معرفی افزونه All In One WP Security & Firewall

All In One WP Security & Firewall یک افزونه آنتی ویروس برای وردپرس است که توسط Tips and Tricks HQ توسعه یافته است.این افزونه به خوبی مستند شده است، از 8 زبان پشتیبانی می کند و دارای پشتیبانی فعال است که به طور مداوم روی بهبود نرم افزار کار می کند.برای مبتدیان و توسعه دهندگان وردپرس ساخته شده است تنظیمات فایروال به پایه، متوسط و پیشرفته دسته بندی می شوند.ویژگی های امنیتی به درستی در صفحات و برگه ها سازماندهی شده اند و راهنماهای مکتوب برای هر ویژگی نیز ارائه شده است.

این افزونه در وب سایت شما فایل ها و پایگاه داده را اسکن می کند تا آسیب پذیری ها و نقض های امنیتی احتمالی را بررسی کند.جدیدترین روش های توصیه شده امنیتی وردپرس را برای محافظت از سایت شما در برابر انواع قدیمی و جدید حملات وب پیاده سازی می کند.کاملا رایگان است و هر کاربری می تواند آن را دانلود کرده و استفاده کند.امنیت حساب کاربری در بخش های ورود کاربر، ثبت نام کاربر بسیار بالا است.امنیت پایگاه داده و امنیت سیستم فایل برای محافظت از فایل های شما در برابر دسترسی و به روز رسانی مکرر برای ارائه خدمات خوب برای کاربران از مزیت های استفاده از این افزونه است.

نکاتی قبل از نصب و راه اندازی افزونه All In One WP Security & Firewall

این یک یادآوری است که قرار نیست همه ویژگی‌های All In One WP Security & Firewall توسط کسی فعال شود. هر یک از ویژگی های موجود در اینجا کاربرد و هدف خاص خود را دارد. برخی ممکن است با نیاز شما مطابقت داشته باشند و برخی ممکن است نه. توجه داشته باشید که برخی از افزونه هایی که استفاده می کنید ممکن است هنگام فعال/غیرفعال کردن گزینه های امنیتی رفتار متفاوتی داشته باشند. اکیداً پیشنهاد می کنیم قبل از راه اندازی All In One WP Security & Firewall ابتدا از فایل های سایت وردپرس، پایگاه داده و htaccess خود نسخه پشتیبان تهیه کنید.

آموزش نصب افزونه All In One WP Security & Firewall

All In One WP Security & Firewall را نصب و فعال کنید.
از نوار کناری سمت چپ داشبورد وردپرس خود، ماوس خود را روی تب افزونه ها ببرید و روی افزودن جدید کلیک کنید. “All In One WP Security & Firewall” را جستجو کنید، از نتایج جستجو باید این افزونه را توسط Tips and Tricks HQ, Peter Petreski, Ruhul, Ivy مشاهده کنید. روی دکمه Install Now کلیک کنید.
پس از نصب افزونه را فعال کنید. تب WP Security باید اکنون از نوار کناری پنل مدیریت شما قابل مشاهده باشد. همچنین می توانید All In One WP Security & Firewall را دانلود کنید و به صورت دستی all-in-one-wp-security-and-firewall.zip را در فهرست /wp-content/plugins خود آپلود و استخراج کنید. پس از استخراج فایل فشرده افزونه را فعال کنید.
پلاگین All In One WP Security & Firewall را راه اندازی کنید.

بخش داشبورد

از داشبورد وردپرس خود، به تب WP Security بروید. باید داشبورد خود را مشابه این ببینید.ماوس خود را روی تب WP Security ببرید و روی داشبورد کلیک کنید.از داشبورد All In One WP Security & Firewall، یک ویجت Security Strength Meter به نظر می رسد مانند یک متر سنج مشاهده خواهید کرد. این به سادگی میزان امنیت سایت شما را اندازه گیری می کند. در حال حاضر بالاترین امتیاز قابل دستیابی 515 امتیاز است. ممکن است بپرسید این افزونه چگونه امتیاز امنیتی را محاسبه می کند خوب این افزونه قبل از اینکه بگوید سایت شما ایمن است یا خیر، متغیرهای زیادی را در نظر می گیرد. با فعال کردن Login Lockdown، Registration Captcha، Basic Firewall، Blacklist 5G/6G، Block Spambots و بسیاری موارد دیگر از تنظیمات امنیتی، می توانید امتیاز امنیتی دریافت کنید.

همچنین باید به ویجت وضعیت ویژگی بحرانی توجه کنید. بعداً برای دستیابی به حداقل سطح ایمنی توصیه شده، ویژگی‌های حیاتی را فعال خواهیم کرد. نام کاربری Admin را تغییر می‌دهیم، Login Lockdown را فعال می‌کنیم، مجوز فایل را تغییر می‌دهیم، و Basic Firewall را فعال می‌کنیم.ویجت تفکیک نقاط امنیتی به شما همه امنیت فعال در نمودار دونات را نشان می دهد. ماوس خود را روی یک امنیت خاص از نمودار نگه دارید تا ببینید چند امتیاز امنیتی به متر قدرت امنیتی شما اضافه می کند.

تب اطلاعات سیستم

تب System Info جزئیات فنی درباره All In One WP Security & Firewall، وردپرس، افزونه‌هایی که استفاده می‌کنید، PHP، پایگاه داده MySQL و میزبان شما را نشان می‌دهد.

تب آدرس های IP قفل شده

تب آدرس‌های IP قفل‌شده، تمام آدرس‌های IP مسدود شده موقت را فهرست می‌کند. تلاش‌های ناموفق برای ورود ممکن است باعث شود که آدرس IP در صورتی که از حداکثر تلاش‌های مجدد برای ورود بیشتر شود، قفل شود. این یک راه حل موثر برای جلوگیری از حمله brute force است. بعداً سعی خواهیم کرد ویژگی Login Lockdown را تنظیم کنیم.

تب لیست بلوک دائمی

تب لیست بلوک دائمی تمام آدرس های IP اضافه شده از طریق گزینه ویژگی جلوگیری از هرزنامه را نشان می دهد. اگر یک آدرس IP بیش از تعداد معینی از نظرات برچسب‌گذاری شده به عنوان هرزنامه باشد، ممکن است برای همیشه مسدود شود.

تب سیاه های مربوط به AIOWPS

برای نمایش گزارش‌های افزونه All In One WP Security & Firewall، به تب گزارش‌های AIOWPS بروید. فایل گزارش را برای مشاهده انتخاب کنید بین wp-security-log و wp-security-log-cron-job انتخاب کنید و روی دکمه View Logs کلیک کنید. این یک ویژگی مفید برای تجزیه و تحلیل رویدادهایی است که در سایت وردپرس شما رخ می دهد.

بخش تنظیمات

تب تنظیمات عمومی

برخی از افزونه های شما ممکن است هنگام فعال کردن ویژگی های امنیتی باعث اختلال در عملکرد شوند. می‌توانید با رفتن به تب تنظیمات عمومی بخش غیرفعال کردن ویژگی‌های امنیتی و کلیک کردن روی دکمه غیرفعال کردن همه ویژگی‌های امنیتی، همه گزینه‌های امنیتی را غیرفعال کنید.از قسمت Disable All Firewall Rules، با یک کلیک، می توانید تمام قوانین فایروال مانند Basic Firewall Protection، WordPress XMLRPC و حفاظت از آسیب پذیری Pingback، 5G/6G Firewall Protection و موارد دیگر را غیرفعال کنید.

نیازی نیست هر تب را مرور کنید فقط برای غیرفعال کردن تمام گزینه های امنیتی هنگام اشکال زدایی با یک کلیک، می‌توانید تمام گزینه‌های امنیتی یا قوانین فایروال را غیرفعال کنید تا بررسی کنید که آیا تداخلی بین این افزونه امنیتی و افزونه های دیگری که استفاده می‌کنید وجود دارد یا نه.همچنین می توانید اشکال زدایی را برای این افزونه فعال کنید. هنگامی که اشکال زدایی را از قسمت تنظیمات اشکال زدایی فعال می کنید، تمام رویدادهایی که با این افزونه اتفاق می افتد ثبت می شود. می توانید فایل لاگ اشکال زدایی خود را از پوشه plugins/all-in-one-wp-security-and-firewall/logs خود تجزیه و تحلیل کنید. این در هنگام اشکال زدایی یک مشکل بسیار مفید است.

تب فایل htaccess

فایل htaccess شما یک فایل پیکربندی است که توسط وب سرور شما — Apache استفاده می شود. پیکربندی پیش فرض آپاچی را تغییر می دهد. این نوع فایل مخفی است و در دایرکتوری ریشه پوشه پروژه شما قرار دارد.باید بدانیم که All In One WP Security & Firewall به سادگی قوانینی را از فایل htaccess شما می نویسند. هنگامی که گزینه های امنیتی را فعال یا غیرفعال می کنید، به سادگی خطوط را از htaccess. شما اضافه، ویرایش یا حذف می کند. در واقع، شما می توانید به صورت دستی فایل htaccess خود را تغییر دهید تا ویژگی های امنیتی را فعال/غیرفعال کنید.

قبل از فعال یا غیرفعال کردن ویژگی‌های امنیتی، ابتدا باید از فایل htaccess. خود نسخه پشتیبان تهیه کنید. از تنظیمات، به تب htaccess. بروید. از بخش Save the current .htaccess file باید دکمه ای را مشاهده کنید که می گوید Backup .htaccess file. روی دکمه کلیک کنید تا فایل htaccess. خود را در دایرکتوری wp-content/aiowps_backups ذخیره کنید. فایل htaccess. خود را با استفاده از راه حل های FTP مانند FileZilla دانلود کنید.در صورتی که URL سایت شما بد رفتار کند، می توانید به راحتی فایل htaccess. پشتیبان گیری شده خود را بازیابی کنید تا مطمئن شوید که مشکلی در پیکربندی فعلی شما وجود دارد.

تب فایل wp-config.php

فایل wp-config.php شما پیکربندی پایه سایت وردپرس شما است. این شامل اطلاعات مهمی مانند جزئیات پایگاه داده شما و برخی تنظیمات MySQL است. می توانید فایل wp-config.php خود را از دایرکتوری ریشه پوشه سایت وردپرس خود پیدا کنید.از تب wp-config.php فایل، می‌توانید به راحتی پشتیبان‌گیری کنید مستقیماً از رایانه شما دانلود خواهد شد و فایل wp-config.php خود را بازیابی کنید.

تب اطلاعات نسخه WP

به طور پیش فرض ابرداده های سایت وردپرس شما را می توان به راحتی از ابزارهای توسعه دهنده مرورگر مشاهده کرد. سعی کنید ابزارهای توسعه دهنده را باز کنید اگر از Google Chrome استفاده می کنید Ctrl + Shift + J و WordPress یا jquery را جستجو کنید.داشتن جزئیات نسخه خاصی از فناوری که استفاده می کنید کمک بزرگی به هکرها برای تعیین آسیب پذیری ها و حفره های امنیتی سایت شما است.

تب Import/Export

با Export AIOWPS Settings، شما این فرصت را دارید که یک تنظیمات امنیتی استاندارد برای سایت وردپرس خود تنظیم کنید و آنها را به یک فایل صادر کنید. فایل صادر شده را می توان از هر سایت وردپرس دیگری وارد کرد. اگر می‌خواهید سایر تنظیمات یا تنظیمات قبلی را که تنظیم کرده‌اید بازیابی کنید، این ویژگی نیز مفید خواهد بود.به تب Import/Export بروید و روی دکمه Export AIOWPS Settings کلیک کنید تا تنظیمات فعلی All In One WP Security & Firewall صادر شود.

با استفاده از این افزونه می توانید تنظیمات All In One WP Security & Firewall را نیز وارد کنید. به قسمت Import AIOWPS Settings به پایین بروید. روی دکمه انتخاب فایل تنظیمات وارداتی کلیک کنید. فایل صادراتی خود را پیدا کرده و انتخاب کنید. پس از آپلود فایل روی دکمه ذخیره همه تغییرات کلیک کنید.

بخش حساب های کاربری

تب نام کاربری WP

این افزونه حساب های کاربری را که از نام کاربری عمومی admin استفاده می کنند، شناسایی می کند. استفاده از admin به عنوان نام کاربری ورود به سیستم یک حفره امنیتی بزرگ است که به هکرها این فرصت را می دهد تا حمله Brute Force Login را انجام دهند. هنگام ایجاد یک کاربر جدید، ایجاد یک نام امن تر کار خوبی است. ایمن کردن ورود کاربر یکی از مواردی است که ابتدا باید آن را انجام دهید.به طور پیش فرض وردپرس به شما اجازه نمی دهد نام کاربری خود را از صفحه نمایه خود تغییر دهید. بدون این افزونه، تنها راه تغییر نام کاربری در وردپرس از طریق پایگاه داده شماست.

برای دسترسی به پایگاه داده و تغییر نام کاربری خود می توانید از PHPMyAdmin استفاده کنید. گزینه دیگر استفاده از سرویس MySQL است که در آن باید به صورت دستی پایگاه داده خود را انتخاب کرده و درخواست UPDATE را اجرا کنید.با استفاده از All In One WP Security & Firewall، دیگر نیازی به تغییر نام کاربری به صورت دستی نداریم، زیرا تنظیمات حساب‌های کاربری را دارد. تنظیمات حساب‌های کاربری به شما امکان می‌دهد نام کاربری را مستقیماً از تب WP Username ویرایش کنید.

تب نام نمایشی

سایت شما نباید دارای حساب هایی با نام ورود و نام نمایشی یکسان باشد. هنگام ایجاد یک حساب کاربری جدید، وردپرس نام مستعار شما را نیز به عنوان ورود نام کاربری خود تنظیم می کند. بنابراین باید حساب هایی را با نام ورود و نام نمایشی یکسان تغییر دهید.

هکرها به راحتی حدس می زنند که نام مستعار شما به عنوان ورود نام کاربری شما نیز عمل می کند. آنها فقط بررسی می کنند که آیا نام مستعار شما از حروف با اعداد یا نویسه های خاص تشکیل شده است. شما نمی توانید نام مستعار خود را پنهان کنید زیرا در همه جا از بخش نظرات سایت شما برای هر پست وبلاگ وجود دارد. اگر یک هکر نام کاربری شما را داشته باشد، می تواند به سادگی یک حمله ورود به سیستم Brute Force را انجام دهد.شما باید جزئیات حساب کاربری خاصی را که دارای ورود و نام نمایشی یکسان است، به روز کنید. به Users، Your Profile بروید و به پایین بروید تا فیلد نام مستعار را ببینید. نام مستعار منحصربفردتری ارائه دهید و روی دکمه به‌روزرسانی نمایه کلیک کنید.

تب رمز عبور

هنگام ایجاد رمز عبور ایمن برای حساب خود نیازی به نگرانی نیست. در واقع وردپرس دارای یک تولید کننده رمز داخلی است. هنگام ایجاد یک حساب کاربری جدید، متوجه خواهید شد که قسمت رمز عبور قبلاً با یک رمز عبور امن پر شده است که به طور کامل ایجاد شده است.ممکن است بخواهید به تنهایی برای حساب خود رمز عبور ایجاد کنید. در اینجا راهنمای ایجاد رمز عبور ایمن تر است.باید رمز حداقل باید 10 کاراکتر باشد.باید ترکیبی از حروف کوچک و بزرگ، اعداد و کاراکترهای خاص باشد.بهتر است رمز عبور خود را حداقل هر سه ماه یکبار تغییر دهید.شما نباید از رمز عبور برای حساب های دیگر استفاده کنید اگر در مدیریت رمز عبور مشکل دارید، می توانید از نرم افزار مدیریت رمز عبور استفاده کنید.

برای تست امنیت رمز عبور خود، می توانید از ابزار All In One WP Security & Firewall Password Strength استفاده کنید. به تب Password رفته و از Password Strength Tool شروع به تایپ رمز عبور خود کنید. این ابزار محاسبه می کند که چقدر طول می کشد تا یک کامپیوتر رومیزی پیشرفته رمز عبور شما را بشکند.

بخش ورود کاربر

تب Login Lockdown

Login Lockdown یکی از ویژگی های مورد علاقه ما در All In One WP Security & Firewall است. این ویژگی به طور کامل حمله ورود به سیستم Brute Force را از لیست تهدیدات وب سایت حذف کرد. در واقع حمله Brute Force Login کاری است که اکثر هکرها برای هک کردن یک سایت محافظت شده با رمز عبور انجام می دهند. آنها از نرم افزاری استفاده می کنند که قادر است بارها و بارها وارد سیستم شوید تا زمانی که یکی از اعتبار حساب کاربری شما را حدس بزنند. Login Lockdown Configuration را برای مسدود کردن تمام آدرس‌های IP دستگاه‌هایی که مکرراً موفق به ورود به سیستم نشده‌اند، تنظیم کنید.

می توانید به این پیکربندی Login Lockdown مراجعه کنید.قبل از هر چیز دیگری گزینه Enable Login Lockdown را علامت بزنید.ما Allow Unlock Request را بدون علامت می گذاریم نمی خواهیم هیچ کاربری به تنهایی قفل خود را برای اهداف امنیتی باز کند.حداکثر تلاش برای ورود به سیستم مقادیر پیش فرض 3 است حداکثر تلاش برای ورود قبل از قفل شدن یک آدرس IP. پیشنهاد می کنیم مقدار را در اینجا بالاتر از 5 تنظیم نکنید..اگر یک آدرس IP نتواند 3 بار حداکثر تلاش برای ورود به سیستم برای این مدت کوتاه وارد شود، قفل موقت آدرس IP ممکن است رخ دهد. اگر یک آدرس IP قفل شود، سایت شما از ورود این آدرس IP برای این مدت زمان کوتاه جلوگیری می کند.

در صورت تمایل، می‌توانید پیام خطای عمومی نمایشگر را فعال کنید وقتی احراز هویت ناموفق بود، این مورد را از صفحه ورود خود مشاهده خواهید کرد.تنظیم ویژگی Login Lockdown خود را با فعال کردن Instantly Lockout Invalid names سخت تر کنید.همچنین می‌توانید با فعال کردن نام‌های کاربری خاص Instantly Lockout نام‌های کاربری را فهرست کنید که می‌خواهید فوراً قفل شوند. از قسمت متن، یک نام کاربری برای هر خط وارد کنید.فعال کردن Notify By Email روشی مؤثر برای اطلاع فوری در صورتی است که شخصی هنگام تلاش برای ورود به سیستم قفل شده است. ایمیلی را ارائه دهید که جزئیات قفل شده را دریافت می کند.

برای ذخیره تنظیمات Login Lockdown Options روی دکمه Save Settings کلیک کنید.برای مشاهده همه آدرس‌های IP قفل‌شده، به داشبورد All In One WP Security & Firewall بروید و ویجت آدرس‌های IP قفل شده را جستجو کنید. Login Lockdown آدرس های IP تنظیمات. به صورت اختیاری، می‌توانید Login Lockdown IP List White را فعال کنید. تمام آدرس‌های IP دستگاه‌های کاربر مورد اعتماد خود را فهرست کنید از ناحیه متن، یک آدرس IP برای هر خط وارد کنید. به یاد داشته باشید که آدرس های IP که در اینجا وارد می کنید هرگز توسط ویژگی Login Lockdown مسدود نمی شوند.

تب سوابق ورود ناموفق

تب سوابق ورود ناموفق اطلاعات مفیدی را ارائه می دهد که می تواند در مواقعی که به بررسی های امنیتی نیاز دارید استفاده شود. هر رکورد آدرس IP ورود به سیستم، شناسه کاربری، نام کاربری و تاریخ و زمان ورود ناموفق را نشان می دهد.می توانید با کلیک کردن روی دکمه صادرات به CSV، سوابق ورود ناموفق را به فایل CSV صادر کنید.همچنین می توانید با کلیک بر روی دکمه Delete All Failed Login Records تمام رکوردهای ورود ناموفق را حذف کنید.

تب Force Logout

اهمیت این ویژگی Force Logout را با یک سناریو مثال می زنیم. فرض کنید در یک کتابخانه هستید، از سایت خود وارد شده اید تا مقداری نوشتن انجام دهید. تشنه قهوه شدی و تصمیم گرفتی از غذاخوری یکی بخری. تقریباً 3-5 دقیقه طول می کشد تا بتوانید برگردید. در حالی که شما در اطراف نیستید، شخصی در لپ‌تاپ براق شما کنجکاو شده است، چند دکمه را فشار داده، داده‌های محرمانه سایت شما را دیده است..

هدف از ویژگی خروج اجباری، محدود کردن پنجره ای است که یک هکر باید در آن عمل کند تا کنترل سایت شما را در دست بگیرد. مطمئناً شما با انقضای این جلسه یا وقفه زمانی جلسه از هر سایت دیگری روبرو شده اید. این یک ویژگی امنیتی اساسی است که سایت شما باید برای جلوگیری از دسترسی غیرمجاز داشته باشد. اکثر مرورگرها از اتمام جلسه پشتیبانی می‌کنند و ویژگی خروج اجباری به شما امکان می‌دهد تا زمان کوتاهی را در جلسه خود تنظیم کنید.

از قسمت Force User Logout Options، تیک Enable Force WP User Logout را بزنید. تعداد دقیقه هایی را که کاربر مجبور به ورود مجدد می شود را مشخص کنید. توصیه می کنیم مقداری را بیشتر از 60 دقیقه تنظیم کنید. روی ذخیره تنظیمات کلیک کنید.

گزارش های فعالیت حساب

تب گزارش‌های فعالیت حساب نیز اطلاعات مفیدی را ارائه می‌دهد که می‌تواند در مواقعی که به بررسی‌های امنیتی نیاز دارید مفید باشد. هر رکورد شناسه کاربر، نام کاربری، تاریخ و زمان ورود و خروج و آدرس IP را نمایش می دهد.با کلیک کردن روی دکمه صادرات به CSV می‌توانید گزارش‌های فعالیت حساب را به فایل CSV صادر کنید.

بخش ثبت نام کاربر

تب تأیید دستی

با تأیید دستی ثبت نام هر کاربر می توانید ثبت نام جعلی را کاهش دهید یا کاملاً حذف کنید. از تب تأیید دستی، می توانید تأیید دستی ثبت نام های جدید را فعال کنید. این به طور خودکار تمام وضعیت حساب های تازه ثبت نام شده را در حالت تعلیق تنظیم می کند.از قسمت تایید کاربران ثبت نام شده می توانید مشخصات هر حساب کاربری تازه ثبت شده را بررسی کنید. هر مدیری از سایت شما می تواند آن کاربرانی که به تازگی ثبت نام کرده اند را در صورتی که جزئیات ثبت نام کننده مطلوب به نظر برسد، تأیید کند. برای تأیید حساب‌های تازه ثبت‌شده، سوابقی را که می‌خواهید تأیید کنید، از فیلد کشویی انبوه اقدامات تأیید را انتخاب کنید و دکمه اعمال را فشار دهید.

تب Captcha ثبت نام

یک ربات وب متوسط به اندازه کافی باهوش نیست که به فرم های Captcha با سوالات ریاضی پاسخ دهد. به همین دلیل است که قرار دادن فرم Captcha در صفحه ثبت نام یک روش رایج برای فیلتر کردن ربات ها از یک انسان واقعی است.از بخش تنظیمات Captcha صفحه ثبت، Captcha را از صفحه ثبت نام فعال کنید. این ویژگی یک فرم Captcha را در صفحه ثبت نام کاربر وردپرس اضافه می کند. روی دکمه ذخیره تنظیمات کلیک کنید تا این ویژگی اعمال شود.

ثبت نام Honeypot Tab

Honeypot همچنین یک تکنیک امنیتی بسیار خوب برای تشخیص اینکه آیا ثبت توسط یک انسان انجام شده است یا یک ربات است. مکانیسم Honeypot ساده است، یک فیلد مخفی از فرم ثبت نام شما اضافه می کند. میدان پنهان برای انسان قابل مشاهده نخواهد بود، فقط روبات ها می توانند آن را ببینند. روبات‌های وب معمولاً هر فیلد ورودی را که از یک فرم می‌بیند پر می‌کنند مطمئناً فیلد honeypot ما، تله ما را نیز پر می‌کند.

هنگامی که فرم ارسال می شود، این افزونه به راحتی متوجه می شود که ثبت نام توسط یک انسان انجام شده است یا فقط یک ربات اسپم. در صورت شناسایی ربات هرزنامه، این افزونه به آن اجازه ثبت نام و هدایت آن را به صفحه اصلی نمی دهد.از قسمت ثبت تنظیمات هانی پات، هانی پات را در صفحه ثبت نام فعال کنید و سپس روی دکمه ذخیره تنظیمات کلیک کنید تا این ویژگی اعمال شود. اکنون یک ویژگی امنیتی دیگر را از صفحه ثبت نام خود اضافه کرده اید.

بخش امنیت پایگاه داده

باید توجه داشته باشید که یک سایت وردپرس تقریبا تمام داده های خود را در پایگاه داده ذخیره می کند. پایگاه داده شما اطلاعاتی مانند صفحات و پست های شما، تمام محتوایی که نوشته اید، تنظیمات تم و حتی پیکربندی سایت شما را ذخیره می کند.هنگامی که جداول پایگاه داده خود را بررسی می کنید، متوجه خواهید شد که نام هر جدول دارای پیشوند wp_ است. میلیون‌ها کاربر از وردپرس استفاده می‌کنند و نمی‌دانند که همه آنها از یک مجموعه جداول ساختارها و حتی نام‌های یکسان استفاده می‌کنند. که به سادگی امن نیست.

این آسیب‌پذیری یکی از رایج‌ترین اهداف هکرها است. هکرها می توانند به راحتی سعی کنند SQL را به سایت شما تزریق کنند، پیکربندی سایت شما را از طریق پایگاه داده تغییر دهند و کاملاً کنترل سایت شما را در دست بگیرند. افرادی که در پشت All In One WP Security & Firewall هستند، قبلاً این نوع آسیب‌پذیری‌ها را می‌دانند. آنها قبلاً این ویژگی تغییر پیشوند DB را اضافه کرده اند. گزینه های DB Prefix به سادگی پیشوند نام جدول را از “wp_” به چیز دیگری تغییر می دهند.

تب پشتیبان گیری DB

قبل از تغییر پیشوندهای جدول ابتدا باید از پایگاه داده خود نسخه پشتیبان تهیه کنید. از صفحه امنیت پایگاه داده، به تب DB Backup بروید. روی دکمه Create DB Backup Now کلیک کنید. پشتیبان‌گیری DB به سادگی یک زیپ از پشتیبان‌گیری پایگاه داده شما ایجاد می‌کند و آن را در پوشه /wp-content/aiowps_backups/ ذخیره می‌کند. می توانید از راه حل های FTP مانند FileZilla برای بارگیری نسخه پشتیبان پایگاه داده خود در رایانه محلی خود استفاده کنید.

با ویژگی DB Backu، شما همچنین گزینه ای برای پشتیبان گیری خودکار برنامه ریزی شده دارید. از بخش Automated Scheduled Backups، پشتیبان گیری برنامه ریزی شده خودکار را فعال کنید. می توانید فاصله زمانی پشتیبان گیری را از مقدار پیش فرض 4 هفته به مقدار دیگری تغییر دهید. فاصله زمانی پشتیبان گیری فرکانسی است که افزونه به طور خودکار از پایگاه داده شما نسخه پشتیبان تهیه می کند. فیلد Number of Backup Files To Keep به شما امکان می دهد تعدادی از فایل های فشرده پایگاه داده را در پوشه پشتیبان خود ذخیره کنید. همچنین باید Send Backup File Via Email را علامت بزنید تا افزونه بلافاصله پس از انجام پشتیبان‌گیری از پایگاه داده، یک ایمیل برای شما ارسال کند. خود فایل پشتیبان پایگاه داده به ایمیل پیوست شده است.

تب پیشوند DB

پس از پشتیبان گیری از پایگاه داده خود، به تب DB Prefix برگردید. از بخش گزینه های پیشوند DB، می توانید Generate New DB Table Prefix را فعال کنید یا پیشوند DB خود را انتخاب کنید. ما در این مثال Generate New DB Table Prefix را فعال می کنیم ما می خواهیم که افزونه یک رشته تصادفی 6 کاراکتری برای پیشوند جدول ایجاد کند. برای اعمال تنظیمات روی دکمه Change DB Prefix کلیک کنید.

بخش امنیت سیستم فایل

بیایید یک سناریوی کوچک در اینجا داشته باشیم. اگر شخصی جزئیات دسترسی FTP میزبان شما را دریافت کند، می تواند به راحتی به وب سرور شما متصل شود. او می تواند پوشه سایت شما را پیدا کند و فایل های اصلی آن را بدون اجازه شما تغییر دهد. او می تواند کنترل سایت شما را در دست بگیرد یا آن را ربوده و سپس از شما باج بگیرد. این زمانی اتفاق می افتد که شما نمی توانید فایل های سایت خود را ایمن کنید. حتی اگر او هکر نباشد، دسترسی مستقیم به فایل‌های یک سایت زنده و اصلاح آن اغلب باعث فاجعه می‌شود. شما باید از به‌روزرسانی فایل‌های اصلی وردپرس جلوگیری کنید، مگر اینکه واقعاً مورد نیاز باشد و مهمتر از آن شما اجازه دهید.

تب مجوزهای فایل

All In One WP Security & Firewall فایل ها و دایرکتوری های وردپرس را اسکن می کند، فایل های ناامن را از نظر تنظیمات مجوز برجسته می کند. این افزونه به سادگی می تواند با تنظیم مجوزهای توصیه شده فایل و پوشه، امنیت کلی سایت شما را بهبود بخشد. از بخش WP Directory و File Permissions Scan Results، مجوز توصیه شده هر فایل برجسته شده را با کلیک کردن روی دکمه تنظیم مجوز توصیه شده تنظیم کنید.

تب ویرایش فایل PHP

به طور پیش‌فرض وردپرس به شما امکان می‌دهد برخی از فایل‌های خود را از صفحه ویرایشگر در قسمت Appearance ویرایش کنید. از صفحه ویرایشگر می‌توانید فایل‌های موضوعی مانند الگوها، functions.php و شیوه نامه را مستقیماً ویرایش کنید.تیم سازنده این افزونه می داند که غیرفعال کردن ویرایش فایل PHP در داشبورد وردپرس بسیار مهم است. این افزونه دارای ویژگی غیرفعال کردن قابلیت ویرایش فایل های PHP است، بنابراین PHP یک اسکریپت بسیار قدرتمند است که می تواند توسط یک هکر برای اجرای کدهای مضر استفاده شود.

از صفحه Filesystem Security به تب PHP File Editing بروید، باید بخش Disable PHP File Editing را ببینید. گزینه Disable Ability To Edit PHP Files را علامت بزنید تا امکان ویرایش فایل‌های PHP از داشبورد WP برای هر کسی حذف شود. برای اعمال تغییرات روی دکمه ذخیره تنظیمات کلیک کنید.

تب دسترسی به فایل WP

فعال کردن این ویژگی به شما امکان می دهد از دسترسی به فایل هایی مانند readme.html، License.txt و wp-config-sample.php که هنگام نصب وردپرس ارائه می شوند، جلوگیری کنید.

readme.html: شامل راهنمای وردپرس مانند نصب معروف 5 دقیقه ای، مراحل به روز رسانی و مهاجرت وردپرس، سیستم مورد نیاز و برخی نکات است.

License.txt: وردپرس تحت مجوز عمومی عمومی گنو منتشر شده است، منبع باز و 100٪ رایگان است به همین دلیل مجوز دارد.

wp-config-sample.php: حاوی داده های محرمانه سایت شما مانند جزئیات پایگاه داده و سایر اطلاعات حیاتی است.

این فایل‌های بالا اطلاعاتی را ارائه می‌دهند که می‌تواند سرنخ‌هایی را به هکرهای احتمالی بدهد. برای مخفی کردن این اطلاعات به تب WP File Access بروید، باید بخش Prevent Access to Default WP Files را ببینید. برای مخفی کردن اطلاعات محرمانه سایت خود، گزینه Prevent Access to WP Default Install Files را علامت بزنید. روی دکمه Save Settings کلیک کنید.

تب گزارش سیستم میزبان

PHP هر خطا یا هشداری را که با آن مواجه می شود در فایلی به نام error log ذخیره می کند. محل فایل گزارش ممکن است در میزبانی که استفاده می کنید متفاوت باشد اگر از ماژول apache2 استفاده می کنید، error log در /var/log/apache2 قرار دارد. از تب Host System Logs، می توانید آخرین ورودی های فایل error log را مشاهده کنید.برای مشاهده آخرین ورودی های فایل error log به قسمت View System Logs رفته و روی دکمه View Latest System Logs کلیک کنید.

جستجوی WHOIS

با ویژگی جستجوی WHOIS شما می توانید اطلاعات دقیق تری در مورد آدرس IP یا نام دامنه جستجو کنید.این ویژگی برای برخی موارد مانند دریافت اطلاعات دقیق از یک آدرس IP قفل شده مفید خواهد بود.از قسمت Perform a WHOIS Lookup for an IP or Domain Name، آدرس IP یا یک نام دامنه را وارد کرده و روی دکمه Perform IP یا Domain Lookup کلیک کنید. شما باید اطلاعات دقیق IP یا Domain مانند Net Range، CIDR، Net Name را مشاهده کنید.

مدیر Blacklist Manager

ویژگی Blacklist Manager به شما امکان می دهد آدرس های IP یا محدوده های خاص و همچنین عوامل کاربری را که می خواهید از دسترسی به سایت خود جلوگیری کنید را فهرست کنید.این ویژگی به کاربران ممنوعه آدرس های IP یا عوامل کاربری مطابق با لیست شما اجازه دسترسی به میزبان وب شما را نمی دهد.فهرست سیاه آدرس‌ها یا محدوده‌های IP خاص و عوامل کاربر اولین دفاع امنیتی سایت شما به شما امکان می‌دهد مهاجمان احتمالی را حتی برای انجام یک حمله اولیه متوقف کنید.

از قسمت IP Host و User Agent Blacklist Settings، گزینه Enable IP یا User Agent Blacklisting را علامت بزنید. آدرس‌ها یا محدوده‌های IP را از ناحیه متنی آدرس‌های IP وارد کنید یک آدرس یا محدوده IP برای هر خط وارد کنید. درست بعد از فیلد آدرس های IP، ناحیه متنی User Agents را خواهید دید. User Agents text area همچنین یک عامل کاربر را برای هر خط می پذیرد.

بخش Firewall

تب قوانین پایه فایروال

ویژگی All In One WP Security & Firewall Basic Firewall Rules به شما این امکان را می دهد که محافظت اولیه از فایروال را برای سایت خود فعال کنید. این یکی از ویژگی های اساسی است که باید از سایت خود فعال کنید، بنابراین بر عملکرد کلی سایت شما تأثیر نمی گذارد.

از قسمت Basic Firewall Settings، گزینه Enable Basic Firewall Protection را علامت بزنید. Basic Firewall Protection موارد زیر را اجرا می کند:

الف) فایل htaccess. خود را با ممانعت از دسترسی به آن ایمن کنید.

ب) امضای سرور را غیرفعال کنید.

پ) محدودیت حجم آپلود فایل را فقط روی 10 مگابایت تنظیم کنید.

د) با ممانعت از دسترسی به فایل wp-config.php خود را ایمن کنید.

سپس به قسمت WordPress XMLRPC & Pingback Vulnerability Protection بروید، گزینه Completely Block Access To XMLRPC را علامت بزنید تا دسترسی خارجی به XMLRPC کاملا مسدود شود.

چرا باید XMLRPC را غیرفعال کنیم؟

XMLRPC یک ویژگی داخلی وردپرس است. این یک فایل PHP (xmlrpc.php) است که در داخل وردپرس قرار دارد و انتقال داده ها را از طریق HTTP با XML به عنوان مکانیزم رمزگذاری امکان پذیر می کند. به سادگی امکان دسترسی از راه دور به سایت شما را فراهم می کند. اگر خارج از خانه هستید و رایانه خود را ندارید، به دلیل این ویژگی همچنان می توانید از طریق تلفن خود به سایت خود دسترسی داشته باشید. ، این بسیار مفید است اما ویژگی XMLRPC دارای آسیب‌پذیری‌های امنیتی جدی است. فعال کردن XMLRPC سایت شما را مستعد حملات Brute Force می کند. یکی دیگر از حفره های امنیتی XMLRPC، حمله DDOS است که باعث می شود منبع شبکه شما در دسترس نباشد و به طور خلاصه سایت شما را آفلاین کند.

آسیب‌پذیری‌های XMLRPC این ویژگی را به جای راه‌حل، به یک حفره امنیتی تبدیل می‌کند. شما باید جنبه های مثبت و منفی XMLRPC را توجیه کنید و فقط در صورتی XMLRPC را فعال کنید که خطر فعال شدن آن را درک کنید.همچنین در صورت نیاز به استفاده از Jetpack یا WP iOS یا سایر برنامه‌هایی که به ویژگی WP XML-RPC نیاز دارند، Disable Pingback Functionality From XMLRPC را بررسی می‌کنیم. غیرفعال کردن عملکرد پینگ بک از XMLRPC از سایت شما در برابر آسیب پذیری های پینگ بک وردپرس محافظت می کند. برای ذخیره تغییرات خود، روی دکمه Save Basic Firewall Settings کلیک کنید.

تب قوانین فایروال اضافی

فهرست مطالب دایرکتوری

ویژگی Disable Index Views را بررسی کنید. فرض کنید یک پوشه در دایرکتوری ریشه سایت خود ایجاد کرده اید و فراموش کرده اید که یک فایل فهرست داخل آن ایجاد کنید. وقتی از مرورگر خود به آن پوشه دسترسی پیدا می کنید، فقط لیستی از پوشه ها و فایل ها را مشاهده خواهید کرد. اگر یک متخصص در وب فهرست دایرکتوری شما را ببیند، تشخیص اینکه سایت شما از چه چارچوبی استفاده می کند برای او آسان است. غیرفعال کردن فهرست بندی محتویات دایرکتوری واقعاً سایت شما را ایمن تر نمی کند، اما حداقل پوشه و فایل های شما را در یک درخواست فهرست نمی کند.

ردیابی و ردیابی

ویژگی Disable Trace and Track را علامت بزنید. HTTP Trace/Cross-site Tracing (XST) شکلی از حمله اسکریپت بین سایتی (XSS) است که به دلیل قابلیت دریافت اطلاعات هدر HTTP از جمله کوکی ها کاربران وب شناخته شده است. ما نباید این نوع حمله قدیمی را کم اهمیت جلوه دهیم، بنابراین همچنان در سرقت اعتبار وب قربانی موثر است.

ارسال نظر پروکسی

ممنوع کردن ارسال نظر پروکسی را فعال کنید. این ویژگی هنگام ارسال نظرات، هرگونه درخواست از سرور پروکسی را رد می کند. هرزنامه‌ها معمولاً هنگام ایجاد هرزنامه یا هرزنامه از سرور پروکسی استفاده می‌کنند. سرور پروکسی به سادگی آدرس IP واقعی خود را پنهان می کند. قبل از ارسال درخواست به وب سرور شما، داده های آنها را رمزگذاری می کند و همچنان، وب سرور شما پاسخ صحیح را برمی گرداند. سرور پروکسی به خودی خود بد یا مضر نیست، بنابراین مردم از آن برای کنترل شبکه خود استفاده می کنند. آنها از آن برای صرفه جویی در پهنای باند و بهبود سرعت اینترنت، امنیت راه اندازی و بسیاری موارد دیگر استفاده می کنند. با این حال، سرور پروکسی مناسب ترین دستگاه برای مزاحمان برای ایجاد هرزنامه است. با فعال کردن ممنوعیت ارسال نظر پروکسی، برخی از هرزنامه ها و سایر درخواست های پروکسی را حذف می کنید.

رشته های پرس و جو بد

ویژگی Deny Bad Query Strings را فعال کنید. هنگام پیمایش به سایت خود، متوجه خواهید شد که گاهی اوقات URL شما حاوی یک رشته جستجو است (http://www.yoursite.com/contact?query=foo&query2=). با این نوع فرمت URL، مهاجم فقط می تواند رشته پرس و جو را تغییر دهد یا مقدار پرس و جو را تغییر دهد. اگر شما به درستی از پرس و جو خود استفاده نکنید، یک مهاجم می تواند یک حمله XSS انجام دهد. سایر افزونه های وردپرس از رشته پرس و جو استفاده می کنند، بنابراین مطمئن شوید که آنها به درستی مقادیر پرس و جو را پاکسازی می کنند. فعال کردن Deny Bad Query Strings برای محافظت از سایت شما در برابر جستارهای مخرب از طریق XSS.

فیلتر رشته کاراکتر پیشرفته

ویژگی Enable Advanced Character String Filter را علامت بزنید. این ویژگی از سایت شما در برابر حملات رشته های مخربی که از طرف XSS می آیند محافظت می کند. Advanced Character String Filter به سادگی الگوهای رشته های مخرب را شناسایی می کند و خطای 403 را برای مهاجمی که قصد حمله XSS را دارد برمی گرداند.

تب قوانین فایروال لیست سیاه 6G

فایروال 6G

فایروال لیست سیاه 6G که به سادگی به عنوان فایروال 6G شناخته می شود توسط Perishable Press برای بهبود فایروال لیست سیاه 5G طراحی و ایجاد شده است. این امنیت در سطح سرور است که برای محافظت از سایت ها در برابر طیف گسترده ای از درخواست های URI مخرب، روبات های وب مضر و انواع دیگر حملات طراحی شده است. با این دستورالعمل‌های htaccess که به خوبی بررسی شده‌اند، سایت شما قابلیت مسدود کردن ترافیک بد و کاهش بار سرور را خواهد داشت که عملکرد کلی و امنیت سایت شما را به شدت بهبود می‌بخشد. با فعال کردن 6G Firewall Protection، کد 6G به htaccess. سایت شما اضافه می شود.

تب ربات های اینترنتی

ربات اینترنتی که به عنوان ربات وب نیز شناخته می شود، نرم افزاری است که اساساً برای انجام کارهای تکراری در اینترنت ایجاد شده است. شما باید اصطلاح خزیدن وب را بشنوید، اینجا جایی است که ربات های وب بیشتر شناخته می شوند. در خزیدن وب، خزنده های وب کل سایت و محتوای آن متن و تصویر را تجزیه و تحلیل می کنند، ممکن است جزئیات چارچوب وب مورد استفاده شما و نسخه آن را دریافت کند. نمونه ای از یک ربات وب Googlebot است که توسط گوگل ایجاد شده است، سایت شما را می خزد و درک می کند و گزارش های معناداری به شما می دهد.

همه ربات های وب برای کمک به شما ساخته نشده اند. همچنین ربات هایی در اینترنت وجود دارند که برای آسیب رساندن به سایت شما ایجاد شده اند. درست مانند آنچه قبلاً بیان کردیم، ربات های مخرب از زمان ایجاد اینترنت ایجاد شده اند. شما نمی توانید کاری برای جلوگیری از ساخت ربات های مضر انجام دهید.

تب Prevent Hotlinks

از قسمت Prevent Hotlinks گزینه Prevent Image Hotlinking را علامت بزنید. فرض کنید شخصی در حال خواندن وبلاگ شماست و تصویری زیبا و منحصر به فرد از صفحه شما دیده است. او تصمیم گرفت URL تصویر را از سایت شما کپی کند، آن را در جای دیگری در اینترنت منتشر کند و بدون اطلاع شما با مردم به اشتراک بگذارد. هر بار که شخصی صفحه را مشاهده می کند با تصویر لینک شده از سایت شما، سرور وب شما کار سختی را برای بارگذاری آن تصویر انجام می دهد و پهنای باند شما را کاهش می دهد که بر عملکرد سرور شما تأثیر منفی می گذارد.

تب تشخیص 404

خطای 404 یک کد HTTP است که هنگام درخواست منبع خاصی که از سرور وب وجود ندارد توسط رایانه مشتری دریافت می شود. معمولاً زمانی اتفاق می‌افتد که منبع حذف یا منتقل شده باشد اما لینک به آن منبع به‌روزرسانی نشده است، سرور خاموش یا آفلاین باشد، یا شاید URL اشتباه تایپ شده باشد. اشتباه تایپ کردن یک URL یک رفتار عادی است، با این حال ممکن است متوجه خطاهای 404 مکرر زیادی شوید که در یک بازه زمانی نسبتاً کوتاه و از همان آدرس IP در تلاش برای دسترسی به یک URL ناموجود رخ داده اند. این یکی عادی نیست، ممکن است یک مهاجم یا یک ربات باشد که به دلایل شوم سعی در یافتن صفحه خاصی دارد.

از قسمت 404 Detection Options، گزینه Enable 404 IP Detection and Lockout را علامت بزنید تا قفل آدرس های IP انتخاب شده فعال شود. این ویژگی تمام خطاهای 404 را ثبت می کند و به شما امکان می دهد آدرس های IP را از یک زمان مشخص مسدود کنید. فیلد Time Length of 404 Lockout به شما امکان می دهد زمان بر حسب دقیقه را تعیین کنید که برای آن آدرس IP مسدود شده از دسترسی به سایت شما جلوگیری شود. تعداد را در دقیقه نه کمتر از 60 تنظیم کنید. URL را به فیلد URL Redirect URL Lockout 404 ارائه دهید 127.0.0.1 یا localhost مقدار پیش فرض است، کاربر مسدود شده به این مکان هدایت می شود. برای ذخیره تنظیمات روی دکمه Save Settings کلیک کنید.

تب قوانین سفارشی

قبل از اینکه قوانین htaccess. خود را اضافه کنید، ابتدا باید از فایل htaccess. خود نسخه پشتیبان تهیه کنید. از تنظیمات، به تب htaccess. بروید. از بخش ذخیره فایل فعلی .htaccess یک دکمه Backup .htaccess را مشاهده خواهید کرد. دکمه را فشار دهید و فایل htaccess. شما در پوشه /wp-content/aiowps_backups ذخیره می شود.

فایل .htaccess یک فایل پیکربندی است که ما از آن برای تغییر پیکربندی آپاچی استفاده می کنیم. هنگام فعال/غیرفعال کردن ویژگی های امنیتی، این افزونه به سادگی قوانین/دستورالعمل ها را به فایل htaccess. شما اضافه/ویرایش/حذف می کند. تب قوانین سفارشی به شما امکان می دهد دستورالعمل های htaccess. سفارشی خود را اضافه کنید. اگر بخواهید قوانین موجود را تغییر دهید بسیار مفید است. شما باید کاملاً از قوانین گمرکی که می خواهید به فایل htaccess. خود اضافه کنید آگاه باشید، بنابراین ممکن است عملکردهای سایت شما را خراب کند.

نتیجه گیری

راه اندازی امنیت وردپرس در ابتدا می تواند ترسناک باشد. به خصوص زمانی که در زمینه امنیت وب سایت تازه کار هستید، ممکن است دچار مشکل شوید. مجدداً نیازی به نگرانی نیست، بنابراین راهنمای امنیتی وردپرس مانند این را می توان به راحتی در هر نقطه از اینترنت پیدا کرد. امنیت وردپرس یکی از مهمترین مواردی است که باید روی آن تمرکز کنید.

به دلیل محبوبیت وردپرس، نه تنها افراد و کسب و کار را جذب می کند، بلکه هکرهای وب سایت را نیز جذب می کند. هکرها به طور مداوم انواع مختلفی از بدافزارها را برای ربودن وب سایت ها از هر نوعی ایجاد می کنند.خود وردپرس امن است، تیمی که در پشت این چارچوب قرار دارد هرگز از انتشار به‌روزرسانی‌های امنیتی دست نمی‌کشد. با این حال، همچنان باید از حملات رایج وب آگاه باشید و امنیت را به سایت خود اضافه کنید.

اگر چه علاقمند و هدف یادگیری راه اندازی سایت وردپرس و سئو آن را دارید پیشنهاد می کنیم با پاور سئو همراه باشید. هدف ما ارائه آموزش های کاربردی به صورت رایگان به شما عزیزان می باشد. و همچنین مقاله امنیت سایت وردپرس توصیه می شود مطالعه فرمایید.