آموزش کامل افزونه فوق امنیتی وردپرس افزونه iThemes Security
آموزش کامل افزونه فوق امنیتی وردپرس افزونه iThemes Security
امنیت سایت یکی از مواردی است که برای مدیران سایت ارزشمند است. افزونه فوق امنیتی وردپرس Security Pro یکی از بهترین افزونه های وردپرس می باشد که در دو نسخه رایگان و پیشرفته وجود دارد. نسخه رایگان آن هم امکانات جالبی دارد ولی پیشنهاد ما نصب نسخه پیشرفته آن می باشد. در این مقاله در مورد امکاناتی که نسخه پیشرفته دارد صحبت می کنیم. تا خودتان متوجه شوید چرا نسخه پیشرفته این افزونه بهتر از نسخه رایگان می باشد.
با این افزونه شما قادر خواهید بود:
-دسترسی به سایتتان را طی یک زمان خاص مسدود کنید
-از سایتتان به طور خودکار پشتیبان تهیه کنید
-کاربران را مجبور به استفاده از رمز عبورهای قوی کنید
-احراز هویت دوعاملی در سایتتان قرار دهید
-امکان ورود بدون رمز را برای کاربران ایجاد کنید
-و از همه مهمتر مسائل امنیتی سایتتان را بهبود بخشید
مراحل نصب افزونه:
نصب این افزونه همانند سایر افزونه های وردپرسی می باشد. برای نصب نسخه رایگان افزونه iThemes Security در پنل مدیریت وردپرس به قسمت افزونه ها / افزودن افزونه بروید و در کادر جست و جو عبارت Security Pro را درج کنید سپس افزونه iThemes Security را نصب و فعال سازی کنید.
برای دریافت نسخه پولی افزونه می توانید به این لینک در سایت سلام وردپرس بروید. برای نصب نسخه پولی در قسمت افزونه ها / افزودن افزونه/ بارگذاری افزونه رفته و فایل افزونه را از سیستم خود انتخاب و آپلود نمایید و پس از بارگذاری آن را نصب کنید.
بررسی امنیت سایت:
بعد از نصب افزونه با رفتن روی گزینه تنظیمات، ابتدا افزونه درخواست میکند تا سایت شما را از لحاظ امنیت بررسی کند.
با کلیک روی گزینه secure siteعملیات بررسی شروع می شود.
بعد از اتمام کار بررسی افزونه صفحه ای باز میشود که یک سری گزینه ها دارد که هر کدام از این موارد تنظیمات خاصی برای ایجاد امنیت دارد که در زیر بخش های مهم تنظیمات را آموزشی می دهیم.
تنظیمات عمومی:
نوشتن در فایل ها: با تیک زدن این مورد به افزونه iThemes Security اجازه میدهید در فایل های wp-config.php و .htaccess گزینه های پیکربندی را اضافه کند. ما پیشنهاد می کنیم این مورد را حتما تیک بزنید.
زیر این مورد سه کادر برای پیغام وجود دارد که به ترتیب برای میزبان و کاربران و عموم نمایش داده میشود. شما میتوانید این پیغام ها را به فارسی برگردانید و شخصی سازی کنید.
در زیر باکس ها موردی به نام لیست متخلفین وجود دارد. با تیک زدن تکرار لیست متخلفین این مورد فعال می شود و آی پی های متخلف به لیست سیاه می روند.
در بخش آستانه لیست سیاه تعیین می کنید چند بار اگر کاربر در صفحه ای مشخصات اشتباه وارد کرد به لیست سیاه وارد شود. به طور مثال در صفحه ورود بعد از چند بار وارد کردن مشخصات اشتباه به لیست سیاه وارد شود. پیشنهاد میکنیم این مورد را بین 5 تا 10 بار قرار دهید. چون ممکنه کاربری به دلیل فراموش کردن رمز ورود، مشخصات خودش رو اشتباه وارد کنه و با کم قرار دادن این مورد آی پی اش قفل بشه.
در قسمت دوره قفل گذاری تعیین می کنید چه مدت کاربر در لیست سیاه وارد بماند و پس از آن مجددا بتواند در سایت فعالیت کند. پیشنهاد ما 15 دقیقه می باشد.
در قسمت نوع لاگ، شما تعیین می کنید لاگ ها را افزونه به چه صورت ذخیره کند. پیشنهاد ما تعیین گزینه فقط فایل می باشد تا حجم پایگاه داده شما زیاد نشود. روزهای نگهداری فایل ها را هم میتوانید در گزینه روزهای نگهداری فایل گزارش ها تعیین کنید.
قسمت مسیر ورود به لاگ ها هم آدرس فایلی که لاگ ها در آن درج می شود قرار دارد. دقت کنید دسترسی به این لاگ ها را به کسی ندهید.
اجازه ردیابی داده ها را پیشنهاد می کنیم تیک نزنید، چون ممکنه خودتون بخواین یه سری داده رو بخواین روی وب سایت بارگذاری کنید که سالم است ولی افزونه ممکنه براتون مشکل ایجاد کند.
قسمت تشخیص پروکسی را روی ناموجود قرار دهید. چون بعضی مواقع در صورت استفاده از اینترنت موبایل مخصوصا همراه اول، بعضی وب سایت ها پروکسی تشخصی میدهند و اگر از این گزینه استفاده کنید بعضی کاربران به مشکل برخورد می کنند.
مرکز اطلاع رسانی:
در این بخش شما می توانید ایمیل ها یا اطلاع رسانی هایی که افزونه به مدیر یا کاربران ارسال می کند را شخصی سازی نمایید.
در قسمت از ایمیل باید ادرس ایمیلی که تمایل دارید ایمیل ها از آن به کاربران ارسال شود را وارد کنید که می توانید ایمیل سایتتان را وارد نمایید.
در قسمت گیرندگان پیش فرض میتوانید تعیین کنید ایمیل های مربوط به بروز رسانی یا پشتیبان گیری برای چه کسانی برود. همه کاربرهایی که مدیر کل هستند یا مدیر اصلی سایت.
در زیر آن هم لیست پیام هایی که افزونه برای مدیر یا کاربران می فرستد آورده شده است که شما میتوانید متن پیام را به فارسی برگردانید.
سایر تنظیمات این قسمت یک سری گزارش ها هستند که برای مدیر ارسال می شوند. این موارد برای شما از طریق ایمیل ارسال می شود.
تشخیص خطای 404:
یک هکر برای پیدا کردن یک رخنه امنیتی در وب سایت شما، شروع می کنه به گشتن در فایل های مختلف سایت شما. اینجا شما تعیین می کنید اگر یک کاربر چندین مرتبه با فایل 404 روبه رو شد آی پی ش مسدود بشه.
بعضی فایل ها باید این محدودیت از روی آنها برداشته بشود. به طور پیش فرض در قسمت لیست سفید فایل این فایل ها قرار دارد اگر وجود نداشت پیشنهاد میشود حتما این فایل ها را در لیست سفید قرار دهید.
در کادر زیر آن (نوع فایل ها) هم فایل هایی با فرمت خاص رو تعیین کرده تا محدودیت نداشته باشن. این فایل ها اگر در لیست نبود حتما آنها را اضافه کنید.
کاربر مدیر:
در این بخش افزونه به شما پیشنهاد می دهد یک نام کاربری جدید در عوض نام کاربری admin که خیلی ساده است درج کنید. دقت کنید بعد از تغییر نام از پنل کاربریتان بیرون میشوید و باید با نام کاربری جدید و رمز قبلی دوباره به سیستم وارد شوید.
حالت دور (مد away )
گاهی اوقات شما فقط در ساعات خاصی مثلا فقط ساعات اداری با پنل مدیریتی خودتون کار می کنید و بعد از اون تایم دیگه به این پنل نیازی ندارید. قسمت جالبی که افزونه iThemes Security داره اینه که شما میتونید در ساعاتی که به پنل مدیریتی نیاز ندارید دسترسی به اون رو غیرفعال کنید. البته باید دقت کنید که زمان رو درست تنظیم کنید.
محدودیت به صورت روزانه یعنی هر روز در ساعاتی خاص دسترسی بسته باشه و محدودیت یک زمانی برای مواقعی است که میخواین در یک زمان فقط این محدودیت اعمال بشه.
برای غیر فعال کردن این ویژگی روی غیر فعال در صفحه تنظیمات کلیک کنید.
کاربران ممنوع:
در این قسمت می توانید لیست آی پی ها یا کاربران ممنوع را وارد کنید. دقت کنید هر آی پی یا کاربر را در یک خط قرار دهید. با تیک زدن گزینه اول این بخش یعنی لیست سیاه پیش فرض، آی پی هایی که در لیست سیاه سایت HackRepair.com وارد شده اند هم به لیست سیاه شما اضافه می شوند. البته چون رنج آی پی ایران متفاوت است ممکن است فعال کردن این گزینه برای شما ایجاد دردسر کند.
تغییر محتوای دایرکتوری:
این بخش شما نام پوشه wp-content را تغییر میدهید. البته دقت کنید این گزینه را فقط وقتی فعال کنید که سایت شما تازه تاسیس می باشد و هنوز هیچ پست یا تصویری را در آن قرار نداده اید. بهتر است قبل از فعال سازی از سایتتان پشتیبان بگیرید. تغییراتی که توسط این بخش اعمال می شود حتی با پاک کردن افزونه برگشت پذیر نیست.
تغییر پیشوند جدول پایگاه داده:
همونطور که میدانید پیشوند جداول وردپرس wp_ می باشد. این پیشوند عمومی برای هکرها قابل حدس زدن است. اگر هنوز اسکریپت وردپرس را روی سایت نصب نکردید می توانید هنگام نصب این پیشوند را تغییر دهید. اگر نصب کردید هم میتوانید با این بخش این پیشوند را تغییر دهید. دقت کنید حتما قبل از انجام اینکار از سایتتان بک آپ بگیرید.
نسخه های پشتیبان پایگاه داده:
خب این قسمت هم از اسمش پیداست. میتونید از پایگاه داده اتون نسخه پشتیبان بگیرین یا برنامه ریزی کنین هر چند مدت به طور خودکار نسخه پشتیبان بگیره و براتون ایمیل کنه.
با کلیک روی دکمه ایجاد نسخه پشتیبان در هر لحظه که بخواین میتونین از پایگاه داده اتون نسخه پشتیبان بگیرین.
در قسمت پشتیبانی از کل پایگاه داده حتی بخشی که مربوط به سایت وردپرسی نباشد، پشتیبان تهیه می کند. پیشنهاد می کنیم تیک این مورد را بزنید.
در قسمت روش های پشتیبان گیری شما سه حالت برای انتخاب دارید. ذخیره در محل یعنی ذخیره در یک پوشه در خود پایگاه داده که آدرس پوشه رو در محل نسخه پشتیبان بهتون داده. فقط ایمیل هم بهتون نسخه پشتیبان رو ایمیل می کنه. و یه مورد هم هست که هم در محل ذخیره میکنه هم به ایمیل می فرسته.
در بخش پشتیبان گیری برای از دست ندادن، شما تعیین میکنین چه تعداد فایل پشتیبان در پایگاه داده شما ذخیره شود. به طور مثال شما این مورد رو 3 تعیین میکنید. وقتی این افزونه نسخه پشتیبان چهارم را بگیرد، نسخه پشتیبان شماره یک را حذف می کند تا در نهایت فقط سه نسخه در هاست باقی بماند. میتونین این گزینه رو صفر تعیین کنید تا همه بک آپ ها در هاست باقی بمونه ولی اینکار باعث پر شدن حجم هاست شما میشه. پس بهتره این مورد بیشتر از 3 تا نباشه.
تیک قسمت فشرده سازی فایل های پشتیبان را بزنید تا افزونه فایل های پشتیبان رو به صورت زیپ ذخیره کند.
در بخش جداول را حذف کنید میتونین یه سری جدول از دیتابیس رو تعیین کنین که هنگام گرفتن بک آپ از اون جداول بک آپ گرفته نشه.
در بخش برنامه پشتیبان پایگاه داده را زمان بندی کنید میتوانید تعیین کنید تا افزونه به طور خودکار هر چند روز یک بار از پایگاه داده پشتیبان بگیرد. اینم بهتره هر هفته یا ده روز باشه.
تشخیص تغییر فایل :
هکرها برای نفوذ به وب سایت یا فایل های وب سایت رو تغییر میدهند یا یک فایل جدید اضافه می کنند. افزونه iThemes Security یک امکان جالب که فراهم کرده اینه که اگه فایلی تغییر پیدا کرد بهتون گزارش میده. در بخش لیست فایل ها و پوشه ها شما میتونید یه سری فایلها رو به کادر سمت راست اضافه کنید تا اگر تغییر کرد افزونه براتون گزارش نفرسته.
در بخش نوع فایلها نادیده گرفته شود شما میتوانید یک سری پسوندها رو تعیین کنید تا اگر اون پسوند تغییر کرد افزونه براتون گزارش نفرسته.
مجوزهای فایل:
در قسمت مجوزهای فایل بهتون مقدار پیشنهادی دسترسی به فایل ها و پوشه های وردپرس رو میده. همچنین هاست شما رو بررسی میکنه و مجوزهایی که شما به فایل ها و پوشه هاتون دادید رو در قسمت مقدار نمایش میده. در آخر هم در بخش نتیجه بهتون میگه شما نیاز به تغییر مجوزهای دسترسی دارید یا نه. مجوز دسترسی پوشه ها و فایل ها رو باید از طریق هاست تغییر بدید.
مخفی کردن پشت صحنه:
با استفاده از این بخش لینک خاصی برای ورود به وردپرس ایجاد می کنید و تعیین می کنید صفحات عمومی به چه آدرسی ریدایرکت شوند.
حفاظت در برابر نیروهای بی رحم محلی:
در این بخش شما تعیین می کنید هر کاربر برای ورود به اکانت کاربری خودش چند بار میتونه رمزش رو اشتباه وارد کنه. دقت کنید دو مورد حداکثر تلاش برای هر میزبان و حداکثر تلاش برای هر کاربر با هم متفاوت است. در مورد اول شما سیستم یا آی پی شخصی که برای ورود بیش از اندازه تلاش کرده رو قفل می کنین و مورد نام کاربری شما نام کاربری ای که در هنگام تلاش برای ورود وارد شده رو قفل می کنین.
در قسمت چند دقیقه برای یادآوری ورود بد شما تعیین می کنید اون کاربر یا سیستم چه مدت قفل بمانند و یا بعد از چه مدت اجازه داشته باشند تا دوباره برای ورود تلاش کنند.
با تیک زدن کادر زیر آن هم شما تعیین میکنید هر کس که بخواهد با نام کاربری admin وارد سیستم شود سریعا قفل شود.
امنیت شبکه Brute Force:
Brute Force یک نوع حمله هکری می باشد که در آن هکر ممکنه است رمز عبور ها و نام کاربری های مختلفی را امتحان کند تا بالاخره بتواند رمز عبور و نام کاربری سایت شما را پیدا کنید. این عملیات ممکن است ماه ها به طول انجامد. البته با ربات هم می توان اینکار را سریع تر انجام داد. میتوانید به دلخواه خود این مورد را فعال یا غیر فعال کنید.
الزامات رمز عبور:
در این بخش شما شرایطی رو برای تعیین رمز قرار میدید.
با زدن دکمه تغییر رمز عبور اجباری، همه کاربرها مجبور میشن تا دوباره که بخوان وارد سیستم بشن رمز عبور خودشون رو عوض کنند.
در قسمت رمز عبور قوی شما تایید تعیین می کنید که افراد مجبور باشند برای اکانتشون رمز عبور قوی انتخاب کنند. در قسمت حداقل نقش اگر میخواین کاربرها هم مجبور به تعیین رمز قوی باشند گزینه مشترک رو انتخاب کنید. البته دقت کنین بعضی از کاربرها تمایلی برای تعیین رمزعبور سخت ندارند و فعال کردن این مورد ممکنه کاربرها رو آزار بده. شما میتوانید تعیین کنید که فقط مدیران و نویسنده ها مجبور به تعیین رمز عبور های سخت باشند.
در بخش انقضای رمز عبور شما تعیین می کنید که افراد بعد از تعداد روزهای مشخصی مجبور باشند رمزشون رو برای امنیت بیشتر تغییر بدهند.
با تیک زدن بخش نپذیرفتن رمز عبورهای در معرض خطر شما تعیین می کنید که کاربران رمزهای در معرض خطر مثل 1234 را نتوانند برای حساب کاربری شان انتخاب کنند.
SSL:
اگر از پرتوکول SSL برای سایتتان استفاده می کنید می توانید این گزینه رو فعال کنید. در اینجا تعیین می کنید که آدرس ها از http به https تغییر کنه. البته کاربران زیادی با فعال کردن این مورد گزارش کردند که سایتشون دچار مشکل شده، پس بهتره اگر در این مورد زیاد وارد نیستید آن را فعال نکنید و یا قبل از فعال سازی حتما از پایگاه داده تون پشتیبان بگیرید.
ترفندهای سیستم:
در قسمت ترفندهای سیستم یک سری تنظیمات پیشرفته ای برای امنیت سایت وردپرسی شما وجود داره. متاسفانه توضیح این موارد بسیار پیچیده است و امکان بیان آن در این پست وجود ندارد. شما میتوانید همه این موارد را تیک بزنید ولی دقت کنید این تنظیمات ممکن است با بعضی قالب ها یا افزونه ها ناسازگار باشد. میتوانید تک به تک آنها را فعال کنید و سایتتان را تست نمایید.
WordPress Salts :
با فعال کردن این گزینه افزونه از کلیدهای امنیتی که در مخزن وردپرس وجود داره محافظت می کند. بعد از فعال کردن این مورد شما از پنل پیشخوان بیرون انداخته می شوید و باید دوباره وارد شوید.
ترفندهای وردپرس:
در این قسمت هم یک سری تنظیمات پیشرفته روی وردپرس پیاده سازی میشود. که در اینجا مهمترین ها رو ذکر می کنیم.
با تیک زدن گزینه پیغام ورود رو غیر فعال کنید شما میتوانید پیام های خطایی که هنگام ورود به کاربران نمایش داده میشه غیر فعال کنه. حالا این چه فایده ای داره؟
وقتی کاربری، نام کاربری رو درست بزنه ولی رمز خودش رو اشتباه تایپ کنه، پیغامی که براش ظاهر میشه اینه: رمز عبوری که برای این نام کاربری درج کردید اشتباه است. خب اگر شخص یک هکر باشه با دیدن این پیغام میفهمه که نام کاربری درسته. پس فقط باید رمز رو تغییر بده.
گزینه غیر فعال کردن بایگانی کاربران اضافی رو پیشنهاد می کنیم فعال کنید چون از طریق آرشیو نویسنده ها میتوانیم آی دی و نام کاربری نویسنده اول وب سایت رو بدست بیاریم. حال اگه مدیر کل نویسنده اول وب سایت باشه، یک هکر به راحتی میتونه نام کاربری ادمین رو پیدا کنه. با فعال کردن این گزینه کار برای هکر سخت تر میشه.
در بخش با آدرس ایمیل یا نام کاربری وارد شوید شما تعیین میکنید کاربران برای ورود ایمیل خودشون رو وارد کنند یا نام کاربری. پیشنهاد میکنم آدرس ایمیل و نام کاربری با هم فعال باشه تا کاربرها کمتر اذیت بشن.
گزینه حفاظت در برابر Tabnapping هم برای جلوگیری از حملات فیشینگ هست که پیشنهاد می کنیم این گزینه را هم تیک بزنید.
خب حالا میریم سراغ موارد پیشرفته ی افزونه:
لینک های جادویی:
در این بخش همونطوری که خود افزونه توضیح داده، وقتی آی پی شخصی اشتباها قفل شود و نتواند با نام کاربری وارد سیستم شود، میتواند از صفحه ورود درخواست لینک جادویی کند. این لینک به ایمیلش ارسال میشود و با کلیک روی آن وارد سایت می شود. پیشنهاد میکنیم این گزینه رو فعال کنید.
زمانبندی اسکن بدافزارها:
این افزونه از آنتی ویروس شرکت sucuri برای وب سایت ها استفاده می کند. این شرکت در زمینه امنیت وردپرس و فایروال برای سایتهای بزرگ به صورت تخصصی کار میکند. با فعال کردن این مورد به صورت زمان بندی شده سایتتون بررسی میشه و اگر سایتتان مشکلی داشته باشه بهتون گزارش میده.
ورود بدون رمز:
این قسمت مشابه بخش لینک جادویی است با این تفاوت که لینک جادویی به کاربرهایی که آی پی آنها قفل شده امکان ورود از طریق لینک را میدهد و در این بهش شما میتوانید تعیین کنید چه اشخاصی مجاز به ورود بدون رمز و نام کاربری و … می باشند. ایمیل خود را وارد می کنند و لینکی به ایمیل آنها میرود که با کلیک روی آن می توانند به اکانت خود وارد شوند.
افزایش امتیاز:
این بخش بهتون اجازه میده به یکی از کاربران نقشی طی زمان مشخص رو بدید. پیشفرض 24 ساعت می باشد. مثلا یک کاربر رو طی 24 ساعت مدیر یا نویسنده کنید و بعد از 24 ساعت مجدد کاربر به نقش قبلی خود بازگردد.
تنظیمات این مورد رو میتوانید در آخر صفحه ویرایش کاربر مشاهده نمایید.
reCAPTCHA :
کد امنیتی reCAPTCHA باعث میشه از حملات Brute Force جلوگیری بشه. برای فعال کردن این مورد باید به سایت گوگل ریکپچا به آدرس https://www.google.com/recaptcha برید و ثبت نام کنید. دو کلید بهتون میده. کلید سایت و کلید مخفی که باید در صفحه تنظیمات واردش کنید.
همچنین میتوانید تعیین کنید reCAPTCHA در کدوم بخش نمایش داده بشه.(هنگام ثبت نام، ورود و…) و یا تعداد دفعات لازم برای قفل کردن آی پی و دوره قفل بودن رو تعیین نمایید.
در قسمت زبان هم میتوانید زبان فارسی رو استفاده کنید.
تنظیمات ایمپورت و اکسپورت:
از طریق این گزینه می توانید از تنظیمات افزونه یک پشتیبان بگیرید تا در سایت دیگری آن را وارد نمایید. این مورد برای طراحان وب سایت ها یا افرادی که دو یا چند سایت دارند مناسب می باشد.
پیشخوان امنیتی:
اگر کاربری غیر از مدیر اصلی افزونه رو نصب کرده باشه، میتونه به پیشخوان امنیت یا صفحه تنظیمات افزونه دسترسی داشته باشه. با تیک زدن نام کاربری مدیر اصلی میتوانید تعیین کنید که فقط مدیر اصلی به پیشخوان امنیت دسترسی داشته باشد.
احراز هویت دو عامل:
حتما دیدید در بعضی سایتها وقتی نام کاربری و رمز عبور می زنید، پیغامی مشاهده میکنید که یک کد به ایمیل رفته و شما باید اون کد رو در کادری وارد نمایید. این بخش همون تنظیمات رو روی سایت شما پیاده می کنه.
در قسمت حفاظت از نوع کاربر شما میتونید تعیین کنید برای اشخاص خاصی این نوع ورود فعال باشه و در قسمت غیر فعال کردن اجبار هویت دو عاملی برای کاربران خاص می تونید تعیین کنید برای یک سری نقش ها این ویژگی غیر فعال بشه.
متن خوش آمد گویی را هم میتوانید فارسی سازی نمایید.
ثبت فعالیت کاربران:
از طریق این گزینه میتوانید فعالیت های کاربران در یک نقش خاص را ثبت کنید.
بررسی امنیتی کاربر:
از طریق این قسمت میتونید کاربرها را بررسی کنید که آیا احراز هویت دو عاملی رو فعال دارند یا نه و رمز عبورشون در چه سطحی هست.
مدیریت نسخه:
در این قسمت شما میتوانید تعیین کنید که آخرین نسخه وردپرس به صورت خودکار برای شما نصب شود و یا افزونه ها و قالب های شما به صورت خودکار آپدیت شوند. البته به پیشنهاد ما این گزینه رو فعال نکنید چون همونطور که میدونید ممکنه آخرین نسخه بروزرسانی شده وردپرس با بعضی از قالبها یا افزونه های شما هماهنگ نباشه و سایتتون رو دچار مشکل کنه. یا اگر قالب لایسنس دار نداشته باشید این قابلیت به کارتون نمیاد.
دستگاههای قابل اعتماد (آزمایشی):
این قابلیت به صورت آزمایشی در افزونه قرار داده شده است. با استفاده از این قابلیت میتوانید یک سری دستگاه ها را به عنوان دستگاه های قابل اعتماد مشخص کنید. همونطور که گفتیم چون این قابلیت آزمایشی هست بهتر است ازش استفاده نکنید.
نویسنده :
سمانه ضابطی نیا
دیدگاهتان را بنویسید