صادق رشیدیان ۱۸ خرداد ۱۳۹۸ بدون نظر 142 بازدید افزونه ی وردپرس
آموزش ۰ تا ۱۰۰ افزونه امنیتی All In One Security

مقدمه ای برای امنیت وردپرس :

 

اگر قادر به ارتقاء امنیت وردپرس خود نیستید با ما همراه باشید.

در این مقاله قصد داریم تا شما را با افزونه All In One Security ، افزونه امنیتی وردپرس  و افزونه امنیتی فایروال که از ساده ترین روش های ممکن برای ارتقاء امنیت در حین نصب وردپرس هستند، آشنا کنیم.

 

معرفی اجمالی از افزونه All In One Security

 

افزونه All In One Security یک افزونه امنیتی جامع است که توسط Tips and Tricks HQ ارائه شده است.

این افزونه دارای دانلود رایگان است و طیف گسترده ای از ویژگی ها از جمله فایروال داخلی، امنیت در برابر حملات بروت فورس  و یک سیستم امتیاز دهی امنیتی است.

افزونه All In One Security یک راه حل کامل برای نگرانی های افزونه امنیتی ورد پرس شما است و راهی عالی برای ایمن سازی نصب های صوت گرفته در وردپرس از طریق خود سایت وردپرس است.

 

نصب افزونه All In One Security

 

ابتدا بروی افزونه “Plugins” کلیک کنید و سپس  گزینه اضافه کردن  مورد جدید””Add New را انتخاب کنید.

 

سپس افزونه All in One WP Security را جستجو کنید و روی “”Install Now کلیک کنید.

بعد از آن گزینه “Activate” را کلیک کنید.

افزونه All In One Security

بر روی WP Security در منوی چپ کلیک کنید.

افزونه All In One Security

اکنون که افزونه All In One Security نصب شده است، ما قصد داریم شما را با راه اندازی هر قسمت از افزونه آشنا کنیم.

توصیه می شود که شما اجازه دسترسی به فایل .htaccess را تا انتهای فرایند فعال کنید چرا که برخی از افزونه های فایروال قادر به تنظیم این مورد نیستند.

همانطور که قوانین امنیتی را در هر مرحله اجرا می کنید، امتیاز امنیتی شما در داشبورد افزایش می یابد.

ممکن است همه چیز را انجام ندهید زیرا تمام میزبان های وب به شما دسترسی کامل به محیط سرور را نمی دهند.

 

امنیت حساب کاربری در افزونه All In One Security

 

برای تنظیم امنیت حساب کاربر، روی “حساب کاربری” در سمت چپ کلیک کنید.

در این صفحه 3 برگه وجود خواهد داشت: “نام کاربری WP”، “نام نمایش داده شده” و “رمز عبور”.

افزونه All In One Security

در برگه “WP Username” افزونه All In One Security بررسی خواهد کرد که آیا شما یک نام کاربری به طور پیش فرض “admin” را دارید.

داشتن یک کاربر با نام کاربری “admin” نا امن است.

افزونه All In One Security

در خصوص برگه “Display Name” افزونه All In One Security بررسی خواهد کرد که آیا کاربر دیگری همان نام نمایش داده شده “Display Name” را هنگام ارسال پست به عنوان نام کاربری استفاده می کند.

این امر دارای امنیت کافی نیست زیرا اجازه می دهد تا حمله کننده ها نام کاربری های معتبر را حدس بزنند.

افزونه All In One Security

برگه «رمز عبور» قدرت رمزهای عبور را بررسی می کند.

افزونه All In One Security

ورود کاربر

 

گزینه Login  به کاربر امکان دسترسی در منو به 5 زبانه مختلف را می دهد. زبانه ی ورود” Login Lockdown” به سیستم و زبانه خروج” Force Logout” از سیستم دارای تنظیمات امنیتی هستند که باید پیکربندی شوند.

3 زبانه دیگر شامل سیاهه های مربوط و اطلاعاتی در مورد اینکه چه کسی وارد سیستم شده است، می شود.

افزونه All In One Security

برگه Login Lockdown”” به شما اجازه می دهد تا محدودیت های ورود به سیستم را تنظیم کنید.

قواعدی که می توانید در اینجا تنظیم کنید، سایت وردپرس را در برابر تلاش های ورود به سیستم توسط حملات بروت فورس محافظت می کند.

مقررات پیش فرض به اندازه کافی برای از دست یافتن به پنل مدیریت مدیریتی شما جلوگیری می کنند.

کادر تأیید فعال کردن قفل ورودی ” Enable Login Lockdown Feature ” را بررسی کنید و روی ذخیره تنظیمات” Save Settings” کلیک کنید.

افزونه All In One Security

برگه ” Force Logout” اجازه می دهد تا تنظیمات وردپرس به طور خودکار پس از یک دوره زمانی مشخص از سیستم خارج شوند.

این مانع از ماندن کاربران به مدت زمان طولانی در هر کامپیوتر می شود و به خصوص اگر شما تصور می کنید  که کاربران وردپرس شما از پایانه های عمومی وارد سیستم می شوند.

گزینه خروج کاربر از سیستم”Enable Force WP User Logout” را فشار دهید و سپس گزینه ذخیره برگه ” Force Logout” اجازه می دهد تا تنظیمات وردپرس به طور خودکار پس از یک دوره زمانی مشخص از سیستم خارج شوند.

این مانع از ماندن کاربران به مدت زمان طولانی در هر کامپیوتر می شود و به خصوص اگر شما تصور می کنید که کاربران وردپرس شما از پایانه های عمومی وارد سیستم می شوند.

گزینه خروج کاربر از سیستم”Enable Force WP User Logout” را فشار دهید و سپس گزینه ذخیره تنظیمات “Save Settings” را بزنید تا این ویژگی را فعال کنید.

افزونه All In One Security

ثبت نام کاربر در افزونه امنیتی

 

گزینه ثبت نام کاربر “User Registration” در منوی سمت چپ دارای سه زبانه متفاوت در آن است.

تایید دستی “Manual Approval”، ثبت نام کپچا “Registration Captcha “، و ثبت نام هانی پات ” Registration Honeypot “.

این برگه عمدتا برای سایت هایی است که به برخی از انواع کاربران اجازه ثبت نام می دهد.

اگر سایت شما اجازه چنین ثبت نامی را نمی دهد، لازم نیست تنظیمات این بخش را پیکربندی کنید.

افزونه All In One Security

برگه تایید دستی” Manual Approval ” جایی است که شما می توانید تمام ثبت نام کاربر را به صورت دستی تایید کنید.

این تایید دستی نسبت به ثبت خودکار و اتوماتیک امن تر است زیرا باعث جلوگیری از ایجاد اکانت توسط رباتها می شود.

با کلیک بر روی کادرِ فعال کردن تایید دستی ثبت نام جدید” Enable manual approval of new registrations ” صورت می گیرد در مرحله بعدی بایستی  روی دکمه ذخیره تنظیمات ” Save Settings” کلیک کنید.

افزونه All In One Security

برگه ثبت نام کپچا ” Registration Captcha ” به شما اجازه می دهد یک کپچا را در صفحه ثبت نام کاربری خود تنظیم کنید.

این به سادگی با اضافه کردن یک لایه دیگر برای جلوگیری از ثبت ربات ها، به امنیت سایت شما افزوده می شود.

بر روی دکمه فعال کردن کپچا در صفحه ثبت””Enable Captcha On Registration Page کلیک و سپس بروی دکمه ذخیره تنظیماتSave Settings””کلیک کنید.

افزونه All In One Security

برگه ثبت نام هانی پات ” Registration Honeypot ” به شما امکان می دهد برخی از فیلدهای ورودی پنهان را اضافه کنید که تنها ربات ها قادر به پر کردن آن به صفحه ثبت نام شما می باشند.

برگه ثبت نام هانی پات این به شما اجازه می دهد تا ربات های نسبتا پیچیده را تشخیص داده و منع از ساختن حساب های جعلی و فیک  توسط این ربات ها شوید.

روی گزینه فعال کردن ثبت نام هانی پات ” Enable Honeypot On Registration Page ” کلیک و سپس بروی دکمه ذخیره تنظیمات”Save Settings” کلیک کنید.

افزونه All In One Security

 

امنیت پایگاه داده در افزونه All In One Security

 

گزینه امنیت پایگاه داده “”Security menu Security در سمت چپ دو زبانه دی بی پیشوند “Prefix DB” و دی بی پشتیبانی”DB Backup” را فراهم می کند.

افزونه All In One Security

قبل از استفاده از پیشوند “DB Prefix” باید روی برگه “DB Backup” کلیک کنید تا قبل از انجام تغییرات، پشتیبان پایگاه داده خود را ایجاد کنید.

برای ایجاد پشتیبان فوری بر روی ایجاد دی بی پشتیبانی” Create DB Backup Now ” کلیک کنید و سپس گزینه فعال کردن پشتیبان خودکار برنامه ریزی شده ” Enable Automated Scheduled Backup” را علامت بزنید.

شما می توانید یک برنامه پشتیبان را همانطور که می خواهید تنظیم کنید، اما در اغلب موارد پیشنهادهایی می کنیم.

پس از اتمام کار سپس بروی دکمه ذخیره تنظیماتSave Settings””کلیک کنید.

افزونه All In One Security

اکنون زبانه Prefix DB در اختیارتان قرار دارد. در اینجا می توانید پیشوند جدول پایگاه داده مورد استفاده توسط وردپرس را در پایگاه داده خود تغییر دهید.

این تغییر باعث افزایش امنیت نصب وردپرس شما می شود، زیرا هکرها در حملات تزریق SQL خود ناموفق خواهند شد.

برای استفاده از این ویژگی، علامت کادر ایجاد پیشوند جدول جدید DB (یا یک پیشوند را وارد کنید)” Generate New DB Table Prefix” و سپس روی تغییر پیشوند DB کلیک کنید.

افزونه All In One Security

مدیریت لیست سیاه

 

گزینه “Blacklist Manager” در منوی سمت چپ، جایی است که شما می توانید IP یا لیست سیاه کاربر را تنظیم کنید.

کادر تأیید “Enable IP or User Agent Blacklisting” را بزنید.

پس از اتمام کار سپس بروی دکمه ذخیره تنظیمات”Save Settings”کلیک کنید.

برای اضافه کردن آدرس های IP که می خواهید مسدود کنید، باید به این برگه بازگردید.

افزونه All In One Security

حملات بروت فورس در افزونه امنیتی

 

گزینه منوی “Brute Force” در سمت چپ جایی است که می توانید تنظیمات صفحه ورود را پیکربندی کنید.

پنج زبانه در این صفحه وجود دارد.

به طور پیش فرض توصیه می کنیم تنظیمات ” Rename Login Page ” و ” Login Honeypot ” را انتخاب کنید.

گزینه های ” Cookie Based Brute Force Prevention “، ” Login Captcha ” و ” Login Whitelist ” باید به صورت انتخابی مورد استفاده قرار گیرند، زیرا برخی از آنها برای سیستم عامل های خاص مانند WooCommerce هستند و می توانند در صورت عدم استفاده صحیح، پنل مدیریت شما را قفل کنند.

افزونه All In One Security

در برگه “Rename Login Page” گزینه “Enable Rename Login Page” را علامت بزنید و سپس یک URL جدید را وارد کنید و سپس “Save Settings” را کلیک کنید.

اطمینان حاصل کنید که مسیر ورود جدید را به یاد خواهید داشت.

تغییر URL ورود به سایت امن تر از استفاده از پیش فرض است چرا که بسیاری از ربات ها نمی دانند از کدام مسیر باید وارد شوند.

افزونه All In One Security

روی زبانه “Honeypot” گزینه “Enable Honeypot On Login Page” را انتخاب کنید و روی “ذخیره تنظیمات” کلیک کنید.

هانی پات فیلدهای ورودی جعلی را ایجاد می کند که تنها ربات می تواند آن را پر کند، و اگر صفحه ورودی ورودی هایی جعلی را وارد کند، افزونه وردپرس تشخیص داد و کاربر را منع می‌کند.

افزونه All In One Security

پیشگیری از هرزنامه در افزونه امنیتی

 

از گزینه ” SPAM Prevention ” در سمت چپ منو استفاده کنید تا امنیت وردپرس را با فیلتر کردن هرزنامه نظر دهید افزایش دهید.

در حالی که چند زبانه مختلف وجود دارد، شما به طور عمده نیاز به ” Comment Spam ” و ” Comment SPAM IP Monitoring” هستید.

زبانه های “BBPress” و “BuddyPress” فقط باید در صورتی استفاده شوند که شما از این برنامه ها بهره مند شوید.

افزونه All In One Security

در برگه “”Comment Spam هر دو گزینه را علامت گذاری کنید. اگر هر کسی در سایت شما نظر می دهد، قبل از ارسال نظر کپچا ارسال خواهد شد و هرزنامه ها مسدود خواهند شد.

هنگامی که هر دو گزینه چک شدند روی “ذخیره تنظیمات” کلیک کنید.

افزونه All In One Security

حالا در برگه Comment Spam IP Monitoring گزینه “Enable Auto Block of SPAM Comment IPs ” را انتخاب کنید و سپس روی “ذخیره تنظیمات” کلیک کنید.

ممکن است بخواهید تعداد حداقل نظرات را تنظیم کنید.

افزونه All In One Security

اسکنر افزونه امنیتی وردپرس

اگر بر روی گزینه اسکنر در منوی سمت چپ کلیک کنید، به اسکنر مخرب All in One منتقل خواهید شد.

از اینجا می توانید اسکن دستی را اجرا کنید و می توانید سیستم خود را برای اسکن خودکار دوره ای از فایل های کلیدی وردپرس تنظیم کنید.

برای فعال کردن خودکار تشخیص تغییر فایل گزینه “Enable Automated File Change Detection Scan ” را علامت بزنید و سپس روی “ذخیره تنظیمات” کلیک کنید.

شما می توانید اسکن دستی را با کلیک بر روی گزینه انجام اسکن در زمان” Perform Scan Now” فعال کنید.

افزونه All In One Security

افزونه امنیتی فایروال

در افزونه امنیتی فایروال، گزینه “فایروال” در منوی سمت چپ دارای تعدادی از ویژگی هایی است که می خواهید به صورت پیش فرض فعال کنید.

هر تب در این بخش دارای گزینه هایی است که شاید بخواهید در خارج از  Custom Rules”” پیکربندی کنید.

توجه داشته باشید که افزونه All in One قادر نخواهد بود تنظیمات افزونه امنیتی فایروال را بدون ارسال دسترسی به فایل .htaccess در دایرکتوری وردپرس پیکربندی کند.

افزونه All In One Security

بر روی تب “Basic Firewall Rules” سه گزینه وجود دارد که باید علامت گذاری کنید. ابتدا “Enable Basic Firewall Protection” را بررسی کنید.

این گزینه به مراحل ابتدایی افزونه امنیتی فایروال اجازه خواهد داد تا مانع از دسترسی به بخش هایی از سیستم فایل وردپرس بشوند.

در مرحله بعدی علامت گذاری ” Disable Pingback Functionality From XMLRPC “را توصیه می کنیم این گزینه را علامت گذاری کنید

زیرا بعضی از افزونه ها نیاز به قابلیت XMLRPC دارند و ممکن است جلوگیری از دسترسی به به این گزینه کاملا مطلوب نباشد.

بعد از آن گزینه ” Block Access to debug.log File “را علامت گذاری کنید و سپس روی “ذخیره تنظیمات” کلیک کنید.

افزونه All In One Security

در برگه قوانین فایروال اضافی ” Additional Firewall Rules ” شما باید تمام گزینه های موجود را بررسی کنید و سپس روی ذخیره تنظیمات فایروال اضافی ” Save Additional Firewall Settings ” در پایین کلیک کنید.

افزونه All In One Security

در برگه قوانین لیست سیاه فایروال ” Blacklist Firewall Rules G6″شما باید هر دو گزینه ی فعال کردن حفاظت از فایروال Enable 6G Firewall Protection ” ” و ” Enable legacy 5G Firewall Protection “را برای اضافه کردن لیست سیاه از perishablepress.com به فایروال خود علامت گذاری کنید.

روی دکمه “Save 5G / 6G Firewall Settings” کلیک کنید.

افزونه All In One Security

در برگه رباتهای اینترنتی” Internet Bots ” روی کادر «Blockbots of Googlebots Block» کلیک کنید و دکمه ذخیره تنظیمات ” Save Internet Bot Settings ” را در پایین کلیک کنید.

در برگه «Prevent Hotlinking» شما می توانید از سایت های دیگر از hotlink به تصاویر میزبان خود جلوگیری کنید.

این امر محتوا و پهنای باند شما را حفظ می کند. گزینه”Prevent Hotlinking Image” را انتخاب و روی “ذخیره تنظیمات” کلیک کنید.

افزونه All In One Security

در نهایت بر روی زبانه ” Detection 404″ شما می توانید افزونه All In One Security را برای جلوگیری از IP هایی که بارها و بارها در تلاش برای دسترسی به صفحات غیر موجود در سایت شما هستند، تنظیم کنید.

گزینه فعال کردن تشخیص و قفل IP 4040 ” Enable 404 IP Detection and Lockout ” را انتخاب و سپس “ذخیره تنظیمات” را کلیک کنید.

افزونه All In One Security

امنیت سیستم فایل

در نهایت آخرین گزینه مورد نیاز برای چک کردن گزینه «امنیت سیستم فایل» در منوی سمت چپ است.

این گزینه تمام مناطق بحرانی وردپرس را لیست و مجوز های پیشنهاد شده فایل را فهرست می کند.

اگر گزینه تنظیم مجوزهای توصیه شده ” Set Recommended Permissions ” کار نکرد، از برنامه FTP یا chmod برای انجام این کار استفاده کنید.

افزونه All In One Security

سپس بر روی تب “WP File Access” و روی “Prevent Access to WP Default Install Files” کلیک و سپس “Save Settings” را کلیک کنید.

این امر مانع دسترسی به فایل هایی می شود که ممکن است اطلاعاتی را به هکر در مورد نصب افزونه وردپرسِ شما ارائه دهند.

افزونه All In One Security

پس از انجام تمام این مراحل، گام مهمی در جهت تامین امنیت نصب وردپرس خود برداشته اید.

شما باید پشتیبان گیری خود را ادامه دهید و تمام افزونه های خود را به طور مرتب به روزرسانی کنید و همچنین به هر چیزی نظیر اسکن بدافزار یا سایر هشدارهایی که ممکن است افزونه برای شما ارسال کند، توجه کنید.

ما از تمام ویژگی های افزونه ها استفاده نکردیم، برای این مقاله از تنظیماتی استفاده کردیم که با اکثر تم ها و افزونه‌ها سازگار بودند.

حالا اگر شما به داشبورد بروید باید امتیاز امنیتی را به رنگ سبز ببینید:

افزونه All In One Security

نتیجه گیری برای افزونه امنیتی All In One Security

استفاده از افزونه امنیتی برای تامین مشکلات و باگ ها وب سایت مان ضروری و مهمه. مخصوصا با افزونه امنیتی ذکر شده می توانید به تامین بیشتر و بهتر امنیت سایت تان بپردازید و خیالتان از امنیت راحت باشد.

این افزونه رایگان امکاناتی در اختیارتان قرار می دهد که با افزونه های پولی می توان گفت برابری می کند.

نکات کلیدی بالا بردن امنیت وردپرس را هم بررسی کنید…

لطفا به این مطلب رای دهید
[تعداد: 2    میانگین: 5/5]