امنیت وردپرسافزونهامنیتوردپرس

افزونه امنیت کامل وردپرس با افزونه All In One WP Security & Firewall (بخش دوم)

آموزش صفر تا صد امنیت کامل وردپرس

افزونه امنیت کامل وردپرس را در مقاله پیشین، بررسی کردیم و حالا به دومین بخش از آن رسیدیم. در این بخش به سراغ سایر تنظیمات امنیتی این افزونه خواهیم رفت. با ما همراه باشید.

افزونه امنیت کامل وردپرس بخش 4: منوی کاربری

منوی بعدی مربوط به بخش کاربری و کاربران وبسایت است. این بخش دارای 5 تب متفاوت است.

  • قفل ورود: تنظیمات مربوط به ورود کاربران به وبسایت همچون تعداد مجاز ورود رمز عبور اشتباه
  • رکورد ورودهای ناموفق: تعداد دفعات تلاش ورود ناموفق با جزئیات
  • خروج اجباری: تنظیم مدت زمانی که یک کاربر می تواند در سایت لاگین باقی بماند. پس از این مدت از حساب کاربری خود به صورت خودکار خارج می شود
  • گزارش فعالیت های حساب: گزارشی از ورود و خروج های کاربران
  • کاربران وارد شده: لیستی از کاربرانی که در وبسایت وارد شده اند و همچنان خارج نشده اند (کاربران آنلاین)

بخش 4-1: قفل ورود

یکی از راههایی که هکر‌ها در روش حمله بورت فورث. برای ورود استفاده می‌کنند این است که به صورت مداوم اقدام به ورود می‌کنند تا زمانی که رمز را حدس بزنند.

جدا از انتخاب گذرواژه قدرتمند، نظارت و مسدود کردن IPهایی که در یک بازه کوتاه چندین‌بار ورود ناموفق داشته اند، یک روش کارآمد برای جلوگیری از بروز این نوع حملات است.

در حملات بورت فورث، هکر ها با حدس نام کاربری شما، شروع به تلاش با استفاده از پرتکرار ترین و محتمل ترین رمز های عبور خواهند نمود. به عبارتی با فرض داشتن نام کاربری شما، رمز های عبور مختلفی را تست می کنند تا در نهایت یکی از آن ها، رمز عبور صحیح باشد.

انتخاب رمز عبور قدرتمند به تنهایی موثر نخواهد بود. لذا نیاز دارید تا تمهیدات دیگری در نظر داشته باشید. یکی از آن ها محدود کردن تعداد تلاش های ناموفق است.

در این بخش 3 جعبه مختلف قرار دارد. جعبه اول تحت عنوان “گزینه های بازداری از ورود” است. این بخش دارای سطح آسان و 20 امتیاز است که به نوبه خود تاثیر بسیار بالایی در تامین امنیت وبسایت شما دارد.

به کارگیری ویژگی بازداری از ورود: با زدن این تیک، این قابلیت امنیتی برای شما فعال خواهد شد.

فعال سازی ویژگی بازداری از ورود
فعال سازی ویژگی بازداری از ورود

اجازه درخواست قفل گشایی: گاهی ممکن است کاربر شما رمز عبور خود را فراموش نموده و سعی کند تا با حدس زدن رمز عبور، وارد سایت شما شود.

کاربر پس از مسدود شدن اجازه ارسال درخواست بازگشایی خواهد داشت
کاربر پس از مسدود شدن اجازه ارسال درخواست بازگشایی خواهد داشت

پس از چندین تلاش ناموفق، آی پی وی مسدود می شود. با زدن تیک این گزینه، پس از مسدود سازی وی، لینکی در اختیار او قرار می گیرد که با وارد کردن ایمیل خود، می تواند درخواست بازگشایی آی پی ارسال نماید.

Aqaye Pardakht
مسدود سازی کاربر
مسدود سازی کاربر در افزونه امنیت کامل وردپرس

با این کار یک ایمیل حاوی لینکی برای ورود برای او ارسال می شود.

ارسال درخواست ایمیل بازگشایی
ارسال درخواست ایمیل بازگشایی در افزونه امنیت کامل وردپرس

حداکثر تعداد تلاش برای ورود: در این قسمت می توانید تعداد دفعات تلاش های ورود ناموفق را تعیین کنید. یعنی فرضا فرد می تواند تا 3 مرتبه رمز عبور ناصحیح وارد نماید و پس از آن بلاک می شود.

حداکثر تعداد تلاش ناموفق برای ورود
حداکثر تعداد تلاش ناموفق برای ورود

بازه زمانی تلاش برای ورود دوباره (دقیقه): بازه زمانی که تعداد ورود در آن شمرده می شود. به عبارتی در صورتی که کاربر در عرض 5 دقیقه، 3 مرتبه تلاش ناموفق داشته باشد، آی پی وی قفل می شود.

اما در صورتی که در عرض 5 دقیقه تنها دو ورود نا موفق داشته و ورود سوم به بعد از 5 دقیقه موکول شود اقفل آی پی انجام نمی شود. به عبارت دیگر، باید 3 مرتبه ورود ناموفق در 5 دقیقه باشد تا قفل انجام شود.

بازه زمانی تلاش برای ورود دوباره
بازه زمانی تلاش برای ورود دوباره در افزونه امنیت کامل وردپرس

در این حالت کاربر می تواند هر 5 دقیقه یک یا دوبار تلاش برای ورود داشته باشد تا آی پی وی قفل نشود.

بازه زمانی قفل کردن (دقیقه): مدت زمانی که یک آی پی پس از آخرین تلاش ورود ناموفق قفل می ماند. یعنی فرضا پس از 3 مرتبه ورود رمز اشتباه و قفل آی پی، این قفل تا چه مدت باقی مانده و پس از آن به صورت خودکار قفل آی پی برداشته شود. در این جا کاربر در صورت ورود ناموفق بیش از 3 مرتبه، آی پی وی قفل شده و پس از 60 دقیقه این قفل آی پی به صورت خودکار برداشته می شود.

مدت زمانی که IP مسدود شده پس از آن به صورت خودکار آزاد می شود
مدت زمانی که IP مسدود شده پس از آن به صورت خودکار آزاد می شود

نمایش پیام خطای عمومی: در حالت عادی وقتی فردی اطلاعات ورود اشتباه وارد نماید، وردپرس به اون اعلام می کند که کدام یک از اطلاعات ورود اون اشتباه است.

نمایش پیام خطای عمومی
نمایش پیام خطای عمومی در افزونه امنیت کامل وردپرس

فرضا اگر نام کاربری صحیح و رمز اشتباه باشد، به اون اعلام می کند که رمز عبور اشتباه است. این موضوع به هکر می فهماند که نام کاربری را درست حدس زده و تنها باید رمز عبور صحیح پیدا نماید.

در این مثال به هکر می فهماند چنین نام کاربری در سایت وجود ندارد.
در این مثال به هکر می فهماند چنین نام کاربری در سایت وجود ندارد.
در این حالت به هکر میفهماند نام کاربری مورد نظر درسایت موجود است و تنها رمز اشتباه است.
در این حالت به هکر میفهماند نام کاربری مورد نظر درسایت موجود است و تنها رمز اشتباه است.

با زدن این تیک، یک پیغام کلی برای کاربر نمایش داده می شود.

در این حالت چنین پیغام کلی نمایش داده خواهد شد.
در این حالت چنین پیغام کلی نمایش داده خواهد شد.

قفل کردن فوری نام های کاربری نامعتبر: در صورتی که فردی بخواهد با نام کاربری یا ایمیلی که در وبسایت شما وجود ندارد، وارد سایت شود، بلافاصله بلاک خواهد شد. برای فعال سازی این حالت این تیک را بزنید.

قفل فوری نام های کاربری نامعتبر
قفل فوری نام های کاربری نامعتبر در افزونه امنیت کامل وردپرس

سریعا نام های کاربری مشخص را قفل کن: در صورتی که می خواهید، با ورود نام های کاربری به خصوصی، بلافاصله کاربر بلاک شود، در اینجا آن نام های کاربری را وار کنید. در هر خط یک نام کاربری. برای مثال اگر من نام کاربری admin را در اینجا وارد کنم، چنانچه کاربری بخواهد با این نام کاربری تلاش برای ورود داشته باشد، بلافاصله مسدود می شود.

نام های کاربری مشخص را بلافاصله قفل کنید
نام های کاربری مشخص را بلافاصله قفل کنید

آگاه کردن از راه ایمیل: در صورتی که می خواهید، پس از قفل کردن یک کاربر، ایمیل اطلاع رسانی برای شما ارسال شود، تیک این قسمت را بزنید و ایمیلی که قصد دارید تا در چنین مواقعی، هشدار به آن ارسال شود را وارد نمائید.

آگاه کردن از راه ایمیل
آگاه کردن از راه ایمیل در افزونه امنیت کامل وردپرس

محدوده IPهایی که هم اکنون قفل شده اند: در این قسمت لینکی به بخش لیست آی پی های قفل شده وجود دارد. با کلیک بر آن می توانید لیست آی پی های قفل شده را مشاهده نمائید.

محدوده IPهایی که هم اکنون در حالت مسدودی هستند
محدوده IPهایی که هم اکنون در حالت مسدودی هستند

تنظیمات لیست سفید آی پی قفل صفحه ورود: اگر یک ای پی ثابت برای خودتان دراختیار دارید که تنها شما از آن آی پی استفاده می نمائید، می توانید ضمن فعال سازی این بخش، لیست آی پی های مورد تایید خودتان را در این بخش وارد نمائید. این آی پی ها تحت هیچ شرایطی مسدود نخواهند شد.

تنظیمات لیست سفید آی پی قفل کردن صفحه ورود
تنظیمات لیست سفید آی پی قفل کردن صفحه ورود در افزونه امنیت کامل وردپرس

یک یا چند آدرس آی پی را که می خواهید در لیست سفید خود وارد کنید . آدرس های مشخص شده در اینجا هرگز توسط ویژگی قفل ورودی مسدود نخواهد شد.

هر آی پی آدرس می بایست در یک خط جدید وارد شود.

برای مشخص کردن یک رنج آی پی از Wildcard “*” استفاده کنید. روش های درست استفاده از Wildcardها در نمونه های زیر نشان داده شده است:

نمونه یک : ۱۹۵.۴۷.۸۹.*

نمونه دو : ۱۹۵.۴۷.*.*

نمونه سه : ۱۹۵.*.*.*

بخش 4-2: رکوردهای ورود ناموفق

این تَب، همه تلاش‌های ناموفق برای ورود به سایت شما را نشان می‌دهد.

اگر شما نیاز به انجام بررسی‌های امنیتی دارید، اطلاعات زیر می تواند سودمند باشد. زیرا این اطلاعات به شما محدوده IP، نام کاربری و ID (در صورت وجود) و تاریخ / زمانهای ورود ناموفق را نشان می‌دهد.

هر گزارش بعد از 90 روز به صورت خودکار حذف می شود. بنابراین همواره 90 گزارش اخیر لیست می شود.

در اینجا لیستی از تمامی آی پی هایی که از طریق آن ها ورود ناموفق اتفاق افتاده لیست شده است.

رکوردهای ورود ناموفق
رکوردهای ورود ناموفق در افزونه امنیت کامل وردپرس

می توانید در صورت نیاز کل این لیست یا به صورت مورد حذف نمائید.

در جعبه بعدی این امکان وجود دارد تا این لیست را به صورت یک فایل با پسوند CSV دانلود نمائید.

خروجی CSV از رکوردهای ناموفق
خروجی CSV از رکوردهای ناموفق در افزونه امنیت کامل وردپرس

همچنین در جعبه بعدی دکمه ای قرار دارد تا امکان حذف یکباره تمامی رکوردهای ناموفق در افزونه امنیت کامل وردپرس را به شما خواهد داد.

پاک کردن یکجای همه گزارش های ورود ناموفق
پاک کردن یکجای همه گزارش های ورود ناموفق درافزونه امنیت کامل وردپرس

بخش 4-3: خروج اجباری

تنظیم یک بازه زمانی برای مدت زمان حضور مدیر در سایت، یک راه مفید برای جلوگیری از دسترسی غیرمجاز به سایت از راه کامپیوتر شماست.

این ویژگی به شما اجازه می‌دهد تا یک بازه زمانی (به دقیقه) تعیین کنید؛ پس از این بازه زمانی مدیر به طور خودکار از سایت خارج می‌شود و برای وارد شدن دوباره باید گذرواژه را وارد کند.

در این قسمت می توانید مدت زمانی را مشخص نمائید که کاربر پس از ورود به سایت می تواند همچنان در سایت باقی بماند و پس از طی این مدت به صورت خودکار بیرون انداخته می شود.

در این بخش یک جعبه با عنوان “گزینه های بیرون کردن اجباری کاربر” قرار داد.

گزینه های بیرون کردن اجباری کاربر
گزینه های بیرون کردن اجباری کاربر در افزونه امنیت کامل وردپرس

پس از فعال سازی این قابلیت، می توانید مدت زمانی را بر حسب دقیقه وارد نمایئد که کاربر پس از آن به صورت خودکار از سایت بیرون انداخته می شود.

بخش 4-4: گزارش فعالیت های حساب

این تب فعالیت فعالیت حساب های ثبت شده در سایت شما را که با استفاده از فرم ورود وردپرس وارد سیستم شده اند نشان می دهد.

در صورت نیاز به انجام تحقیقات امنیتی ، اطلاعات زیر مفید خواهد بود زیرا 100 رویداد اخیر ورود به سیستم را با نام کاربری ، آدرس IP و زمان / تاریخ به شما نشان می دهد.

در این قسمت 100مورد از آخرین ورودهای وبسایت لیست خواهد شد.
در این قسمت 100مورد از آخرین ورودهای وبسایت لیست خواهد شد.

می توانید از این لیست یک خروجی CSV تهیه نمائید.

خروجی CSV از رکوردهای ناموفق
خروجی CSV از رکوردهای ناموفق در افزونه امنیت کامل وردپرس

بخش 4-5: کاربران وارد شده

این تَب همه کاربرانی را که هم اکنون در سایت شما حاضر هستند، نشان می‌دهد.

اگر شما به یک یا چند نفر از کاربران حاضر، بدگمان هستید، می‌توانید آی پی آدرس آن‌ها را از جدول زیر برداشته و در لیست سیاه خود قرار دهید.

شما می توانید فورا آنها را از سیستم خارج کنید با کلیک بر روی لینک “خروج اجباری” وقتی که روی ردیف ستون شناسه‌ی کاربر هستید.

در بالاترین قسمت جعبه ای قرار دارد که با کلیک بر روی دکمه تازه سازی، لیستی از تمامی کاربران سایت که در حال حاضر در سایت حضور دارند و وارد حساب کاربری خود شده اند، به روز می شود.

در این لیست می توانید برای هر کاربر، دستور خروج اجباری صادر نمائید تا کاربر مجددا وارد سایت شود.

لیست کاربرانی که در سایت انلاین هستند
لیست کاربرانی که در سایت انلاین هستند در افزونه امنیت کامل وردپرس

برای خروج کاربر بر روی دکمه Force Logout در زیر شناسه کاربر کلیک نمائید.

افزونه امنیت کامل وردپرس بخش 5: نام نویسی کاربران

در این بخش از منوی افزونه امنیت کامل وردپرس ، تنظیمات امنیتی مربوط به ثبت نام کاربران قرار دارد. این بخش دارای 3 قسمت متفاوت است.

بخش های 3 گانه تنظیمات نام نویسی کاربران
بخش های 3 گانه تنظیمات نام نویسی کاربران در افزونه امنیت کامل وردپرس
  • تایید دستی: در صورتی که قصد دارید تا کاربران پس از ثبت نام بدون تایید شما امکان ورود به سایت را نداشته باشند، این بخش را تکمیل نمائید. در واقع ثبت نام کاربر بدون تایید دستی شما انجام نمی شود.
  • کد امنیتی برای نام نویسی: در این بخش تنظیماتی برای فعال سازی قابلیت کپچا در فرم ثبت نام تعبیه شده است.
  • ثبت نام ظرف عسل: فعال سازی تکنیک Honeypot یا ظرف عسل برای به دام انداختن ربات های هکری

بخش 5-1: تایید دستی

این بخش دارای 2 جعبه تنظیم است.

در جعبه اول با عنوان “تایید دستی نام نویسی های تازه” توضیحاتی به این شرح ارائه شده است:

اگر سایت شما به مردم اجازه می‌دهد که خودشان از طریق فرم نام‌نویسی وردپرس برای خودشان حساب کاربری بسازند، شما می‌توانید با تأیید دستی نام‌نویسی‌ها جلوی مزاحم‌ها و جفنگ‌نویس‌ها را بگیرید.

این ویژگی به طور خودکار، حساب‌های تازه را در لیست انتظار قرار می‌دهد تا زمانی که مدیر آن حساب را فعال کند. بنابراین حساب‌های ناخواسته بدون تأیید صریح شما نمی‌توانند وارد سایت شوند.

شما می‌توانید همه حساب‌هایی را که به تازگی نام‌نویسی کرده اند در جدول زیر ببینید و کارهای دسته جمعی مانند فعال‌کردن/غیر فعال‌کردن/پاک کردن را روی آنها انجام دهید.

برای فعال سازی این قسمت، تیک موجود در تصویر را بزنید و تنظیمات را ذخیره نمائید.

فعال سازی تایید دستی ثبت نام کاربران
فعال سازی تایید دستی ثبت نام کاربران در افزونه امنیت کامل وردپرس

این قابلیت تنها در صورتی کاربرد دارد تا قابلیت ثبت نام در سایت شما فعال باشد. برای فعال سازی یا عدم فعال سازی این قابلیت به بخش تنظیمات عمومی وبسایت خود مراجعه کنید.

نمایش پیغام به کاربران پس از ثبت نام
نمایش پیغام به کاربران پس از ثبت نام در افزونه امنیت کامل وردپرس

در جعبه ای دیگر، لیستی از تمامی ثبت نام های در انتظار برای تایید یا رد توسط شما قرار دارد.

لیستی از کاربرانی که ثبت نام آن ها در انتظار تایید یا رد است
لیستی از کاربرانی که ثبت نام آن ها در انتظار تایید یا رد است

با نگه داشتن ماوس در زیر شناسه کاربر تعدادی گزینه نمایان می شود:

اقدامات ممکن برای تایید یا رد دستی درخواست های ثبت نام
اقدامات ممکن برای تایید یا رد دستی درخواست های ثبت نام
  • View: مشاهده جزئیات ثبت نام کاربر
  • Approve: تایید ثبت نام کاربر
  • Delete: حذف رکورد ثبت نام
  • Block IP: مسدود سازی آی پی کاربر

بخش 5-2: کد امنیتی برای نام نویسی

این ویژگی به شما اجازه می‌دهد که یک فرم کد امنیتی به برگه نام‌نویسی وردپرس اضافه کنید.

کسانی که می‌خواهند نام‌نویسی کنند بایستی به یک پرسش ساده ریاضی پاسخ بدهند. در صورت دادن پاسخ اشتباه آن‌ها نمی‌توانند نام نویسی کنند.

بنابراین افزودن یک فرم کد امنیتی به برگه نام‌نویسی یک ترفند ساده دیگر برای جلوگیری از نام‌نویسی جفنگ‌نویس‌هاست.

این بخش دارای یک جعبه تنظیمات است که با فعال سازی و ذخیره آن، کد امنیتی ریاضی به فرم ثبت نام شما اضافه این ویژگی به شما اجازه می‌دهد که یک فرم کد امنیتی به برگه نام‌نویسی وردپرس اضافه کنید.
کسانی که می‌خواهند نام‌نویسی کنند بایستی به یک پرسش ساده ریاضی پاسخ بدهند. در صورت دادن پاسخ اشتباه آن‌ها نمی‌توانند نام نویسی کنند.
بنابراین افزودن یک فرم کد امنیتی به برگه نام‌نویسی یک ترفند ساده دیگر برای جلوگیری از نام‌نویسی جفنگ‌نویس‌هاست.

می شود که مانع فعالیت ربات های مهاجم می شود.

فعال سازی کد امنیتی در صفحه ثبت نام
فعال سازی کد امنیتی در صفحه ثبت نام افزونه امنیت کامل وردپرس
اضافه شدن کد امنیتی به صفحه ثبت نام وردپرس
پس از فعال سازی این قابلیت، یک کد امنیتی ریاضی به صفحه ثبت نام اضافه می شود که متغیر است.

بخش 5-3: ثبت نام ظرف عسل

این ویژگی به شما امکان می دهد یک فیلد پنهانی “ظرف عسل” مخفی در صفحه ثبت نام وردپرس اضافه کنید. این فقط برای روبات قابل مشاهده و برای انسان غیرقابل مشاهده است.


از آنجائی که ربات، تمام فیلدها را پر می کند، لذا در دام این تله خواهد افتاد. روشی که honeypots کار می کند این است که فیلد مخفی در بخشی داخل فرمی که تنها ربات ها ارسال می کند قرار می دهد. اگر آن فیلد دارای مقداری باشد آن‌گاه فرم ارسال می شود.


اگر افزونه امنیت کامل وردپرس تشخیص دهد که یک ربات درحال استفاده از فیلدهای موجود برای ارسال فرم ثبت نام است، بنابراین رباتی که تلاش می کند در سایت شما ثبت نام کند، به آدرس لوکال هاست هدایت می شود:URLs: http://127.0.0.1.

با فعال سازی این قابلیت، یک فیلد مخفی برای انسان اما نمایان برای ربات در صفحه ثبت نام قرار می گیرد. ربات، این فیلد را پر خواهد کرد اما کاربر عادی آن را پر نمی کند (چون آن را نمی بیند). در این حالت ربات ما در دام ظرف عسل خواهد افتاد و بلافاصله IP وی قفل خواهد شد.

فعال سازی قابلیت ظرف عسل در فرم ثبت نام
فعال سازی قابلیت ظرف عسل در فرم ثبت نام افزونه امنیت کامل وردپرس

بخش 6: امنیت پایگاه داده در افزونه امنیت کامل وردپرس

در منوی بعدی تنظیمات، با ویژگی های امنیتی مرتبط با پایگاه داده روبرو هستیم. این بخش دارای 2 قسمت است.

بخش امنیت پایگاه داده افزونه امنیت کامل وردپرس
بخش امنیت پایگاه داده افزونه امنیت کامل وردپرس
  • پیشوند دیتابیس: تنظیمات مربوط به تغییر پیشوند پایگاه داده
  • فایل پشتیبان دیتابیس: دریافت نسخه پشتیبان از دیتابیس

بخش 6-1: پیشوند پایگاه داده

دیتابیس وردپرس شما،مهم ترین قسمت سایت شماست؛ زیرا بخش ارزشمند اطلاعات سایت شما در آن است.
دیتابیس همچنین هدفی برای هکرها می باشد که از طریق SQL Injections یا کدهای خرابکارانه خودکار جدولهای خاصی را هدف می گیرند.
یک راه برای حفاظت از دیتابیس، تغییر پیشوند وردپرس برای جدول ها یعنی “_wp” ، به چیز دیگری است که حدس زدن آن برای هکرها دشوار باشد.
این ویژگی به شما امکان تغییر آسان پیشوند دیتابیس را می دهد؛ شما می توانید از پیشوند دلخواه خودتان یا از پیشوند تصادفی افزونه امنیت کامل وردپرس استفاده کنید.

به صورت پیش فرض، تمام جداول یک سایت وردپرسی دارای پیشوند wp_ هستند که خوب برای هر هکری شناخته شده است. بهترین زمان برای تغییر این پیشوند در زمان ساخت وبسایت و پیش از نصب افزونه ها و فعال سازی قالب هاست.

اگر از قبل این تغییرات انجام شده است نیازی به انجام کار خاصی ندارید.

اما در صورتی که پیشوند پایگاه داده شما همان مقدار پیش فرض است، لازم است ضمن تهیه نسخه پشتیبان از پایگاه داده، توسط تنظیمات این قسمت، ان را به هر مقدار دیگری تغییر دهید.

کافیست تیک فعال سازی این قابلیت را زده و در فیلد پائینی، پیشوند پایگاه داده مورد نظر خود را وارد نمائید و سپس بر روی تغییر پیشوند دیتابیس کلیک کنید.

تغییر پیشوند پایگاه داده
تغییر پیشوند پایگاه داده در افزونه امنیت کامل وردپرس

بخش 6-2: پشتیبان دیتابیس

در این قسمت در اولین باکس، می توانید به صورت دستی یک پشتیبان از پایگاه داده تهیه نمائید.

پشتیبان گیری دستی از دیتابیس
پشتیبان گیری دستی از دیتابیس در افزونه امنیت کامل وردپرس

همچنین می توانید از بخش “پشتیبان گیری خودکار” قابلیتی را فراهم نمائید تا در بازه های زمانی خاصی، به صورت خودکار، از دیتابیس شما پشتیبان تهیه شود.

برای فعال سازی این بخش، تیک مربوطه را بزنید.

فعال سازی پشتیبان گیری خوکار
فعال سازی پشتیبان گیری خودکار در افزونه امنیت کامل وردپرس

در قسمت بعدی می توانید مشخص کنید هر چند (هفته یا روز یا ساعت) این پشتیبان گیری انجام شود.

بازه زمانی پشتیبان گیری
بازه زمانی پشتیبان گیری در افزونه امنیت کامل وردپرس

همچنین می توانید تعیین کنید پس از هر بار پشتیبان گیری چه تعداد نسخه پشتیبان در هاست شما باقی بماند. فرضا همیشه 2 نسخه در سایت باقی می ماند. با هر بار پشتیبانی گیری تنها دو نسخه اخر باقی مانده و قدیمی تر ها حذف می شوند.

تعداد فایل های پشتیبان که باید نگه داشته شود
تعداد فایل های پشتیبان که باید نگه داشته شود

اگر می خواهید نسخه پشتیبان و لینک دانلود آن برایستان ایمیل شود تیک این قسمت را زده و ایمیلی که قصد دارید تا نسخه پیشتیبان به آن ارسال شود را کلیک کنید.

فرستادن فایل پشتیبان از طریق ایمیل
فرستادن فایل پشتیبان از طریق ایمیل در افزونه امنیت کامل وردپرس

بخش 7: امنیت فایل های سیستم

در منوی بعدی به تنظیمات امنیتی مربوط به فایل های سیستمی می رسیم. در این بخش 4 قسمت مجزا وجود دارد.

بخش امنیت فایل های سیستم
بخش امنیت فایل های سیستم
  • مجوز فایل ها: تنظیمات مربوط به سطح دسترسی فایل ها
  • ویرایش فایل های PHP: تنظیم قابلیت ویرایش فایل های PHP از پیشخوان وردپرس
  • دسترسی به فایل های وردپرس: محدودیت دسترسی به فایل های وردپرسی
  • گزارش سیستم هاست: ذخیره یک فایل log از گزارش های هاست

بخش 7-1: مجوزهای فایل

دسترسی و اجازه خواندن و نوشتن فایل ها و پوشه هایی که وردپرس را می سازند، توسط مجوزهای فایل کنترل می شود.
نسخه وردپرس شما به صورت پیش‌فرض با تنظیمات درست مجوزهای فایل عرضه می‌شود.
با این حال،گاهی مردم یا سایر افزونه ها تنظیمات این مجوزها را برای فایلهای هسته وردپرس به شکل نادرستی تغییر می‌دهند و این در نهایت باعث ناامن شدن سایت می شود.
این ویژگی فایل‌ها و پوشه‌های مهم هسته وردپرس را اسکن می کند؛ سپس هر تنظیمات مجوزی را که ناامن باشد مشخص می کند.

در این قسمت اسکنی از تمامی فایل های  مهم وردپرسی با سطح دسترسی وجود دارد. در صورت نیاز، به تنظیم سطح دسترسی، می توانید سطوح پیشنهادی را تنظیم نمائید.

تنظیم دسترسی های پیشنهادی برای فایل های سیستم
تنظیم دسترسی های پیشنهادی برای فایل های سیستم در افزونه امنیت کامل وردپرس

بخش 7-2: ویرایش فایل های PHP

پیشخوان وردپرس به طور پیش‌فرض به مدیران سایت اجازه ویرایش فایل‌های PHP (مانند فایل‌های پوسته ها و افزونه ها) را می‌دهد.
معمولا این نخستین راهی است که یک هکر در صورت ورود به سایت از آن استفاده می کند؛ زیرا از این طریق می تواند کدهای خودش را اجرا کند.
این ویژگی امکان ویرایش فایل های PHP از طریق پیشخوان وردپرس را غیرفعال می کند.

به صورت پیش فرض می توانید فایل های PHP قالب ها و افزونه ها را از طریق پیشخوان ویرایش نمائید. در صورت دسترسی هکر به پیشخوان شما، به راحتی می تواند کدهای مخرب در کدهای PHP قالب ها و افزونه های شما قرار دهد.

برای جلوگیری از این امر، می توانید با زدن تیک این ویژگی امنیتی، دسترسی به ویرایش فایل های PHP از طریق پیشخوان را غیرفعال کنید.

غیرفعال کردن ویرایش فایل های PHP از طریق پیشخوان
غیرفعال کردن ویرایش فایل های PHP از طریق پیشخوان در افزونه امنیت کامل وردپرس

بخش 7-3: دسترسی به فایل های وردپرس

این ویژگی امکان جلوگیری از دسترسی به فایل‌‎هایی مانند readme.html ، license.txt و wp-config-sample.php را فراهم می کند. این فایل‌ها به همراه هر نگارش وردپرس عرضه می شوند.

با جلوگیری از دسترسی به این فایل‌ها شما تعدادی از اطلاعات کلیدی (مانند نسخه وردپرس) را از چشم هکرها پنهان می کنید.

با تنظیم این ویژگی امنیتی، امکان دسترسی به فایل های ذکر شده مسدود می شود.

جلوگیری از دسترسی به فایل های پیش فرض وردپرس
جلوگیری از دسترسی به فایل های پیش فرض وردپرس در افزونه امنیت کامل وردپرس

بخش 7-4: گزارش سیستم هاست

گاهی سیستم هاست شما گزارش‌های خطا یا هشدار در قالب فایل “error_log” تولید می کند.
بسته به نوع و دلیل بروز خطا یا هشدار، سیستم هاست شما می‌تواند چندین نسخه از این فایل را در مسیرهای مختلف وردپرس ایجاد کند.
با دیدن گاه به گاه درونمایه این فایل‌های گزارش شما می توانید از همه مشکلات پنهان سیستم آگاه شوید.

در این قسمت می توانید با ذخیره این ویژگی لیستی از گزارش های ذخیره شده در فایل error_log یا با هر نام دیگری را در پیشخوان مشاهده کنید و نیازی به ورود به هاست و باز کردن این فایل ندارید. این فایل در مسیر روت سایت شما قرار دارد _public_html)

دیدن گزارش های سیستم
دیدن گزارش های سیستم در افزونه امنیت کامل وردپرس

بخش 8: مدیریت فهرست سیاه

فهرست سیاه AIOWP به شما این امکان را می دهد تا یک میزبان آی پی مشخص یا یک رنج آی پی یا یک نرم افزار خاص را مسدود کنید.
این ویژگی دسترسی کامل به سایت را برای کاربرانی که آی پی یا نرم افزار مشخص شده در پایین را دارند، قطع می کند.
افزونه برای رسیدن به این هدف تغییراتی در فایل htaccess. شما می دهد.
با مسدود کردن مردم از طریق فایل htaccess. شما از محکم ترین خط دفاعی اولیه استفاده می کنید؛ این خط دفاعی دسترسی کامل بازدیدکنندگان ممنوعه را قطع می کند.

دراین قسمت می توانید آی پی های خاصی را تحت عنوان Black List یا لیست سیاه معرفی کنید تا هیچ کاربری یا رباتی از این آی پی امکان دسترسی به سایت شما را نخواهد داشت.

نکته مهم اینکه این یک تنظیم امنیتی حساس و پیشرفته هست که حتی ممکن است دسترسی ادمین سایت را هم قفل کند. در استفاده از آن دقت کنید. در صورت نیاز می توانید با کارشناسان پشتیبانی دوناوب در ارتباط باشید.

در بخش اول، تیک فعال سازی این قابلیت قرار دارد. با زدن این تیک، این قابلیت امنیتی فعال خواهد شد.

ساماندهی فهرست لیست سیاه
ساماندهی فهرست لیست سیاه در افزونه امنیت کامل وردپرس

در ادامه می توانید آی پی هایی که قصد دارید تا در لیست سیاه قرار داشته باشند وارد نمائید.

آدرس های آی پی را وارد کنید تا در لیست سیاه قرار بگیرد
آدرس های آی پی را وارد کنید تا در لیست سیاه قرار بگیرد

در قسمت قبل می توانید User Agent هایی که قصد مسدودسازی آن ها را دارید را وارد نمائید.

هر نرم افزار نماینده کاربری می بایست در یک خط جدید وارد شود.

ورود useragent ها
ورود useragent ها در افزونه امنیت کامل وردپرس

هر نرم افزار نماینده کاربری می بایست در یک خط جدید وارد شود.

نمونه یک – یک نرم افزار نماینده کاربری برای مسدود کردن:

SquigglebotBot

نمونه دو: یک لیست از نرم افزارهای نماینده کاربری برای مسدود کردن

baiduspider
SquigglebotBot
SurveyBot
VoidEYE
webcrawl.net
YottaShopping_Bot

دومین قسمت آموزش امنیت کامل وردپرس به اتمام رسید. باقی قسمت های این آموزش را می توانید از طریق لینک های زیر مطالعه کنید.

امنیت کامل وردپرس با افزونه All In One WP Security & Firewall (بخش اول)

آموزش امنیت کامل و دیواره آتش وردپرس (بخش سوم)

نمایش بیشتر
میانگین امتیازات : 4.9/5 - تعداد امتیازات: 10 امتیاز
Aqaye Pardakht

رحمت ابراهیمیان قاجاری

دانش آموخته مهندسی برق و مدرس وب هستم. حتی قبل از اینکه وارد دانشگاه بشم، به برنامه نویسی علاقه مند شدم و از اون زمان تا الان، هرگز کدنویسی رو رها نکردم. چه به عنوان مدرس، و چه به عنوان یک برنامه نویس. دغدغه اشتغال و بهبود فضای کار و زندگی برای همه دانشجویانم رو دارم. به همین خاطر معتقدم بدون آموزش پروژه محور و اصولی، اشتغال پایدار و با درآمد خوب شکل نمی گیره. علاقمند به برنامه نویسی، تکنولوژی و توسعه مهارت های نرم و الان هم بنیان گذار مجموعه دوناوب هستم و با یه تیم خوب و پرانرژی روزهام رو می گذرونم.

دیدگاهتان را بنویسید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *

دکمه بازگشت به بالا