افزونه امنیت کامل وردپرس با افزونه All In One WP Security & Firewall (بخش دوم)

افزونه امنیت کامل وردپرس را در مقاله پیشین، بررسی کردیم و حالا به دومین بخش از آن رسیدیم. در این بخش به سراغ سایر تنظیمات امنیتی این افزونه خواهیم رفت. با ما همراه باشید.

افزونه امنیت کامل وردپرس بخش 4: منوی کاربری

منوی بعدی مربوط به بخش کاربری و کاربران وبسایت است. این بخش دارای 5 تب متفاوت است.

• قفل ورود: تنظیمات مربوط به ورود کاربران به وبسایت همچون تعداد مجاز ورود رمز عبور اشتباه
• رکورد ورودهای ناموفق: تعداد دفعات تلاش ورود ناموفق با جزئیات
• خروج اجباری: تنظیم مدت زمانی که یک کاربر می تواند در سایت لاگین باقی بماند. پس از این مدت از حساب کاربری خود به صورت خودکار خارج می شود
• گزارش فعالیت های حساب: گزارشی از ورود و خروج های کاربران
• کاربران وارد شده: لیستی از کاربرانی که در وبسایت وارد شده اند و همچنان خارج نشده اند (کاربران آنلاین)

بخش 4-1: قفل ورود

در حملات بورت فورث، هکر ها با حدس نام کاربری شما، شروع به تلاش با استفاده از پرتکرار ترین و محتمل ترین رمز های عبور خواهند نمود. به عبارتی با فرض داشتن نام کاربری شما، رمز های عبور مختلفی را تست می کنند تا در نهایت یکی از آن ها، رمز عبور صحیح باشد.

انتخاب رمز عبور قدرتمند به تنهایی موثر نخواهد بود. لذا نیاز دارید تا تمهیدات دیگری در نظر داشته باشید. یکی از آن ها محدود کردن تعداد تلاش های ناموفق است.

در این بخش 3 جعبه مختلف قرار دارد. جعبه اول تحت عنوان “گزینه های بازداری از ورود” است. این بخش دارای سطح آسان و 20 امتیاز است که به نوبه خود تاثیر بسیار بالایی در تامین امنیت وبسایت شما دارد.

به کارگیری ویژگی بازداری از ورود: با زدن این تیک، این قابلیت امنیتی برای شما فعال خواهد شد.

اجازه درخواست قفل گشایی: گاهی ممکن است کاربر شما رمز عبور خود را فراموش نموده و سعی کند تا با حدس زدن رمز عبور، وارد سایت شما شود.

پس از چندین تلاش ناموفق، آی پی وی مسدود می شود. با زدن تیک این گزینه، پس از مسدود سازی وی، لینکی در اختیار او قرار می گیرد که با وارد کردن ایمیل خود، می تواند درخواست بازگشایی آی پی ارسال نماید.

با این کار یک ایمیل حاوی لینکی برای ورود برای او ارسال می شود.

حداکثر تعداد تلاش برای ورود: در این قسمت می توانید تعداد دفعات تلاش های ورود ناموفق را تعیین کنید. یعنی فرضا فرد می تواند تا 3 مرتبه رمز عبور ناصحیح وارد نماید و پس از آن بلاک می شود.

بازه زمانی تلاش برای ورود دوباره (دقیقه): بازه زمانی که تعداد ورود در آن شمرده می شود. به عبارتی در صورتی که کاربر در عرض 5 دقیقه، 3 مرتبه تلاش ناموفق داشته باشد، آی پی وی قفل می شود.

اما در صورتی که در عرض 5 دقیقه تنها دو ورود نا موفق داشته و ورود سوم به بعد از 5 دقیقه موکول شود اقفل آی پی انجام نمی شود. به عبارت دیگر، باید 3 مرتبه ورود ناموفق در 5 دقیقه باشد تا قفل انجام شود.

در این حالت کاربر می تواند هر 5 دقیقه یک یا دوبار تلاش برای ورود داشته باشد تا آی پی وی قفل نشود.

بازه زمانی قفل کردن (دقیقه): مدت زمانی که یک آی پی پس از آخرین تلاش ورود ناموفق قفل می ماند. یعنی فرضا پس از 3 مرتبه ورود رمز اشتباه و قفل آی پی، این قفل تا چه مدت باقی مانده و پس از آن به صورت خودکار قفل آی پی برداشته شود. در این جا کاربر در صورت ورود ناموفق بیش از 3 مرتبه، آی پی وی قفل شده و پس از 60 دقیقه این قفل آی پی به صورت خودکار برداشته می شود.

نمایش پیام خطای عمومی: در حالت عادی وقتی فردی اطلاعات ورود اشتباه وارد نماید، وردپرس به اون اعلام می کند که کدام یک از اطلاعات ورود اون اشتباه است.

فرضا اگر نام کاربری صحیح و رمز اشتباه باشد، به اون اعلام می کند که رمز عبور اشتباه است. این موضوع به هکر می فهماند که نام کاربری را درست حدس زده و تنها باید رمز عبور صحیح پیدا نماید.

با زدن این تیک، یک پیغام کلی برای کاربر نمایش داده می شود.

قفل کردن فوری نام های کاربری نامعتبر: در صورتی که فردی بخواهد با نام کاربری یا ایمیلی که در وبسایت شما وجود ندارد، وارد سایت شود، بلافاصله بلاک خواهد شد. برای فعال سازی این حالت این تیک را بزنید.

سریعا نام های کاربری مشخص را قفل کن: در صورتی که می خواهید، با ورود نام های کاربری به خصوصی، بلافاصله کاربر بلاک شود، در اینجا آن نام های کاربری را وار کنید. در هر خط یک نام کاربری. برای مثال اگر من نام کاربری admin را در اینجا وارد کنم، چنانچه کاربری بخواهد با این نام کاربری تلاش برای ورود داشته باشد، بلافاصله مسدود می شود.

آگاه کردن از راه ایمیل: در صورتی که می خواهید، پس از قفل کردن یک کاربر، ایمیل اطلاع رسانی برای شما ارسال شود، تیک این قسمت را بزنید و ایمیلی که قصد دارید تا در چنین مواقعی، هشدار به آن ارسال شود را وارد نمائید.

محدوده IPهایی که هم اکنون قفل شده اند: در این قسمت لینکی به بخش لیست آی پی های قفل شده وجود دارد. با کلیک بر آن می توانید لیست آی پی های قفل شده را مشاهده نمائید.

تنظیمات لیست سفید آی پی قفل صفحه ورود: اگر یک ای پی ثابت برای خودتان دراختیار دارید که تنها شما از آن آی پی استفاده می نمائید، می توانید ضمن فعال سازی این بخش، لیست آی پی های مورد تایید خودتان را در این بخش وارد نمائید. این آی پی ها تحت هیچ شرایطی مسدود نخواهند شد.

یک یا چند آدرس آی پی را که می خواهید در لیست سفید خود وارد کنید . آدرس های مشخص شده در اینجا هرگز توسط ویژگی قفل ورودی مسدود نخواهد شد.

هر آی پی آدرس می بایست در یک خط جدید وارد شود.

برای مشخص کردن یک رنج آی پی از Wildcard “*” استفاده کنید. روش های درست استفاده از Wildcardها در نمونه های زیر نشان داده شده است:

نمونه یک : ۱۹۵.۴۷.۸۹.*

نمونه دو : ۱۹۵.۴۷.*.*

نمونه سه : ۱۹۵.*.*.*

بخش 4-2: رکوردهای ورود ناموفق

در اینجا لیستی از تمامی آی پی هایی که از طریق آن ها ورود ناموفق اتفاق افتاده لیست شده است.

می توانید در صورت نیاز کل این لیست یا به صورت مورد حذف نمائید.

در جعبه بعدی این امکان وجود دارد تا این لیست را به صورت یک فایل با پسوند CSV دانلود نمائید.

همچنین در جعبه بعدی دکمه ای قرار دارد تا امکان حذف یکباره تمامی رکوردهای ناموفق در افزونه امنیت کامل وردپرس را به شما خواهد داد.

بخش 4-3: خروج اجباری

در این قسمت می توانید مدت زمانی را مشخص نمائید که کاربر پس از ورود به سایت می تواند همچنان در سایت باقی بماند و پس از طی این مدت به صورت خودکار بیرون انداخته می شود.

9 درصد تخفیف ویژه با کد معرف زیر
mwh-683cc

در این بخش یک جعبه با عنوان “گزینه های بیرون کردن اجباری کاربر” قرار داد.

پس از فعال سازی این قابلیت، می توانید مدت زمانی را بر حسب دقیقه وارد نمایئد که کاربر پس از آن به صورت خودکار از سایت بیرون انداخته می شود.

بخش 4-4: گزارش فعالیت های حساب

این تب فعالیت فعالیت حساب های ثبت شده در سایت شما را که با استفاده از فرم ورود وردپرس وارد سیستم شده اند نشان می دهد.

در صورت نیاز به انجام تحقیقات امنیتی ، اطلاعات زیر مفید خواهد بود زیرا 100 رویداد اخیر ورود به سیستم را با نام کاربری ، آدرس IP و زمان / تاریخ به شما نشان می دهد.

می توانید از این لیست یک خروجی CSV تهیه نمائید.

بخش 4-5: کاربران وارد شده

در بالاترین قسمت جعبه ای قرار دارد که با کلیک بر روی دکمه تازه سازی، لیستی از تمامی کاربران سایت که در حال حاضر در سایت حضور دارند و وارد حساب کاربری خود شده اند، به روز می شود.

پنل پیامکی پیشرفته

در این لیست می توانید برای هر کاربر، دستور خروج اجباری صادر نمائید تا کاربر مجددا وارد سایت شود.

برای خروج کاربر بر روی دکمه Force Logout در زیر شناسه کاربر کلیک نمائید.

افزونه امنیت کامل وردپرس بخش 5: نام نویسی کاربران

در این بخش از منوی افزونه امنیت کامل وردپرس ، تنظیمات امنیتی مربوط به ثبت نام کاربران قرار دارد. این بخش دارای 3 قسمت متفاوت است.

• تایید دستی: در صورتی که قصد دارید تا کاربران پس از ثبت نام بدون تایید شما امکان ورود به سایت را نداشته باشند، این بخش را تکمیل نمائید. در واقع ثبت نام کاربر بدون تایید دستی شما انجام نمی شود.
• کد امنیتی برای نام نویسی: در این بخش تنظیماتی برای فعال سازی قابلیت کپچا در فرم ثبت نام تعبیه شده است.
• ثبت نام ظرف عسل: فعال سازی تکنیک Honeypot یا ظرف عسل برای به دام انداختن ربات های هکری

بخش 5-1: تایید دستی

این بخش دارای 2 جعبه تنظیم است.

در جعبه اول با عنوان “تایید دستی نام نویسی های تازه” توضیحاتی به این شرح ارائه شده است:

برای فعال سازی این قسمت، تیک موجود در تصویر را بزنید و تنظیمات را ذخیره نمائید.

این قابلیت تنها در صورتی کاربرد دارد تا قابلیت ثبت نام در سایت شما فعال باشد. برای فعال سازی یا عدم فعال سازی این قابلیت به بخش تنظیمات عمومی وبسایت خود مراجعه کنید.

در جعبه ای دیگر، لیستی از تمامی ثبت نام های در انتظار برای تایید یا رد توسط شما قرار دارد.

با نگه داشتن ماوس در زیر شناسه کاربر تعدادی گزینه نمایان می شود:

• View: مشاهده جزئیات ثبت نام کاربر
• Approve: تایید ثبت نام کاربر
• Delete: حذف رکورد ثبت نام
• Block IP: مسدود سازی آی پی کاربر

بخش 5-2: کد امنیتی برای نام نویسی

این بخش دارای یک جعبه تنظیمات است که با فعال سازی و ذخیره آن، کد امنیتی ریاضی به فرم ثبت نام شما اضافه این ویژگی به شما اجازه می‌دهد که یک فرم کد امنیتی به برگه نام‌نویسی وردپرس اضافه کنید.
کسانی که می‌خواهند نام‌نویسی کنند بایستی به یک پرسش ساده ریاضی پاسخ بدهند. در صورت دادن پاسخ اشتباه آن‌ها نمی‌توانند نام نویسی کنند.
بنابراین افزودن یک فرم کد امنیتی به برگه نام‌نویسی یک ترفند ساده دیگر برای جلوگیری از نام‌نویسی جفنگ‌نویس‌هاست.

می شود که مانع فعالیت ربات های مهاجم می شود.

بخش 5-3: ثبت نام ظرف عسل

با فعال سازی این قابلیت، یک فیلد مخفی برای انسان اما نمایان برای ربات در صفحه ثبت نام قرار می گیرد. ربات، این فیلد را پر خواهد کرد اما کاربر عادی آن را پر نمی کند (چون آن را نمی بیند). در این حالت ربات ما در دام ظرف عسل خواهد افتاد و بلافاصله IP وی قفل خواهد شد.

بخش 6: امنیت پایگاه داده در افزونه امنیت کامل وردپرس

در منوی بعدی تنظیمات، با ویژگی های امنیتی مرتبط با پایگاه داده روبرو هستیم. این بخش دارای 2 قسمت است.

• پیشوند دیتابیس: تنظیمات مربوط به تغییر پیشوند پایگاه داده
• فایل پشتیبان دیتابیس: دریافت نسخه پشتیبان از دیتابیس

بخش 6-1: پیشوند پایگاه داده

دیتابیس وردپرس شما،مهم ترین قسمت سایت شماست؛ زیرا بخش ارزشمند اطلاعات سایت شما در آن است.
دیتابیس همچنین هدفی برای هکرها می باشد که از طریق SQL Injections یا کدهای خرابکارانه خودکار جدولهای خاصی را هدف می گیرند.
یک راه برای حفاظت از دیتابیس، تغییر پیشوند وردپرس برای جدول ها یعنی “_wp” ، به چیز دیگری است که حدس زدن آن برای هکرها دشوار باشد.
این ویژگی به شما امکان تغییر آسان پیشوند دیتابیس را می دهد؛ شما می توانید از پیشوند دلخواه خودتان یا از پیشوند تصادفی افزونه امنیت کامل وردپرس استفاده کنید.

به صورت پیش فرض، تمام جداول یک سایت وردپرسی دارای پیشوند wp_ هستند که خوب برای هر هکری شناخته شده است. بهترین زمان برای تغییر این پیشوند در زمان ساخت وبسایت و پیش از نصب افزونه ها و فعال سازی قالب هاست.

اگر از قبل این تغییرات انجام شده است نیازی به انجام کار خاصی ندارید.

اما در صورتی که پیشوند پایگاه داده شما همان مقدار پیش فرض است، لازم است ضمن تهیه نسخه پشتیبان از پایگاه داده، توسط تنظیمات این قسمت، ان را به هر مقدار دیگری تغییر دهید.

کافیست تیک فعال سازی این قابلیت را زده و در فیلد پائینی، پیشوند پایگاه داده مورد نظر خود را وارد نمائید و سپس بر روی تغییر پیشوند دیتابیس کلیک کنید.

بخش 6-2: پشتیبان دیتابیس

در این قسمت در اولین باکس، می توانید به صورت دستی یک پشتیبان از پایگاه داده تهیه نمائید.

همچنین می توانید از بخش “پشتیبان گیری خودکار” قابلیتی را فراهم نمائید تا در بازه های زمانی خاصی، به صورت خودکار، از دیتابیس شما پشتیبان تهیه شود.

برای فعال سازی این بخش، تیک مربوطه را بزنید.

در قسمت بعدی می توانید مشخص کنید هر چند (هفته یا روز یا ساعت) این پشتیبان گیری انجام شود.

همچنین می توانید تعیین کنید پس از هر بار پشتیبان گیری چه تعداد نسخه پشتیبان در هاست شما باقی بماند. فرضا همیشه 2 نسخه در سایت باقی می ماند. با هر بار پشتیبانی گیری تنها دو نسخه اخر باقی مانده و قدیمی تر ها حذف می شوند.

اگر می خواهید نسخه پشتیبان و لینک دانلود آن برایستان ایمیل شود تیک این قسمت را زده و ایمیلی که قصد دارید تا نسخه پیشتیبان به آن ارسال شود را کلیک کنید.

بخش 7: امنیت فایل های سیستم

در منوی بعدی به تنظیمات امنیتی مربوط به فایل های سیستمی می رسیم. در این بخش 4 قسمت مجزا وجود دارد.

• مجوز فایل ها: تنظیمات مربوط به سطح دسترسی فایل ها
• ویرایش فایل های PHP: تنظیم قابلیت ویرایش فایل های PHP از پیشخوان وردپرس
• دسترسی به فایل های وردپرس: محدودیت دسترسی به فایل های وردپرسی
• گزارش سیستم هاست: ذخیره یک فایل log از گزارش های هاست

بخش 7-1: مجوزهای فایل

دسترسی و اجازه خواندن و نوشتن فایل ها و پوشه هایی که وردپرس را می سازند، توسط مجوزهای فایل کنترل می شود.
نسخه وردپرس شما به صورت پیش‌فرض با تنظیمات درست مجوزهای فایل عرضه می‌شود.
با این حال،گاهی مردم یا سایر افزونه ها تنظیمات این مجوزها را برای فایلهای هسته وردپرس به شکل نادرستی تغییر می‌دهند و این در نهایت باعث ناامن شدن سایت می شود.
این ویژگی فایل‌ها و پوشه‌های مهم هسته وردپرس را اسکن می کند؛ سپس هر تنظیمات مجوزی را که ناامن باشد مشخص می کند.

در این قسمت اسکنی از تمامی فایل های  مهم وردپرسی با سطح دسترسی وجود دارد. در صورت نیاز، به تنظیم سطح دسترسی، می توانید سطوح پیشنهادی را تنظیم نمائید.

بخش 7-2: ویرایش فایل های PHP

پیشخوان وردپرس به طور پیش‌فرض به مدیران سایت اجازه ویرایش فایل‌های PHP (مانند فایل‌های پوسته ها و افزونه ها) را می‌دهد.
معمولا این نخستین راهی است که یک هکر در صورت ورود به سایت از آن استفاده می کند؛ زیرا از این طریق می تواند کدهای خودش را اجرا کند.
این ویژگی امکان ویرایش فایل های PHP از طریق پیشخوان وردپرس را غیرفعال می کند.

به صورت پیش فرض می توانید فایل های PHP قالب ها و افزونه ها را از طریق پیشخوان ویرایش نمائید. در صورت دسترسی هکر به پیشخوان شما، به راحتی می تواند کدهای مخرب در کدهای PHP قالب ها و افزونه های شما قرار دهد.

برای جلوگیری از این امر، می توانید با زدن تیک این ویژگی امنیتی، دسترسی به ویرایش فایل های PHP از طریق پیشخوان را غیرفعال کنید.

بخش 7-3: دسترسی به فایل های وردپرس

با تنظیم این ویژگی امنیتی، امکان دسترسی به فایل های ذکر شده مسدود می شود.

بخش 7-4: گزارش سیستم هاست

گاهی سیستم هاست شما گزارش‌های خطا یا هشدار در قالب فایل “error_log” تولید می کند.
بسته به نوع و دلیل بروز خطا یا هشدار، سیستم هاست شما می‌تواند چندین نسخه از این فایل را در مسیرهای مختلف وردپرس ایجاد کند.
با دیدن گاه به گاه درونمایه این فایل‌های گزارش شما می توانید از همه مشکلات پنهان سیستم آگاه شوید.

در این قسمت می توانید با ذخیره این ویژگی لیستی از گزارش های ذخیره شده در فایل error_log یا با هر نام دیگری را در پیشخوان مشاهده کنید و نیازی به ورود به هاست و باز کردن این فایل ندارید. این فایل در مسیر روت سایت شما قرار دارد _public_html)

بخش 8: مدیریت فهرست سیاه

فهرست سیاه AIOWP به شما این امکان را می دهد تا یک میزبان آی پی مشخص یا یک رنج آی پی یا یک نرم افزار خاص را مسدود کنید.
این ویژگی دسترسی کامل به سایت را برای کاربرانی که آی پی یا نرم افزار مشخص شده در پایین را دارند، قطع می کند.
افزونه برای رسیدن به این هدف تغییراتی در فایل htaccess. شما می دهد.
با مسدود کردن مردم از طریق فایل htaccess. شما از محکم ترین خط دفاعی اولیه استفاده می کنید؛ این خط دفاعی دسترسی کامل بازدیدکنندگان ممنوعه را قطع می کند.

دراین قسمت می توانید آی پی های خاصی را تحت عنوان Black List یا لیست سیاه معرفی کنید تا هیچ کاربری یا رباتی از این آی پی امکان دسترسی به سایت شما را نخواهد داشت.

نکته مهم اینکه این یک تنظیم امنیتی حساس و پیشرفته هست که حتی ممکن است دسترسی ادمین سایت را هم قفل کند. در استفاده از آن دقت کنید. در صورت نیاز می توانید با کارشناسان پشتیبانی دوناوب در ارتباط باشید.

در بخش اول، تیک فعال سازی این قابلیت قرار دارد. با زدن این تیک، این قابلیت امنیتی فعال خواهد شد.

در ادامه می توانید آی پی هایی که قصد دارید تا در لیست سیاه قرار داشته باشند وارد نمائید.

در قسمت قبل می توانید User Agent هایی که قصد مسدودسازی آن ها را دارید را وارد نمائید.

هر نرم افزار نماینده کاربری می بایست در یک خط جدید وارد شود.

هر نرم افزار نماینده کاربری می بایست در یک خط جدید وارد شود.

دومین قسمت آموزش امنیت کامل وردپرس به اتمام رسید. باقی قسمت های این آموزش را می توانید از طریق لینک های زیر مطالعه کنید.

امنیت کامل وردپرس با افزونه All In One WP Security & Firewall (بخش اول)

آموزش امنیت کامل و دیواره آتش وردپرس (بخش سوم)