آیا میدانید که چرا متخصصان امنیت وردپرس توصیه میکنند افزونه All In One Security را حتما روی وردپرس خود نصب داشته باشید؟ امنیت وردپرس یکی از مهمترین موضوعاتی است که ذهن مدیران وب سایتهای وردپرسی را به خود مشغول کرده است؛ چرا که در صورت هک شدن، اعتبار آنها یک شبه از بین میرود و خساراتی جبران ناپذیر به بار میآید. به طور کلی میتوان گفت که وردپرس یک پلتفرم امن است، چرا که همواره توسط متخصصان بسیاری بازبینی میشود و در نسخههای جدید، اشکالات آن رفع میشود. اما سوال اینجاست که چرا هنوز هم سایتهای وردپرسی بسیاری مورد حمله و نفوذ قرار میگیرند؟
متخصصان وردپرس بر این باور هستند که وردپرس به خودی خود مشکلی ندارد و مدیران سایتهای وردپرسی با رعایت نکاتی ساده و نصب و پیکربندی یک افزونه امنیت وردپرس همچون All In One Security، میتوانند امنیت سایت خود را تا حد زیادی افزایش داده و مانع از نفوذ رباتها و افراد ناشناس شوند.
افزونه امنیت وردپرس All in One Security یک افزونه امنیتی جامع و رایگان میباشد که طیف گستردهای از ویژگیها از جمله فایروال داخلی، محافظت Brute Force و سیستم امتیازدهی امنیتی را در اختیار شما قرار میدهد. All in One Security یک راهکار کامل و یک روش عالی برای ارتقاء امنیت وردپرس شما است. در ادامه شما را با نحوهی نصب و پیکربندی این افزونه آشنا میکنیم، با ما همراه باشید.
آموزش افزونه All in One Security
ابتدا وارد داشبورد وردپرس خود شوید و بر روی Add New Plugins کلیک کنید.
در بخش جستجو، "All in One Security" را وارد کنید. سپس این افزونه را نصب (Install Now) و فعالسازی (Activate) کنید.
در منوی سمت چپ بر روی "WP Security" کلیک کنید.
اکنون که افزونه نصب شده است، تنظیمات قسمتهای مختلف این افزونه را بررسی میکنیم. توصیه میشود که تا پایان روند، اجازهی دسترسی به فایل htaccess. را بدهید زیرا در غیر اینصورت، برخی از قوانین فایروال را نمیتوان تنظیم کرد.
با اجرای قوانین امنیتی در هر بخش، امتیاز امنیتی شما در داشبورد افزایش مییابد. در ضمن، ممکن است انجام همهی کارها ممکن نباشد؛ زیرا همهی میزبانان وب به شما امکان دسترسی کامل به محیط سرور خود را نمیدهند.
نکته: توصیه میکنیم مقالهی جامع "آموزش افزایش امنیت وردپرس" را برای آشنایی با سایر روشهایی که برای ایمنتر ساختن وردپرس استفاده میشود، از دست ندهید.
امنیت حساب کاربری
برای تنظیم امنیت حساب کاربری، روی "User Accounts" در سمت چپ کلیک کنید. در این صفحه 3 تب وجود دارد که عبارتند از: "WP Username"، "Display Name" و "Password".
این افزونه در تب "WP Username" بررسی میکند که آیا نام کاربری مدیر را به طور پیش فرض "admin" (یا "مدیر") تنظیم کردهاید یا خیر. داشتن یک کاربر با نام کاربری "admin" امنیت شما را به خطر میاندازد.
این افزونه در تب "Display Name" بررسی میکند که آیا نام نمایشی هر کاربر هنگام ارسال پست با نام کاربری وی یکسان است یا خیر. در صورتی که چنین باشد، باعث ایجاد ناامنی در وب سایت میشود زیرا به مهاجمان اجازه میدهد تا رمز عبور آنها را حدس بزنند.
تب "Password"، قدرت و استحکام رمزهای عبور را ارزیابی میکند.
جهت دانلود نسخه پریمیوم افزونه All In One Security ، اینجا کلیک کنید.
ورود کاربر
گزینهی User Login در منو به شما امکان دسترسی به 5 تب مختلف را میدهد. تنظیمات امنیتی تبهای "Login Lockdown" و "Force Logout" باید پیکربندی شوند. 3 تب دیگر نیز حاوی گزارشات و اطلاعات مربوط به ورود به سیستم هستند.
تب "Login Lockdown" به شما امکان میدهد برای ورود به سیستم محدودیت تعیین کنید. قوانینی که میتوانید در اینجا تنظیم کنید، از سایت وردپرس شما در برابر تلاشهای بروت فورس برای ورود به سیستم محافظت میکند. قوانین پیش فرض افزونه در این بخش، برای جلوگیری از دسترسی رباتها به پنل مدیریت شما کافی هستند. "Enable Login Lockdown Feature" را علامت بزنید و بر روی "Save Settings" کلیک کنید.
تب "Force Logout" به شما امکان میدهد سایت وردپرس خود را بهگونهای تنظیم کنید که پس از مدت زمان مشخصی، بهطور خودکار کاربر را از سیستم خارج کند. این کار از حضور طولانی مدت کاربران در سایت، به خصوص اگر مشکوک باشند، جلوگیری میکند. برای فعال کردن این ویژگی روی چکباکس "Enable Force WP User Logout" و سپس "Save Settings" کلیک کنید.
ثبت نام کاربر
گزینهی "User Registration" در منوی سمت چپ، دارای سه تب مختلف است. "Manual Approval"، "Registration Captcha" و "Registration Honeypot". این تب عمدتا برای سایتهایی است که امکان ثبت نام کاربر در آنها وجود دارد. اگر سایت شما اینگونه نیست، نیازی به پیکربندی تنظیمات موجود در این بخش ندارید.
تب "Manual Approval" جایی است که میتوانید تمامی ثبت نامهای کاربران را مجبور کنید تا به صورت دستی تأیید شوند. این نوع تائید، امنتر از ثبت نام خودکار است زیرا از ایجاد حساب توسط رباتها جلوگیری میکند. روی چکباکس "Enable manual approval of new registrations" و سپس "Save Settings" کلیک کنید.
تب "Registration Captcha" به شما امکان میدهد تا در صفحهی ثبت نام کاربر، کد کپچا قرار دهید. این کار، یک لایهی امنیتی دیگر برای جلوگیری از ثبت نام رباتها، به سایت شما اضافه میکند. روی چکباکس "Enable Captcha On Registration Page" و سپس "Save Settings" کلیک کنید.
تب "Registration Honeypot" به شما امکان میدهد چندین قسمت ورودی مخفی را به صفحهی ثبت نام خود اضافه کنید که فقط رباتها بتوانند آنها را ببینند و پر کنند. این کار به شما امکان میدهد رباتها را شناسایی کرده و از ایجاد حساب کاربری برای آنها جلوگیری کنید. روی چکباکس "Enable Honeypot On Registration Page" و سپس "Save Settings" کلیک کنید.
امنیت پایگاه داده
گزینهی Database Security menu در سمت چپ دارای دو تب "DB Prefix" و "DB Backup" میباشد.
قبل از استفاده از تب "DB Prefix"، باید بر روی تب "DB Backup" کلیک کنید تا قبل از انجام تغییرات بیشتر، از پایگاه دادهی خود نسخهی پشتیبان یا بکآپ تهیه کنید. سپس بر روی "Create DB Backup Now" برای ایجاد نسخهی پشتیبان فوری و "Enable Automated Scheduled Backups" کلیک کنید. شما میتوانید برنامهی زمانی دلخواه خود را برای تهیهی نسخههای پشتیبان تنظیم کنید اما ما پیشنهاد میکنیم که تا حد ممکن هر چه بیشتر این کار را انجام دهید. پس از اتمام، بر روی "Save Settings" کلیک کنید.
اکنون تب "DB Prefix" را باز کنید. در اینجا میتوانید پیشوند جدول پایگاه داده که توسط WordPress در پایگاه دادهی شما استفاده میشود را تغییر دهید. تغییر پیشوند جدول پایگاه داده باعث افزایش امنیت وب سایت میشود زیرا هدف قرار دادن آن از طریق حملات تزریق SQL توسط هکرها دشوارتر میشود. برای استفاده از این ویژگی، چک باکس تأیید "Generate New DB Table Prefix" را علامت بزنید (یا یک پیشوند وارد کنید) و سپس بر روی "Change DB Prefix" کلیک کنید.
مدیر لیست سیاه
در گزینهی "Blacklist Manager" موجود در منوی سمت چپ، میتوانید لیستهای سیاه IP یا User Agent را تنظیم کنید. روی چکباکس "Enable IP or User Agent Blacklisting" و سپس روی "Save Settings" کلیک کنید. برای افزودن آدرسهای IP که میخواهید مسدود کنید، باید از این قسمت تب استفاده کنید.
بروت فورس
در گزینهی "Brute Force" موجود در منوی سمت چپ، میتوانید تنظیمات صفحهی ورود به سیستم را پیکربندی کنید. 5 تب در این صفحه وجود دارد. بهطور پیش فرض توصیه میکنیم تبهای "Rename Login Page" و "Login Honeypot" را تنظیم کنید. توجه داشته باشید که گزینههای موجود در تبهای "Cookie based Brute Force Prevention" ،"Login Captcha" و "Login Whitelist" باید بهصورت انتخابی مورد استفاده قرار گیرند؛ زیرا برخی از آنها برای پلتفرمهای خاص مانند WooCommerce هستند یا در صورت استفادهی نادرست میتوانند مانع از دسترسی شما به پنل مدیریتتان شوند.
در تب "Rename Login Page" چکباکس "Enable Rename Login Page Feature" را علامت بزنید و سپس URL جدید صفحهی ورود را وارد کنید و در نهایت بر روی " Save Settings" کلیک کنید. تغییر URL ورود به سیستم، نسبت به استفاده از آدرس پیش فرض، ایمنتر است زیرا اکثر رباتها نمیدانند از کجا باید وارد سیستم شوند.
نکته: مسیر ورود جدید را به خاطر بسپارید.
در تب "Honeypot" چکباکس "Enable Honeypot On Login Page" را علامت بزنید و روی "Save Settings" کلیک کنید. honeypot فیلدهای جعلی ورودی ایجاد میکند که فقط یک ربات میتواند آنها را پر کند. اگر صفحهی ورود به سیستم از این فیلدهای ورودی دریافت کند، وردپرس متوجه حضور ربات میشود و او را نادیده میگیرد.
پیشگیری از هرزنامه (اسپم)
برای افزایش امنیت وردپرس با فیلتر کردن comment spam، از گزینهی "SPAM Prevention" در سمت چپ استفاده کنید. در اینجا چند تب مختلف وجود دارد که شما در درجهی اول به "Comment Spam" و "Comment SPAM IP Monitoring" نیاز دارید. تبهای "BBPress" و "BuddyPress" نیز تنها در صورت استفاده از این افزونهها، باید تنظیم شوند.
در تب "Comment SPAM" هر دو چکباکس را علامت بزنید و روی "Save Settings" کلیک کنید. اگر کسی در سایت شما نظر دهد، قبل از ارسال نظر باید کد کپچا را بهدرستی وارد کند، در غیر اینصورت، ربات اسپم شناخته شده و مسدود میشود.
اکنون در تب "Comment SPAM IP Monitoring" گزینهی "Enable Auto Block of SPAM Comment IPs" را علامت بزنید، سپس روی "Save Settings" کلیک کنید. در اینجا میتوانید حداقل تعداد نظرات اسپم را پیش از مسدودیت دائم تنظیم کنید.
اسکنر
اگر روی گزینهی Scanner در منوی سمت چپ کلیک کنید، به اسکنر بدافزار All in One منتقل میشوید. از اینجا میتوانید اسکن دستی انجام دهید و سیستم خود را طوری تنظیم کنید که از فایلهای اصلی WordPress اسکن خودکار دورهای انجام دهد.
"Enable Automated File Change Detection Scan" را علامت بزنید و سپس بر روی " Save Settings" کلیک کنید.
با کلیک بر روی "Perform Scan Now" میتوانید اسکن دستی انجام دهید.
فایروال
گزینهی "Firewall" در منوی سمت چپ دارای تعدادی ویژگی است که میتوانید بهطور پیش فرض از آنها استفاده کنید. هر تب در این بخش گزینههایی دارد که میتوانید آنها را خارج از تب "Custom Rules" پیکربندی کنید. توجه داشته باشید که افزونهی All in One نمیتواند قوانین فایروال را بدون دسترسی نوشتن در فایل htaccess. موجود در فولدر وردپرس پیکربندی کند.
در تب "Basic Firewall Rules" سه چکباکس وجود دارد که باید علامت بزنید. ابتدا "Enable Basic Firewall Protection" را علامت بزنید. با این کار فایروال اصلی روشن میشود و از دسترسی به چند قسمت از سیستم فایل وردپرس جلوگیری میکند.
سپس "Disable Pingback Functionality From XMLRPC" را علامت بزنید، زیرا برخی از افزونهها به قابلیت XMLRPC نیاز دارند و توصیه نمیشود دسترسی به این مورد را به طور کامل مسدود کنید. گزینهی "Block Access to debug.log File" را علامت بزنید و سپس بر روی "Save Settings" کلیک کنید.
در تب "Additional Firewall Rules" باید تیک تمام گزینههای موجود را بزنید و سپس روی دکمهی "Save Additional Firewall Settings" در پایین کلیک کنید.
در تب "6G Blacklist Firewall Rules" باید هر دو گزینهی "Enable 6G Firewall Protection" و "Enable legacy 5G Firewall Protection" را علامت بزنید تا لیستهای سیاه وردپرس را از سایت perishablepress.com به فایروال خود اضافه کنید. پس از اتمام، بر روی "Save 5G/6G Firewall Settings" کلیک کنید.
در تب "Internet Bots" چکباکس "Block Fake Googlebots" را انتخاب کرده و بر روی دکمهی "Save Internet Bot Settings" در پایین کلیک کنید.
با کمک تنظیمات تب "Prevent Hotlinking" میتوانید از هاتلینکهای سایتهای دیگر به تصاویر میزبانی شدهی خود جلوگیری کنید. این کار هم محتوا و هم پهنای باند شما را حفظ میکند. چکباکس "Prevent Image Hotlinking" را انتخاب کرده و بر روی "Save Settings" کلیک کنید.
در تب "404 Detection" میتوانید افزونه All In One Security را بهگونهای تنظیم کنید تا IPهایی که به دفعات بالا برای دسترسی به صفحات ناموجود در سایت شما تلاش میکنند را مسدود کند. گزینهی "Enable 404 IP Detection and Lockout" را علامت بزنید و سپس بر روی " Save Settings" کلیک کنید.
File System Security
آخرین بخشی که باید بررسی کنید، گزینهی "File System Security" در منوی سمت چپ است. در این قسمت تمام بخشهای مهم وردپرس و مجوزهای فایل پیشنهادی ذکر شده است. اگر دکمهی "Set Recommended Permissions" موجود در کنار هر گزینه کار نکرد، برای این کار از برنامهی FTP یا chmod استفاده کنید.
سپس بر روی تب "WP File Access" و "Prevent Access to WP Default Install Files" و بعد بر روی "Save Settings" کلیک کنید. این کار از دسترسی به چند فایل که ممکن است اطلاعات نصب وردپرس را به مهاجم ارائه دهند، جلوگیری میکند.
پس از انجام تمامی این مراحل، گام قابل توجهی در جهت ایمن سازی وب سایت وردپرسی خود برداشتهاید. شما باید همواره از وب سایت خود نسخههای پشتیبان تهیه کنید، به طور مرتب تمامی افزونههای خود را بهروز کنید و همچنین به هشدارها و هر چیزی که اسکن بدافزار این افزونه برای شما ارسال میکند، توجه کنید. ما در این مقاله از همهی ویژگیهای این افزونه استفاده نکردیم و تنها از تنظیماتی استفاده کردیم که با اکثر قالبها و افزونهها سازگار هستند. اکنون اگر به داشبورد بروید باید نمرهی امنیتی را به رنگ سبز مشاهده کنید:
جمع بندی:
امنیت وردپرس با توجه به استفادهی بالا و محبوبیت فراوان این پلتفرم، روز به روز اهمیت بیشتری پیدا میکند. ما در این مقاله به نحوهی پیکربندی افزونه All In One Security پرداختیم. شما تنها با انجام تنظیمات این افزونه میتوانید لایههای امنیتی قدرتمندی را به وب سایت خود اضافه کنید. اگر تمایل دارید با سایر افزونههای امنیتی وردپرس نیز آشنا شوید، مقالهی آشنایی با بهترین افزونههای امنیتی وردپرس را به شما توصیه میکنیم.
تجربهی شما از کار با افزونههای امنیتی وردپرس چیست و کدام یک را ترجیح میدهید؟ خوشحال میشویم نظرات خود را با ما و سایر کاربران در میان بگذارید.
اگر به یادگیری بیشتر در زمینهی وردپرس علاقه داری، شرکت در دوره پلاگین نویسی وردپرس را پیشنهاد میکنیم، با شرکت در این دوره، در کمتر از یکسال به یک متخصص وردپرس همه فن حریف تبدیل میشوی که آماده استخدام، دریافت پروژه و پیادهسازی قالب و پلاگینهای وردپرسی هستی.
به نظرم نصب نکنید دوتا از سایتامو از دست دادم . کلی توی زحمت افتادم . سرعت سایتم ارومد پایین و....
حداقل اگه نصب میکنید همه گزینه هاش فعال نکنید . یکی دوتاش که مهمه مثل تعداد دفعات وارد کردن رمز فقط فعال کنید یا تغییر ادرس ورود به سایت
نازنین کریمی مقدم۲۱ خرداد ۱۴۰۲، ۰۵:۰۸
درود
بله بنده هم با نظرتون موافقم. برقرار باشید
۱۶ اردیبهشت ۱۴۰۲، ۱۱:۳۳
سلام.خسته نباشید من یک قالب جدید واسه وردپرس نصب کردم وقتی سایتمو بارگذاری میکنم این آدرس unpkg.com میاد. این باعث میشه سایت من خیلی کند بارگذاری بشه.اونو چطوری از قالب حذفش کنم اصلا نتونستم پیداش کنم پس کجای هاست یا قالب قرار داره؟
نازنین کریمی مقدم۱۷ اردیبهشت ۱۴۰۲، ۱۰:۰۷
درود
کامنتتون رو تایید کردم تا اگر کسی تونست کمک تون کنه اما در کل معمولا در این موارد بهتر هست کلا از اون قالب استفاده نکنید.
۳۱ فروردین ۱۴۰۲، ۰۵:۰۸
سلام. من خیلی وقته از این افزونه استفاده میکنم اما تازگیا یک خطا میده و منم نمیدونم چی هست. اینم خطا:( افزونه یک تغییر در فایلهای هاست شما شناسایی کرده است.)
اینم بگم همه جای افزونه حتی قسمت اسکن را هم تست کردم اما نشون نداد کدام فایل در هاست تغییر کرده. چند روزی هست این پیغام هنوز نمایش داده میشه. به نظر شما من از کجا بفهمم در کدام قسمت از هاست، فایل تغییر کرده؟ممنون میشم راهنمایی بفرمایید
نازنین کریمی مقدم۰۴ اردیبهشت ۱۴۰۲، ۱۷:۳۵
درود
میتونید افزونه wordfence رو نصب کنید اگر مشکل امنیتی باشه بهتون محل دقیقشو نشون میده.
مهشاد رضاپور۱۰ مرداد ۱۴۰۰، ۰۷:۵۶
سلام. ممنون از مطلب مفیدتون. من با استفاده از این افزونه، نام نویسی کاربران رو به صورت دستی تنظیم کردم و هر کس ثبت نام کنه، باید دستی تاییدش کنم. اما برای این کار باید مرتب چک کنم کسی ثبت نام کرده یا نه که تایید یا رد کنم و اعلان یا نوتیفیکیشنی برام نمیاد. برای اینکه با ثبت نام هر کس یه نوتیف برام بیاد حالا یا توی همون وردپرس (مثل وقتی که کسی دیدگاه مینویسه) یا به صورت پیامک و ایمیل … چطور میتونم این کار رو انجام بدم؟