آموزش افزونه All In One WP Security & Firewall

نصب افزونه All In One WP Security

این افزونه می‌تواند برای سایت شما بسیار کارآمد باشد و شما می‌توانید با خیال راحت با استفاده از آن امنیت سایت خود را تأمین کنید. با استفاده از این افزونه می‌توانید به‌راحتی مانع نفوذ هکرها به سایت خود شوید. شما می‌توانید توسط این افزونه امنیت موارد مختلفی ازجمله اطلاعات حساب کاربران، تأمین امنیت فایل‌های سایت، بالا بردن امنیت قسمت ورود و ثبت‌نام و… ازجمله اقدامات بسیار مهم و مفیدی است که این افزونه در اختیار شما قرار خواهد داد.

شیوه نصب افزونه All In One WP Security با افزونه‌های دیگر هیچ تفاوتی ندارد. وارد پنل مدیریت سایت خود شوید و از بین افزونه ها افزونه ی All In One WP Security را جستجو کنید .

وقتی آن را پیدا کردید ، آن را نصب و فعال کنید . اگر در نصب افزونه مشکلی دارید ، آموزش نصب افزونه در وردپرس می تواند مشکل شما را حل کند.بعد از نصب افزونه یک گزینه در پنل وردپرس نمایان می شود به نام امنیت وردپرس. با کلیک برروی آن می توانید به قسمت های مختلف آن دسترسی داشته باشید.

آموزش افزونه All In One WP Security

در ادامه نحوه کار با بخش‌های مختلف افزونه All In One WP Security را به صورت گام به گام آموزش خواهیم داد.

بخش داشبورد

بخش داشبورد از 6 سربرگ تشکیل شده است:

داشبورد

بخش فعلی که در آن قرار داریم.

برای ورود به این بخش، از قسمت افزونه‌ها روی امنیت وردپرس کلیک کنید و سپس داشبورد را انتخاب کنید.در بخش داشبورد آن اطلاعات و یک نمای کلی را مشاهده می کنید .

در صفحه داشبورد میزان قدرت امنیتی براساس ویژگی‌های امنیتی که فعال کرده‌ایم، نمایش داده می‌شود. باید توجه داشته باشید که در این مرحله اندازه گیری امنیتی بسیار پایین است. در واقع داشبورد All In One WP Security مهم‌ترین ویژگی‌هایی را که برای دستیابی به حداقل سطح امنیت باید در سایت خود اعمال کنید، برجسته می‌کند.

مهم‌ترین بخش این قسمت نشانگر میزان امنیت وردپرس شما است که میزان امنیت سایت وردپرسی شما را نمایش می‌دهد. اگر میزان امنیت سایت شما پایین است اصلاً نگران نباشید. چراکه با خواندن ادامه این مطلب قادر هستید آن را تا حد بسیار زیادی افزایش دهید. در این قسمت شما می‌توانید اطلاعات کلی را مشاهده کنید. این اطلاعات در قالب نمودار برای شما نمایش داده می‌شود.

آدرس IP قفل شده

وقتی یک آی پی چندین بار قصد ورود مشکوک به سایت ما را داشته باشد ، می توانیم آن را قفل کنیم ، این تب آی پی های قفل شده را نشان می دهد.

لیست سیاه همیشگی

این زبانه فهرستی از تمام آدرس‌های IP مسدود شده همیشگی را نمایش می‌دهد.اگر آی پی را به لیست سیاه اضافه کرده باشیم ، می توانیم در این سربرگ آن را مشاهده کنیم.

توجه: این ویژگی از فایل htaccess. برای مسدود کردن دائمی آدرس‌های IP استفاده نمی‌کند، بنابراین باید با تمام سرورهای وب در حال اجرا وردپرس سازگار باشد.

Audit logs

ورود های ناموفق به سایت را د راین قسمت می بینیم .

اشکال زدایی گزارش ها

در این بخش گزارش هایی که اشکالی در آن ها وجود دارد جمع آوری می شود.

ارتقا به نسخه حرفه ای

در این بخش می توانید افزونه ی All In One WP Security را ارتقا دهید و نسخه ی پولی آن را تهیه کنید.

بخش تنظیمات

این بخش بهترین افزونه امنیتی ، شامل پشتیبان‌‌‌‌‌گیری از فایل‌های اصلی سایت وردپرسی شما و بک‌‌‌‌‌آپ‌‌‌‌‌گیری از دیتابیس وردپرس است. البته توصیه می‌کنیم قبل از شروع کار با این افزونه حتماً بک‌‌‌‌‌آپ‌‌‌‌‌گیری از وردپرس را حتماً انجام دهید. به‌این‌ترتیب می‌توانید اطلاعات سایت خود را در شرایط مختلف حفظ کنید.

با رفتن به قسمت تنظیمات در تب افزونه به پنل تنظیمات دسترسی پیدا می‌کنید. در بخش تنظیمات 8 سربرگ پیش روی شما خواهد بود.

تنظیمات عمومی

در قسمت تنظیمات افزونه بخش های مختلفی را مشاهده می کنید . در بخش اول می توانید از سایت خود پشتیبان گیری کنید.

اگر فکر می کنید برخی از عملیات افزونه در سایت شما به دلیل یک ویژگی امنیتی که در این افزونه فعال کرده اید خراب شده است، از گزینه زیر برای خاموش کردن تمامی ویژگی های امنیتی این افزونه استفاده کنید.دو بخش بعدی ، برای این است که اگر سایتتان با مشکی روبه رو شد با زدن این گزینه تمام گزینه ها امنیتی را غیر فعال کنید ، و ببینید که آیا مشکل سایتتان از این گزینه بوده است یا نه.

این ویژگی تمام تنظیمات مربوط به افزونه All In One WP Security & Firewall را حذف می کند.این ویژگی تمام جداول پایگاه داده افزونه امنیتی را نیز بازنشانی/خالی می کند.

اگر توسط افزونه All In One WP Security & Firewall قفل شده اید و/یا هنگام فعال شدن آن افزونه مشکلی در ورود به سیستم دارید از این ویژگی استفاده کنید.

علاوه بر تنظیمات، هر دستورالعملی را که توسط افزونه All In One WP Security & Firewall به فایل htaccess. اضافه شده است، حذف می کند.

توجه داشته باشید: پس از حذف تنظیمات، باید افزونه All In One WP Security & Firewall را دوباره پیکربندی کنید.

این تنظیمات به شما امکان می دهد اشکال زدایی را برای این افزونه فعال/غیرفعال کنید.در واقع برای رفع یکسری از دیباگ ها استفاده می شود . ترجیحا کاری با آن نداشته باشید.

فایل htaccess.

فایل “.htaccess” شما جزء کلیدی امنیت وب سایت شما است و می توان آن را برای اجرای سطوح مختلف مکانیزم های حفاظتی تغییر داد.این ویژگی به شما امکان می‌دهد در صورت نیاز به استفاده مجدد از فایل پشتیبان‌گیری شده در آینده، از فایل htaccess فعال فعلی خود نسخه پشتیبان تهیه و ذخیره کنید.
همچنین می توانید تنظیمات htaccess. سایت خود را با استفاده از یک فایل پشتیبان گیری شده htaccess بازیابی کنید.در این سربرگ همانطور که از نام آن پیداست ، می توانید تنظیماتی را برروی فایل htaccess. انجام دهید . اگر این فایل را نمی شناسید ، ما قبلا یک مقاله با عنوان فایل htaccess. نوشته ایم ، می توانید آن را مطالعه کنید.

در این سربرگ می توانید از این فایل پشتیبان گیری کنید یا اینکه فایل را بازگردانی کنید.

فایل wp-config.php

پرونده «wp-config.php» شما یکی از مهم‌ترین پرونده‌ها در نصب وردپرس‌تان است. این ویژگی به شما امکان می دهد در صورت نیاز به استفاده مجدد از فایل پشتیبان گیری شده در آینده، از فایل wp-config.php فعال فعلی خود نسخه پشتیبان تهیه و ذخیره کنید.
همچنین می توانید تنظیمات wp-config.php سایت خود را با استفاده از یک فایل پشتیبان گیری شده wp-config.php بازیابی کنید.

درواقع در این سربرگ نیز ، مانند سربرگ قبل می توانید از فایل wp-config.php پشتیبان گیری کنید یا آن را بازگردانی کنید . اگر اطلاعاتی درباره ی این فایل ندارید ، ما مقاله ای برای آن نوشته ایم . می توانید آن را مطالعه کنید. فایل wp-config.php چیست

حذف تنظیمات افزونه

اگر تیک دو گزینه را بزنید و ذخیره کنید ، تمام تنظیمات افزونه وقتی که آن را غیرفعال یا حذف کنیم از بین خواهد رفت.

اطلاعات نگارش وردپرس

بخش generator در قسمت کدهای سایت نسخه وردپرس سایتتان را به معرض دید عموم قرار می‌دهد.

حالا اگر شما چند ماهی سایت را به‌‌‌‌‌روز نکرده باشید؛ به‌طور قطع هکرها می‌فهمند که نسخه وردپرس شما قدیمی است. مثلاً همین مشکل بسیار مهم امنیتی در وردپرس ۴٫۲ که دیروز در موردش صحبت کردیم. پس با حذف این خط از کدهای سایتتان می‌‌‌‌‌توانید وردپرس را امن‌تر از گذشته کنید.در این سربرگ شما می توانید تنظیمات را به گونه ای قرار دهید که ، نسخه ی وردپرس شما از دید کاربران مخفی شود.

درون ریزی / برون ریزی

این بخش به شما امکان می دهد تنظیمات All In One WP Security & Firewall را صادر یا وارد کنید.اگر می خواهید با اعمال تنظیمات از یک سایت به سایت دیگر در زمان خود ذخیره سازی کنید، این می تواند مفید باشد.

می توانید تنظیمات افزونه را برون ریزی کنید که در زمان های دیگری از آن استفاده کنید . یا اینکه می توانید تنظیماتی که قبلا آن ها را برون ریزی کرده اید ، در این قسمت درون ریزی کنید.

درون‌ریزی کورکورانه‌ی تنظیمات ممکن است باعث قفل‌شدن سایت به روی شما شود.به عنوان مثال: اگر یک مورد تنظیمات به URL دامنه متکی باشد، ممکن است هنگام وارد کردن به سایتی با دامنه متفاوت، به درستی کار نکند.

تنظیمات پیشرفته

تنظیمات تشخیص آدرس آی پی به شما این امکان را می دهد تا مشخص کنید که چگونه آدرس های آی پی بازدیدکنندگان برای PHP (و از این رو به وردپرس و افزونه های آن) شناخته می شود.

معمولاً این خودکار است و تنها یک انتخاب وجود دارد. با این حال، در برخی از تنظیمات، مانند مواردی که از پراکسی‌ها استفاده می‌کنند (از جمله load-balancer و فایروال‌های امنیتی مانند کلودفلر)، ممکن است لازم باشد این را به صورت دستی تنظیم کنید.

توجه!: مهم است که این را به درستی تنظیم کنید – در غیر این صورت ممکن است این امکان را برای یک هکر ایجاد کنید که همه بازدیدکنندگان شما را ممنوع کند (به عنوان مثال از طریق ممنوع کردن اتصال کلودفلر به شما) به جای اینکه خودش ممنوع شود. این امن ترین راه اندازی است، زیرا وقتی به درستی تنظیم شود از جعل شدن توسط مهاجم مصون می ماند.

این پلاگین ، آی پی کابرهای سایت شما را دریافت و ذخیره می کند . اگر کاربری به عنوان مثال ده بار با یک آی پی نام کاربری و رمز عبور را اشتباه وارد کند ، آی پی او را بلاک می کند. اما گاهی نمی تواند آی پی را تشخیص دهد و آن ها را بلاک کند. در این حالت اگر گزینه های داخلی آن فعال باشد می توانید از آن ها استفاده کنید که تشخیص آی پی آن اصلاح شود.ترجیحا در حالت پیش فرض باقی بماند. 🙂

احراز هویت دوعاملی

این گزینه هم گزینه ی مهمی است . اگر از میهن پنل پرو استفاده می کنید ، این قابلیت را داراست و نیاز به استفاده از آن در این افزونه نمی باشد.در مرحله ی اول مشخص می کنید که برای کدام دسترسی کاربران شما این قابلیت فعال باشد.

در مرحله ی بعد مشخص کنید که فعال کردن احراز هویت دوعاملی اجباری باشد یا اختیاری.

این گزینه اصلا چیست ؟

در قسمت شناسنامه که وارد می شوید ، این افزونه در آنجا گزینه ای را اضافه کرده است با عنوان احراز هویت دو عاملی ، برروی آن کلیک کنید.

وارد صفحه ای می شوید که می توانید آن را بر روی فعال یا غیرفعال قرار دهید . وقتی برروی فعال قرار دهید ، یک QR Code در اختیار شما قرار می دهد.

اکنون در گوگل Google Authenticator را جستجو کنید . همانگونه که در تصویر می بینید هم برای اندروید و هم برای آیفون قابل دانلود و نصب است.

بعد از نصب این برنامه برروی گوشی موبایتان محیطی شبیه تصویر زیر را مشاهده می کنید . با زدن گزینه + می توانید QR Code را اسکن کنید . از این به بعد ، برای شما روی این برنامه هر1 دقیقه 1 بار یک کد جدید صادر می شود.

حتی برای مرورگر کروم نیز افزونه ای وجود دارد . می توانید آن را بر روی مرورگر خود اضافه کنید.

از این به بعد ، هر کاربر زمان ورود به پنل کاربری باید علاوه بر وارد کردن نام کاربری و رمز عبور خود ، یک کد دوعاملی نیز وارد کند و این بسیار برای امنیت سایت شما مفید است . پیشنهاد می کنم که حتما آن را فعال کنید.

بخش امنیت کاربر

این بخش نیز مانند مابقی بخش ها داراری سربرگ های مختلفی می باشد. این 7 سربرگ را با یکدیگر بررسی می کنیم.

حساب های کاربری

بسته به نحوه نصب وردپرس، می توانید یک مدیر پیش فرض با نام کاربری “admin” داشته باشید. بسیاری از هکرها با دانستن این نام کاربری پیش‌فرض،دست به حملات Brute Force برای ورود به سایت می‌زنند. که این حملات ترکیبی از نام کاربری “admin” و گذرواژه‌های مختلف است.
از دیدگاه امنیتی، تغییر نام کاربری پیش‌فرض “admin”، یکی از اولین و هوشمندانه‌ترین کارهایی است که شما باید روی سایتتان انجام دهید.این ویژگی به شما امکان تغییر نام کاربری پیش‌فرض “admin” را به هر نام کاربری دیگری می‌دهد.

در قسمت حساب های کاربری ابتدا نام مدیر سایت را به شما نشان می دهد که می توانید آن را ویرایش کنید.توسط این بخش می‌توانید نام کاربری Admin را بدون حذف و اضافه کردن کاربران به‌صورت مستقیم تغییر دهید. درصورتی‌که در این مورد مشکلی امنیتی وجود نداشته باشد و حسابی بانام کاربری Admin در سایت شما موجود نباشد، شکل زیر برای شما نمایش داده خواهد شد:

هنگامی که یک پست ارسال می کنید یا به یک نظر پاسخ می دهید، وردپرس معمولا “نام مستعار” شما را نمایش می دهد.به‌ طور پیش‌فرض، نام مستعار روی نام ورود (یا کاربر) حساب شما تنظیم می‌ شود. از نظر امنیتی، گذاشتن نام مستعار و نام کاربری یکسان عملیات بدی است زیرا حداقل نیمی از اعتبار ورود به حساب شما را به هکر می دهد.

بنابراین برای تقویت بیشتر امنیت سایت خود به شما توصیه می شود نام مستعار و نام نمایش خود را تغییر دهید تا با نام کاربری شما متفاوت باشد.

در قسمت بعد نام نمایشی کاربران را به شما نشان می دهد که می توانید آن ها را ویرایش کنید. اما اگر تعداد کاربران شما زیاد است نیازی به انجام آن نیست .

در این بخش می‌توانید نام کاربری وردپرس، رمز عبور و نام نمایشی خود را تغییر دهید. زمانی که شما برای اولین بار وردپرس را نصب می‌کنید، نام کاربری “Admin” است. بسیار مهم است که این نام کاربری را تغییر دهید چرا که سهل انگاری، شما را طعمه راحتی برای هکرها می‌کند.

شما نباید از نام کاربری و نام نمایشی یکسان استفاده کنید. نام نمایشی، آیدی است که برای کاربران نمایش داده می‌شود. اگر شما از نام کاربری و نام نمایشی یکسان استفاده کنید، هکرها دیگر نیازی به جست و جوی نام کاربری شما نخواهند داشت چرا که شما نام کاربری خود را دو دستی تقدیمشان کرده‌اید و هکرها باید فقط به دنبال رمز عبور باشند.

در قسمت آخر از این بخش نیز می توانید تنظیم کنید که تعداد و اطلاعات کاربران را به یکدیگر نمایش ندهد.هنگامی که این ویژگی فعال باشد، به جای اطلاعات کاربر، خطای “ممنوع” را چاپ می کند.

قفل ورود

یکی از راههایی که هکر‌ها در روش حمله بورت فورث. اینجاست که مهاجمان از تلاش های مکرر برای ورود استفاده می کنند تا زمانی که رمز عبور را حدس بزنند.جدای از انتخاب رمزهای عبور قوی، نظارت و مسدود کردن آدرس‌های IP که در یک بازه زمانی کوتاه با شکست‌های مکرر لاگین درگیر می‌شوند، راه بسیار موثری برای متوقف کردن این نوع حملات است.

یکی از موارد مهمی که باید در این قسمت در نظر داشته باشید این است که شما باید به‌کارگیری ویژگی بازداری از ورود را حتماً تیک بزنید. این گزینه را فعال کنید تا درصورتی‌که یک کاربر بیش از چند بار اطلاعات فرم لاگین را به‌اشتباه تکمیل کرد، آی پی شخص Ban شده و تا مدتی از ورود این آی پی به سایت شما جلوگیری شود.

سپس قسمت حداکثر تلاش برای ورود میزان دفعاتی که کاربر مجاز به پر کردن فرم ورود می‌باشد را تعیین می‌کند. به‌این‌ترتیب افراد بیش از یک تعداد خاص نمی‌توانند رمز عبور و نام کاربری اشتباهی را در صفحه ورود وارد کنند.

بازه زمانی تلاش برای ورود میزان زمانی را تعیین می‌کند؛ که کاربر پس از واردکردن اطلاعات اشتباه باید منتظر بماند. درواقع بازه زمانی قفل‌کردن دوباره مدت‌زمانی را که کاربر تحریم می‌شود را تعیین می‌کند.

اگر تیک گزینه ی اول را فعال کنیم ، می توانیم یکسری ویژگی های امنیتی را برای ورود کاربران تنظیم کنیم. در چهار کادر خالی به ترتیب مشخص می کنیم که اگر کاربر چه تعداد ورود را در چند دقیقه انجام داد بین چند و چند دقیقه نتواند وارد شود. به عنوان مثال در تصویر زیر من مشخص کردم که اگر کاربر در 3 دقیقه ، 5 ورود ناموفق داشت ، بین 10 تا 20 دقیقه به صورت رندوم اجازه ی ورود به او ندهد.

همچنین مشکل امنیتی دیگری که در وردپرس وجود دارد و این افزونه قادر به حذف آن است؛ این است که بعد از وارد کردن نام کاربری اشتباه، پیغام نام کاربری اشتباه است به کاربر نمایش داده می‌ شود. به‌ این‌ ترتیب هکر متوجه می شود که نام کاربری اشتباه را وارد کرده است. شما باید نمایش پیام خطای عمومی را فعال کنید؛ تا در صورتی‌ که کاربر نام کاربری را هم اشتباه وارد کرد پیغام نام کاربری و یا رمز عبور اشتباه است نمایش داده شود.

با زدن تیک این گزینه هر شخصی که قصد ورود به سایت شما با نام کاربری که در سایت وجود ندارد ، را داشته باشد فورا بلاک خواهد شد. اگر فقط خودتان در سایت حساب دارید می توانید برای امنیت بیشتر تیک این گزینه را بزنید.

در کادر مشخص شده می توانید تعدادی نام کاربری امنیتی را وارد کنید که اگر کاربر با این نام ها قصد ورود به سایت را داشت ، فورا آی پی آن ها را بلاک کند.

علاوه بر این قسمت آگاه کردن از طریق ایمیل به شما این امکان را می‌دهد تا از ورودهای ناموفق از طریق ایمیل باخبر شوید. می توانید در کادر پایین چند ایمیل را وارد کنید که در صورتی که کاربری بلاک شد برای شما ایمیل ارسال شود . ضرورتی برای زدن تیک این گزینه وجود ندارد.

با زدن تیک این گزینه نیز مشخص می کنید که زمان ارسال ایمیل یک backtrace نیز برای شما ارسال شود یا خیر. که زدن این تیک هم ضرورتی ندارد.

و در بخش آخر ، می توانید اگر آی پی ثابت و مشخصی دارید ، آن را در لیست زیر وارد کنید که هیچ زمانی بلاک نشود . اما تقریبا آی پی اینترنت هیچکس ثابت نیست.

بیرون کردن اجباری

تنظیم یک بازه زمانی برای مدت زمان حضور مدیر در سایت، یک راه مفید برای جلوگیری از دسترسی غیرمجاز به سایت از راه کامپیوتر شماست.این ویژگی به شما امکان می دهد مدت زمانی را در عرض چند دقیقه مشخص کنید که پس از آن جلسه مدیریت منقضی می شود و کاربر مجبور به ورود مجدد می شود.

قسمت دیگری که به شما کمک زیادی می‌کند خروج اتوماتیک کاربر از وردپرس است. شما با استفاده از این سربرگ می‌توانید مدت‌زمانی را تعیین کنید تا بعد از گذشت زمان مشخص‌شده کاربر از سایت به‌صورت اتوماتیک خارج شود و نیاز به ورود مجدد کاربر باشد. عدم فعالیت کاربر در یک بازه زمانی مشخص منجر به خروج اجباری او از سایت خواهد شد.

می توانید ابتدا با فعال کردن تیک بالا و سپس وارد کردن یک عدد به عنوان دقیقه ، مشخص کنید که کاربر مثلا دو ساعت بعد از سایت به اجبار خارج شود. که ضرورتی ندارد.

گاها با وارد کردن عددی به عنوان دقیقه ، افرادی بوده اند که سایت آن ها با ارور روبه رو شده است . اگر با ارور مواجه شدید ، می توانید وارد کنترل پنل هاست خود شوید و در پوشه ی wp-content و بعد از آن پوشه ی plugins و درون آن پوشه ای با نام All In One WP Security را تغییر نام دهید .اگر مجدد با فعال کردن افزونه به ارور خوردید ، باید وارد دیتابیس سایت شوید که پیچیده است . در دوره ی جامع سایت برتر آن را توضیح داده ام.

کاربران وارد شده

این تب همه کاربرانی را که هم‌ اکنون در سایت شما حاضر هستند، نشان می‌دهد. با استفاده از این قابلیت اگر شما به یک یا چند نفر از کاربران حاضر در سایت خود بدگمان هستید، می‌توانید IP آدرس آن‌ها را از جدول زیر برداشته و در لیست سیاه سایت خود قرار دهید.

تایید دستی

در این بخش می‌توانید گزینه تایید خودکار ثبت‌نام را به تایید دستی تغییر دهید. با این کار از ثبت نام کاربران غیرواقعی جلوگیری می‌شود. هنگامی که شما افزونه تجارت الکترونیکی برای فروش اقلام در سایت خود با ثبت نام کاربری دارید، فعال کردن این ویژگی باعث توقف مشتریان واقعی می‌شود چرا که نمی‌توانند به طور خودکار ثبت نام کنند. بنابراین، هنگامی که برای اهداف دیگری نیاز به داشتن ویژگی ثبت خودکار دارید، این بخش را فعال نکنید.

Salt

“Salts” وردپرس عبارات مخفی هستند که هنگام ذخیره آن رمزهای عبور با رمزهای عبور کاربر ترکیب می شوند و در نهایت شکستن آنها برای مهاجم حتی اگر موفق به سرقت پایگاه داده وب سایت شما شود دشوارتر می شود.

وقتی این ویژگی را فعال می‌کنید، شما و سایر کاربرانی که وارد سیستم شده‌اند از سیستم خارج می‌شوید تا AIOS بتواند کد اضافی (salt) را به اطلاعات ورود به سیستم همه کاربران اضافه کند.

تنظیمات اضافی

وردپرس 5.6 ویژگی جدیدی به نام «گذرواژه‌های برنامه» معرفی کرد. این به شما این امکان را می دهد که یک توکن از داشبورد وردپرس ایجاد کنید که می تواند در هدر مجوز استفاده شود.

این ویژگی به شما امکان می دهد پسوردهای برنامه را غیرفعال کنید زیرا می توانند سایت شما را در برابر مهندسی اجتماعی و کلاهبرداری های فیشینگ آسیب پذیر کنند. پس می توانید برای جلوگیری از هک شدن سایت خود به وسیله ی این برنامه ها تیک این گزینه را فعال کنید.

بخش امنیت پایگاه داده

در دو سربرگ می توانید تنظیماتی را برای امنیت پایگاه داده انجام دهید.

پیشوند پایگاه داده

دیتابیس وردپرس شما،مهم ترین قسمت سایت شماست؛ زیرا بخش ارزشمند اطلاعات سایت شما در آن است. همچنین هدفی برای هکرها می باشد که از طریق SQL Injections یا کدهای خرابکارانه خودکار جدولهای خاصی را هدف می گیرند.

وردپرس به طور پیش‌فرض از پیشوند wp برای تمامی پایگاه داده‌های خود استفاده می‌کند. از این بخش می‌توانید پیش فرض را به صورت تصادفی تغییر دهید تا امنیت سایت افزایش پیدا کند.

یک راه برای حفاظت از دیتابیس، تغییر پیشوند وردپرس برای جدول‌ها یعنی “wp_” به چیز دیگری است که حدس زدن آن برای هکرها دشوار باشد. این ویژگی در این سیستم به شما امکان تغییر آسان پیشوند دیتابیس را می‌دهد. شما می‌توانید از پیشوند دلخواه خود یا از یک پیشوند تصادفی در این افزونه استفاده کنید.

شما باید روی تغییر پیشوند دیتابیس کلیک کنید تا پیشوند دیتابیس سایت شما به‌صورت خودکار تغییر داده شود. به این صورت می‌توانید از شر هکرها در امان باشید.

پشتیبان گیری از پایگاه داده

از سربرگ دیگر این بخش می‌توانید قابلیت پشتیبان‌گیری از دیتابیس را فعال کنید. اما فعال کردن این بخش توصیه نمی‌شود. برخی گزارش‌ها مبنی بر اختلال در عملکرد این قسمت است. راه‌های پشتیبان‌گیری اختصاصی زیادی برای وردپرس وجود دارد.

تب دوم نیز برای پشتیبان گیری از دیتابیس می‌باشد در این قسمت می توانید از پایگاه داده ی خود پشتیبان بگیرید . برای این کار نیاز به نصب UpdraftPlus، دارید.

بخش امنیت فایل‌

مجوزهای فایل

دسترسی و اجازه خواندن و نوشتن فایل ها و پوشه هایی که وردپرس را می سازند، توسط مجوزهای فایل کنترل می شود.

فایل‌های مختلفی در سایت شما وجود دارند که هرکدام از آن‌ها دارای سطوح دسترسی مختلفی هستند. شما باید توجه داشته باشید که سطح دسترسی فایل‌های سایت خود را امن نگه‌دارید. این قسمت از افزونه به شما کمک می‌کند فایل‌هایی که سطح دسترسی ناامنی را دارند شناسایی کنید. این قسمت از تب‌های مختلفی تشکیل‌شده که هرکدام برای انجام دادن کارهای مختلفی در این قسمت است.

ممکن است برخی از فایل‌ها دارای سطوح دسترسی ناامنی باشند که شما از وجود آن‌ها اطلاعی ندارید. از این بخش می‌توانید سطوح دسترسی فایل‌های موجود روی هاست خود را تقویت کنید.

این قسمت سطح دسترسی تمامی فایل‌های سایتتان را بررسی کرده و طبق مجوزهایی که استاندارد و پیشنهادی افزونه است، Chmod فایل و پوشه‌های سایت وردپرسی شما را تعیین می‌کند.

محافظت از پرونده

این ویژگی ها به شما امکان می دهد از فایل ها و دارایی های خود محافظت کنید. با محافظت از فایل‌ها و دارایی‌های خود، می‌توانید از دستیابی کاربران شرور به اطلاعات کلیدی جلوگیری کنید و از منابع سرور خود محافظت کنید.

این ویژگی به شما امکان می‌دهد از دسترسی به فایل‌هایی مانند readme.html، license.txt و wp-config-sample.php که با تمام نصب‌های WP ارائه می‌شوند، جلوگیری کنید.با جلوگیری از دسترسی به این فایل‌ها، برخی از اطلاعات کلیدی (مانند اطلاعات نسخه وردپرس) را از هکرهای احتمالی پنهان می‌کنید.

هات لینک به این معنی است که کسی عکس سایت شما را در سایت خود با استفاده از لینک سایت شما نمایش می دهد و از منابع سرور شما استفاده می کند.
با توجه به اینکه تصویری که در سایت طرف مقابل نمایش داده می شود از سرور شما می آید، این می تواند باعث نشت پهنای باند و منابع برای شما شود زیرا سرور شما باید این تصویر را برای افرادی که آن را در سایت دیگران مشاهده می کنند ارائه دهد.
این ویژگی با نوشتن برخی دستورالعملیات ها در فایل htaccess. شما از لینک مستقیم تصاویر از صفحات سایت شما جلوگیری می کند.

پیشخوان وردپرس به طور پیش‌فرض به مدیران سایت اجازه ویرایش فایل‌های PHP (مانند فایل‌های پوسته ها و افزونه ها) را می‌دهد.این اغلب اولین ابزاری است که مهاجم در صورت امکان در زمان لاگین از آن استفاده می کند، زیرا امکان اجرای کد را فراهم می کند.
این ویژگی امکان ویرایش فایل‌های PHP را از طریق داشبورد برای افراد غیرفعال می‌کند. و همچنین امکان تغییر فایل‌‌های php از پنل مدیریت وردپرس را غیرفعال می‌‌‌‌‌کند. البته ما به شما پیشنهاد نمی‌‌‌‌‌کنیم که این قسمت را فعال کنید. و نیز امکان جلوگیری از دسترسی به فایل‌هایی مانند Readme.html license.txt و Wp-Config-Sample.php را فراهم می‌کند.

در نظر داشته باشید که این فایل‌ها به همراه هر نگارش وردپرس عرضه می‌شوند. با جلوگیری از دسترسی به این فایل‌ها شما تعدادی از اطلاعات کلیدی (مانند نسخه وردپرس) را از چشم هکرها پنهان می‌کنید که برای شما بسیار مفید است.

گزارش های سیستم هاست

گاهی اوقات پلتفرم میزبانی شما گزارش های خطا یا هشدار را در فایلی به نام “error_log” تولید می کند. بسته به ماهیت و علت خطا یا هشدار، سرور میزبان شما می تواند چندین نمونه از این فایل را در مکان های دایرکتوری متعدد نصب وردپرس شما ایجاد کند.
با دیدن گاه به گاه درونمایه این فایل‌های گزارش شما می توانید از همه مشکلات پنهان سیستم آگاه شوید.

این قسمت فایل Error_log را برای شما نمایش می‌‌‌‌‌د‌‌‌‌‌هد؛ که توسط آن می‌‌‌‌‌توانید خطاهای موجود در سایتتان را پیدا کرده و به رفع آن‌‌‌‌‌ها بپردازید.

حفاظت از کپی

این ویژگی به شما این امکان را می دهد که امکان انتخاب و کپی متن را از قسمت جلویی خود غیرفعال کنید. هنگامی که کاربر ادمین وارد سیستم می شود، این ویژگی به طور خودکار برای او غیرفعال می شود.

قاب ها

این ویژگی به شما این امکان را می دهد که از نمایش محتوای شما توسط سایر سایت ها از طریق فریم یا آی فریم جلوگیری کنید. هنگامی که این ویژگی فعال است، “X-قاب گزینه ها” پارامتر به “sameorigin” در هدر HTTP تنظیم میباشد.

بخش دیواره آتش

در بخش معرفی افزونه All In One WP Security ، ویژگی‌های مهم این بخش را بررسی کردیم. یکی از مهم‌ترین مزیت‌های این بخش مسدودسازی کدهای مخرب است. با فعال کردن تمامی گزینه‌های این بخش، وبسایت‌تان را در برابر عوامل ویروسی مخرب، بیمه کنید.

اول از همه این نکته را در نظر داشته باشید که قبل از استفاده از دیواره آتش یا فایروال از دیتابیس و فایل htaccess خود بک آپ بگیرید. ما پیشنهاد می‌کنیم تمامی قسمت‌های این بخش را فعال‌سازی کنید. چراکه برای شما کارآمد هستند. این قسمت باعث می‌شود شما بتوانید یک فایروال بسیار قوی برای سایت خود ایجاد کنید. توسط این قسمت از ورود اسکریپت‌های مخرب جلوگیری می‌شود.

PHP rules

برای امنیت بیشتر یکسری کد های PHP را به وردپرس ما اضافه می کند. تمام گزینه ها را تیک میزنیم . اگر مشکلی در سایت ما ایجاد کرد تک به تک ، تیک ها را بر می داریم تا ببینیم مشکل از کجا بوده است.

htaccess. rules

این سر برگ نیز مانند سر برگ قبل ، برای امنیت بیشتر یکسری کد هایی را به htaccess. اضافه می کند. تمام گزینه ها را تیک میزنیم . اگر مشکلی در سایت ما ایجاد کرد تک به تک ، تیک ها را بر می داریم تا ببینیم مشکل از کجا بوده است.

در کادری که در تصویر زیر می بینید مقداری را برای حجم آپلود فایل در رسانه ها وارد کنید. مابقی قسمت ها را در حالت پیش فرض خود رها کنید.

6G firewall rules

این ویژگی به شما امکان می دهد قوانین حفاظت امنیتی فایروال 6G (یا 5G قدیمی) که توسط Perishable Press طراحی و تولید شده است را فعال کنید.لیست سیاه 6G یک لیست‌سیاه ساده و انعطاف‌پذیر است که تعداد درخواست‌های خرابکارانه URL به سایت شما را کاهش می‌دهد.

علاوه بر این استفاده از فایروال 6G در سایت شما این است که توسط افراد PerishablePress.com آزمایش و تایید شده است که مجموعه ای از قوانین امنیتی بهینه و کم اخلال برای سایت های وردپرس عمومی است.

تمام گزینه ها را تیک میزنیم . اگر مشکلی در سایت ما ایجاد کرد تک به تک ، تیک ها را بر می داریم تا ببینیم مشکل از کجا بوده است.

ربات های اینترنت

ربات اینترنتی چیست؟؟

خیلی از ربات ها قانونی بوده و مخرب نیستند اماهمه ربات ها خوب نیستند.گاهی رباتی را می بینید که میخواهد خود را بجای “ربات گوگل” جابزند اما در واقع آن هیچ ربطی به گوگل ندارد.

اگرچه بیشتر ربات‌های موجود در بازار نسبتاً بی‌ضرر هستند، گاهی صاحبان وب‌سایت‌ها می‌خواهند کنترل بیشتری بر روی ربات‌هایی که اجازه ورود به سایت خود را می‌دهند داشته باشند.

Blacklist

ویژگی All In One WP Security لیست سیاه به شما این امکان را می دهد که آدرس ها یا محدوده های IP میزبان و همچنین عوامل کاربر را ممنوع کنید. این ویژگی دسترسی کامل به سایت را برای کاربرانی که دارای آدرس IP یا عوامل کاربری مطابق با مواردی است که در تنظیمات زیر پیکربندی کرده‌اید، منع می‌کند.
بازدیدکنندگان لیست سیاه به محض بارگیری وردپرس مسدود می شوند و از دسترسی بیشتر آنها جلوگیری می شود.

در این بخش می‌‌‌‌‌توانید آی‌‌‌‌‌پی‌‌‌‌‌هایی را که دوست ندارید به سایت شما دسترسی داشته باشند مسدود کنید. بنابراین آی‌‌‌‌‌پی‌‌هایی که مشکوک هستند را در این قسمت وارد نمایید. توجه داشته باشید در این قسمت برای مسدود کردن هر آدرس IP باید یک اسم همراه با یک اسلش در ابتدای آن انتخاب کنید.

WP REST API

این ویژگی به شما این امکان را می دهد تا دسترسی به API وردپرس REST را برای درخواست های غیرمجاز مسدود کنید.

هنگامی که فعال باشد، این ویژگی تنها در صورتی اجازه می دهد که درخواست های REST پردازش شوند که کاربر وارد سیستم شده باشد.

مراقب باشید که اگر از افزونه‌های دیگری استفاده می‌کنید که نقاط پایانی REST را ثبت کرده‌اند (به عنوان مثال، فرم تماس 7)، در صورتی که کاربر وارد سیستم نشده باشد، این ویژگی درخواست‌های REST مورد استفاده توسط این افزونه‌ها را نیز مسدود می‌کند. توصیه می‌شود اگر می‌خواهید عملکرد بدون وقفه این افزونه‌ها را داشته باشید، این ویژگی را غیرفعال کنید.

تنظیمات پیشرفته

این گزینه به شما امکان می دهد فایروال را تنظیم یا کاهش دهید. توصیه می کنیم برای محافظت بیشتر فایروال را تنظیم کنید، اما اگر به هر دلیلی می خواهید فایروال را غیرفعال کنید، می توانید این کار را از اینجا انجام دهید.

این گزینه به شما امکان می دهد آدرس های IP را به لیست مجاز خود اضافه کنید. تمام IP های موجود در لیست مجاز شما دیگر تحت تأثیر قوانین فایروال قرار نخواهند گرفت.

بخش بورت فورس

تغییر نام برگه ی ورود

یک تکنیک موثر پیشگیری از Brute Force، تغییر URL صفحه ورود به سیستم پیش فرض وردپرس است.

معمولاً اگر می‌خواهید وارد وردپرس شوید، URL خانه سایت خود را به دنبال آن wp-login.php تایپ می‌کنید.

این ویژگی به شما این امکان را می دهد که URL ورود به سیستم را با تنظیم Slug خود و تغییر نام آخرین بخش از URL ورود به سیستم که حاوی wp-login.php به هر رشته ای که دوست دارید تغییر دهید.

با انجام این کار، ربات ها و هکرهای مخرب نمی توانند به صفحه ورود به سیستم شما دسترسی پیدا کنند زیرا URL صفحه ورود صحیح را نمی دانند.

توجه: اگر سایت خود را در WPEngine یا ارائه دهنده ای که کش سرور را انجام می دهد میزبانی می کنید، باید از افراد پشتیبانی میزبان بخواهید که صفحه ورود تغییر نام یافته شما را در حافظه پنهان ذخیره نکنند.

این گزینه به شما امکان تغییر پوشه مدیریت Wp-Admin را به هر آدرسی که دوست دارید می‌‌‌‌‌دهد. با استفاده از این کار پیدا کردن این پوشه برای هکر ساده نیست.

با افزودن پسوند “/wp-admin/” یا “/wp-login.php?action=login” به آدرس سایت به راحتی می‌توان به صفحه ورود وردپرس سایت دسترسی داشت. از آنجایی که هر کسی می‌تواند با یکی از این URL‌ها به سایت شما دسترسی داشته باشد، اولین قدم در پیشگیری از حملات بروت فورس تغییر نام صفحه ورود است. کادر ” قابلیت تغییر آدرس صفحه ورود” را علامت بزنید و یک پیشوند مورد نظر که حدس زدن آن سخت است را ارائه دهید.

به عنوان مثال، اگر می خواهید URL صفحه ورود به سیستم را به عنوان “yoursite.com/login/” تغییر دهید، کلمه “login” را در کادر متن وارد کنید. قبل از فعال کردن این بخش به نکات زیر دقت کنید:

• تغییر نام صفحه ورود، شما را از سیستم خارج می‌کند و باید دوباره با URL جدید وارد شوید.
• این عملکرد بر همه کاربران تأثیر می‌گذارد، بنابراین اگر برای نظر دادن در سایت‌تان نیاز به ثبت‌نام است، آن را فعال نکنید.
• این بخش بر ویژگی هر افزونه دیگری که از صفحه ورود پیش فرض استفاده می‌کند تأثیر می‌گذارد.

جلوگیری از بروت فورس براساس کوکی

این قسمت مربوط به حملات Brute Force می‌باشد که اکثر هکرها از این راه اقدام به تخریب سایت مقصد می‌کنند. بنابراین این قسمت از اهمیت زیادی برخوردار است. این بخش شامل ۲ قسمت مهم می‌باشد که به بررسی آنها می‌پردازیم.

Brute Force حملاتی هستند که بر مبنای آزمون و خطا سعی بر پیدا کردن رمز ورود شما دارند. شاید یکی از مهم‌ترین بخش‌های افزونه All In One WP Security همین بخش باشد، چرا که بیشتر هکرها سعی می‌کنند از این طریق به وبسایت شما دسترسی پیدا کنند. این بخش دارای 5 سربرگ است که هر کدام وظیفه مهمی در حفظ امنیت وبسایت شما دارند.

گزینه بعدی برای جلوگیری از حملات brute force بر اساس کوکی موجود در مرورگر شما است. چک باکس «جلوگیری از حمله Brute Force» را فعال کنید و یک کلمه سخت برای قسمت «Secret Word» انتخاب کنید.

به عنوان مثال، اگر می‌خواهید کلمه مورد نظر خود را به عنوان “test” اضافه کنید،URL  ورود به سیستم “http://yoursite.com/?test=1” خواهد بود. برای دسترسی به صفحه ورود می‌توانید “/?secret-word=1″ را به URL سایت خود اضافه کنید. اگر صفحات محافظت شده با رمز عبور دارید، کادر انتخاب ” سایت من دارای پست‌ها یا صفحاتی است که با رمز عبور محافظت می‌شوند” را فعال کنید.

اگر تم یا افزونه‌ای دارید که از Ajax استفاده می‌کند، کادر انتخاب ” سایت من دارای تم یا افزونه‌هایی است که از AJAX استفاده می‌کنند” را فعال کنید. به طور کلی اکثر تم‌ها و افزونه‌ها از Ajax استفاده می‌کنند، از این رو باید این گزینه را فعال کنید و بررسی کنید که آیا سایت شما به درستی بارگذاری می‌شود یا خیر.

• این روش شبیه به تغییر نام صفحه ورود به سیستم است، بنابراین تمام هشدارهای ذکر شده در بالا برای این روش نیز قابل اجرا هستند.
• از آنجایی که هر دو روش «تغییر نام صفحه ورود به سیستم» و «پیشگیری از نیروی brute force مبتنی بر کوکی» URL صفحه ورود را تغییر می‌دهند، می‌توانید هر بار از یکی از این روش‌ها در سایت خود استفاده کنید.

CAPTCHA settings

از آنجایی که دو گزینه اول بر محیط‌های چند کاربره مانند سایت‌هایی با ویژگی‌های ورود، ثبت نام و تجارت الکترونیک تأثیر می‌گذارند، تنها فعال کردن کپچا یکی از ساده‌ترین روش‌هایی است که می‌توانید برای جلوگیری از حمله brute force استفاده کنید. در این بخش سه گزینه برای فعال کردن کد امنیتی روی فرم‌ها دارید:

• کد امنیتی را در صفحه ورود پیش فرض وردپرس اضافه کنید.
• کد امنیتی را در تمام فرم‌های مورد استفاده در سایتی که از تابع وردپرس «wp_login_form» استفاده می‌کنند، فعال کنید.
• در فرم درخواست رمز عبور گم شده، کد امنیتی را فعال کنید.

لیست سفید ورود

ویژگی All In One WP Security لیست سفید به شما این امکان را می دهد که فقط به آدرس های IP یا محدوده خاصی اجازه دسترسی به صفحه ورود به وردپرس خود را بدهید. این ویژگی دسترسی ورود به سیستم را برای همه آدرس‌های IP که در لیست سفید شما نیستند، همانطور که در تنظیمات زیر پیکربندی شده است، ممنوع می‌کند.
با اجازه دادن یا ندادن به آی پی آدرس‌ها از طریق فایل htaccess. ، شما از امن‌ترین خط دفاعی اولیه استفاده می‌کنید؛ زیرا اجازه دسترسی به برگه ورود تنها برای آی پی آدرس‌های موجود در لیست سفید صادر می‌شود و بقیه آدرس‌ها به محض تلاش برای رسیدن به برگه ورود، مسدود خواهند شد.

افزونه All in One WP Security گزینه “Login Whitelist”  را نیز ارائه می‌دهد. این قسمت فقط به آدرس‌های IP فهرست شده اجازه می‌دهد تا به صفحه ورود به سیستم وردپرس شما دسترسی داشته باشند و همه آدرس‌های IP  دیگر مسدود خواهند شد .

تشخیص خطای 404

خطای 404 یا Not Found زمانی رخ می دهد که شخصی سعی می کند به صفحه ای که وجود ندارد در وب سایت شما دسترسی پیدا کند. به طور معمول، بیشتر خطاهای 404 زمانی اتفاق می‌افتد که افراد یک URL را اشتباه تایپ کرده باشند یا از یک پیوند قدیمی به صفحه استفاده کنند که دیگر وجود ندارد.

با این حال، در برخی موارد ممکن است بسیاری از خطاهای 404 مکرر را بیابید که در یک زمان نسبتاً کوتاه و از همان آدرس IP رخ می‌دهند که همگی تلاش می‌کنند به انواع URLهای صفحه موجود دسترسی پیدا کنند. چنین رفتاری می تواند به این معنی باشد که یک هکر ممکن است به دلایل شوم سعی در یافتن یک صفحه یا URL خاص داشته باشد.

هانی پات

آخرین گزینه فعال کردن “ Enable Honeypot On Login Page” است. این بخش یک فیلد جدید در فرم ورود ایجاد می‌کند که برای کاربران انسانی نامرئی و فقط برای ربات‌ها قابل مشاهده است. از آنجایی که ربات‌ها برای ورود تمام فیلدهای فرم ورود را پر می‌کنند، در صورت پر شدن فیلد پنهان، افزونه دسترسی ربات را متوقف می‌کند. بنابراین به توقف موثر ربات‌ها کمک می‌کند.

بخش جلوگیری از اسپم

این قسمت افزونه با اضافه کردن یک کد کپچا به فرم ارسال نظرات وردپرس از ارسال جفنگ (اسپم) در سایت شما جلوگیری می‌کند. البته برای راحت‌تر بودن کاربران سایتتان پیشنهاد می‌کنم از اکیسمت وردپرس استفاده کنید.

Comment spam

بخش بزرگی از دیدگاه‌های جفنگ یک سایت وردپرس،از سوی ربات‌های خودکار نوشته می‌شود.
این ویژگی ترافیک بیهوده و غیرضروری و بارگذاری سرور شما ناشی از نظرات اسپم را تا حد زیادی به حداقل می رساند.

نظارت بر آی پی دیدگاه های جفنگ

افزونه AIOWPS به جلوگیری از کامنتهای اسپم ارسال شده توسط ربات‌ها کمک می‌کند و اجازه می‌دهد تا کپچا را در فرم نظرات اضافه کنید.

این ویژگی به شما اجازه می دهد تا به طور خودکار و دائمی آدرس آی پی هایی را که بیش از تعداد مشخصی از نظرات که دارای برچسب اسپم است را مسدود کنید.

اگر ویژگی «تشخیص نظرات هرزنامه» فعال باشد یا مدیر به صورت دستی نظری را به عنوان «هرزنامه» از منوی نظرات وردپرس علامت‌گذاری کند، نظرات هرزنامه محسوب می‌شوند.

توجه: این ویژگی از فایل htaccess. برای مسدود کردن دائمی آدرس‌های IP استفاده نمی‌کند، بنابراین باید با تمام سرورهای وب در حال اجرا وردپرس سازگار باشد.

در این قسمت می توانید مشخص کنید که آی پی کاربرانی را میخواهید که به عنوان مثال 5 دیدگاه جفنگ در سایت قرار داده اند .

وقتی تعداد را وارد کردید و دکمه یافتن آی پی آدرس را زدید ، لیست آی پی ها در تصویر زیر نمایان می شوند که می توانید آن ها به لیست سیاه اضافه کنید.

اسکنر افزونه All In One WP Security

اگر فرصتی به هکرها داده شود می توانند کد یا فایل های خود را در سیستم شما وارد کنند که سپس می توانند از آنها برای انجام اقدامات مخرب در سایت شما استفاده کنند.
اطلاع از هرگونه تغییر در فایل های خود می تواند راه خوبی برای جلوگیری سریع از آسیب رساندن هکر به وب سایت شما باشد.
به طور کلی، فایل‌های هسته و افزونه وردپرس و انواع فایل‌ها مانند «.
“ویژگی تشخیص تغییر فایل” شما را از هرگونه تغییر فایلی که در سیستم شما رخ می دهد، از جمله افزودن و حذف فایل ها با انجام اسکن منظم خودکار یا دستی فایل های سیستم شما، مطلع می کند.
این ویژگی همچنین به شما امکان می دهد در مواردی که می دانید فایل ها یا پوشه های خاصی به عنوان بخشی از عملیاتکرد عادی خود تغییر می کنند، از اسکن حذف کنید. (به عنوان مثال، فایل‌های گزارش و برخی از فایل‌های پلاگین حافظه پنهان ممکن است اغلب تغییر کنند و از این رو می‌توانید چنین فایل‌هایی را از اسکن تشخیص تغییر فایل حذف کنید)

این بخش که کمترین استفاده را در این افزونه خواهد داشت؛ هرچند مدت یک بار فایل‌های سایت وردپرسی شما را اسکن می‌کند و درصورتی‌که فایل‌ها تغییر داده‌شده باشند به شما اطلاع‌رسانی می‌کند.

در این بخش دو گزینه برای استفاده خواهید داشت. یکی از این قابلیت‌ها رایگان است، اما برای استفاده از دیگری باید هزینه پرداخت کنید.

File change detection

 این بخش هر چند وقت یک بار فایل‌های سایت شما را بررسی می‌کند و در صورت تغییر هر یک از فایل‌ها به شما اطلاع می‌دهد.

اسکن بد افزار

بدافزار چیست؟

اغلب زمانی که کد بدافزار در سایت شما درج شده است، معمولاً بر اساس ظاهر چیزی غیرعادی متوجه نمی‌شوید، اما می‌تواند تأثیر چشمگیری بر رتبه‌بندی جستجوی سایت شما داشته باشد.

این به این دلیل است که ربات ها و عنکبوت های موتورهای جستجو مانند گوگل این قابلیت را دارند که بدافزارها را هنگام فهرست کردن صفحات سایت شما شناسایی کنند و در نتیجه می توانند وب سایت شما را در لیست سیاه قرار دهند که به نوبه خود بر رتبه بندی جستجوی شما تأثیر می گذارد.

اسکن برای کدهای مخرب

به دلیل ماهیت دائمی در حال تغییر و پیچیده بدافزار، اسکن چنین مواردی با استفاده از یک افزونه مستقل به طور قابل اعتماد کار نخواهد کرد. این کاری است که بهتر است از طریق اسکن خارجی سایت شما به طور منظم انجام شود.

به همین دلیل است که ما یک سرویس اسکن با کاربری آسان ایجاد کرده ایم که در سرور خود میزبانی می شود که هر روز یک بار سایت شما را برای بدافزار اسکن می کند و در صورت یافتن چیزی به شما اطلاع می دهد.

این سرویس با افزونه پریمیوم همراه است و موارد زیر را ارائه می دهد:

• Automatic weekly scans
• نظارت خودکار بر کدهای مخرب و لیست سیاه
• ایمیل هشدار بصورت خودکار
• نظارت بر آپتایم سایت
• نظارت بر زمان ریسپانسیویی سایت
• ما توصیه هایی برای پاکسازی بدافزار ارائه می دهیم
• حذف لیست سیاه
• بدون قرارداد (لغو در هر زمان)

این بخش از یک سایت شخص ثالث برای اسکن سایت شما استفاده می‌کند. طبیعتا برای استفاده از این بخش باید هزینه پرداخت کنید.

بخش ابزار

انتخاب نامناسب رمز عبور یکی از رایج ترین نقاط ضعف بسیاری از سایت ها است و معمولاً اولین چیزی است که یک هکر هنگام تلاش برای نفوذ به سایت شما سعی می کند از آن سوء استفاده کند.

Many people fall into the trap of using a simple word or series of numbers as their password. Such a predictable and simple password would take a competent hacker merely minutes to guess your password by using a simple script which cycles through the easy and most common combinations.

هرچه رمز عبور شما طولانی تر و پیچیده تر باشد، شکستن رمز عبور برای هکرها سخت تر است زیرا رمزهای عبور پیچیده تر به قدرت محاسباتی و زمان بسیار بیشتری نیاز دارند.

این بخش حاوی یک ابزار مفید برای تقویت رمز عبور است که می توانید از آن برای بررسی اینکه آیا رمز عبور خود به اندازه کافی قوی است یا خیر استفاده کنید.

ابزار گذرواژه

این ابزار رمز عبور از الگوریتمی استفاده می‌کند که با استفاده از قدرت محاسباتی یک رایانه رومیزی مدل فعلی با پردازنده پیشرفته، کارت گرافیک و نرم‌افزار شکستن رمز عبور مناسب، مدت زمانی را برای شکستن رمز شما محاسبه می‌کند.

جستجوی WHOIS

ویژگی جستجوی WHOIS راهی را در اختیار شما قرار می دهد تا ببینید چه کسی دارای آدرس IP یا نام دامنه است. می توانید از این برای بررسی کاربرانی که در حال انجام فعالیت های مخرب در سایت شما هستند استفاده کنید.

سفارشی سازی قوانین .htaccess

از این ویژگی می توان برای اعمال قوانین و دستورالعملیات های htaccess سفارشی خود استفاده کرد.

برای زمانی که می خواهید قوانین فایروال موجود ما را تغییر دهید یا زمانی که می خواهید قوانین خود را اضافه کنید مفید است.

توجه: این ویژگی فقط در صورتی قابل استفاده است که سایت شما با استفاده از وب سرور آپاچی یا دیگری که از فایل های htaccess. استفاده می کند میزبانی شود.

هشدار: فقط در صورتی از این ویژگی استفاده کنید که بدانید در حال انجام چه کاری هستید.

قوانین یا دستورالعملیات های نادرست htaccess می تواند دسترسی به سایت شما را شکسته یا از آن جلوگیری کند.

این مسئولیت شماست که مطمئن شوید کد صحیح را وارد کرده اید!

اگر سایت خود را خراب کردید، باید از طریق FTP یا چیزی مشابه به سرور خود دسترسی داشته باشید و سپس فایل htaccess. خود را ویرایش کنید و تغییراتی که ایجاد کرده اید را حذف کنید.

قفل کردن بازدید

این ویژگی به شما این امکان را می‌دهد تا با قفل کردن صفحه جلو برای همه بازدیدکنندگان به جز کاربرانی که دارای امتیازات فوق‌العاده سرپرست هستند، سایت خود را در حالت نگهداری قرار دهید.

اگر در حال بررسی برخی مسائل در سایت خود هستید یا شاید در حال انجام برخی تعمیرات هستید و می خواهید به دلایل امنیتی از تمام ترافیک جلوگیری کنید، قفل کردن سایت خود برای بازدیدکنندگان عمومی می تواند مفید باشد.

این بخش همان‌طور که از اسمش پیدا است حالت تعمیر و در دست ساخت بودن سایت وردپرسی شما را فعال می‌کند و سایت شما را فقط برای مدیران نمایش می‌دهد. این بخش را زمانی که می‌خواهید تغییرات اساسی در وبسایت‌تان ایجاد کنید، باید فعال کنید. با فعال کردن این گزینه سایت از دسترس کاربران خارج می‌شود و فقط مدیران می‌توانند به وبسایت دسترسی داشته باشند.

بخش احراز هویت دوعاملی

این بخش که در واقع آخرین سربرگ از بخش داشبورد بود که درمورد آن صحبت کردیم. در آنجا گفتیم که وارد بخش شناسنامه شوید و احراز هویت را تنظیم کنید، اما اینجا می بینید که در این قسمت نیز می توانید این کار را انجام دهید.

بخش ارتقا به نسخه حرفه ای

این بخش که در واقع آخرین سربرگ از بخش داشبورد بود که درمورد آن صحبت کردیم.

حذف و غیرفعال کردن افزونه All In One WP Security

برخی مواقع ممکن است شما تنظیمات افزونه All In One WP Security را اشتباه پیکربندی کنید و دسترسی خودتان به وبسایت قطع شود. با نصب این افزونه دایرکتوری پشتیبان و چندین جدول MYSQL اضافه می‌شود. از این رو فقط حذف نصب و حذف افزونه، فایل‌های افزونه را به طور کامل از سایت شما حذف نمی‌کند. بهترین راه این است که مراحل زیر را مرحله به مرحله دنبال کنید:

1. همه تنظیمات امنیتی و فایروال را در قسمت “WP Security > Settings > General Settings” غیرفعال کنید.
2. افزونه را از داشبورد حذف نصب کنید.
3. فایل‌های افزونه را از داشبورد حذف کنید.
4. از طریق FTP به هاست خود متصل شوید و فایل‌های پشتیبان ذخیره شده توسط افزونه را حذف کنید.
5. 5.   “phpMyAdmin” را از “cPanel” خود باز کنید و جداول افزونه‌ها را از دیتابیس سایت خود حذف کنید.
6. اگر در دسترسی به سایت خود مشکلی دارید، سعی کنید قبل از نصب افزونه، فایل‌های «.htaccess» و «wp-config.php» را از نسخه پشتیبان بازیابی کنید.

سخن پایانی

All In One WP Security یک افزونه قدرتمند در زمینه امنیت سایت وردپرسی است. اگرچه استفاده از این افزونه بسیار جذاب به نظر می‌رسد، اما مطمئن شوید تمام ویژگی‌ها را به طور جداگانه آزمایش کنید و تا زمانی که به یک ویژگی نیاز پیدا نکرده‌اید از آن استفاده نکنید. تغییر نام صفحه ورود، گزینه مبتنی بر کوکی و لیست سفید IP را می‌توان در سایت‌های تک کاربر بدون ثبت نام کاربری استفاده کرد. گزینه‌های باقی‌مانده مانند فعال کردن کپچای ورود و honeypot را می‌توان در همه انواع سایت‌ها بدون هیچ مشکلی استفاده کرد.

اگر قصد دارید امنیت وردپرس را به صورت کامل‌تر و جامع‌تر یاد بگیرید، پیشنهاد می‌کنیم در دوره جامع سایت برتر شرکت کنید.

رضا راد

میلیون‌ها کیلومتر اسکرول کردم تا به هدفم نزدیک بشم و این داستان همچنان ادامه داره...