All In One Security

all-in-one-security و اینکه آیا می‌دانید که چرا متخصصان امنیت وردپرس توصیه می‌کنند افزونه All In One Security را حتما روی وردپرس خود نصب داشته باشید؟ امنیت وردپرس یکی از مهم‌ترین موضوعاتی است که ذهن مدیران وب سایت‌های وردپرسی را به خود مشغول کرده است؛ چرا که در صورت هک شدن، اعتبار آن‌ها یک شبه از بین می‌رود و خساراتی جبران ناپذیر به بار می‌آید. به طور کلی می‌توان گفت که وردپرس یک پلتفرم امن است، چرا که همواره توسط متخصصان بسیاری بازبینی می‌شود و در نسخه‌های جدید، اشکالات آن رفع می‌شود. اما سوال اینجاست که چرا هنوز هم سایت‌های وردپرسی بسیاری مورد حمله و نفوذ قرار می‌گیرند؟

متخصصان وردپرس بر این باور هستند که وردپرس به خودی خود مشکلی ندارد و مدیران سایت‌های وردپرسی با رعایت نکاتی ساده و نصب و پیکربندی یک افزونه امنیت وردپرس همچون All In One Security، می‌توانند امنیت سایت خود را تا حد زیادی افزایش داده و مانع از نفوذ ربات‌ها و افراد ناشناس شوند.

افزونه امنیت وردپرس All in One Security یک افزونه امنیتی جامع و رایگان می‌باشد که طیف گسترده‌ای از ویژگی‌ها از جمله فایروال داخلی، محافظت Brute Force و سیستم امتیازدهی امنیتی را در اختیار شما قرار می‌دهد. All in One Security یک راهکار کامل و یک روش عالی برای ارتقاء امنیت وردپرس شما است. در ادامه شما را با نحوه‌ی نصب و پیکربندی این افزونه آشنا می‌کنیم، با ما همراه باشید.

آموزش افزونه All in One Security

ابتدا وارد داشبورد وردپرس خود شوید و بر روی Add New Plugins کلیک کنید.

در بخش جستجو، “All in One Security” را وارد کنید. سپس این افزونه را نصب (Install Now) و فعال‌سازی (Activate) کنید.

در منوی سمت چپ بر روی “WP Security” کلیک کنید.

اکنون که افزونه نصب شده است، تنظیمات قسمت‌های مختلف این افزونه را بررسی می‌کنیم. توصیه می‌شود که تا پایان روند، اجازه‌ی دسترسی به فایل htaccess. را بدهید زیرا در غیر این‌صورت، برخی از قوانین فایروال را نمی‌توان تنظیم کرد.

با اجرای قوانین امنیتی در هر بخش، امتیاز امنیتی شما در داشبورد افزایش می‌یابد. در ضمن، ممکن است انجام همه‌ی کارها ممکن نباشد؛ زیرا همه‌ی میزبانان وب به شما امکان دسترسی کامل به محیط سرور خود را نمی‌دهند.

نکته: توصیه می‌کنیم مقاله‌ی جامع “آموزش افزایش امنیت وردپرس” را برای آشنایی با سایر روش‌هایی که برای ایمن‌تر ساختن وردپرس استفاده می‌شود، از دست ندهید.

امنیت حساب کاربری

برای تنظیم امنیت حساب کاربری، روی “User Accounts” در سمت چپ کلیک کنید. در این صفحه ۳ تب وجود دارد که عبارتند از: “WP Username”، “Display Name” و “Password”.

این افزونه در تب “WP Username” بررسی می‌کند که آیا نام کاربری مدیر را به طور پیش فرض “admin” (یا “مدیر”) تنظیم کرده‌اید یا خیر. داشتن یک کاربر با نام کاربری “admin” امنیت شما را به خطر می‌اندازد.

این افزونه در تب “Display Name” بررسی می‌کند که آیا نام نمایشی هر کاربر هنگام ارسال پست با نام کاربری وی یکسان است یا خیر. در صورتی که چنین باشد، باعث ایجاد ناامنی در وب سایت می‌شود زیرا به مهاجمان اجازه می‌دهد تا رمز عبور آن‌ها را حدس بزنند.

ورود کاربر

گزینه‌ی User Login در منو به شما امکان دسترسی به ۵ تب مختلف را می‌دهد. تنظیمات امنیتی تب‌های “Login Lockdown” و “Force Logout” باید پیکربندی شوند. ۳ تب دیگر نیز حاوی گزارشات و اطلاعات مربوط به ورود به سیستم هستند.

تب “Login Lockdown” به شما امکان می‌دهد برای ورود به سیستم محدودیت تعیین کنید. قوانینی که می‌توانید در اینجا تنظیم کنید، از سایت وردپرس شما در برابر تلاش‌های بروت فورس برای ورود به سیستم محافظت می‌کند. قوانین پیش فرض افزونه در این بخش، برای جلوگیری از دسترسی ربات‌ها به پنل مدیریت شما کافی هستند. “Enable Login Lockdown Feature” را علامت بزنید و بر روی “Save Settings” کلیک کنید.

تب “Force Logout” به شما امکان می‌دهد سایت وردپرس خود را به‌گونه‌ای تنظیم کنید که پس از مدت زمان مشخصی، به‌طور خودکار کاربر را از سیستم خارج کند. این کار از حضور طولانی مدت کاربران در سایت، به خصوص اگر مشکوک باشند، جلوگیری می‌کند. برای فعال کردن این ویژگی روی چک‌باکس “Enable Force WP User Logout” و سپس “Save Settings” کلیک کنید.

ثبت نام کاربر

گزینه‌ی “User Registration” در منوی سمت چپ، دارای سه تب مختلف است. “Manual Approval”، “Registration Captcha” و “Registration Honeypot”. این تب عمدتا برای سایت‌هایی است که امکان ثبت نام کاربر در آن‌ها وجود دارد. اگر سایت شما این‌گونه نیست، نیازی به پیکربندی تنظیمات موجود در این بخش ندارید.

تب “Manual Approval” جایی است که می‌توانید تمامی ثبت نام‌های کاربران را مجبور کنید تا به صورت دستی تأیید شوند. این نوع تائید، امن‌تر از ثبت نام خودکار است زیرا از ایجاد حساب توسط ربات‌ها جلوگیری می‌کند. روی چک‌باکس “Enable manual approval of new registrations” و سپس “Save Settings” کلیک کنید.

تب “Registration Captcha” به شما امکان می‌دهد تا در صفحه‌ی ثبت نام کاربر، کد کپچا قرار دهید. این کار، یک لایه‌ی امنیتی دیگر برای جلوگیری از ثبت نام ربات‌ها، به سایت شما اضافه می‌کند. روی چک‌باکس “Enable Captcha On Registration Page” و سپس “Save Settings” کلیک کنید.

تب “Registration Honeypot” به شما امکان می‌دهد چندین قسمت ورودی مخفی را به صفحه‌ی ثبت نام خود اضافه کنید که فقط ربات‌ها بتوانند آن‌ها را ببینند و پر کنند. این کار به شما امکان می‌دهد ربات‌ها را شناسایی کرده و از ایجاد حساب کاربری برای آن‌ها جلوگیری کنید. روی چک‌باکس “Enable Honeypot On Registration Page” و سپس “Save Settings” کلیک کنید.

امنیت پایگاه داده

گزینه‌ی Database Security menu در سمت چپ دارای دو تب “DB Prefix” و “DB Backup” می‌باشد.

قبل از استفاده از تب “DB Prefix”، باید بر روی تب “DB Backup” کلیک کنید تا قبل از انجام تغییرات بیشتر، از پایگاه داده‌ی خود نسخه‌ی پشتیبان یا بک‌آپ تهیه کنید. سپس بر روی “Create DB Backup Now” برای ایجاد نسخه‌ی پشتیبان فوری و “Enable Automated Scheduled Backups” کلیک کنید. شما می‌توانید برنامه‌ی زمانی دلخواه خود را برای تهیه‌ی نسخه‌های پشتیبان تنظیم کنید اما ما پیشنهاد می‌کنیم که تا حد ممکن هر چه بیشتر این کار را انجام دهید. پس از اتمام، بر روی “Save Settings” کلیک کنید.

اکنون تب “DB Prefix” را باز کنید. در اینجا می‌توانید پیشوند جدول پایگاه داده که توسط WordPress در پایگاه داده‌ی شما استفاده می‌شود را تغییر دهید. تغییر پیشوند جدول پایگاه داده باعث افزایش امنیت وب سایت می‌شود زیرا هدف قرار دادن آن از طریق حملات تزریق SQL توسط هکرها دشوارتر می‌شود. برای استفاده از این ویژگی، چک باکس تأیید “Generate New DB Table Prefix” را علامت بزنید (یا یک پیشوند وارد کنید) و سپس بر روی “Change DB Prefix” کلیک کنید.

مدیر لیست سیاه

در گزینه‌ی “Blacklist Manager” موجود در منوی سمت چپ، می‌توانید لیست‌های سیاه IP یا User Agent را تنظیم کنید. روی چک‌باکس “Enable IP or User Agent Blacklisting” و سپس روی “Save Settings” کلیک کنید. برای افزودن آدرس‌های IP که می‌خواهید مسدود کنید، باید از این قسمت تب استفاده کنید.

بروت فورس

در گزینه‌ی “Brute Force” موجود در منوی سمت چپ، می‌توانید تنظیمات صفحه‌ی ورود به سیستم را پیکربندی کنید. ۵ تب در این صفحه وجود دارد. به‌طور پیش فرض توصیه می‌کنیم تب‌های “Rename Login Page” و “Login Honeypot” را تنظیم کنید. توجه داشته باشید که گزینه‌های موجود در تب‌های “Cookie based Brute Force Prevention” ،”Login Captcha” و “Login Whitelist” باید به‌صورت انتخابی مورد استفاده قرار گیرند؛ زیرا برخی از آن‌ها برای پلتفرم‌های خاص مانند WooCommerce هستند یا در صورت استفاده‌ی نادرست می‌توانند مانع از دسترسی شما به پنل مدیریت‌تان شوند.

در تب “Rename Login Page” چک‌باکس “Enable Rename Login Page Feature” را علامت بزنید و سپس URL جدید صفحه‌ی ورود را وارد کنید و در نهایت بر روی ” Save Settings” کلیک کنید. تغییر URL ورود به سیستم، نسبت به استفاده از آدرس پیش فرض، ایمن‌تر است زیرا اکثر ربات‌ها نمی‌دانند از کجا باید وارد سیستم شوند.

نکته: مسیر ورود جدید را به خاطر بسپارید.

در تب “Honeypot” چک‌باکس “Enable Honeypot On Login Page” را علامت بزنید و روی “Save Settings” کلیک کنید. honeypot فیلدهای جعلی ورودی ایجاد می‌کند که فقط یک ربات می‌تواند آن‌ها را پر کند. اگر صفحه‌ی ورود به سیستم از این فیلدهای ورودی دریافت کند، وردپرس متوجه حضور ربات می‌شود و او را نادیده می‌گیرد.

پیشگیری از هرزنامه (اسپم)

برای افزایش امنیت وردپرس با فیلتر کردن comment spam، از گزینه‌ی “SPAM Prevention” در سمت چپ استفاده کنید. در اینجا چند تب مختلف وجود دارد که شما در درجه‌ی اول به “Comment Spam” و “Comment SPAM IP Monitoring” نیاز دارید. تب‌های “BBPress” و “BuddyPress” نیز تنها در صورت استفاده از این افزونه‌ها، باید تنظیم شوند.

در تب “Comment SPAM” هر دو چک‌باکس را علامت بزنید و روی “Save Settings” کلیک کنید. اگر کسی در سایت شما نظر دهد، قبل از ارسال نظر باید کد کپچا را به‌درستی وارد کند، در غیر این‌صورت، ربات اسپم شناخته شده و مسدود می‌شود.

اکنون در تب “Comment SPAM IP Monitoring” گزینه‌ی “Enable Auto Block of SPAM Comment IPs” را علامت بزنید، سپس روی “Save Settings” کلیک کنید. در اینجا می‌توانید حداقل تعداد نظرات اسپم را پیش از مسدودیت دائم تنظیم کنید.

اسکنر

اگر روی گزینه‌ی Scanner در منوی سمت چپ کلیک کنید، به اسکنر بدافزار All in One منتقل می‌شوید. از اینجا می‌توانید اسکن دستی انجام دهید و سیستم خود را طوری تنظیم کنید که از فایل‌های اصلی WordPress اسکن خودکار دوره‌ای انجام دهد.

“Enable Automated File Change Detection Scan” را علامت بزنید و سپس بر روی ” Save Settings” کلیک کنید.

با کلیک بر روی “Perform Scan Now” می‌توانید اسکن دستی انجام دهید.

فایروال

گزینه‌ی “Firewall” در منوی سمت چپ دارای تعدادی ویژگی است که می‌توانید به‌طور پیش فرض از آن‌ها استفاده کنید. هر تب در این بخش گزینه‌هایی دارد که می‌توانید آن‌ها را خارج از تب “Custom Rules” پیکربندی کنید. توجه داشته باشید که افزونه‌ی All in One نمی‌تواند قوانین فایروال را بدون دسترسی نوشتن در فایل htaccess. موجود در فولدر وردپرس پیکربندی کند.

در تب “Basic Firewall Rules” سه چک‌باکس وجود دارد که باید علامت بزنید. ابتدا “Enable Basic Firewall Protection” را علامت بزنید. با این کار فایروال اصلی روشن می‌شود و از دسترسی به چند قسمت از سیستم فایل وردپرس جلوگیری می‌کند.

سپس “Disable Pingback Functionality From XMLRPC” را علامت بزنید، زیرا برخی از افزونه‌ها به قابلیت XMLRPC نیاز دارند و توصیه نمی‌شود دسترسی به این مورد را به طور کامل مسدود کنید. گزینه‌ی “Block Access to debug.log File” را علامت بزنید و سپس بر روی “Save Settings” کلیک کنید.

در تب “Additional Firewall Rules” باید تیک تمام گزینه‌های موجود را بزنید و سپس روی دکمه‌ی “Save Additional Firewall Settings” در پایین کلیک کنید.

در تب “۶G Blacklist Firewall Rules” باید هر دو گزینه‌ی “Enable 6G Firewall Protection” و “Enable legacy 5G Firewall Protection” را علامت بزنید تا لیست‌های سیاه وردپرس را از سایت perishablepress.com به فایروال خود اضافه کنید. پس از اتمام، بر روی “Save 5G/6G Firewall Settings” کلیک کنید.

در تب “Internet Bots” چک‌باکس “Block Fake Googlebots” را انتخاب کرده و بر روی دکمه‌ی “Save Internet Bot Settings” در پایین کلیک کنید.

با کمک تنظیمات تب “Prevent Hotlinking” می‌توانید از هات‌لینک‌های سایت‌های دیگر به تصاویر میزبانی شده‌ی خود جلوگیری کنید. این کار هم محتوا و هم پهنای باند شما را حفظ می‌کند. چک‌باکس “Prevent Image Hotlinking” را انتخاب کرده و بر روی “Save Settings” کلیک کنید.

در تب “۴۰۴ Detection” می‌توانید افزونه All In One Security را به‌گونه‌ای تنظیم کنید تا IPهایی که به دفعات بالا برای دسترسی به صفحات ناموجود در سایت شما تلاش می‌کنند را مسدود کند. گزینه‌ی “Enable 404 IP Detection and Lockout” را علامت بزنید و سپس بر روی ” Save Settings” کلیک کنید.

File System Security

آخرین بخشی که باید بررسی کنید، گزینه‌ی “File System Security” در منوی سمت چپ است. در این قسمت تمام بخش‌های مهم وردپرس و مجوزهای فایل پیشنهادی ذکر شده است. اگر دکمه‌ی “Set Recommended Permissions” موجود در کنار هر گزینه کار نکرد، برای این کار از برنامه‌ی FTP یا chmod استفاده کنید.

سپس بر روی تب “WP File Access” و “Prevent Access to WP Default Install Files” و بعد بر روی “Save Settings” کلیک کنید. این کار از دسترسی به چند فایل که ممکن است اطلاعات نصب وردپرس را به ماجم ارائه دهند، جلوگیری می‌کند.

پس از انجام تمامی این مراحل، گام قابل توجهی در جهت ایمن سازی وب سایت وردپرسی خود برداشته‌اید. شما باید همواره از وب سایت خود نسخه‌های پشتیبان تهیه کنید، به طور مرتب تمامی افزونه‌های خود را به‌روز کنید و همچنین به هشدارها و هر چیزی که اسکن بدافزار این افزونه برای شما ارسال می‌کند، توجه کنید. ما در این مقاله از همه‌ی ویژگی‌های این افزونه استفاده نکردیم و تنها از تنظیماتی استفاده کردیم که با اکثر قالب‌ها و افزونه‌ها سازگار هستند. اکنون اگر به داشبورد بروید باید نمره‌ی امنیتی را به رنگ سبز مشاهده کنید:

جمع بندی:

امنیت وردپرس با توجه به استفاده‌‌ی بالا و محبوبیت فراوان این پلتفرم، روز‌ به روز اهمیت بیشتری پیدا می‌کند. ما در این مقاله به نحوه‌ی پیکربندی افزونه All In One Security پرداختیم. شما تنها با انجام تنظیمات این افزونه می‌توانید لایه‌های امنیتی قدرتمندی را به وب سایت خود اضافه کنید. اگر تمایل دارید با سایر افزونه‌های امنیتی وردپرس نیز آشنا شوید، مقاله‌ی آشنایی با بهترین افزونه‌های امنیتی وردپرس را به شما توصیه می‌کنیم.