مقالات

آموزش کامل افزونه All In One Wp Security

آموزش افزونه All In One Wp Security

قبلا شما را با افزونه All In One Wp Security and Firewall آشنا کردیم ،افزونه امنیتی که در عین ساده بودن امکانات فوق العاده ای در اختیار شما قرار می دهد.

در این مقاله قصد داریم شما را با تنظیمات این افزونه آشنا کنیم. با استفاده از این آموزش به راحتی قادرخواهيد بود که سايت خود را از لحاظ امنيتی توانمند کنيد.

نصب افزونه All In One WP Security

برای نصب افزونه ابتدا وارد پیشخوان وردپرس شوید، در قسمت افزونه ها و سپس بافشردن گزینه ” افزودن”  در کادر جستجو All In One WP Security & Firewall را وارد کنید در نهایت آن را نصب و فعال کنید. می توانید از آموزش نصب افزونه کمک بگیرید.

نحوه فعالسازی افزونه All In One WP Security

پس از فعال سازی افزونه گزینه جدید با نام ” امنیت کامل وردپرس ” به منو های پیشخوان وردپرس شما اضافه خواهد شد، این افزونه از زبان فارسی پشتیبانی میکند و شامل زیرمنوهایی مثل داشبورد، تنظیمات، حساب های کاربری ،ورود کاربران ،نام نویسی کاربران و …… می باشد که هر کدام را مفصل شرح خواهیم داد.

منوی امنیت کامل وردپرس

آموزش افزونه All In One WP Security

با نحوه کار هر یک از زیر منوهای این افزونه آشنا خواهیم شد.

بخش داشبورد

در داشبورد بهترین افزونه امنیتی، می توانید وضعیت امنیت کلی سایت خود را مشاهده کنید،به عبارت دیگر داشبورد افزونه  All In One WP Security  اعمالی که برای دستیابی به حداقل سطح امنیت باید در سایت خود انجام دهید را به شما نشان می دهد.

مهم ترین بخش این قسمت نشانگر میزان امنیت سایت شماست که  همانطور که در تصویر مشاهده میکنید میزان امنیت سایت شما را نشان میدهد.

نشانگر سنجش امنیت در افزونه All In One Wp Security

بخش داشبورد از چند سربرگ تشکیل شده است:

داشبورد : بخشی که درحال حاضر آن قرار داریم و نشانگر میزان امنیت را به ما نشان می دهد.

آدرس های آی پی قفل شده: این قسمت لیستی از تمام آدرس آی پی های ورود به سیستم را که در حال حاضر به طور موقت بسته شده است را نمایش می دهد.

لیست سیاه همیشگی: این قسمت لیستی از آدرس آی پی های مسدود شده دائمی را نمایش می دهد.

گزارش ها: در این قسمت گزارش های امنیتی که توسط این افزونه ایجاد شده را می توانید مشاهده کنید.

زیر منوی داشبورد افزونه All In One Wp Security

بخش تنظیمات

در این بخش امکان پشتیبان گیری از تمام فایل های اصلی سایت وجود دارد و به طور کلی امکان غیر فعالسازی ویژگی های امنیتی و همه دستورهای فایروال برای جلوگیری از اختلال در سایت برای شما وجود دارد.

این بخش نیز از چند سربرگ تشکیل شده است :

در سربرگ تنظیمات عمومی قادر هستید تا از پایگاه داده، فایل‌های  htaccess.  و wp-config.php نسخه پشتیبان تهیه کنید. این فایل‌ها ، فایل های حیاتی و مهم در وب سایت شما هستند، پس توصیه می‌کنیم حتما از آن‌ها نسخه پشتیبان داشته باشید.

زیر منوی تنظیمات درافزونه All In One Wp Security

در سربرگ دوم و سوم افزونه امکان اجازه تغییرات در فایل‌های htaccess. و wp-config.php  را به شما می‌دهد.

در سربرگ مشاهده نسخه وردپرس،با فعال کردن تیک گزینه Remove WP generator meta info نیز نسخه و اطلاعات متا تولید شده توسط وردپرس حذف می شوند در غیر این صورت هکرها یا  Crawlerها می‌توانند متوجه شوند که آیا شما از نسخه‌های قدیمی وردپرس استفاده می‌کنید و یا حفره امنیتی شناخته شده‌ای دارید. پس حتما بعد از پشتیبان گیری این گزینه را فعال کرده و تنظیمات را ذخیره کنید.

سربرگ درون ریزی و برون ریزی نیز برای خروجی و ورودی گرفتن اطلاعات این افزونه می‌باشد.

بخش حساب کاربری

در این بخش افزونه All In One WP Security می‌توانید نام کاربری وردپرس، نام نمایشی و کلمه عبور کاربران را تغییر دهید.

نام کاربری وردپرس: در هنگام نصب وردپرس، نام کاربری مدیر به طور پیش‌فرض روی”admin”  تنظیم می‌شود. بسیاری از هکرها با دانستن این نام کاربری پیش‌فرض،دست به حملات Brute Force برای ورود به سایت می‌زنند. که این حملات ترکیبی از نام کاربری”admin”و گذرواژه‌های مختلف است. از دیدگاه امنیتی، تغییر نام کاربری پیش‌فرض “admin”، یکی از  هوشمندانه‌ترین کارهایی است که شما باید روی سایت تان انجام دهید. در صورت وجود حساب کاربری با نام پیشفرض ، افزونه آن را را نمایش می دهد و شما به راحتی می توانید حساب های مشکوک را شناسایی کنید.

نام نمایشی : نام نمایشی یا لقب نامی است که وقتی شما به یک دیدگاه پاسخ می دهید یا نوشته ای را منتشر می کنید به نمایش درمی آید به طور پیشفرض لقب همان نام کاربری شماست که از نظر امنیتی بسیار خطرناک است در این صورت شما نیمی از اطلاعات لازم برای ورود به سایت را در اختیار هکرها قرار می دهید. پس ضروری ست که برای امن‌تر کردن سایت تان، نام نمایشی (لقب) خود را، به چیزی متفاوت از نام کاربری تغییر دهید.

کلمه عبور: در این سربرگ این افزونه امنیتی قادر خواهید بود که گذرواژه ای که برای سایت خود انتخاب کرده اید را وارد کرده و میزان قدرت آن را بسنجید.

زیرمنوی حساب کاربری در افزونه All In One Wp Security

بخش ورود کاربران

برای تامین امنیت فرم های ورودی سایت تان باید از این بخش استفاده کنید که از چند سربرگ تشکیل شده است :

قفل ورود: در این سربرگ می توانید برای ورود کاربرانی که در یک بازه زمانی کوتاه مدت چندین ورود ناموفق داشته اند محدودیت تعریف کنید. مثلا اگر بیش از 3 بار پسورد اشتباه وارد کرد دیگر امکان ورود به سایت را نداشته باشد. این عمل به توقف ربات ها کمک می کند.

یکی از مشکلات امنیتی که در وردپرس وجود دارد این است که اگر کاربر نام کاربری را اشتباه وارد کند ، پیغام نام کاربری اشتباه است به کاربر نمایش داده می‌شود و اینگونه هکر می فهمد که نام کاربری را اشتباه را وارد کرده است. ابن مورد توسط افزونه قابل حل است. با فعال کردن تیک گزینه نمایش پیام خطای عمومی در این سربرگ این مشکل را برطرف نمایید،در این صورت پس از وارد کردن نام کاربری اشتباه پیغام خطای ” نام کاربری و یا رمز عبور نادرست است ” نمایش داده می شود.

رکورد ورود های ناموفق: در این تب لیستی از آی پی ها به همراه نام کاربری که ورود ناموفق به سایت داشته اند دسترسی دارید.

خروج اجباری: در این قسمت می توانید یک بازه زمانی(به دقیقه) تعیین کنید؛ پس از این بازه زمانی کاربران از سایت خارج می‌شود و برای وارد شدن دوباره باید گذرواژه را وارد کنند.

گزارش فعالیت های حساب: فهرستی 50 شناسه کاربری که اخیرا به سایت شما وارد شده اند را نشان می دهد.

کاربران وارد شده: لیست کاربرانی که اکنون در سایت شما وجود دارند.

زیر منوی ورود کاربران در افزونه All In One Wp Security

بخش نام نویسی کاربران

این بخش برای نظارت دقیق تر و افزایش امنیت به شما این امکان را می دهد که با فعال کردن تایید دستی، (سربرگ تایید دستی) حساب های کاربران جدید را به خوبی مدیریت کنید بدین ترتیب که کاربری که در سایت شما ثبت نام می کند برای فعال شدن حساب کاربریش به تایید مدیر نیاز دارد. بنابراین حساب‌های ناخواسته بدون تأیید صریح شما نمی‌توانند وارد شوند.

علاوه بر این کد کپچا هم می توان به فرم ورود اضافه کرد (سربرگ Registration CAPTCHA )

ویژگی دیگر این بخش این است که این ویژگی به شما امکان می دهد یکسری فیلدهای پنهانی معروف به ” ثبت نام ظرف عسل” به صورت مخفی در صفحه ثبت نام وردپرس اضافه کنید که فقط برای روبات قابل مشاهده است . این کار به شما امکان می‌دهد ربات‌ها را شناسایی کرده و از ایجاد حساب کاربری توسط ربات ها جلوگیری کنید.( سربرگ ثبت نام ظرف عسل)

زیرمنوی نام نویسی کاربران در افزونه All In One Wp Security

بخش امنیت پایگاه داده

دیتابیس از مهم ترین بخش های یک سایت وردپرسی است که باید به خوبی محافظت شود چرا که یکی از اهداف هکرهاست که با ارسال کدهای مخرب توسط آن ها موردحمله قرار می گیرد. در این بخش این افزونه امنیتی ، امکان مدیریت  و افزایش امنیت دیتابیس برای شما فراهم شده است.

پیشوند جدول پایگاه داده که توسط WordPress در پایگاه داده‌ی شما استفاده می‌شود را می توانید تغییر دهید همچنین امکان تهیه نسخه پشتیبان به صورت خودکار و یا به صورت دستی وجود دارد (پیشنهاد می شود به جای پشتیبان گیری در این قسمت از راه‌های پشتیبان‌گیری اختصاصی وردپرس استفاده کنید)

زیرمنوی پایگاه داده در افزونه All In One Wp Security

بخش امنیت فایل های سیستم

در سایت شما فایل‌های متفاوتی با سطوح دسترسی مختلفی وجود دارند. امن نگه داشتن این سطوح دسترسی بسیار مهم است در سایت شما وجود دارند. این قسمت از افزونه All In One Wp Security به شما کمک می‌کند فایل‌هایی که سطح دسترسی ناامنی دارند را شناسایی کنید. این قسمت نیز از چند سربرگ تشکیل شده است:

مجوزهای فایل: این ویژگی فایل‌ها و پوشه‌های مهم هسته وردپرس را اسکن می کندو  هر تنظیماتی که براساس استاندارها و مجوزهای افزونه نا امن باشد مشخص می کند.

ویرایش فایل PHP : همانطور  که می دانید مدیران سایت در پیشخوان وردپرس می توانند فایل‌های PHP مانند فایل‌های پوسته ها و افزونه ها را ویرایش کنند، این تب امکان ویرایش فایل های PHP از طریق پیشخوان وردپرس را غیرفعال می کند.

دسترسی به فایل های وردپرس: امکان جلوگیری از دسترسی به فایل‌‎هایی مانند readme.html ، license.txt و wp-config-sample.php را فراهم می کند. با این کار اطلاعات اساسی را از چشم هکرها پنهان می کنید.

گزارش های سیستم هاست: ممکن است سیستم هاست شما گزارش‌های خطا یا هشدار در قالب فایل “error_log” تولید می کند.با دیدن گاه به گاه درونمایه این فایل‌های گزارش، شما می توانید از همه مشکلات پنهان سیستم آگاه شوید.

زیر منوی امنیت فایلهای سیستم افزونه All In One Wp Security

بخش مدیریت فهرست سیاه

این بخش این امکان را به شما می دهد تا یک آی پی مشخص یا یک رنج آی پی را مسدود کنید و این آی پی ها را در این قسمت وارد کنید.

زیر منوی مدیریت فهرست سیاه افزونه All In One Wp Security

بخش فایروال در افزونه All In One Wp Security

در بخش معرفی افزونه All In One Wp Security ویژگی های فایروال را به خوبی شرح دادیم . در این بخش می توان قوانین امنیتی دیوار آتش (فایروال) را فعال نمود که از طریق وارد کردن کدهای ویژه در فایل htaccess. شما ایجاد می شود.به همین دلیل باید قبل از فعال کردن فایروال از دیتابیس و فایل htaccess. خود بکاپ بگیرید.

برای ایجاد کردن یک دیوار آتش قوی پیشنهاد می شود تمامی قسمت‌های این بخش را فعال‌سازی کنید.

زیرمنوی فایروال در افزونه All In One Wp Security

بخش تنظیمات بروت فورث (Brute Force)

مهم ترین بخش افزونه All In One Wp Security  می باشد که می‌توانید تنظیمات صفحه‌ی ورود به سیستم را پیکربندی کنید ، این بخش مربوط به حملات Brute Force  می باشد که هکرها معمولا از این راه اقدام به تخریب سایت می نمایند.از چند سربرگ تشکیل شده است:

Rename login page:  آدرس صفحه ورود به پیشخوان وردپرس به صورت پیش فرض yoursite.com/wp- login  یا yoursite.com/wp-admin است که اولین قدم برای جلوگیری از حملات Brute Force ویرایش صفحه ورود است. با انجام این کار، رباتهای مخرب و هکرها قادر به دسترسی به صفحه ورود شما نخواهند بود.

جلوگیری از بروت فورث براساس کوکی: این روش شبیه به ” تغییر نام صفحه ورود به سیستم ” است، از آنجایی که هر دو روش «تغییر نام صفحه ورود به سیستم» و ” جلوگیری از بروت فورث براساس کوکی ” آدرس صفحه ورود را تغییر می‌دهند، بهتر است هر بار از یکی از این روش‌ها در سایت خود استفاده کنید.

تیک حفاظت در مقابل حمله Brute Force را زده و سپس در قسمت secret word کلمه ای را وارد کنید که قابل حدس نباشد.

login CAPTCHA: یک کد کپچا به صفحه لاگین اضافه می کند که می توان این کد امنیتی را در صفحه ورود پیشفرض ، فرم درخواست رمز عبور گم شده، فرم های مورد استفاده در سایتی که از تابع وردپرس استفاده می کند، فرم لاگین ووکامرس و……  فعال کنید.

Login whitelist: در لیست سفید افزونه All In One Wp Security  می توان مشخص کرد فقط تعداد مشخصی آی پی اجازه دسترسی به صفحه لاگین را داشته باشند.

گلدان عسل: یک فیلد مخفی به صفحه ورود اضافه می نماید که تنها توسط ربات ها قابل مشاهده است. این کار برای شناسایی ربات ها و مسدود کردن آی پی آنها کاربردی است.

زیر منوی تنظیمات بروت فورس در افزونه All In One Wp Security

بخش جلوگیری از ورود اسپم (Spam Prevention)

برای جلوگیری از این اتفاق می توان در فرم دیدگاه ها کد امنیتی CAPTCHA اضافه نمود

بنابراین کسی که در سایت شما نظر دهد، قبل از ارسال نظر باید کد کپچا را به‌درستی وارد کند، در غیر این‌صورت، ربات اسپم شناخته شده و مسدود خواهد شد. (سربرگ Comment Spam) . همچنین می توانید در اینجا می‌توانید حداقل تعداد نظرات اسپم را پیش از مسدودیت دائم تنظیم کنید.(سربرگ Comment Spam IP monitoring )

الیته پیشنهاد ما برای جلوگیری از هرزنامه استفاده از افزونه اکیسمت است.

زیرمنوی جلوگیری از اسپم در افزونه All In One Wp Security

بخش اسکنر افزونه All In One Wp Security

این بخش فایلهای وردپرس را اسکن کرده و در صورت مشاهده تغییرات در آن تذکر می دهد. امکان اسکن دستی و یا خودکار فایل های مهم و حیاتی وردپرس وجود دارد.

زیرمنوی اسکنر در افرونه  افزونه All In One Wp Security

بخش حالت تعمیر

ممکن است بخواهید سایت خود را بررسی کرده و یا یا تعمیراتی روی آن انجام دهید و در این بازه زمانی تمایلی نداشته باشید که سایت توسط کاربران مشاهده گردد این ویژگی به شما اجازه می “حالت تعمیر” قرار دهید. در این حالت تنها مدیران قادر به دیدن سایت هستند.

زیر منوی حالت تعمیر در  افزونه All In One Wp Security

جلوگیری از کپی شدن محتوای سایت با افزونه All In One Wp Security

در این قسمت در سربرگ حفاظت از کپی  می توانید با غیر فعال کردن قابلیت انتخاب و کپی متن، از کپی کردن محتوای سایت خود جلوگیری کنید. با فعال کردن سربرگ فریم‌ها، از نمایش هر یک از مطالب یا عکس یا فیلم خود را از طریق یک قاب و یا iframe در سایت های دیگر جلوگیری می کنید.  با فعال کردن بخش شمارش کاربران، کاربران خارجی یا رباتها را از دریافت اطلاعات کاربر محدود کنید.

قسمت حفاظت از کپی در افزونه All In One Wp Security

کلام آخر

در این مقاله به طور کامل به آموزش افزونه All In One Wp Security پرداختیم، با طی کردن مراحل گفته شده گام بزرگی  در جهت ایمن سازی وب سایت وردپرسی خود برمی دارید. نکته پراهمیت این است ویژگی هایی از این افزونه را فعال کنید که بدان نیاز دارید.

2 thoughts on “آموزش کامل افزونه All In One Wp Security

  1. M. G گفت:

    خیلی خوب بود. دستتون دردنکنه. تنها محتوایی بود که نیازمو برطرف کرد. میخواسم 5 ستاره بدم زدم روی یدونه دیگه تغییر نکرد. 😅

    1. wpbahamin گفت:

      خواهش می کنم

دیدگاهتان را بنویسید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *