راه اندازی است، زیرا وقتی به درستی تنظیم شود از جعل شدن توسط مهاجم مصون می ماند.
این پلاگین ، آی پی کابرهای سایت شما را دریافت و ذخیره می کند . اگر کاربری به عنوان مثال ده بار با یک آی پی نام کاربری و رمز عبور را اشتباه وارد کند ، آی پی او را بلاک می کند. اما گاهی نمی تواند آی پی را تشخیص دهد و آن ها را بلاک کند. در این حالت اگر گزینه های داخلی آن فعال باشد می توانید از آن ها استفاده کنید که تشخیص آی پی آن اصلاح شود.ترجیحا در حالت پیش فرض باقی بماند. 🙂
احراز هویت دوعاملی
این گزینه هم گزینه ی مهمی است . اگر از میهن پنل پرو استفاده می کنید ، این قابلیت را داراست و نیاز به استفاده از آن در این افزونه نمی باشد.در مرحله ی اول مشخص می کنید که برای کدام دسترسی کاربران شما این قابلیت فعال باشد.
در مرحله ی بعد مشخص کنید که فعال کردن احراز هویت دوعاملی اجباری باشد یا اختیاری.
این گزینه اصلا چیست ؟
در قسمت شناسنامه که وارد می شوید ، این افزونه در آنجا گزینه ای را اضافه کرده است با عنوان احراز هویت دو عاملی ، برروی آن کلیک کنید.
وارد صفحه ای می شوید که می توانید آن را بر روی فعال یا غیرفعال قرار دهید . وقتی برروی فعال قرار دهید ، یک QR Code در اختیار شما قرار می دهد.
اکنون در گوگل Google Authenticator را جستجو کنید . همانگونه که در تصویر می بینید هم برای اندروید و هم برای آیفون قابل دانلود و نصب است.
بعد از نصب این برنامه برروی گوشی موبایتان محیطی شبیه تصویر زیر را مشاهده می کنید . با زدن گزینه + می توانید QR Code را اسکن کنید . از این به بعد ، برای شما روی این برنامه هر1 دقیقه 1 بار یک کد جدید صادر می شود.
حتی برای مرورگر کروم نیز افزونه ای وجود دارد . می توانید آن را بر روی مرورگر خود اضافه کنید.
از این به بعد ، هر کاربر زمان ورود به پنل کاربری باید علاوه بر وارد کردن نام کاربری و رمز عبور خود ، یک کد دوعاملی نیز وارد کند و این بسیار برای امنیت سایت شما مفید است . پیشنهاد می کنم که حتما آن را فعال کنید.
بخش امنیت کاربر
این بخش نیز مانند مابقی بخش ها داراری سربرگ های مختلفی می باشد. این 7 سربرگ را با یکدیگر بررسی می کنیم.
حساب های کاربری
بسته به نحوه نصب وردپرس، می توانید یک مدیر پیش فرض با نام کاربری “admin” داشته باشید. بسیاری از هکرها با دانستن این نام کاربری پیشفرض،دست به حملات Brute Force برای ورود به سایت میزنند. که این حملات ترکیبی از نام کاربری “admin” و گذرواژههای مختلف است.
از دیدگاه امنیتی، تغییر نام کاربری پیشفرض “admin”، یکی از اولین و هوشمندانهترین کارهایی است که شما باید روی سایتتان انجام دهید.این ویژگی به شما امکان تغییر نام کاربری پیشفرض “admin” را به هر نام کاربری دیگری میدهد.
در قسمت حساب های کاربری ابتدا نام مدیر سایت را به شما نشان می دهد که می توانید آن را ویرایش کنید.توسط این بخش میتوانید نام کاربری Admin را بدون حذف و اضافه کردن کاربران بهصورت مستقیم تغییر دهید. درصورتیکه در این مورد مشکلی امنیتی وجود نداشته باشد و حسابی بانام کاربری Admin در سایت شما موجود نباشد، شکل زیر برای شما نمایش داده خواهد شد:
هنگامی که یک پست ارسال می کنید یا به یک نظر پاسخ می دهید، وردپرس معمولا “نام مستعار” شما را نمایش می دهد.به طور پیشفرض، نام مستعار روی نام ورود (یا کاربر) حساب شما تنظیم می شود. از نظر امنیتی، گذاشتن نام مستعار و نام کاربری یکسان عملیات بدی است زیرا حداقل نیمی از اعتبار ورود به حساب شما را به هکر می دهد.
بنابراین برای تقویت بیشتر امنیت سایت خود به شما توصیه می شود نام مستعار و نام نمایش خود را تغییر دهید تا با نام کاربری شما متفاوت باشد.
در قسمت بعد نام نمایشی کاربران را به شما نشان می دهد که می توانید آن ها را ویرایش کنید. اما اگر تعداد کاربران شما زیاد است نیازی به انجام آن نیست .
در این بخش میتوانید نام کاربری وردپرس، رمز عبور و نام نمایشی خود را تغییر دهید. زمانی که شما برای اولین بار وردپرس را نصب میکنید، نام کاربری “Admin” است. بسیار مهم است که این نام کاربری را تغییر دهید چرا که سهل انگاری، شما را طعمه راحتی برای هکرها میکند.
شما نباید از نام کاربری و نام نمایشی یکسان استفاده کنید. نام نمایشی، آیدی است که برای کاربران نمایش داده میشود. اگر شما از نام کاربری و نام نمایشی یکسان استفاده کنید، هکرها دیگر نیازی به جست و جوی نام کاربری شما نخواهند داشت چرا که شما نام کاربری خود را دو دستی تقدیمشان کردهاید و هکرها باید فقط به دنبال رمز عبور باشند.
در قسمت آخر از این بخش نیز می توانید تنظیم کنید که تعداد و اطلاعات کاربران را به یکدیگر نمایش ندهد.هنگامی که این ویژگی فعال باشد، به جای اطلاعات کاربر، خطای “ممنوع” را چاپ می کند.
قفل ورود
یکی از راههایی که هکرها در روش حمله بورت فورث. اینجاست که مهاجمان از تلاش های مکرر برای ورود استفاده می کنند تا زمانی که رمز عبور را حدس بزنند.جدای از انتخاب رمزهای عبور قوی، نظارت و مسدود کردن آدرسهای IP که در یک بازه زمانی کوتاه با شکستهای مکرر لاگین درگیر میشوند، راه بسیار موثری برای متوقف کردن این نوع حملات است.
یکی از موارد مهمی که باید در این قسمت در نظر داشته باشید این است که شما باید بهکارگیری ویژگی بازداری از ورود را حتماً تیک بزنید. این گزینه را فعال کنید تا درصورتیکه یک کاربر بیش از چند بار اطلاعات فرم لاگین را بهاشتباه تکمیل کرد، آی پی شخص Ban شده و تا مدتی از ورود این آی پی به سایت شما جلوگیری شود.
سپس قسمت حداکثر تلاش برای ورود میزان دفعاتی که کاربر مجاز به پر کردن فرم ورود میباشد را تعیین میکند. بهاینترتیب افراد بیش از یک تعداد خاص نمیتوانند رمز عبور و نام کاربری اشتباهی را در صفحه ورود وارد کنند.
بازه زمانی تلاش برای ورود میزان زمانی را تعیین میکند؛ که کاربر پس از واردکردن اطلاعات اشتباه باید منتظر بماند. درواقع بازه زمانی قفلکردن دوباره مدتزمانی را که کاربر تحریم میشود را تعیین میکند.
اگر تیک گزینه ی اول را فعال کنیم ، می توانیم یکسری ویژگی های امنیتی را برای ورود کاربران تنظیم کنیم. در چهار کادر خالی به ترتیب مشخص می کنیم که اگر کاربر چه تعداد ورود را در چند دقیقه انجام داد بین چند و چند دقیقه نتواند وارد شود. به عنوان مثال در تصویر زیر من مشخص کردم که اگر کاربر در 3 دقیقه ، 5 ورود ناموفق داشت ، بین 10 تا 20 دقیقه به صورت رندوم اجازه ی ورود به او ندهد.
همچنین مشکل امنیتی دیگری که در وردپرس وجود دارد و این افزونه قادر به حذف آن است؛ این است که بعد از وارد کردن نام کاربری اشتباه، پیغام نام کاربری اشتباه است به کاربر نمایش داده می شود. به این ترتیب هکر متوجه می شود که نام کاربری اشتباه را وارد کرده است. شما باید نمایش پیام خطای عمومی را فعال کنید؛ تا در صورتی که کاربر نام کاربری را هم اشتباه وارد کرد پیغام نام کاربری و یا رمز عبور اشتباه است نمایش داده شود.
با زدن تیک این گزینه هر شخصی که قصد ورود به سایت شما با نام کاربری که در سایت وجود ندارد ، را داشته باشد فورا بلاک خواهد شد. اگر فقط خودتان در سایت حساب دارید می توانید برای امنیت بیشتر تیک این گزینه را بزنید.
در کادر مشخص شده می توانید تعدادی نام کاربری امنیتی را وارد کنید که اگر کاربر با این نام ها قصد ورود به سایت را داشت ، فورا آی پی آن ها را بلاک کند.
علاوه بر این قسمت آگاه کردن از طریق ایمیل به شما این امکان را میدهد تا از ورودهای ناموفق از طریق ایمیل باخبر شوید. می توانید در کادر پایین چند ایمیل را وارد کنید که در صورتی که کاربری بلاک شد برای شما ایمیل ارسال شود . ضرورتی برای زدن تیک این گزینه وجود ندارد.
با زدن تیک این گزینه نیز مشخص می کنید که زمان ارسال ایمیل یک backtrace نیز برای شما ارسال شود یا خیر. که زدن این تیک هم ضرورتی ندارد.
و در بخش آخر ، می توانید اگر آی پی ثابت و مشخصی دارید ، آن را در لیست زیر وارد کنید که هیچ زمانی بلاک نشود . اما تقریبا آی پی اینترنت هیچکس ثابت نیست.
بیرون کردن اجباری
تنظیم یک بازه زمانی برای مدت زمان حضور مدیر در سایت، یک راه مفید برای جلوگیری از دسترسی غیرمجاز به سایت از راه کامپیوتر شماست.این ویژگی به شما امکان می دهد مدت زمانی را در عرض چند دقیقه مشخص کنید که پس از آن جلسه مدیریت منقضی می شود و کاربر مجبور به ورود مجدد می شود.
قسمت دیگری که به شما کمک زیادی میکند خروج اتوماتیک کاربر از وردپرس است. شما با استفاده از این سربرگ میتوانید مدتزمانی را تعیین کنید تا بعد از گذشت زمان مشخصشده کاربر از سایت بهصورت اتوماتیک خارج شود و نیاز به ورود مجدد کاربر باشد. عدم فعالیت کاربر در یک بازه زمانی مشخص منجر به خروج اجباری او از سایت خواهد شد.
می توانید ابتدا با فعال کردن تیک بالا و سپس وارد کردن یک عدد به عنوان دقیقه ، مشخص کنید که کاربر مثلا دو ساعت بعد از سایت به اجبار خارج شود. که ضرورتی ندارد.
گاها با وارد کردن عددی به عنوان دقیقه ، افرادی بوده اند که سایت آن ها با ارور روبه رو شده است . اگر با ارور مواجه شدید ، می توانید وارد کنترل پنل هاست خود شوید و در پوشه ی wp-content و بعد از آن پوشه ی plugins و درون آن پوشه ای با نام All In One WP Security را تغییر نام دهید .اگر مجدد با فعال کردن افزونه به ارور خوردید ، باید وارد دیتابیس سایت شوید که پیچیده است . در دوره ی جامع سایت برتر آن را توضیح داده ام.
کاربران وارد شده
این تب همه کاربرانی را که هم اکنون در سایت شما حاضر هستند، نشان میدهد. با استفاده از این قابلیت اگر شما به یک یا چند نفر از کاربران حاضر در سایت خود بدگمان هستید، میتوانید IP آدرس آنها را از جدول زیر برداشته و در لیست سیاه سایت خود قرار دهید.
تایید دستی
در این بخش میتوانید گزینه تایید خودکار ثبتنام را به تایید دستی تغییر دهید. با این کار از ثبت نام کاربران غیرواقعی جلوگیری میشود. هنگامی که شما افزونه تجارت الکترونیکی برای فروش اقلام در سایت خود با ثبت نام کاربری دارید، فعال کردن این ویژگی باعث توقف مشتریان واقعی میشود چرا که نمیتوانند به طور خودکار ثبت نام کنند. بنابراین، هنگامی که برای اهداف دیگری نیاز به داشتن ویژگی ثبت خودکار دارید، این بخش را فعال نکنید.
Salt
“Salts” وردپرس عبارات مخفی هستند که هنگام ذخیره آن رمزهای عبور با رمزهای عبور کاربر ترکیب می شوند و در نهایت شکستن آنها برای مهاجم حتی اگر موفق به سرقت پایگاه داده وب سایت شما شود دشوارتر می شود.
وقتی این ویژگی را فعال میکنید، شما و سایر کاربرانی که وارد سیستم شدهاند از سیستم خارج میشوید تا AIOS بتواند کد اضافی (salt) را به اطلاعات ورود به سیستم همه کاربران اضافه کند.
تنظیمات اضافی
وردپرس 5.6 ویژگی جدیدی به نام «گذرواژههای برنامه» معرفی کرد. این به شما این امکان را می دهد که یک توکن از داشبورد وردپرس ایجاد کنید که می تواند در هدر مجوز استفاده شود.
این ویژگی به شما امکان می دهد پسوردهای برنامه را غیرفعال کنید زیرا می توانند سایت شما را در برابر مهندسی اجتماعی و کلاهبرداری های فیشینگ آسیب پذیر کنند. پس می توانید برای جلوگیری از هک شدن سایت خود به وسیله ی این برنامه ها تیک این گزینه را فعال کنید.
بخش امنیت پایگاه داده
در دو سربرگ می توانید تنظیماتی را برای امنیت پایگاه داده انجام دهید.
پیشوند پایگاه داده
دیتابیس وردپرس شما،مهم ترین قسمت سایت شماست؛ زیرا بخش ارزشمند اطلاعات سایت شما در آن است. همچنین هدفی برای هکرها می باشد که از طریق SQL Injections یا کدهای خرابکارانه خودکار جدولهای خاصی را هدف می گیرند.
وردپرس به طور پیشفرض از پیشوند wp برای تمامی پایگاه دادههای خود استفاده میکند. از این بخش میتوانید پیش فرض را به صورت تصادفی تغییر دهید تا امنیت سایت افزایش پیدا کند.
یک راه برای حفاظت از دیتابیس، تغییر پیشوند وردپرس برای جدولها یعنی “wp_” به چیز دیگری است که حدس زدن آن برای هکرها دشوار باشد. این ویژگی در این سیستم به شما امکان تغییر آسان پیشوند دیتابیس را میدهد. شما میتوانید از پیشوند دلخواه خود یا از یک پیشوند تصادفی در این افزونه استفاده کنید.
شما باید روی تغییر پیشوند دیتابیس کلیک کنید تا پیشوند دیتابیس سایت شما بهصورت خودکار تغییر داده شود. به این صورت میتوانید از شر هکرها در امان باشید.
پشتیبان گیری از پایگاه داده
از سربرگ دیگر این بخش میتوانید قابلیت پشتیبانگیری از دیتابیس را فعال کنید. اما فعال کردن این بخش توصیه نمیشود. برخی گزارشها مبنی بر اختلال در عملکرد این قسمت است. راههای پشتیبانگیری اختصاصی زیادی برای وردپرس وجود دارد.
تب دوم نیز برای پشتیبان گیری از دیتابیس میباشد در این قسمت می توانید از پایگاه داده ی خود پشتیبان بگیرید . برای این کار نیاز به نصب UpdraftPlus، دارید.
بخش امنیت فایل
مجوزهای فایل
دسترسی و اجازه خواندن و نوشتن فایل ها و پوشه هایی که وردپرس را می سازند، توسط مجوزهای فایل کنترل می شود.
فایلهای مختلفی در سایت شما وجود دارند که هرکدام از آنها دارای سطوح دسترسی مختلفی هستند. شما باید توجه داشته باشید که سطح دسترسی فایلهای سایت خود را امن نگهدارید. این قسمت از افزونه به شما کمک میکند فایلهایی که سطح دسترسی ناامنی را دارند شناسایی کنید. این قسمت از تبهای مختلفی تشکیلشده که هرکدام برای انجام دادن کارهای مختلفی در این قسمت است.
ممکن است برخی از فایلها دارای سطوح دسترسی ناامنی باشند که شما از وجود آنها اطلاعی ندارید. از این بخش میتوانید سطوح دسترسی فایلهای موجود روی هاست خود را تقویت کنید.
این قسمت سطح دسترسی تمامی فایلهای سایتتان را بررسی کرده و طبق مجوزهایی که استاندارد و پیشنهادی افزونه است، Chmod فایل و پوشههای سایت وردپرسی شما را تعیین میکند.
محافظت از پرونده
این ویژگی ها به شما امکان می دهد از فایل ها و دارایی های خود محافظت کنید. با محافظت از فایلها و داراییهای خود، میتوانید از دستیابی کاربران شرور به اطلاعات کلیدی جلوگیری کنید و از منابع سرور خود محافظت کنید.
این ویژگی به شما امکان میدهد از دسترسی به فایلهایی مانند readme.html، license.txt و wp-config-sample.php که با تمام نصبهای WP ارائه میشوند، جلوگیری کنید.با جلوگیری از دسترسی به این فایلها، برخی از اطلاعات کلیدی (مانند اطلاعات نسخه وردپرس) را از هکرهای احتمالی پنهان میکنید.
هات لینک به این معنی است که کسی عکس سایت شما را در سایت خود با استفاده از لینک سایت شما نمایش می دهد و از منابع سرور شما استفاده می کند.
با توجه به اینکه تصویری که در سایت طرف مقابل نمایش داده می شود از سرور شما می آید، این می تواند باعث نشت پهنای باند و منابع برای شما شود زیرا سرور شما باید این تصویر را برای افرادی که آن را در سایت دیگران مشاهده می کنند ارائه دهد.
این ویژگی با نوشتن برخی دستورالعملیات ها در فایل htaccess. شما از لینک مستقیم تصاویر از صفحات سایت شما جلوگیری می کند.
پیشخوان وردپرس به طور پیشفرض به مدیران سایت اجازه ویرایش فایلهای PHP (مانند فایلهای پوسته ها و افزونه ها) را میدهد.این اغلب اولین ابزاری است که مهاجم در صورت امکان در زمان لاگین از آن استفاده می کند، زیرا امکان اجرای کد را فراهم می کند.
این ویژگی امکان ویرایش فایلهای PHP را از طریق داشبورد برای افراد غیرفعال میکند. و همچنین امکان تغییر فایلهای php از پنل مدیریت وردپرس را غیرفعال میکند. البته ما به شما پیشنهاد نمیکنیم که این قسمت را فعال کنید. و نیز امکان جلوگیری از دسترسی به فایلهایی مانند Readme.html license.txt و Wp-Config-Sample.php را فراهم میکند.
در نظر داشته باشید که این فایلها به همراه هر نگارش وردپرس عرضه میشوند. با جلوگیری از دسترسی به این فایلها شما تعدادی از اطلاعات کلیدی (مانند نسخه وردپرس) را از چشم هکرها پنهان میکنید که برای شما بسیار مفید است.
گزارش های سیستم هاست
گاهی اوقات پلتفرم میزبانی شما گزارش های خطا یا هشدار را در فایلی به نام “error_log” تولید می کند. بسته به ماهیت و علت خطا یا هشدار، سرور میزبان شما می تواند چندین نمونه از این فایل را در مکان های دایرکتوری متعدد نصب وردپرس شما ایجاد کند.
با دیدن گاه به گاه درونمایه این فایلهای گزارش شما می توانید از همه مشکلات پنهان سیستم آگاه شوید.
این قسمت فایل Error_log را برای شما نمایش میدهد؛ که توسط آن میتوانید خطاهای موجود در سایتتان را پیدا کرده و به رفع آنها بپردازید.
حفاظت از کپی
این ویژگی به شما این امکان را می دهد که امکان انتخاب و کپی متن را از قسمت جلویی خود غیرفعال کنید. هنگامی که کاربر ادمین وارد سیستم می شود، این ویژگی به طور خودکار برای او غیرفعال می شود.
قاب ها
این ویژگی به شما این امکان را می دهد که از نمایش محتوای شما توسط سایر سایت ها از طریق فریم یا آی فریم جلوگیری کنید. هنگامی که این ویژگی فعال است، “X-قاب گزینه ها” پارامتر به “sameorigin” در هدر HTTP تنظیم میباشد.
بخش دیواره آتش
در بخش معرفی افزونه All In One WP Security ، ویژگیهای مهم این بخش را بررسی کردیم. یکی از مهمترین مزیتهای این بخش مسدودسازی کدهای مخرب است. با فعال کردن تمامی گزینههای این بخش، وبسایتتان را در برابر عوامل ویروسی مخرب، بیمه کنید.
اول از همه این نکته را در نظر داشته باشید که قبل از استفاده از دیواره آتش یا فایروال از دیتابیس و فایل htaccess خود بک آپ بگیرید. ما پیشنهاد میکنیم تمامی قسمتهای این بخش را فعالسازی کنید. چراکه برای شما کارآمد هستند. این قسمت باعث میشود شما بتوانید یک فایروال بسیار قوی برای سایت خود ایجاد کنید. توسط این قسمت از ورود اسکریپتهای مخرب جلوگیری میشود.
PHP rules
برای امنیت بیشتر یکسری کد های PHP را به وردپرس ما اضافه می کند. تمام گزینه ها را تیک میزنیم . اگر مشکلی در سایت ما ایجاد کرد تک به تک ، تیک ها را بر می داریم تا ببینیم مشکل از کجا بوده است.
htaccess. rules
این سر برگ نیز مانند سر برگ قبل ، برای امنیت بیشتر یکسری کد هایی را به htaccess. اضافه می کند. تمام گزینه ها را تیک میزنیم . اگر مشکلی در سایت ما ایجاد کرد تک به تک ، تیک ها را بر می داریم تا ببینیم مشکل از کجا بوده است.
در کادری که در تصویر زیر می بینید مقداری را برای حجم آپلود فایل در رسانه ها وارد کنید. مابقی قسمت ها را در حالت پیش فرض خود رها کنید.
6G firewall rules
این ویژگی به شما امکان می دهد قوانین حفاظت امنیتی فایروال 6G (یا 5G قدیمی) که توسط Perishable Press طراحی و تولید شده است را فعال کنید.لیست سیاه 6G یک لیستسیاه ساده و انعطافپذیر است که تعداد درخواستهای خرابکارانه URL به سایت شما را کاهش میدهد.
علاوه بر این استفاده از فایروال 6G در سایت شما این است که توسط افراد PerishablePress.com آزمایش و تایید شده است که مجموعه ای از قوانین امنیتی بهینه و کم اخلال برای سایت های وردپرس عمومی است.
تمام گزینه ها را تیک میزنیم . اگر مشکلی در سایت ما ایجاد کرد تک به تک ، تیک ها را بر می داریم تا ببینیم مشکل از کجا بوده است.
ربات های اینترنت
ربات اینترنتی چیست؟؟
خیلی از ربات ها قانونی بوده و مخرب نیستند اماهمه ربات ها خوب نیستند.گاهی رباتی را می بینید که میخواهد خود را بجای “ربات گوگل” جابزند اما در واقع آن هیچ ربطی به گوگل ندارد.
اگرچه بیشتر رباتهای موجود در بازار نسبتاً بیضرر هستند، گاهی صاحبان وبسایتها میخواهند کنترل بیشتری بر روی رباتهایی که اجازه ورود به سایت خود را میدهند داشته باشند.
Blacklist
ویژگی All In One WP Security لیست سیاه به شما این امکان را می دهد که آدرس ها یا محدوده های IP میزبان و همچنین عوامل کاربر را ممنوع کنید. این ویژگی دسترسی کامل به سایت را برای کاربرانی که دارای آدرس IP یا عوامل کاربری مطابق با مواردی است که در تنظیمات زیر پیکربندی کردهاید، منع میکند.
بازدیدکنندگان لیست سیاه به محض بارگیری وردپرس مسدود می شوند و از دسترسی بیشتر آنها جلوگیری می شود.
در این بخش میتوانید آیپیهایی را که دوست ندارید به سایت شما دسترسی داشته باشند مسدود کنید. بنابراین آیپیهایی که مشکوک هستند را در این قسمت وارد نمایید. توجه داشته باشید در این قسمت برای مسدود کردن هر آدرس IP باید یک اسم همراه با یک اسلش در ابتدای آن انتخاب کنید.
WP REST API
این ویژگی به شما این امکان را می دهد تا دسترسی به API وردپرس REST را برای درخواست های غیرمجاز مسدود کنید.
هنگامی که فعال باشد، این ویژگی تنها در صورتی اجازه می دهد که درخواست های REST پردازش شوند که کاربر وارد سیستم شده باشد.
مراقب باشید که اگر از افزونههای دیگری استفاده میکنید که نقاط پایانی REST را ثبت کردهاند (به عنوان مثال، فرم تماس 7)، در صورتی که کاربر وارد سیستم نشده باشد، این ویژگی درخواستهای REST مورد استفاده توسط این افزونهها را نیز مسدود میکند. توصیه میشود اگر میخواهید عملکرد بدون وقفه این افزونهها را داشته باشید، این ویژگی را غیرفعال کنید.
تنظیمات پیشرفته
این گزینه به شما امکان می دهد فایروال را تنظیم یا کاهش دهید. توصیه می کنیم برای محافظت بیشتر فایروال را تنظیم کنید، اما اگر به هر دلیلی می خواهید فایروال را غیرفعال کنید، می توانید این کار را از اینجا انجام دهید.
این گزینه به شما امکان می دهد آدرس های IP را به لیست مجاز خود اضافه کنید. تمام IP های موجود در لیست مجاز شما دیگر تحت تأثیر قوانین فایروال قرار نخواهند گرفت.
بخش بورت فورس
تغییر نام برگه ی ورود
یک تکنیک موثر پیشگیری از Brute Force، تغییر URL صفحه ورود به سیستم پیش فرض وردپرس است.
معمولاً اگر میخواهید وارد وردپرس شوید، URL خانه سایت خود را به دنبال آن wp-login.php تایپ میکنید.
این ویژگی به شما این امکان را می دهد که URL ورود به سیستم را با تنظیم Slug خود و تغییر نام آخرین بخش از URL ورود به سیستم که حاوی wp-login.php به هر رشته ای که دوست دارید تغییر دهید.
با انجام این کار، ربات ها و هکرهای مخرب نمی توانند به صفحه ورود به سیستم شما دسترسی پیدا کنند زیرا URL صفحه ورود صحیح را نمی دانند.
توجه: اگر سایت خود را در WPEngine یا ارائه دهنده ای که کش سرور را انجام می دهد میزبانی می کنید، باید از افراد پشتیبانی میزبان بخواهید که صفحه ورود تغییر نام یافته شما را در حافظه پنهان ذخیره نکنند.
این گزینه به شما امکان تغییر پوشه مدیریت Wp-Admin را به هر آدرسی که دوست دارید میدهد. با استفاده از این کار پیدا کردن این پوشه برای هکر ساده نیست.
با افزودن پسوند “/wp-admin/” یا “/wp-login.php?action=login” به آدرس سایت به راحتی میتوان به صفحه ورود وردپرس سایت دسترسی داشت. از آنجایی که هر کسی میتواند با یکی از این URLها به سایت شما دسترسی داشته باشد، اولین قدم در پیشگیری از حملات بروت فورس تغییر نام صفحه ورود است. کادر ” قابلیت تغییر آدرس صفحه ورود” را علامت بزنید و یک پیشوند مورد نظر که حدس زدن آن سخت است را ارائه دهید.
به عنوان مثال، اگر می خواهید URL صفحه ورود به سیستم را به عنوان “yoursite.com/login/” تغییر دهید، کلمه “login” را در کادر متن وارد کنید. قبل از فعال کردن این بخش به نکات زیر دقت کنید:
- تغییر نام صفحه ورود، شما را از سیستم خارج میکند و باید دوباره با URL جدید وارد شوید.
- این عملکرد بر همه کاربران تأثیر میگذارد، بنابراین اگر برای نظر دادن در سایتتان نیاز به ثبتنام است، آن را فعال نکنید.
- این بخش بر ویژگی هر افزونه دیگری که از صفحه ورود پیش فرض استفاده میکند تأثیر میگذارد.
جلوگیری از بروت فورس براساس کوکی
این قسمت مربوط به حملات Brute Force میباشد که اکثر هکرها از این راه اقدام به تخریب سایت مقصد میکنند. بنابراین این قسمت از اهمیت زیادی برخوردار است. این بخش شامل ۲ قسمت مهم میباشد که به بررسی آنها میپردازیم.
Brute Force حملاتی هستند که بر مبنای آزمون و خطا سعی بر پیدا کردن رمز ورود شما دارند. شاید یکی از مهمترین بخشهای افزونه All In One WP Security همین بخش باشد، چرا که بیشتر هکرها سعی میکنند از این طریق به وبسایت شما دسترسی پیدا کنند. این بخش دارای 5 سربرگ است که هر کدام وظیفه مهمی در حفظ امنیت وبسایت شما دارند.
گزینه بعدی برای جلوگیری از حملات brute force بر اساس کوکی موجود در مرورگر شما است. چک باکس «جلوگیری از حمله Brute Force» را فعال کنید و یک کلمه سخت برای قسمت «Secret Word» انتخاب کنید.
به عنوان مثال، اگر میخواهید کلمه مورد نظر خود را به عنوان “test” اضافه کنید،URL ورود به سیستم “http://yoursite.com/?test=1” خواهد بود. برای دسترسی به صفحه ورود میتوانید “/?secret-word=1″ را به URL سایت خود اضافه کنید. اگر صفحات محافظت شده با رمز عبور دارید، کادر انتخاب ” سایت من دارای پستها یا صفحاتی است که با رمز عبور محافظت میشوند” را فعال کنید.
اگر تم یا افزونهای دارید که از Ajax استفاده میکند، کادر انتخاب ” سایت من دارای تم یا افزونههایی است که از AJAX استفاده میکنند” را فعال کنید. به طور کلی اکثر تمها و افزونهها از Ajax استفاده میکنند، از این رو باید این گزینه را فعال کنید و بررسی کنید که آیا سایت شما به درستی بارگذاری میشود یا خیر.
- این روش شبیه به تغییر نام صفحه ورود به سیستم است، بنابراین تمام هشدارهای ذکر شده در بالا برای این روش نیز قابل اجرا هستند.
- از آنجایی که هر دو روش «تغییر نام صفحه ورود به سیستم» و «پیشگیری از نیروی brute force مبتنی بر کوکی» URL صفحه ورود را تغییر میدهند، میتوانید هر بار از یکی از این روشها در سایت خود استفاده کنید.
CAPTCHA settings
از آنجایی که دو گزینه اول بر محیطهای چند کاربره مانند سایتهایی با ویژگیهای ورود، ثبت نام و تجارت الکترونیک تأثیر میگذارند، تنها فعال کردن کپچا یکی از سادهترین روشهایی است که میتوانید برای جلوگیری از حمله brute force استفاده کنید. در این بخش سه گزینه برای فعال کردن کد امنیتی روی فرمها دارید:
- کد امنیتی را در صفحه ورود پیش فرض وردپرس اضافه کنید.
- کد امنیتی را در تمام فرمهای مورد استفاده در سایتی که از تابع وردپرس «wp_login_form» استفاده میکنند، فعال کنید.
- در فرم درخواست رمز عبور گم شده، کد امنیتی را فعال کنید.
لیست سفید ورود
ویژگی All In One WP Security لیست سفید به شما این امکان را می دهد که فقط به آدرس های IP یا محدوده خاصی اجازه دسترسی به صفحه ورود به وردپرس خود را بدهید. این ویژگی دسترسی ورود به سیستم را برای همه آدرسهای IP که در لیست سفید شما نیستند، همانطور که در تنظیمات زیر پیکربندی شده است، ممنوع میکند.
با اجازه دادن یا ندادن به آی پی آدرسها از طریق فایل htaccess. ، شما از امنترین خط دفاعی اولیه استفاده میکنید؛ زیرا اجازه دسترسی به برگه ورود تنها برای آی پی آدرسهای موجود در لیست سفید صادر میشود و بقیه آدرسها به محض تلاش برای رسیدن به برگه ورود، مسدود خواهند شد.
افزونه All in One WP Security گزینه “Login Whitelist” را نیز ارائه میدهد. این قسمت فقط به آدرسهای IP فهرست شده اجازه میدهد تا به صفحه ورود به سیستم وردپرس شما دسترسی داشته باشند و همه آدرسهای IP دیگر مسدود خواهند شد .
تشخیص خطای 404
خطای 404 یا Not Found زمانی رخ می دهد که شخصی سعی می کند به صفحه ای که وجود ندارد در وب سایت شما دسترسی پیدا کند. به طور معمول، بیشتر خطاهای 404 زمانی اتفاق میافتد که افراد یک URL را اشتباه تایپ کرده باشند یا از یک پیوند قدیمی به صفحه استفاده کنند که دیگر وجود ندارد.
با این حال، در برخی موارد ممکن است بسیاری از خطاهای 404 مکرر را بیابید که در یک زمان نسبتاً کوتاه و از همان آدرس IP رخ میدهند که همگی تلاش میکنند به انواع URLهای صفحه موجود دسترسی پیدا کنند. چنین رفتاری می تواند به این معنی باشد که یک هکر ممکن است به دلایل شوم سعی در یافتن یک صفحه یا URL خاص داشته باشد.
هانی پات
آخرین گزینه فعال کردن “ Enable Honeypot On Login Page” است. این بخش یک فیلد جدید در فرم ورود ایجاد میکند که برای کاربران انسانی نامرئی و فقط برای رباتها قابل مشاهده است. از آنجایی که رباتها برای ورود تمام فیلدهای فرم ورود را پر میکنند، در صورت پر شدن فیلد پنهان، افزونه دسترسی ربات را متوقف میکند. بنابراین به توقف موثر رباتها کمک میکند.
بخش جلوگیری از اسپم
این قسمت افزونه با اضافه کردن یک کد کپچا به فرم ارسال نظرات وردپرس از ارسال جفنگ (اسپم) در سایت شما جلوگیری میکند. البته برای راحتتر بودن کاربران سایتتان پیشنهاد میکنم از اکیسمت وردپرس استفاده کنید.
Comment spam
بخش بزرگی از دیدگاههای جفنگ یک سایت وردپرس،از سوی رباتهای خودکار نوشته میشود.
این ویژگی ترافیک بیهوده و غیرضروری و بارگذاری سرور شما ناشی از نظرات اسپم را تا حد زیادی به حداقل می رساند.
نظارت بر آی پی دیدگاه های جفنگ
افزونه AIOWPS به جلوگیری از کامنتهای اسپم ارسال شده توسط رباتها کمک میکند و اجازه میدهد تا کپچا را در فرم نظرات اضافه کنید.
این ویژگی به شما اجازه می دهد تا به طور خودکار و دائمی آدرس آی پی هایی را که بیش از تعداد مشخصی از نظرات که دارای برچسب اسپم است را مسدود کنید.
اگر ویژگی «تشخیص نظرات هرزنامه» فعال باشد یا مدیر به صورت دستی نظری را به عنوان «هرزنامه» از منوی نظرات وردپرس علامتگذاری کند، نظرات هرزنامه محسوب میشوند.
توجه: این ویژگی از فایل htaccess. برای مسدود کردن دائمی آدرسهای IP استفاده نمیکند، بنابراین باید با تمام سرورهای وب در حال اجرا وردپرس سازگار باشد.
در این قسمت می توانید مشخص کنید که آی پی کاربرانی را میخواهید که به عنوان مثال 5 دیدگاه جفنگ در سایت قرار داده اند .
وقتی تعداد را وارد کردید و دکمه یافتن آی پی آدرس را زدید ، لیست آی پی ها در تصویر زیر نمایان می شوند که می توانید آن ها به لیست سیاه اضافه کنید.
اسکنر افزونه All In One WP Security
اگر فرصتی به هکرها داده شود می توانند کد یا فایل های خود را در سیستم شما وارد کنند که سپس می توانند از آنها برای انجام اقدامات مخرب در سایت شما استفاده کنند.
اطلاع از هرگونه تغییر در فایل های خود می تواند راه خوبی برای جلوگیری سریع از آسیب رساندن هکر به وب سایت شما باشد.
به طور کلی، فایلهای هسته و افزونه وردپرس و انواع فایلها مانند «.
“ویژگی تشخیص تغییر فایل” شما را از هرگونه تغییر فایلی که در سیستم شما رخ می دهد، از جمله افزودن و حذف فایل ها با انجام اسکن منظم خودکار یا دستی فایل های سیستم شما، مطلع می کند.
این ویژگی همچنین به شما امکان می دهد در مواردی که می دانید فایل ها یا پوشه های خاصی به عنوان بخشی از عملیاتکرد عادی خود تغییر می کنند، از اسکن حذف کنید. (به عنوان مثال، فایلهای گزارش و برخی از فایلهای پلاگین حافظه پنهان ممکن است اغلب تغییر کنند و از این رو میتوانید چنین فایلهایی را از اسکن تشخیص تغییر فایل حذف کنید)
این بخش که کمترین استفاده را در این افزونه خواهد داشت؛ هرچند مدت یک بار فایلهای سایت وردپرسی شما را اسکن میکند و درصورتیکه فایلها تغییر دادهشده باشند به شما اطلاعرسانی میکند.
در این بخش دو گزینه برای استفاده خواهید داشت. یکی از این قابلیتها رایگان است، اما برای استفاده از دیگری باید هزینه پرداخت کنید.
File change detection
این بخش هر چند وقت یک بار فایلهای سایت شما را بررسی میکند و در صورت تغییر هر یک از فایلها به شما اطلاع میدهد.
اسکن بد افزار
بدافزار چیست؟
اغلب زمانی که کد بدافزار در سایت شما درج شده است، معمولاً بر اساس ظاهر چیزی غیرعادی متوجه نمیشوید، اما میتواند تأثیر چشمگیری بر رتبهبندی جستجوی سایت شما داشته باشد.
این به این دلیل است که ربات ها و عنکبوت های موتورهای جستجو مانند گوگل این قابلیت را دارند که بدافزارها را هنگام فهرست کردن صفحات سایت شما شناسایی کنند و در نتیجه می توانند وب سایت شما را در لیست سیاه قرار دهند که به نوبه خود بر رتبه بندی جستجوی شما تأثیر می گذارد.
اسکن برای کدهای مخرب
به دلیل ماهیت دائمی در حال تغییر و پیچیده بدافزار، اسکن چنین مواردی با استفاده از یک افزونه مستقل به طور قابل اعتماد کار نخواهد کرد. این کاری است که بهتر است از طریق اسکن خارجی سایت شما به طور منظم انجام شود.
به همین دلیل است که ما یک سرویس اسکن با کاربری آسان ایجاد کرده ایم که در سرور خود میزبانی می شود که هر روز یک بار سایت شما را برای بدافزار اسکن می کند و در صورت یافتن چیزی به شما اطلاع می دهد.
این سرویس با افزونه پریمیوم همراه است و موارد زیر را ارائه می دهد:
- Automatic weekly scans
- نظارت خودکار بر کدهای مخرب و لیست سیاه
- ایمیل هشدار بصورت خودکار
- نظارت بر آپتایم سایت
- نظارت بر زمان ریسپانسیویی سایت
- ما توصیه هایی برای پاکسازی بدافزار ارائه می دهیم
- حذف لیست سیاه
- بدون قرارداد (لغو در هر زمان)
این بخش از یک سایت شخص ثالث برای اسکن سایت شما استفاده میکند. طبیعتا برای استفاده از این بخش باید هزینه پرداخت کنید.
بخش ابزار
انتخاب نامناسب رمز عبور یکی از رایج ترین نقاط ضعف بسیاری از سایت ها است و معمولاً اولین چیزی است که یک هکر هنگام تلاش برای نفوذ به سایت شما سعی می کند از آن سوء استفاده کند.
Many people fall into the trap of using a simple word or series of numbers as their password. Such a predictable and simple password would take a competent hacker merely minutes to guess your password by using a simple script which cycles through the easy and most common combinations.
هرچه رمز عبور شما طولانی تر و پیچیده تر باشد، شکستن رمز عبور برای هکرها سخت تر است زیرا رمزهای عبور پیچیده تر به قدرت محاسباتی و زمان بسیار بیشتری نیاز دارند.
این بخش حاوی یک ابزار مفید برای تقویت رمز عبور است که می توانید از آن برای بررسی اینکه آیا رمز عبور خود به اندازه کافی قوی است یا خیر استفاده کنید.
ابزار گذرواژه
این ابزار رمز عبور از الگوریتمی استفاده میکند که با استفاده از قدرت محاسباتی یک رایانه رومیزی مدل فعلی با پردازنده پیشرفته، کارت گرافیک و نرمافزار شکستن رمز عبور مناسب، مدت زمانی را برای شکستن رمز شما محاسبه میکند.
جستجوی WHOIS
ویژگی جستجوی WHOIS راهی را در اختیار شما قرار می دهد تا ببینید چه کسی دارای آدرس IP یا نام دامنه است. می توانید از این برای بررسی کاربرانی که در حال انجام فعالیت های مخرب در سایت شما هستند استفاده کنید.
سفارشی سازی قوانین .htaccess
از این ویژگی می توان برای اعمال قوانین و دستورالعملیات های htaccess سفارشی خود استفاده کرد.
برای زمانی که می خواهید قوانین فایروال موجود ما را تغییر دهید یا زمانی که می خواهید قوانین خود را اضافه کنید مفید است.
توجه: این ویژگی فقط در صورتی قابل استفاده است که سایت شما با استفاده از وب سرور آپاچی یا دیگری که از فایل های htaccess. استفاده می کند میزبانی شود.
هشدار: فقط در صورتی از این ویژگی استفاده کنید که بدانید در حال انجام چه کاری هستید.
قوانین یا دستورالعملیات های نادرست htaccess می تواند دسترسی به سایت شما را شکسته یا از آن جلوگیری کند.
این مسئولیت شماست که مطمئن شوید کد صحیح را وارد کرده اید!
اگر سایت خود را خراب کردید، باید از طریق FTP یا چیزی مشابه به سرور خود دسترسی داشته باشید و سپس فایل htaccess. خود را ویرایش کنید و تغییراتی که ایجاد کرده اید را حذف کنید.
قفل کردن بازدید
این ویژگی به شما این امکان را میدهد تا با قفل کردن صفحه جلو برای همه بازدیدکنندگان به جز کاربرانی که دارای امتیازات فوقالعاده سرپرست هستند، سایت خود را در حالت نگهداری قرار دهید.
اگر در حال بررسی برخی مسائل در سایت خود هستید یا شاید در حال انجام برخی تعمیرات هستید و می خواهید به دلایل امنیتی از تمام ترافیک جلوگیری کنید، قفل کردن سایت خود برای بازدیدکنندگان عمومی می تواند مفید باشد.
این بخش همانطور که از اسمش پیدا است حالت تعمیر و در دست ساخت بودن سایت وردپرسی شما را فعال میکند و سایت شما را فقط برای مدیران نمایش میدهد. این بخش را زمانی که میخواهید تغییرات اساسی در وبسایتتان ایجاد کنید، باید فعال کنید. با فعال کردن این گزینه سایت از دسترس کاربران خارج میشود و فقط مدیران میتوانند به وبسایت دسترسی داشته باشند.
بخش احراز هویت دوعاملی
این بخش که در واقع آخرین سربرگ از بخش داشبورد بود که درمورد آن صحبت کردیم. در آنجا گفتیم که وارد بخش شناسنامه شوید و احراز هویت را تنظیم کنید، اما اینجا می بینید که در این قسمت نیز می توانید این کار را انجام دهید.
بخش ارتقا به نسخه حرفه ای
این بخش که در واقع آخرین سربرگ از بخش داشبورد بود که درمورد آن صحبت کردیم.
حذف و غیرفعال کردن افزونه All In One WP Security
برخی مواقع ممکن است شما تنظیمات افزونه All In One WP Security را اشتباه پیکربندی کنید و دسترسی خودتان به وبسایت قطع شود. با نصب این افزونه دایرکتوری پشتیبان و چندین جدول MYSQL اضافه میشود. از این رو فقط حذف نصب و حذف افزونه، فایلهای افزونه را به طور کامل از سایت شما حذف نمیکند. بهترین راه این است که مراحل زیر را مرحله به مرحله دنبال کنید:
- همه تنظیمات امنیتی و فایروال را در قسمت “WP Security > Settings > General Settings” غیرفعال کنید.
- افزونه را از داشبورد حذف نصب کنید.
- فایلهای افزونه را از داشبورد حذف کنید.
- از طریق FTP به هاست خود متصل شوید و فایلهای پشتیبان ذخیره شده توسط افزونه را حذف کنید.
- 5. “phpMyAdmin” را از “cPanel” خود باز کنید و جداول افزونهها را از دیتابیس سایت خود حذف کنید.
- اگر در دسترسی به سایت خود مشکلی دارید، سعی کنید قبل از نصب افزونه، فایلهای «.htaccess» و «wp-config.php» را از نسخه پشتیبان بازیابی کنید.
سخن پایانی
All In One WP Security یک افزونه قدرتمند در زمینه امنیت سایت وردپرسی است. اگرچه استفاده از این افزونه بسیار جذاب به نظر میرسد، اما مطمئن شوید تمام ویژگیها را به طور جداگانه آزمایش کنید و تا زمانی که به یک ویژگی نیاز پیدا نکردهاید از آن استفاده نکنید. تغییر نام صفحه ورود، گزینه مبتنی بر کوکی و لیست سفید IP را میتوان در سایتهای تک کاربر بدون ثبت نام کاربری استفاده کرد. گزینههای باقیمانده مانند فعال کردن کپچای ورود و honeypot را میتوان در همه انواع سایتها بدون هیچ مشکلی استفاده کرد.
اگر قصد دارید امنیت وردپرس را به صورت کاملتر و جامعتر یاد بگیرید، پیشنهاد میکنیم در دوره جامع سایت برتر شرکت کنید.
سلام خسته نباشید
همه ی مراحلی که گفتین تو ویدئو رو انجام دادم ولی آخر ویدئو اجازه دسترسی به سایت رو بست
پلاگین رو حذف کردم از روی هاست و درست شد دسترسی ها و از روی دیتابیس هم پاک کردم all in one رو ولی همچنان موقع نصب مجدد ارور دسترسی داده میشه باز هم و نمیتونم لاگین شم
ممنون میشم راهنمایی کنید
سلام
طبق تجربه فهمیدم که دوتا قسمت توی این پلاگین باید غیر فعال باشه حتما تا
برای سایت مشکلی پیش نیاد:
هردو توی منوی اول قسمت فایروال هستن:
1- بستن دسترسی کامل به xmlrpc باید غیر فعال باشه
2- فعال کردن فیلتر پیشرفته رشته های کاراکتری باید غیر فعال باشه.
البته اگر از کاربرد xmlrpc استفاده نمی کنید.
اشتباه نوشتم
اگر از xmlrpc استفاده میکنید مثلا برای جت پک
غیر فعال باشه
اگر استفاده نمکنید حتما توقسمت فایروال افزونه، ببندینش چون ایراد امنیتی مهمی حساب میشه
واقعا افزونه مزخرفیه!
سلام، برای err 403 باید دو تا از گزینه های fir wall غیر فعال کنید.
php Rules / URL security
php Rules / String filtering
سایته من درست شد با غیر فعال کردن این دو تا.
لطفا ویدیو آموزشی این مقاله رو آپدیت کنید پلاگین all in one wp security تغییر کرده
سلام بخدا این افزونه مشکل داره یکی دیگه معرفی کنید وقتی نصب میکنی و تنظیمات انجم میدی دیگه نمیشه وارد سایت شد و هزار مشکل دیگه . فقط من نمیگم که 90 درصد کامنت ها با این افزونه مشکل دارن شاید یه نفر مشکل نداشته باش دلیل نمیشه که همه خرابن فقط اون یه نفر درست و افزونه بدون ایراد لطفا یا بروز کنید این اموزش یا باگ هارو رفع کنید . این همه اموزش خوب میزارید حیفه این یدونه
سلام
خیلی ممنون بخاطر دراختیار گذاشتن این مقاله پربار
دوستانی که با انجام تنظیمات به ارور 403 برخورد میکنن، باید از قسمت دیوارآتش -> php rules -> گزینه “فیلتر پیشرفته رشتههای کارکتری” رو غیر فعال کنن تا مشکل برطرف بشه.
سلام
این گزینه خاموش هست ولی پشتیبان ترب نمیتونه وارد بشه و میگه : هنگام ارسال درخواست به پلاگین ترب در وبسایت شما با ارور ۴۰۳ مواجه میشویم. لطفا بررسی کنید رنج آیپی ترب سفید باشد و کلی مشکل دیگه به نظرم این ویدیو باید یکم دقیق تر بررسی میکرد تمام گزینه های این افزونه رو تا الان تمام مشکلات من زیر سر همین امنیت بوده
سلام وقت بخیر …. ممنون بابت ویدیوهای خیلی خوبتون، امکانش هست یه آپدیت روی این ویدیو داشته باشید؟ الان تیر ماه 1403 هست و بسیاری از آپشن های یان افزونه تغییر کرده ، اگر امکانش هست طبق نسخه جدید آموزش رو مجددا ضبط کنید.
با تشکر
سلام وقت بخیر
بعد فعال کردن و مطابق ویدیو تنظیمات رو لحاظ کردم ولی بعضی از لینک محصولاتم خطای 404 میده برای رفع این مشکل باید چیکار کنم؟؟
سلام وقت بخیر
ممنون از همکاری شما
من از وقتی که این افزونه رو نصب کردم و تنظیماتش رو انجام دادم دیگه سایتم و پنل وردپرسم بالا نمیاد و این ارور رو میده :
You do not have permission to access this page. Please log in and try again.
لطف می کنیدا گر راهنمایی کنید.
سلام روز بخیر
من این افزونه رو نصب کردم تا چند وقت اوکی بود ولی الان دیگه موقع ورود به وردپرس با وارد کردن رمز دومرحله ای بهم خطا میده از هاست این افزونه رو پاک کردم ولی مجدد نصب کردم باز این اختلال رو داره ، چطوری تنظیماتش رو از دیتابیس پاک کنم دوباره از اول نصب کنم ؟ اسم این افزونه رو داخل php پیدا نمیکنم
سلام جناب راد، من ۱ ماهه مشغول ساخت سایتمم و از یوتیوب شمارو پیدا کردم، میخاستم وقتی تمام و کمال تموم شد سایتم ازتون تشکر کنم ولی بعد از دیدن این صفحه مجاب شدم همین الان حس خوب و قدردانیمو با شما و تیمتون در میون بزارم. من هنر خوندم و اصلا دانشی از کامپیوتر ندارم اما الان یک سایت پروفشنال دارم که مدیون شمام🥲🥲
واقعا نمیدونم چجوری ازتون تشکر کنم فقط شمارو به تمام دوستانم معرفی کردم و سابسکرایبرتون شدن. بی نهاااایت ممنونم از زحمتتون و توضیحات دقیق و جامع.
بااینکه ویدیو برای الان قدیمیه ولی تمام نکات رو ریز به ریز گقتین فقط الان جای قرار گیری اپشنها کمی تغییر کرده بود وگرنه اموزش شما جامع و کامل بود
خدا نگهدارتون باشه در همه ی امور
سلام. وقتتون بخیر.
من از این افزونه استفاده می کنم ولی با اینکه گزینه های پرداخت مهمان تو ووکامرس رو فعال کردم ، باز هنگام خرید کاربر مهمان ، ارور میده و کاربر نمی تونه هزینه محصول رو پرداخت کنه. این مشکل با غیر فعال کردن این افزونه حل شد و تداخل داشت . ولی گفتم از افزونه استفاده کنم و شاید گزینه ای رو غیرفعال کنم درست بشه.چیکار کنم ؟ ممنون میشم راهنماییم کنید. باتشکر از وبسایت خوبتون.
سلام وقتتون بخیر
تموم تنظیماتی که گفتین رو انجام دادم ولی ویرایش با المنتور برای برگه ها برام باز نمیشه و خطا میده. با غیرفعال کردن افزونه درست میشه.
مشکل از کدوم بخش و تنظیماته؟
درود
همه آموزش ها بی شک یکی از بهترین و کاربردی ترین برنامه های آموزشی بو د که تا حالا دیدم
خدا قوت و سپاسگزارم
سلام ممنونم از اموزش خوب تون، ولی خدایی اموزش بروز کنید افزونه تغییراتی داشته
سلام مجدد ، با اموزش شما جلو میرم یه سری چیزها جا به جا شده تنظیمات که انجام میدم هر چند وقت یک بار میگه دسترسی به toneka-group.irرد شد، لطفا کمکم کنید، نمیذاره وارد پنل بشم
وقتتون بخیر
من گزینه salt فعال کردم و الان بهم میخوام وارد صفحه پیشخوان بشم ۴۰۳ میده حالا با پشتیبانی هاست مشکل حل شد اما الان مجدد فعالش میونم افزونه رو مجدد خطای ۴۰۳ میده؟
سلام ، برای من هم همینطوره، شما حلش کردین؟
سلام لطفا اگه فهمیدین به من هم اطلاع بدین خیلی ممنونم
سلام من الان افزونه رو نصب کردم تاریخ۱۴۰۳/۲/۱۳خیلی از قسمت های افزونه تغییراتی پیدا کرده و خیلی قسمت ها رو نداره.اون چیزایی ک داخل افزونه بود رو طبق آموزش انجام دادم بازم مچکرم از تیم شما🌸😇
شما عالی هستین نمیدونید چقدر نیاز داشتم به این آموزش ها واقعا دمتون گرم
سلام خسته نباشید
توی تنظیمات بورت فورث زمانی که قابلیت تغییر آدرس ورود به وبسایت رو فعال میکنم کاربرا برای وارد شدن به پنل کاربری مشکل پیدا میکنن و ارور redirected you too many times رو برای ورود به پنل کاربری میده
سلام ببخشید
من وقتی افزونه رو نصب میکنم نمی تونم وارد پنل کاربری بشم چون به یک آدرس آیپی هدایت می کنتم
یه سوال خیلی مهم و تخصصی از آقای راد
آیا با استفاده همزمان All In One WP Security و افزونه Wordfence موافقید؟
بنظرتون مشکلی پیش نمیاد؟
سلام و درود ، وقت بخیر ، آیا این افزونه توی تنظیماتش بخشی داره که نوار پیشخوان وردپرس رو به مشتری ها نشون نده !؟
من سایتم نوار پیشخوان وردپرس رو به مشتری وارد شده به سایت نمایش میده !
یا افزونه دیگه ای باید نصب کنم ؟
ممنون میشم راهنماییم کنین
سلام بله افزونه میهن پنل نصب کنید حل میشه.
سلام و درود این افزونه رو نصب میکنم انگلیسی روی سایتم نصب میشه و چند بار تستش کردم از وردپرس فارسی هم جدا دانلود کردم باز فارسی نمیشه ! چه جوری فارسیش کنم اصن میشه آیا ؟
سلام از بخش بروزرسانی ها باید ترجمه رو بروزرسانی کنید.
سلام استاد عزیز
اول تشکر میکنم بابت اینکه کمکم کردید بتونم سایت ام رو بسازم . و در باره این آموزش خیلی خوب داشتم پیش می رفتم و تنظیمات افزونه رو همون طور که شما عرض کردید تنظیم میکردم که یکهو از سایت به کل پرت شدم بیرون و با خطای 403 رو به شدم و با کلی اعصاب خوردی و تیکت زدن بلاخره سایتم بالا اومد . من الان این افزونه رو حذف کردم و می خواهم دوباره نصب اش کنم لطفا راهنمایی ام کنید کدوم بخش و گزینه رو فعال نکنم تا دوباره اتفاق نا خوشایند نیفته؟
سلام سپاس از شما. بستگی به سایت شما داره باید ببینید سری قبل با کدوم گزینه این خطا رخ داده
دوباره یک موردی دیگه ای پیش اومد من اومدم دوباره این افزونه رو فعال کنم و به محض فعال کردنش دوباره سایتم خراب شدو خطای 403 داد . الان مشکل کارم از کجاست؟
تو سایت سرچ کنید خطای ۴۰۳ آموزشش میاد
درست نشد با دوتا مختلف امتحان کردم
سلام چه چیزی درست نشد؟
سلام استاد من افزونهall in one security رو نصب کردم اما صفحات سابتم 404 شده.فایر وال رو غیر فعال کردم درست نشد.چیکار کنم؟
سلام با ای پی دیگری تست کنید احتمالا درسته
سلام استاد بزرگ….من بد از نصب این افزونه انجام مراحل.سایتم دچار مشکل شد و دسترسی به برگه های سبد خرید فروشگاه و وبلاگ ندارم
اگر میشه راه حل بگید ممنون
سلام مشکل از این افزونه نمیتونه باشه چون کاری با برگه های سبد خرید و تسویه حساب نداره
بهترین مقاله در مورد این افزونه رو خوندم
ممنون از استاد راد و همکارانشون
مرسی از توجهتون شاد و پیروز باشید
سلام طبق توضیحاتتون برا فعال سازی امنیت عمل کردم ولی وقتی خواستم ابزار های پلاگین امنیت را باز کنم من رو از سایت انداخت بیرون و حالا بعد ۱۶ ساعت خواستم وارد بشم ولی اخطار داد و چن بار سرچ کردم حالا دوباره ادرس سایتم رو نشون نمیده اصلا
چه کاری انجام بدم
سلام چه اخطاری بهتون میده
سلام. من در هر بار نصب و فعالسازی افزونه طبق دستورالعمل آموزش عمل میکنم و هربار پس از اتمام فعالسازی از سایت اخراج میشم و دسترسیم به پنل مدیریت قطع میشه. از طریق غیرفعالسازی افزونه توی هاست با تغییر نامش، میتونم وارد پنل مدیریتی خودم بشم. از اونجا افزونه رو حذف کردم و نصب مجدد کردم و بصورت دقیق طبق آموزه عمل کردم ولی باز هم اخراج شدم و اکسز دینای پیام میده، دوباره از طریق پنل هاست اقدام به غیرفعالسازی کردم و این داستان تکرار شد.
چکار کنم ؟
سلام یوزر شما توی افزونه بلاک شده باید از دیتابیس اول حذف کنید اطلاعاتش رو یا اینکه صبر کنید ۲۴ ساعت سپس دوباره نصب کنید.
پس از نصب پلاگین هر چند مدت با یک سری مشکل مواجه میشوم .در ابتدا ارور ۴۰۴ ظاهر مشد. بعدا توی سرچ کنسول صفحات محصول ارور سرور ۵xx . میداد .غیر فعال کردم درست شد . تنظیمات رو هم از روی فیلم انجام دادم . کجا را اشتباه کردم
این خطاها مربوط به این پلاگین نمیتونه باشه. دلیل هر کدوم رو توی سایت توضیح دادیم سرچ بفرمایید.
سلام خسته نباشین تو قسمت تنظیمات بیشتر قسمت salt رو که فعال کردم دیگه دسترسی به سایتم ندارم یعنی وردپرس سابتم بالا نمیاد هرکاری کردم با ایپی های متفاوت چیشده برای شماهم تو ام.زس اینجوری شد الان ۱روز شده چیکار باید بکنم
سلام با هاست در ارتباط باشید نباید بخاطر این تنظیمات باشه.
سلام استاد وقت به خیر
استاد خواهش میکنم تو سایت برتر بصدرت جامع تر در مورد این پلاگین توضیح بدین و عملی انجام بدین.
از کامنت ها استنباط میشه نصب این پلاگین در بخش هایی ممکنه مشکلاتی ایجاد کنه و در عین حال وجودش هم خیلی لازم و ارزشمنده لطفا واضح تر و عملی انجام بدین توی دوره.
ممنونم،ممنونم، ممنون
سلام قطعا آموزش میدیم صبر کنید.
سلام
آیا افزونه all in one security با افزونه really simple ssl تداخل ایجاد میکنه (چون یکسری تنظیمات امنیتی مشابه دارن) ؟ یا اینکه در کل به عنوان افزونه مهم نیاز هست really simple ssl در کنار all in one security نصب بشه؟
سلام خیر مشکلی نداره. بله اگر ssl سایت شما خطا داره نیازه نصب بشه اگر خیر نیازی نیست نصب کنید.
Access to clinic-sanatab.com was deniedYou don’t have authorization to view this page.
HTTP ERROR 403
این ارور میاد
سلام تمامی تنظیمات بخش فایروال رو غیرفعال و تست کنید.
سلام ممنون بابت پاسخگوییتون
قسمت قوانین اضافی فایروال رو غیر فعال کردم و مشکل رفع شد