آموزش کامل افزونه All In One Wp Security
قبلا شما را با افزونه All In One Wp Security and Firewall آشنا کردیم ،افزونه امنیتی که در عین ساده بودن امکانات فوق العاده ای در اختیار شما قرار می دهد.
در این مقاله قصد داریم شما را با تنظیمات این افزونه آشنا کنیم. با استفاده از این آموزش به راحتی قادرخواهيد بود که سايت خود را از لحاظ امنيتی توانمند کنيد.
نصب افزونه All In One WP Security
برای نصب افزونه ابتدا وارد پیشخوان وردپرس شوید، در قسمت افزونه ها و سپس بافشردن گزینه ” افزودن” در کادر جستجو All In One WP Security & Firewall را وارد کنید در نهایت آن را نصب و فعال کنید. می توانید از آموزش نصب افزونه کمک بگیرید.
پس از فعال سازی افزونه گزینه جدید با نام ” امنیت کامل وردپرس ” به منو های پیشخوان وردپرس شما اضافه خواهد شد، این افزونه از زبان فارسی پشتیبانی میکند و شامل زیرمنوهایی مثل داشبورد، تنظیمات، حساب های کاربری ،ورود کاربران ،نام نویسی کاربران و …… می باشد که هر کدام را مفصل شرح خواهیم داد.
آموزش افزونه All In One WP Security
با نحوه کار هر یک از زیر منوهای این افزونه آشنا خواهیم شد.
بخش داشبورد
در داشبورد بهترین افزونه امنیتی، می توانید وضعیت امنیت کلی سایت خود را مشاهده کنید،به عبارت دیگر داشبورد افزونه All In One WP Security اعمالی که برای دستیابی به حداقل سطح امنیت باید در سایت خود انجام دهید را به شما نشان می دهد.
مهم ترین بخش این قسمت نشانگر میزان امنیت سایت شماست که همانطور که در تصویر مشاهده میکنید میزان امنیت سایت شما را نشان میدهد.
بخش داشبورد از چند سربرگ تشکیل شده است:
داشبورد : بخشی که درحال حاضر آن قرار داریم و نشانگر میزان امنیت را به ما نشان می دهد.
آدرس های آی پی قفل شده: این قسمت لیستی از تمام آدرس آی پی های ورود به سیستم را که در حال حاضر به طور موقت بسته شده است را نمایش می دهد.
لیست سیاه همیشگی: این قسمت لیستی از آدرس آی پی های مسدود شده دائمی را نمایش می دهد.
گزارش ها: در این قسمت گزارش های امنیتی که توسط این افزونه ایجاد شده را می توانید مشاهده کنید.
بخش تنظیمات
در این بخش امکان پشتیبان گیری از تمام فایل های اصلی سایت وجود دارد و به طور کلی امکان غیر فعالسازی ویژگی های امنیتی و همه دستورهای فایروال برای جلوگیری از اختلال در سایت برای شما وجود دارد.
این بخش نیز از چند سربرگ تشکیل شده است :
در سربرگ تنظیمات عمومی قادر هستید تا از پایگاه داده، فایلهای htaccess. و wp-config.php نسخه پشتیبان تهیه کنید. این فایلها ، فایل های حیاتی و مهم در وب سایت شما هستند، پس توصیه میکنیم حتما از آنها نسخه پشتیبان داشته باشید.
در سربرگ دوم و سوم افزونه امکان اجازه تغییرات در فایلهای htaccess. و wp-config.php را به شما میدهد.
در سربرگ مشاهده نسخه وردپرس،با فعال کردن تیک گزینه Remove WP generator meta info نیز نسخه و اطلاعات متا تولید شده توسط وردپرس حذف می شوند در غیر این صورت هکرها یا Crawlerها میتوانند متوجه شوند که آیا شما از نسخههای قدیمی وردپرس استفاده میکنید و یا حفره امنیتی شناخته شدهای دارید. پس حتما بعد از پشتیبان گیری این گزینه را فعال کرده و تنظیمات را ذخیره کنید.
سربرگ درون ریزی و برون ریزی نیز برای خروجی و ورودی گرفتن اطلاعات این افزونه میباشد.
بخش حساب کاربری
در این بخش افزونه All In One WP Security میتوانید نام کاربری وردپرس، نام نمایشی و کلمه عبور کاربران را تغییر دهید.
نام کاربری وردپرس: در هنگام نصب وردپرس، نام کاربری مدیر به طور پیشفرض روی”admin” تنظیم میشود. بسیاری از هکرها با دانستن این نام کاربری پیشفرض،دست به حملات Brute Force برای ورود به سایت میزنند. که این حملات ترکیبی از نام کاربری”admin”و گذرواژههای مختلف است. از دیدگاه امنیتی، تغییر نام کاربری پیشفرض “admin”، یکی از هوشمندانهترین کارهایی است که شما باید روی سایت تان انجام دهید. در صورت وجود حساب کاربری با نام پیشفرض ، افزونه آن را را نمایش می دهد و شما به راحتی می توانید حساب های مشکوک را شناسایی کنید.
نام نمایشی : نام نمایشی یا لقب نامی است که وقتی شما به یک دیدگاه پاسخ می دهید یا نوشته ای را منتشر می کنید به نمایش درمی آید به طور پیشفرض لقب همان نام کاربری شماست که از نظر امنیتی بسیار خطرناک است در این صورت شما نیمی از اطلاعات لازم برای ورود به سایت را در اختیار هکرها قرار می دهید. پس ضروری ست که برای امنتر کردن سایت تان، نام نمایشی (لقب) خود را، به چیزی متفاوت از نام کاربری تغییر دهید.
کلمه عبور: در این سربرگ این افزونه امنیتی قادر خواهید بود که گذرواژه ای که برای سایت خود انتخاب کرده اید را وارد کرده و میزان قدرت آن را بسنجید.
بخش ورود کاربران
برای تامین امنیت فرم های ورودی سایت تان باید از این بخش استفاده کنید که از چند سربرگ تشکیل شده است :
قفل ورود: در این سربرگ می توانید برای ورود کاربرانی که در یک بازه زمانی کوتاه مدت چندین ورود ناموفق داشته اند محدودیت تعریف کنید. مثلا اگر بیش از 3 بار پسورد اشتباه وارد کرد دیگر امکان ورود به سایت را نداشته باشد. این عمل به توقف ربات ها کمک می کند.
یکی از مشکلات امنیتی که در وردپرس وجود دارد این است که اگر کاربر نام کاربری را اشتباه وارد کند ، پیغام نام کاربری اشتباه است به کاربر نمایش داده میشود و اینگونه هکر می فهمد که نام کاربری را اشتباه را وارد کرده است. ابن مورد توسط افزونه قابل حل است. با فعال کردن تیک گزینه نمایش پیام خطای عمومی در این سربرگ این مشکل را برطرف نمایید،در این صورت پس از وارد کردن نام کاربری اشتباه پیغام خطای ” نام کاربری و یا رمز عبور نادرست است ” نمایش داده می شود.
رکورد ورود های ناموفق: در این تب لیستی از آی پی ها به همراه نام کاربری که ورود ناموفق به سایت داشته اند دسترسی دارید.
خروج اجباری: در این قسمت می توانید یک بازه زمانی(به دقیقه) تعیین کنید؛ پس از این بازه زمانی کاربران از سایت خارج میشود و برای وارد شدن دوباره باید گذرواژه را وارد کنند.
گزارش فعالیت های حساب: فهرستی 50 شناسه کاربری که اخیرا به سایت شما وارد شده اند را نشان می دهد.
کاربران وارد شده: لیست کاربرانی که اکنون در سایت شما وجود دارند.
بخش نام نویسی کاربران
این بخش برای نظارت دقیق تر و افزایش امنیت به شما این امکان را می دهد که با فعال کردن تایید دستی، (سربرگ تایید دستی) حساب های کاربران جدید را به خوبی مدیریت کنید بدین ترتیب که کاربری که در سایت شما ثبت نام می کند برای فعال شدن حساب کاربریش به تایید مدیر نیاز دارد. بنابراین حسابهای ناخواسته بدون تأیید صریح شما نمیتوانند وارد شوند.
علاوه بر این کد کپچا هم می توان به فرم ورود اضافه کرد (سربرگ Registration CAPTCHA )
ویژگی دیگر این بخش این است که این ویژگی به شما امکان می دهد یکسری فیلدهای پنهانی معروف به ” ثبت نام ظرف عسل” به صورت مخفی در صفحه ثبت نام وردپرس اضافه کنید که فقط برای روبات قابل مشاهده است . این کار به شما امکان میدهد رباتها را شناسایی کرده و از ایجاد حساب کاربری توسط ربات ها جلوگیری کنید.( سربرگ ثبت نام ظرف عسل)
بخش امنیت پایگاه داده
دیتابیس از مهم ترین بخش های یک سایت وردپرسی است که باید به خوبی محافظت شود چرا که یکی از اهداف هکرهاست که با ارسال کدهای مخرب توسط آن ها موردحمله قرار می گیرد. در این بخش این افزونه امنیتی ، امکان مدیریت و افزایش امنیت دیتابیس برای شما فراهم شده است.
پیشوند جدول پایگاه داده که توسط WordPress در پایگاه دادهی شما استفاده میشود را می توانید تغییر دهید همچنین امکان تهیه نسخه پشتیبان به صورت خودکار و یا به صورت دستی وجود دارد (پیشنهاد می شود به جای پشتیبان گیری در این قسمت از راههای پشتیبانگیری اختصاصی وردپرس استفاده کنید)
بخش امنیت فایل های سیستم
در سایت شما فایلهای متفاوتی با سطوح دسترسی مختلفی وجود دارند. امن نگه داشتن این سطوح دسترسی بسیار مهم است در سایت شما وجود دارند. این قسمت از افزونه All In One Wp Security به شما کمک میکند فایلهایی که سطح دسترسی ناامنی دارند را شناسایی کنید. این قسمت نیز از چند سربرگ تشکیل شده است:
مجوزهای فایل: این ویژگی فایلها و پوشههای مهم هسته وردپرس را اسکن می کندو هر تنظیماتی که براساس استاندارها و مجوزهای افزونه نا امن باشد مشخص می کند.
ویرایش فایل PHP : همانطور که می دانید مدیران سایت در پیشخوان وردپرس می توانند فایلهای PHP مانند فایلهای پوسته ها و افزونه ها را ویرایش کنند، این تب امکان ویرایش فایل های PHP از طریق پیشخوان وردپرس را غیرفعال می کند.
دسترسی به فایل های وردپرس: امکان جلوگیری از دسترسی به فایلهایی مانند readme.html ، license.txt و wp-config-sample.php را فراهم می کند. با این کار اطلاعات اساسی را از چشم هکرها پنهان می کنید.
گزارش های سیستم هاست: ممکن است سیستم هاست شما گزارشهای خطا یا هشدار در قالب فایل “error_log” تولید می کند.با دیدن گاه به گاه درونمایه این فایلهای گزارش، شما می توانید از همه مشکلات پنهان سیستم آگاه شوید.
بخش مدیریت فهرست سیاه
این بخش این امکان را به شما می دهد تا یک آی پی مشخص یا یک رنج آی پی را مسدود کنید و این آی پی ها را در این قسمت وارد کنید.
بخش فایروال در افزونه All In One Wp Security
در بخش معرفی افزونه All In One Wp Security ویژگی های فایروال را به خوبی شرح دادیم . در این بخش می توان قوانین امنیتی دیوار آتش (فایروال) را فعال نمود که از طریق وارد کردن کدهای ویژه در فایل htaccess. شما ایجاد می شود.به همین دلیل باید قبل از فعال کردن فایروال از دیتابیس و فایل htaccess. خود بکاپ بگیرید.
برای ایجاد کردن یک دیوار آتش قوی پیشنهاد می شود تمامی قسمتهای این بخش را فعالسازی کنید.
بخش تنظیمات بروت فورث (Brute Force)
مهم ترین بخش افزونه All In One Wp Security می باشد که میتوانید تنظیمات صفحهی ورود به سیستم را پیکربندی کنید ، این بخش مربوط به حملات Brute Force می باشد که هکرها معمولا از این راه اقدام به تخریب سایت می نمایند.از چند سربرگ تشکیل شده است:
Rename login page: آدرس صفحه ورود به پیشخوان وردپرس به صورت پیش فرض yoursite.com/wp- login یا yoursite.com/wp-admin است که اولین قدم برای جلوگیری از حملات Brute Force ویرایش صفحه ورود است. با انجام این کار، رباتهای مخرب و هکرها قادر به دسترسی به صفحه ورود شما نخواهند بود.
جلوگیری از بروت فورث براساس کوکی: این روش شبیه به ” تغییر نام صفحه ورود به سیستم ” است، از آنجایی که هر دو روش «تغییر نام صفحه ورود به سیستم» و ” جلوگیری از بروت فورث براساس کوکی ” آدرس صفحه ورود را تغییر میدهند، بهتر است هر بار از یکی از این روشها در سایت خود استفاده کنید.
تیک حفاظت در مقابل حمله Brute Force را زده و سپس در قسمت secret word کلمه ای را وارد کنید که قابل حدس نباشد.
login CAPTCHA: یک کد کپچا به صفحه لاگین اضافه می کند که می توان این کد امنیتی را در صفحه ورود پیشفرض ، فرم درخواست رمز عبور گم شده، فرم های مورد استفاده در سایتی که از تابع وردپرس استفاده می کند، فرم لاگین ووکامرس و…… فعال کنید.
Login whitelist: در لیست سفید افزونه All In One Wp Security می توان مشخص کرد فقط تعداد مشخصی آی پی اجازه دسترسی به صفحه لاگین را داشته باشند.
گلدان عسل: یک فیلد مخفی به صفحه ورود اضافه می نماید که تنها توسط ربات ها قابل مشاهده است. این کار برای شناسایی ربات ها و مسدود کردن آی پی آنها کاربردی است.
بخش جلوگیری از ورود اسپم (Spam Prevention)
برای جلوگیری از این اتفاق می توان در فرم دیدگاه ها کد امنیتی CAPTCHA اضافه نمود
بنابراین کسی که در سایت شما نظر دهد، قبل از ارسال نظر باید کد کپچا را بهدرستی وارد کند، در غیر اینصورت، ربات اسپم شناخته شده و مسدود خواهد شد. (سربرگ Comment Spam) . همچنین می توانید در اینجا میتوانید حداقل تعداد نظرات اسپم را پیش از مسدودیت دائم تنظیم کنید.(سربرگ Comment Spam IP monitoring )
الیته پیشنهاد ما برای جلوگیری از هرزنامه استفاده از افزونه اکیسمت است.
بخش اسکنر افزونه All In One Wp Security
این بخش فایلهای وردپرس را اسکن کرده و در صورت مشاهده تغییرات در آن تذکر می دهد. امکان اسکن دستی و یا خودکار فایل های مهم و حیاتی وردپرس وجود دارد.
بخش حالت تعمیر
ممکن است بخواهید سایت خود را بررسی کرده و یا یا تعمیراتی روی آن انجام دهید و در این بازه زمانی تمایلی نداشته باشید که سایت توسط کاربران مشاهده گردد این ویژگی به شما اجازه می “حالت تعمیر” قرار دهید. در این حالت تنها مدیران قادر به دیدن سایت هستند.
جلوگیری از کپی شدن محتوای سایت با افزونه All In One Wp Security
در این قسمت در سربرگ حفاظت از کپی می توانید با غیر فعال کردن قابلیت انتخاب و کپی متن، از کپی کردن محتوای سایت خود جلوگیری کنید. با فعال کردن سربرگ فریمها، از نمایش هر یک از مطالب یا عکس یا فیلم خود را از طریق یک قاب و یا iframe در سایت های دیگر جلوگیری می کنید. با فعال کردن بخش شمارش کاربران، کاربران خارجی یا رباتها را از دریافت اطلاعات کاربر محدود کنید.
کلام آخر
در این مقاله به طور کامل به آموزش افزونه All In One Wp Security پرداختیم، با طی کردن مراحل گفته شده گام بزرگی در جهت ایمن سازی وب سایت وردپرسی خود برمی دارید. نکته پراهمیت این است ویژگی هایی از این افزونه را فعال کنید که بدان نیاز دارید.
خیلی خوب بود. دستتون دردنکنه. تنها محتوایی بود که نیازمو برطرف کرد. میخواسم 5 ستاره بدم زدم روی یدونه دیگه تغییر نکرد. 😅
خواهش می کنم