افزایش امنیت وردپرس و اسکن امنیتی وردپرس با Wordfence Security

افزونه‌ای که قصد معرفی اونو دارم با نام Wordfence Security در مخزن وردپرس به ثبت رسیده است.

 دانلود افزونه Wordfence Security

اسکن و بررسی امنیت و فایل های ویروسی وردپرس

پس از نصب و فعال سازی این افزونه منویی با نام Wordfence مشابه تصویر زیر در پیشخوان سایت وردپرسی شما افزوده خواهد شد. همونطور که در تصویر میبینید روی این منو کلیک کرده و سپس به زیر منوی Scan برای بررسی سایت وردپرس مراجعه کنید.

برای شروع اسکن امنیتی در وردپرس روی دکمه Start a Wordfence Scan کلیک کنید و منتظر بمونید تا اسکن بر روی سایت انجام شده و سایت وردپرسی شما به صورت کامل مورد بررسی قرار بگیره. هر نوع اسکنی که در وردپرس صورت میگیره در بخش Scan Summary میتونید نتیجه اون را مشاهده و بررسی کنید که اسکن‌های صورت گرفته چند حالت زیر را خواهند داشت.

  1. اگر بعد از اسکن پیغام Paid Members Only نمایش داده شد به این معنیه که این نوع اسکن نیاز به تهیه نسخه حرفه‌ای افزونه داره که باید اونو خریداری کنید.
  2. اگر پیغام Disabled نمایش داده شد به این معنیه که امکان اسکن بخش مورد نظر غیرفعال است و برای فعال سازی باید به بخش تنظیمات افزونه مراجعه کنید و امکان اسکن برای بخش مربوطه را فعال کنید.

پس از به پایان رسیدن اسکن وردپرس، اگر که همه چیز به درستی انجام گرفته باشه و هیچ مشکلی به وجود نیاد در بخش New Issues که در پایین صفحه قرار داره، عبارت Congratulations! No security problems were detected by Wordfence که با رنگ سبز به نمایش در می آیدبه شما نشون داده میشه که نشان از ایمن بودن سایت خواهد داشت. اما اگر هنگام اسکن سایت مورد مشکوکی مشاهده شده باشه و این افزونه مشکلی را شناسایی کرده باشه با تصویری مشابه زیر روبه‌رو میشید که مشکل را به شما اعلام میکنه.

همونطور که در تصویر مشاهده می‌کنید شرح کاملی از خطا به شما توضیح داده میشه و از بخش Tools هم ابزار مدیریتی در اختیار شما قرار میده که با استفاده از اونها میتونید تا اقدام به رفع مشکل کنید.

اگر هم مشکلی که اعلام شده چندان مهم نیست از بخش Resolve میتونید تا با کلیک روی دکمه i have fixed this issue کلیک کنید تا در تنظیمات افزونه اعلام کنید که این مشکل را برطرف کردید و حل شده است. و یا با کلیک روی دکمه دوم در زمان حال این خطا را نادیده بگیرید و یا اینکه با کلیک روی گزینه سوم به طور کلی اگر خطایی از این فایل گرفت نادیده گرفته شود.

با مراجعه به سربرگ options هم قادر خواهید بود تا مواردی که میخواهید تا اسکن امنیتی بر روی اونها صورت بگیره را انتخاب کنید.

استفاده از فایروال وردپرس

با مراجعه به زیرمنوی Firewall قادر خواهید بود تا وردپرس خودتون را ضدگلوله کنید و از حملات DDOS و بروت فورس که ممکنه برای سایت وردپرسی شما پیش بیاد جلوگیری کنید. برای این کار مشابه چیزی که در تصویر زیر مشاهده می‌کنید ابتدا از بخش Firewall Status گزینه Enable and Protecting را انتخاب کنید و سپس روی دکمه Save کلیک کنید.

بعد از اینکه تنظیمات را در این بخش ذخیره کردید برای روی دکمه آبی رنگ که با عنوان Optimize the Wordfence Firewall کلیک کنید، با کلیک روی این دکمه وارد صفحه‌ای مشابه تصویر زیر میشوید که در اون گزینه پیشنهادی را بر اساس سرور مورد استفاده به شما پیشنهاد خواهد داد، حالا در این مرحله همونطور که در تصویر زیر مشاهده می‌کنید مسیری را به شما نشون میده که میبایست کد نمایش داده شده را در فایل php.ini قرار بدین که این کد برای من به شکل زیر هستش

بعد از قرار دادن کد روی دکمه Continue کلیک کنید تا به مرحله بعدی هدایت شوید.

بعد از اینکه وارد مرحله بعد شدید از شما میخواد تا نسخه بک‌آپ فایل htaccess. را دانلود کنید بنابراین برای این منظور مشابه تصویر زیر روی دکمه download کلیک کنید و این فایل را دریافت کنید.

دقت کنید که حتما از این فایل نسخه بک آپ داشته باشید چراکه اگر مشکلی در انجام مراحل فایروال وردپرس براتون پیش بیاد با نسخه قبلی این فایل میتونید تا مشکل را برطرف کنید و اگر دسترسی به پیشخوان نداشته باشید راه حل رفع مشکل برای شما کمی طولانی خواهد شد. بنابراین حتما این فایل را دانلود کنید.

بعد از دانلود این فایل دکمه Continue براتون فعال شده و میتونید روی اون کلیک کنید تا به مرحله نهایی هدایت شوید. در این مرحله فایروال برای شما فعال شده و میتونید ازش استفاده کنید.

جلوگیری از حملات بروت فورس در وردپرس

برای این کار در منوی Firewall روی زبانه brute force protection کلیک کنید تا صفحه زیر براتون نمایش داده شده و سپس تنظیمات دلخواه خودتون را برای هر بخش وارد کنید.

Enforce strong passwords: مجبور کردن کاربران برای استفاده از رمز قوی

Lock out after how many login failures: تعیین تعداد دفعاتی که یک کاربر موفق به ورود در سایت نشده

Lock out after how many forgot password attempts: تعداد دفعات برای درخواست فراموشی کلمه عبور در وردپرس و غیرفعال کردن امکان تعیین پسورد از طریق فراموشی کلمه عبور برای مدت زمان تعیین شده.

Count failures over what time period: تعیین مدت زمان برای غیرفعال کردن امکان ورود به سایت.

Amount of time a user is locked out: تعیین مدت زمان برای غیرفعال کردن امکان ورود به سایت حتی اگر با نام کاربری و رمز عبور صحیح وارد شده باشد.

Immediately lock out invalid usernames: قفل کردن کاربر مورد نظر بلافاصله پس از رسیدن به حد تعیین شده در دفعات ورود اشتباه در سایت.

Don’t let WordPress reveal valid users in login errors: عدم اجازه به وردپرس برای نمایش خطاهای ورود همچون نام کاربری، ایمیل و یا کلمه عبور اشتباه در هنگام وورد به سایت.

Prevent users registering ‘admin’ username if it doesn’t exist: جلوگیری از انتخاب نام کاربری admin برای اعضا و عدم امکان ساخت این نام کاربری در زمانی که کاربری با چنین نام کاربری وجود ندارد.

Prevent discovery of usernames through ‘/?author=N’ scans, the oEmbed API, and the WordPress REST API: جلوگیری از امکان یافتن نام‌های کاربری توسط API های وردپرس، قابلیت oEmbed وردپرس، آدرس نویسنده و…

Immediately block the IP of users who try to sign in as these usernames: بلاک کردن IP کاربرانی که قصد دارند تا وارد حساب کاربری اعضای سایت شوند. در این فیلد میتوانید تا هر آی‌پی را در یک خط وارد کنید.

جلوگیری از خزنده‌های تقلبی گوگل در وردپرس

با این امکان میتونید تا از خزنده‌های تقلبی که قصد دارند تا سایت شما را مورد خزش و بررسی قرار داده و از راه‌های مخرب سایت شما را مورد حمله قرار دهند را شناسایی کنید. برای این منظور به تب Rate Limiting مراجعه کرده و سپس تنظیمات این بخش را بر اساس توضیحات ارائه شده مشابه تصویر زیر انجام دهید.

Immediately block fake Google crawlers: با فعال کردن این گزینه امکان خزش سایت توسط بات‌های تقلبی که با عنوان گوگل وارد عمل می‌شوند غیرفعال شده

How should we treat Google’s crawlers: این گزینه را روی حالت Verifiedقرار بدین تا امکان دسترسی به بات‌های گوگل برای سایت شما فراهم باشد.

If anyone’s requests exceed: از این بخش میتونید تا تعداد تقاضای دسترسی بات را مشخص کرده و اگر تعداد بیش از این مقدار بود این بات را بلاک کنید.

If a crawler’s page views exceed: از این بخش میتونید تا امکان بلاک کردن برای حالتی که صفحه نمایش خزنده بیش از مقدار تعیین شده بود فراهم کنید.

If a crawler’s pages not found (404s) exceed: با استفاده از این بخش میتونید تا تعداد صفحات 404 که توسط خزنده در هر بار خزش پیدا میشه را تعیین کنید تا اگر بیش از مقدار تعیین شده بود اونو بلاک کنید.

If a human’s page views exceed: اگر صفحاتی که برای یک کاربر واقعی نشون داده میشه بیش از مقدار تعیین شده باشه میتونید تا امکان دسترسی برای این خزنده را ببندید. چرا که در بسیاری از موارد بات‌ها طوری رفتار می‌کنند که صفحات شما را به صورت غیرعادی به چندین کاربر نمایش می‌دهند.

How long is an IP address blocked when it breaks a rule: با استفاده از این گزینه هم میتونید تا باتی را که هر یک از این شرایط را نقش میکنه را برای مدتی از دسترسی به سایت محروم کنید.

سایر گزینه‌ها نیز به همین ترتیب برای صفحات 404 برای یک کاربر واقعی خواهد بود.

بلاک کردن دسترسی به سایت در وردپرس

قابلیت دیگه‌ای که افزونه وردفرنس در اختیار شما قرار میده اینه که با استفاده از اون میتونید یک تعداد آی‌پی خاص و یا آی‌پی کشورهای خاص را از دسترسی به سایت محروم کنید. همونطور که می‌دونید بیشتر حملاتی که در یک سایت میتونه رخ بده در یک بازه زمانی از یک کشور به دلایل مختلف و با آی‌پی‌های گوناگونی از همون کشور صورت میگیره که برای جلوگیری از این حملات کافیه تا دسترسی به سایت توسط اون آی‌پی و یا کشور را مسدود کنید.

برای این منظور اگر قصد دارید تا یک آی پی خاص را محدود کنید  به منوی Blocking مراجعه کرده و سپس  در سربرگ Blocked IPs آی‌پی مورد نظر خودتون را در فیلد مورد نظر وارد کرده و در نهایت روی دکمه Manuly Block IP کلیک کنید تا اون IP خاص بلاک شود.

بلاک کشور خاص در وردپرس

اگه قصد دارید تا کشورهای خاصی را به دلیل حملات خاصی که از سوی اونها به سایت رخ داده بلاک کنید و یا اینکه سایت شما به گونه‌ای هست که صرفا میخواهید تا امکان دسترسی به سایت توسط چند کشور معدود فراهم باشه میتونید تا  به تب Country Blocking مراجعه کرده و تنظیمات این بخش را مشابه توضیحات ارائه شده تکمیل کنید.

What to do when we block someone: این بخش دو گزینه داره که با انتخاب گزینه اول میتونید تا پیغام سفارشی که در افزونه برای عدم دسترسی به سایت برای اون کشور وجود داره را نمایش بدین و با استفاده از گزینه دوم میتونید تا یک برگه با پیغام دلخواه ایجاد کنید تا اگر کاربری که دارای آی‌پی که اون کشور را بلاک کردید داره وارد سایت شد به اون برگه که در گزینه بعدی یعنی در URL to redirect blocked users to وارد می‌کنید ریدایرکت شده و محتوای اون صفحه را مشاهده کند.

Block countries even if they are logged in: با فعال کردن این گزینه حتی اگر کاربری که وارد حساب کاربری خود در وردپرس شده باشد و آی‌پی کشور وی بلاک شده باشد امکان دسترسی برای وی فراهم نخواهد بود.

Block access to the login form: با فعال کردن تیک این گزینه هم قادر خواهید بود تا دسترسی به صفحه ورود وردپرس را برای کشورهایی که آی‌پی آنها بلاک شده غیرفعال کنید.

Block access to the rest of the site (outside the login form): با فعال کردن این گزینه هم اگر کاربر وارد سایت نشده باشد و به هر صفحه‌ای از سایت مراجعه کند آی‌پی وی بلاک شده و امکان مشاهده هیچ یک از صفحات سایت را نخواهد داشت.

Bypass Redirect: با استفاده از این بخش قادر خواهید بود تا کاربری را که در آدرس خاصی قرار دارد و یا اینکه قصد ورود به صفحه خاصی را دارد به آدرس دلخواه خود ریدایرکت کنید. برای این منظور ابتدا در فیلد If user hits the URL آدرسی که کاربر قصد ورود به آن را دارد وارد کنید و سپس آدرسی که قصد دارید تا کاربر را به آن ریدایرکت کنید در فیلد then redirect that user to وارد کنید. در این صورت اگر کاربر از طریق کوکی قصد دور زدن این محدودیت را هم داشته باشد برای وی فراهم نخواهد بود.

Select which countries to block Block All: در این بخش هم میتونید تا لیست کشورها را بر اساس نام آنها مشاهده کنید و کشورهایی که قصد دارید تا از دسترسی به سایت محروم کنید را انتخاب کرده و در نهایت با اسکرول به پایین صفحه روی دکمه ذخیره تغییرات کلیک کنید.

بلاک کردن پیشرفته در وردپرس

با مراجعه به تب Advanced Blocking قادر خواهید بود تا امکانات پیشرفته‌تری برای بلاک آی پی در وردپرس اعمال کنید .

IP address range: با استفاده از این بخش میتونید تا یک رنج آی‌پی را مشابه نمونه‌ای که در زیر فیلد قرار داره وارد کنید تا امکان دسترسی به این رنج آی‌پی برای مشاهده و دسترسی به سایت فراهم نباشد.

Hostname: با استفاده از این قسمت هم میتونید تا مشاهده سایت را از طریق سایر دامنه‌ها که بیشتر مربوط به سایت‌های RSS خوان هستند محروم کنید تا از طریق اونها اگر کاربری در صفحات آی‌فریم و… خواست سایت را مشاهده کند برای وی نمایش داده نشود.

User-Agent (browser) that matches: با استفاده از این فیلد هم میتونید تا امکان دسترسی به سایت را بر اساس مرورگر وی محروم کنید.

Referer (website visitor arrived from) that matches: با استفاده از این بخش میتونید تا اگر کاربری از سایت‌های خاص به سایت شما ارجاع داده شده بود را انتخاب کنید تا در این صورت قادر به مشاهده سایت نباشد.

مشاهده ترافیک انلاین سایت

با مراجعه به منوی live traffic قادر خواهید بود تا به صورت زنده کاربرانی که در سایت حضور دارند را به همراه جزییات اونها که شامل مواردی مثل کشور، آی‌پی، مرورگر و مشخصات نرم‌افزاری، نوع کاربر که میتونه کاربر واقعی، بات، بلاک شده و… باشه را مشاهده کنید و سپس با استفاده از ابزاری همچون موارد زیر امکان دسترسی به سایت را برای این کاربران محروم کنید.

  1. بلاک کردن آی پی کاربر
  2. بلاک کردن شبکه این کاربر
  3. مشاهده هویز آی‌پی کاربر
  4. مشاهده ترافیک اخیر این کاربر که بر اساس آی‌پی وی در سایت ثبت شده

ابزار کاربردی افزونه

تا اینجای کار با ابزار امنیتی افزونه که با استفاده از اون میتونید تا سایت خودتون را ایمن کنید آشنا شدیم، حالا در ادامه به بررسی ابزار کاربردی که این افزونه در اختیارتون قرار میده می‌پردازم که با استفاده از این ابزار میتونید تا امنیت وبسایتتون را به مرحله بالاتری ببرید.

اولین ابزاری که افزونه در اختیار شما قرار میده اینه که میاد و کاربرایی که در سایت هستند را بررسی کرده و سپس کاربرانی که دارای رمز عبور ضعیف هستند را شناسایی میکند. با استفاده از این قابلیت میتونید تا کاربرانی که رمز عبور مناسبی انتخاب نکرده‌اند را شناسایی کرده و در نهایت بعد از یافتن اونها ازشون بخواهید تا رمز عبور خودشون را تغییر داده و از یک رمز قوی استفاده کنند.

برای این منظور ابتدا به منوی Tools مراجعه کنید و سپس به سربرگ password audit مراجعه کنید،  از بخش Select the kind of audit you would like to do نوع کاربرانی که قصد دارید تا رمز عبور اونها بررسی شود را انتخاب کنید. این گزینه به شما امکان بررسی سه نوع از کاربران که شامل موارد زیر هست را خواهد داد.

  • کاربرانی با نقش کاربری مدیر کل در وردپرس با تعداد بالا
  • کاربرانی به تعداد کمتر از 50000
  • کلیه کاربران سایت

بعد از اینکه نوع خودتون را انتخاب کردید سپس در فیلد Notify when ready ایمیل خودتون را وارد کنید و در نهایت روی دکمه start password audit کلیک کنید تا بعد از آماده شدن گزارش برای شما ارسال شود. پس از نهایی شدن گزارش کاربرانی که از ایمیل ضعیف استفاده کرده باشند شناسایی شده و میتونید اونها را نسبت به استفاده از رمز عبور قوی مجاب کنید.

بررسی هویز با whois lookup

با استفاده از این تب میتونید تا بر اساس آی‌پی یا دامنه به بررسی هویز و مشاهده اطلاعات اون بپردازید. برای این منظور کافیه تا  آدرس دامنه را در فیلد وارد کرده و هویز دامنه و یا آی‌پی را مشاهده کنید.

سایر قابلیت‌های این بخش به صورت تجاری هست که از توضیح آنها صرف نظر می‌کنیم.

تنظیمات افزونه

با مراجعه به منوی تنظیمات افزونه هم قادر خواهید بود تا امکاناتی که قصد استفاده و یا عدم استفاده از اونها را دارید فعال و یا غیرفعال کرده و یا اینکه از ابزار کاربردی اون در این بخش استفاده کنید.

با مراجعه به قسمت Update Wordfence automatically قادر هستید تا آپدیت خودکار این افزونه را مدیریت کنید و یا اینکه میتونید با وارد کردن ایمیل خودتون در قسمت Where to email alerts از اطلاعیه‌ها و هشدارهایی که این افزونه براتون ارسال میکنه مطلع بشید. برای مطلع شدن از هشدارها بر اساس بازه زمانی هم میتونید تا در بخش Alerts مشخص کنید تا در چه بازه‌های زمانی هشدارها برای شما ارسال شوند. یا اینکه از قسمت Security Level قادر هستید تا سطوح امنیتی افزونه را برای خودتون تغییر دهید.

یکی از قابلیت‌هایی که این افزونه در اختیار شما قرار میده امکان مخفی کردن وردپرس خواهد بود. برای این کار کافیه تا به بخش Other Options مراجعه کرده و سپس ورژن مورد استفاده وردپرس خودتون را مخفی کنید. در نهایت هم میتونید تا با استفاده از بخش Exporting and Importing Wordfence Settings از کلیه‌ی تنظیماتی که روی این افزونه اعمال کردید یک نسخه پشتیبان تهیه کنید تا اگر در آینده قصد استفاده از این افزونه در سایت دیگری را داشتید و یا اینکه افزونه را به دلایلی حذف کردید و مجددا قصد استفاده از اونو داشتید با استفاده از درون ریزی که در اختیار شما قرار میده در مدت زمان خیلی کوتاه‌تری انجام دهید.

درباره‌ی هاست نو

هاست نو خدمات میزبانی وب را با بهره گیری از تیم متخصص و با تجربه خود به همراه پشتیبانی 24 ساعته فنی و استفاده از بهترین نرم افزارها، سخت افزار ها و تکنولوژی های روز دنیا ارایه می کند. خدمات رهام شامل ارایه انواع هاست و میزبانی پرسرعت، انواع هاست لینوکس و هاست ویندوز، انواع خدمات میزبانی و هاستینگ برای سایت های پربازدید، خدمات ارایه سرور مجازی، سرور VPS و همچنین انواع سروراختصاصی می باشد.

همچنین ببینید

آموزش تصویری تغییر آدرس url های وردپرس از طریق افزونه های وردپرس‎

در این مقاله ی آموزشی خواهید آموخت که چگونه Site URL یا Home URL را …

دیدگاهتان را بنویسید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *