نصب و کانفیگ افزونه امنیتی all in one wordpress security

وردپرس به تنهایی نمی‌تونه تمام مشکلات امنیتی رو حل کنه، اما این به معنی این نیست که نمی‌تونیم باهاش کنار بیایم. اون‌قدرها هم که بعضی‌ها می‌گن، وردپرس ناامن نیست. ما می‌تونیم با ابزارهای درست، امنیتش رو به سطح بالایی برسونیم. حالا، ما چندین افزونه امنیتی برای افزایش امنیت سایت داریم که معروف ترین آنها وردفنس یا all in one wordpress security هست که تو مقاله قبلی مقایسه کردیم و به این نتیجه رسیدیم که all in one wordpress security بهتره برای این کار.

این افزونه مثل یک تیم امنیتی شخصی عمل می‌کنه و امکاناتی داره که امنیت سایتت رو به شکل شگفت‌انگیزی بالا می‌بره. از فایروال گرفته تا سیستم محافظت از لاگین، این افزونه هر چیزی رو که برای امنیت سایت نیاز داری، در اختیارت می‌ذاره. بیایید با هم نگاهی به قسمت‌های مختلف این افزونه بندازیم و ببینیم چطور می‌تونیم با تنظیماتش، وب‌سایتمون رو در برابر تهدیدات امن کنیم. ( البته تو دنیای وب چیزی تحت عنوان امنیت ۱۰۰٪ نداریم🙂)

تنظیمات افزونه all in one wordpress security

حالا که وارد افزونه All In One WP Security شدی، می‌بینی که اولین بخشی که باید سراغش بری، تنظیماته. اما صبر کن، همه‌ی تب‌هایی که اینجا می‌بینی ضروری نیستند. بی‌خیال چند تای اول شو. چیزی که واقعاً به کارمون میاد، تبی به اسم “اطلاعات نگارش وردپرس” هست.

وقتی وارد این تب شدی، دنبال گزینه‌ای به اسم “پاک کردن فراداده‌ها” بگرد. شاید بپرسی این یعنی چی؟ خب، وردپرس به‌صورت پیش‌فرض یه سری اطلاعات رو توی کدهای سایتت جاساز می‌کنه که نسخه وردپرس رو نشون می‌ده. هکرها عاشق این اطلاعاتن چون می‌تونن با دونستن نسخه وردپرس، نقطه ضعف‌ها رو پیدا کنن. حالا با زدن این تیک، این اطلاعات رو پاک می‌کنی و یه قدم بزرگ به امنیت سایتت نزدیک‌تر می‌شی. پس این تیک رو بزن و خیال خودت رو راحت کن.

احراز هویت دو عاملی

خب، حالا که از بخش اطلاعات نگارش وردپرس رد شدی، بیا یه نگاه به تب “احراز هویت دو عاملی” بندازیم. اینجا یکی از بهترین چیزهایی که می‌تونی برای امنیت سایتت انجام بدی، منتظرته.

احراز هویت دو عاملی یه جورایی مثل اینه که وقتی کلید خونه رو پیدا کردی، یه رمز دوم روی قفل بذاری. حتی اگه کسی رمز اول رو داشته باشه، بدون اون رمز دوم نمی‌تونه وارد بشه. اینجاست که اپلیکیشن‌هایی مثل Google Authenticator به کمکت میاد. فقط کافیه این قابلیت رو فعال کنی، بعدش هر بار که می‌خوای وارد سایت بشی، علاوه بر رمز اصلی، یه کد تصادفی از اپلیکیشن می‌گیری. این یعنی حتی اگه رمزت به دست کسی بیفته، بازم نمی‌تونه وارد بشه چون اون کد دوم رو نداره.

پس فعالش کن و با خیال راحت‌تر از سایتت لذت ببر.

بخش امنیت کاربر all in one wordpress security

حالا که امنیت پایه رو اوکی کردی، بیا یه سر به بخش “امنیت کاربر” بندازیم. اینجا کلی گزینه هست، ولی بریم سراغ تب اول “حساب‌های کاربری” که باهاش کار داریم.

وقتی وارد این تب می‌شی، یه گزینه مهم اون پایین می‌بینی به نام “تغییر نام کاربری admin”. شاید با خودت بگی چرا باید این کار رو بکنم؟ داستان اینه که خیلی از سایت‌های وردپرسی از نام کاربری “admin” برای اکانت مدیر اصلی استفاده می‌کنن. هکرها هم دقیقاً همین رو می‌دونن و اولین چیزی که امتحان می‌کنن، همین یوزرنیم ساده است. اگه بتونن رمز رو حدس بزنن، وارد سایت می‌شن و همه چیز رو به هم می‌ریزن.

با زدن این تیک، می‌تونی نام کاربری “admin” رو به چیزی امن‌تر و غیرقابل حدس تبدیل کنی. اینجوری یه قدم جلوتر از هکرها خواهی بود و امنیت سایتت رو چند برابر می‌کنی.

تب قفل ورود

وقتی وارد تب “قفل ورود” می‌شی، کلی گزینه می‌بینی که هر کدومشون می‌تونن نقش مهمی در امنیت سایتت داشته باشن.

اول از همه، با فعال کردن گزینه “فعال‌سازی ویژگی قفل ورود”، عملاً سایتت رو مثل یه قلعه‌ی محکم قفل می‌کنی. حالا بریم سراغ تنظیمات جزئی‌تر:

اجازه درخواست قفل‌گشایی: اگه این گزینه رو فعال کنی، کاربرایی که قفل شدن می‌تونن درخواست بازگشت بدن. این می‌تونه وقتی مفید باشه که یه کاربر واقعی به اشتباه قفل شده و می‌خواد دوباره دسترسی پیدا کنه.

حداکثر تعداد تلاش برای ورود: این عدد رو روی ۱۰ بذار که یعنی بعد از ۱۰ بار تلاش ناموفق، کاربر قفل می‌شه. این کار جلوی حملات بی‌رحمانه‌ای مثل “Brute Force” رو می‌گیره.

بازه زمانی تلاش مجدد: اینجا تعیین می‌کنی که بعد از قفل شدن، کاربر چقدر باید منتظر بمونه تا دوباره بتونه تلاش کنه. مثلاً اگه روی ۱۵ دقیقه تنظیمش کنی، بعد از قفل شدن باید ۱۵ دقیقه صبر کنه.

حداقل و حداکثر زمان قفل: اینا تعیین می‌کنن که قفل کاربر برای چه مدت فعال بمونه. برای مثال، می‌تونی حداقل زمان رو ۵ دقیقه و حداکثر رو ۶۰ دقیقه بذاری، یعنی بعد از این مدت قفل باز می‌شه.

نمایش پیام خطای عمومی: اگه می‌خوای هکرها سردرگم بشن و نفهمن چرا ورودشون ناموفق بوده، این گزینه رو فعال کن.

قفل کردن فوری نام‌های کاربری نادرست: با فعال کردن این گزینه، هر وقت یه نام کاربری اشتباه وارد شد، اون IP فوراً قفل می‌شه. این روش خیلی خوبیه برای اینکه جلوی تلاش‌های مکرر و مشکوک رو بگیری.

تغییر نام کاربری admin: این گزینه در پایین صفحه همون‌طور که قبلاً گفتیم، اهمیت زیادی داره. اگر هنوز این کار رو نکردی، حتماً از اینجا اقدام کن.

تب salt این افزونه

قتی به تب “Salt” رسیدی، یه گزینه مهم می‌بینی به نام “Enable salt postfix”. حالا این یعنی چی؟ ببین، وقتی می‌خوای وارد سایت بشی، وردپرس یه سری کلیدهای امنیتی به نام “salt” تولید می‌کنه که برای حفاظت از اطلاعات ورودت استفاده می‌شن. با فعال کردن این گزینه، یه لایه اضافه از امنیت به این کلیدها اضافه می‌کنی، طوری که حتی اگه کسی بتونه به اطلاعاتت دسترسی پیدا کنه، بازم به خاطر این کلیدهای پیچیده، به‌سادگی نمی‌تونه اون‌ها رو بخونه یا رمزگشایی کنه. پس این تیک رو بزن و اجازه بده سایتت یه قدم دیگه به سمت امنیت کامل برداره.

قسمت امنیت پایگاه‌ داده all in one wordpress security

وقتی به بخش “امنیت پایگاه‌ داده” وارد می‌شی، اولین چیزی که باید بهش توجه کنی، تب “پیشوند پایگاه داده” هست. می‌دونی، وردپرس به‌صورت پیش‌فرض برای هر جدولی که توی پایگاه داده می‌سازه، از یه پیشوند ساده و قابل حدس “wp_” استفاده می‌کنه. حالا مشکل اینجاست که هکرها هم اینو می‌دونن و اولین چیزی که توی حملاتشون چک می‌کنن، همین پیشوند ساده است.

اما نگران نباش! راه‌حل ساده‌ای برای افزایش امنیت سایتت وجود داره. اول از همه، اگه پیشوند جداول دیتابیس سایتت هنوز همون “wp_” پیش‌فرضه، قبل از هر تغییری، حتماً یه بک‌آپ کامل از دیتابیس بگیر. این کار رو برای اینکه اگه مشکلی پیش اومد، بتونی به راحتی اطلاعاتت رو برگردونی.

بعد از بک‌آپ گرفتن، بیا سراغ گزینه “پیشوند جدول پایگاه داده جدید ایجاد کنید” و تیکش رو بزن. این کار باعث می‌شه که یه پیشوند جدید و غیرقابل حدس برای جداول دیتابیست بسازی. با این تغییر ساده، هکرها دیگه به‌راحتی نمی‌تونن ساختار دیتابیست رو حدس بزنن و کلی از دردسرهای امنیتی دور می‌شی.

قسمت امنیت فایل

جلوگیری از دسترسی به فایل‌های نصب پیش‌فرض وردپرس

وردپرس به‌صورت پیش‌فرض یه سری فایل داره که توی نصب اولیه کاربرد دارن، ولی بعد از نصب سایت، دیگه نیازی بهشون نیست و حتی می‌تونن یه در باز برای هکرها باشن. با زدن این تیک، دسترسی به این فایل‌ها رو مسدود می‌کنی و یه قدم بزرگ به سمت امنیت بیشتر برمی‌داری.

حذف فایل‌های readme.html و wp-config-sample.php

این دو تا فایل بیشتر جنبه آموزشی دارن و واقعاً برای سایت فعال به کار نمیان. ولی اگه حذفشون نکنی، می‌تونن اطلاعاتی به هکرها بدن که بهتره اصلاً دستشون به این اطلاعات نرسه. پس تیک این گزینه رو بزن و راحت این فایل‌ها رو از سایتت حذف کن.

غیرفعال کردن ویرایش فایل‌های PHP

وردپرس بهت اجازه می‌ده فایل‌های PHP سایتت رو مستقیم از پنل ادمین ویرایش کنی. ولی راستش این قابلیت بیشتر از اینکه به کارت بیاد، خطرناکه. چون اگه هکری به پنلت دسترسی پیدا کنه، می‌تونه از این طریق کدهای مخرب وارد سایت کنه. پس با زدن این تیک، ویرایش این فایل‌ها رو غیرفعال کن و خیال خودت رو راحت کن.

قسمت دیوار آتش

بریم سراغ بخش “دیوار آتش” که نقش مهمی در امنیت سایت داره. این بخش از افزونه all in one wordpress security کلی تنظیمات داره. بذار ببینیم هر کدوم از این گزینه‌ها چه کاری انجام می‌دن و چرا بهتره فعالشون کنیم.

بخش PHP rules

حفاظت آسیب‌پذیری وردپرس (غیرفعال کردن دسترسی به XMLRPC)

XMLRPC یه پروتکلی هست که به‌طور پیش‌فرض روی وردپرس فعاله و به بعضی از اپلیکیشن‌های خارجی اجازه می‌ده که به سایتت متصل بشن. اما این ویژگی به‌نوعی می‌تونه یه در مخفی برای هکرها باشه. پس اگه واقعاً نیازی به این قابلیت نداری، حتماً این تیک رو بزن و دسترسی کامل به XMLRPC رو غیرفعال کن. با این کار جلوی یه سری حملات مثل Pingback هم گرفته می‌شه.

غیرفعال کردن RSS و ATOM

اگه سایتت نیاز به فیدهای RSS و ATOM نداره، بهتره این گزینه رو هم فعال کنی. این فیدها می‌تونن به هکرها اطلاعاتی درباره ساختار سایتت بدن که خب، بهتره همچین ریسکی رو نپذیری. پس اگه این قابلیت‌ها برایت کاربردی نیستن، حتماً غیر فعالشون کن تا سایتت یه قدم دیگه به سمت امنیت بیشتر بره.

ممنوع کردن فرستادن دیدگاه از راه پراکسی

این گزینه هم از ورود اسپم‌ها و دیدگاه‌های ناخواسته به سایتت جلوگیری می‌کنه. به‌عبارتی، اگه هکری بخواد از راه دور دیدگاهی بفرسته که سایتت رو مختل کنه، با فعال کردن این تیک، جلوی این کار رو می‌گیری. پس اگه نمی‌خوای از طریق این راه به سایتت حمله بشه، حتماً این گزینه رو فعال کن.

بخش .htaccess rules

بریم سراغ تب .htaccess firewall settings توی بخش دیوار آتش افزونه، که چند تا تنظیم مهم داره. با هم تک‌تک این تنظیمات رو بررسی کنیم تا مطمئن بشیم سایتت از هر نظر محافظت می‌شه.

فعال‌سازی حفاظت فایروال پایه

این گزینه اصلی‌ترین بخشه. با فعال کردنش، یه لایه ابتدایی امنیتی روی سایتت قرار می‌گیره که جلوی خیلی از حملات ساده رو می‌گیره. یه جورایی مثل قفل درِ اصلی خونته! می‌تونی توی تنظیماتش حداکثر اندازه فایل‌های .htaccess رو هم مشخص کنی (پیشنهاد خود افزونه 100 مگابایته). این کار باعث می‌شه فایل‌های بزرگ و مشکوک اجازه آپلود نداشته باشن.

مسدودسازی دسترسی به رفع اشکال گزارش پرونده

فایل debug.log معمولاً برای رفع اشکالات برنامه‌نویسی استفاده می‌شه و ممکنه اطلاعات حساس سایتت رو لو بده. پس بهتره دسترسی بهش رو مسدود کنی تا هکرها نتونن ازش سوءاستفاده کنن. اگه نیازی به این فایل نداری، حتماً این گزینه رو فعال کن.

فهرست محتواهای دایرکتوری

این یکی خیلی مهمه. به صورت پیش‌فرض، ممکنه هکرها بتونن با دیدن فهرست فایل‌های سایتت، مسیر حمله رو پیدا کنن. با فعال کردن این گزینه، فهرست محتویات دایرکتوری‌ها رو مخفی می‌کنی و هکرها رو گیج می‌کنی.

جلوگیری از رهگیری و ردیابی

این گزینه برای محافظت در برابر حملات خاصی به نام Trace و Track طراحی شده. این حملات می‌تونن اطلاعات حساس مثل کوکی‌ها رو بدزدن. با فعال کردن این گزینه، جلوی این حملات رو می‌گیری و سایتت رو امن‌تر می‌کنی.

تب 6G firewall rules

اینجا فقط یه گزینه داری که خیلی هم مهمه: “فعال کردن فایروال 6G”. این فایروال مثل یه دیوار دفاعی قدرتمنده که از سایتت در برابر حملات پیچیده‌تر محافظت می‌کنه. 6G فایروال به‌نوعی مثل یه سپر هوشمنده که جلوی خیلی از روش‌های هک و بدافزارها رو می‌گیره.

تب ربات های اینترنت

حالا نوبت به تب “ربات‌های اینترنتی” توی افزونه امنیتی All in One WordPress Security رسیده. اینجا دو تا گزینه خیلی مهم داریم که به محافظت بیشتر از سایت شما کمک می‌کنن.

1. مسدودسازی ربات‌های گوگل تقلبی

ربات‌های گوگل واقعی به سایت‌ها سر می‌زنن تا محتوای جدید رو شناسایی و ایندکس کنن، اما خب همیشه ربات‌های تقلبی‌ای هم هستن که به دروغ خودشون رو جای گوگل جا می‌زنن و ممکنه آسیب‌های جدی به سایت شما وارد کنن. با فعال کردن این گزینه، شما این ربات‌های تقلبی رو بلاک می‌کنید و جلوی ورودشون به سایت رو می‌گیرید. اینجوری خیال‌تون راحت می‌شه که فقط ربات‌های رسمی و سالم می‌تونن به سایت دسترسی داشته باشن.

نکته: حواستون باشه که بعضی وقت‌ها ممکنه سازمان‌های اینترنتی مجاز هم از این ربات‌های تقلبی استفاده کنن. پس اگه دیدید که بعد از فعال‌سازی این گزینه مشکلی در سایت‌تون پیش اومده، می‌تونید دوباره غیرفعالش کنید.

2. هدرهای HTTP خالی

دومین گزینه‌ای که باید فعال کنید، مربوط به درخواست‌های POST هست که بدون هدر (user-agent و referrer) به سایت شما فرستاده می‌شن. این نوع درخواست‌ها معمولاً نشونه‌ای از تلاش‌های مشکوک و یا بدافزارهاست که قصد دارن به سایت شما نفوذ کنن. با فعال کردن این گزینه، شما این درخواست‌های ناخواسته و خطرناک رو به‌طور کامل مسدود می‌کنید.

قسمت بروت فورث

خب رفقا، یکی از مهم‌ترین مباحث امنیتی تو دنیای وب، حملات بروت فورس (brute force attack) هست. این نوع حملات زمانی رخ می‌ده که هکرها تلاش می‌کنن با امتحان کردن تعداد زیادی از ترکیب‌های نام کاربری و رمز عبور، به سایت شما دسترسی پیدا کنن. این حملات می‌تونن خیلی خطر ناک باشن، اما خوشبختانه افزونه All in One WordPress Security ابزارهای مختلفی رو برای مقابله با این تهدیدات داره.

تب Honeypot (ظرف عسل)

در این تب، شما می‌تونید یک فیلد مخفی رو به فرم‌های ورود و ثبت‌نام سایت‌تون اضافه کنید. این فیلد توسط کاربران واقعی دیده نمی‌شه، اما ربات‌های مخرب که فرم‌ها رو به‌صورت خودکار پر می‌کنن، به احتمال زیاد این فیلد رو هم پر می‌کنن. اگر این فیلد پر بشه، به افزونه این سیگنال رو می‌ده که یک ربات مخرب در تلاش برای نفوذ به سایت شماست و در نتیجه اون درخواست رو به آدرس محلی (http://127.0.0.1) هدایت می‌کنه و جلوی نفوذ رو می‌گیره.

دو تنظیم اصلی در این تب

تنظیمات ظرف‌عسل (Honeypot) در فرم ورود

این گزینه رو فعال کنید تا فیلد مخفی به فرم ورود سایت اضافه بشه. اگر رباتی این فیلد رو پر کنه، به‌جای ورود به سایت، به آدرس محلی هدایت می‌شه.

تنظیمات ظرف‌عسل (Honeypot) در فرم ثبت‌نام

این گزینه رو هم فعال کنید تا فیلد مخفی به فرم ثبت‌نام اضافه بشه و از ثبت‌نام‌های مخرب جلوگیری بشه.

تب جلوگیری از اسپم

در قسمت تنظیمات جلوگیری از اسپم این افزونه، تمرکز اصلی روی این است که سایتتان را از شر نظرات هرزنامه و اسپم راحت کنید.

تب comment spam

توی تب “comment spam” سه گزینه مهم داریم که بهتره فعالشون کنیم,

1. شناسایی ربات‌های هرزنامه که نظرات ارسال می‌کنند: با فعال کردن این گزینه، افزونه به‌طور خودکار ربات‌های مزاحم رو که میان و نظرات اسپم می‌ذارن، شناسایی می‌کنه و جلوی فعالیتشون رو می‌گیره.
2. نظرات اسپم شناسایی شده باید باشد: این گزینه بهتون اجازه می‌ده تا تعیین کنید که با نظرات اسپم چی کار کنه. پیشنهاد می‌کنم گزینه “دور انداخته شد” رو انتخاب کنید تا مستقیماً به زباله‌ها فرستاده بشن و سرور شما سبک‌تر بمونه.
3. نظرات هرزنامه را حذف کنید: این گزینه وقتی فعال باشه، افزونه به‌طور خودکار تمام نظرات اسپم رو بدون هیچ اثری حذف می‌کنه. اینطوری فضای مدیریت نظراتتون تمیز و مرتب باقی می‌مونه و دیگه لازم نیست وقتتون رو برای پاک کردن دستی نظرات اسپم تلف کنید.

فعال کردن این تنظیمات باعث می‌شه که سایتتون از نظر امنیتی قوی‌تر بشه و تجربه کاربری بهتری برای بازدیدکنندگان فراهم کنید. پس پیشنهاد می‌کنم که حتماً این گزینه‌ها رو فعال کنید تا از شر نظرات اسپم راحت بشید.

فایل آماده تنظیمات افزونه

اگر حس می‌کنید که حوصله یا وقت کافی برای انجام تک‌تک این تنظیمات رو ندارید، فدا سرتون. من یک فایل خروجی از تنظیمات افزونه آماده کردم که می‌تونید به راحتی اون رو روی سایت خودتون وارد کنید. با این کار، همه تنظیماتی که با هم مرور کردیم، به‌طور خودکار روی سایتتون اعمال می‌شه و دیگه نیازی به انجام دستی اون‌ها ندارید.

آنچه در این مقاله آموختیم

تو این مقاله گرفتیم چطور با فعال‌سازی چند گزینه ساده توی افزونه امنیتی وردپرس، سایت رو از خیلی از تهدیدات و حملات آنلاین محافظت کنیم. از جلوگیری از حملات بروت فورس گرفته تا شناسایی و حذف نظرات اسپم، همگی قدم‌های مهمی بودن که سایتتون رو امن‌تر و مطمئن‌تر کردن. حالا سایت شما آماده‌تر از همیشه‌ست تا در برابر خطرات اینترنتی امن بمونه. خوش باشید.