برقراری امنیت کامل سایت وردپرسی با Wordfence

در این آموزش (تضمین امنیت سایت وردپرسی با Wordfence) با ما همراه باشید.

بعد از این که وردپرس را نصب و راه اندازی کردید مهم ترین افزونه ای که باید بلافاصله روی مدیریت محتوای خود نصب نمایید یک پلاگین امنیتی قوی مثل وُردفِنس (wordfence) هستش ،همانند سیستمی که بعد از تعویض ویندوز آن ، ضروری ترین کار نصب یک آنتی ویروس مثل نود 32 است.

افزونه وردفنس (Wordfence) یکی از محبوب ترین افزونه های وردپرسی است که با بیش از 3 میلیون نصب آن را به برترین پلاگین در زمینه امنیت وبسایت تبدیل کرده است و به صاحبان وب سایت کمک می کند امنیت سایت وردپرسی خود را تضمین کرده و از تلاش های هکر ها برای ورود به وب سایت ها محافظت کنند. 

ویژگی های پلاگین قدرتمند وُردفِنس

Wordfence افزونه امنیتی وردپرس است که به شما در محافظت از وب سایتتان در برابر تهدیدات امنیتی مانند هک کردن، DDOS و حملات خشونت بار کمک می کند. این افزونه دارای یک فایروال کاربردی وب که همه ترافیک وب سایت شما و درخواست های مشکوک را فیلتر می کند می باشد.

افزونه وردفنس (wordfence) به صورت همزمان، هم یک افزونه ی امنیتی بسیار قوی است که می تواند وبسایت وردپرسی شما را در برابر انواع حملات مراقبت کند و هم می تواند به عنوان یک افزونه کش و بهینه ساز قوی، با بهره گیری از موتور فالکون، سرعت بارگذاری سایت شما را تا 50 برابر بهبود ببخشد.

برخی از امکانات این افزونه عبارتند از :

فایروال یا دیوار آتش

• امکان بلاک کردن ترافیک مخرب در وبسایت را فراهم کرده و تمرکز آن بر روی امنیت وبسایت وردپرسی است.
• حفاظت همه جانبه از وب سایت وردپرسی
• بلاک کردن درخواست‌ها، کدها و محتوای مخرب با اسکن امنیتی
• برقراری امنیت در وردپرس با جلوگیری از حملات Brute force در هنگام ورود به سایت

اسکن امنیتی

• اسکن امنیتی در این افزونه با بررسی فایل‌های هسته وردپرس، قالب و افزونه‌ها برای یافتن بدافزارها، آدرس‌های مخرب، اسپم‌ها، کدهای مخرب و…
• مقایسه فایل‌های هسته، افزونه‌ها و قالب‌ها با مخزن وردپرس و جایگزینی و تغییر به بهترین گزینه
• محافظت real-time از سایت در برابر انواع حملات شناخته شده و اعلام اشکالات موجود در آن
• اسکن و تشخیص باگ امنیتی HeartBleed
• امکان مشاهده ترافیک سایت به صورت زنده
• امکان استفاده در حالت مولتی سایت (چند سایته)
  بهره مندی از موتور Falcon سریعترین موتور کشینگ در وردپرس جهت به حداقل رساندن درخواست های دیتابیس و سرور
• بررسی امنیت DNS و تشخیص تغییرات غیر مجاز
• سازگار با IPV6
• کارکرد صحیح در کنار افزونه هایی مانند ووکامرس و سایر قالب ها و افزونه های شناخته شده
• و بسیاری از امکانات دیگر …
  

نحوه نصب افزونه وُردفِنس ( WordFence )

برای نصب این افزونه آن را دانلود کرده و در بخش افزونه ها» افزودن» بارگذاری آپلود کرده و سپس آن را فعال نمایید. یا این که می توانید در مسیر افزونه ها» افزودن در بخش جستجو عبارت wordfence را تایپ کرده و در نتایج بارگذاری شده آن را نصب و فعال نمایید.

با کلیک بر روی آیتم Dashboard وردفنس (wordfence) مستقیما به پیشخوان افزونه منتقل می‌شویم که پنجره پاپ‌آپی را جهت ادامه راه‌اندازی افزونه به ما نمایش می‌دهد:

حالا بر روی دکمه “Resume installation” کلیک کنید.

 در بخش بعد یک پنجره ی پاپ آپ دیگر در صفحه ی مدیریت وردپرس برای شما باز می شود که از شما درخواست میکند جهت دریافت هشدار های امنیتی در رابطه با سایت تان، آدرس ایمیل خود را در کادر مربوط به ایمیل وارد کنید.

همچنین در انتها قوانین افزونه را علامت زده و روی دکمه continue کلیک کنید. در مرحله بعدی از شما می‌خواهد که افزونه را به نسخه پرمیوم ارتقا دهید. در صورتی که تمایل دارید می‌توانید این کار را انجام دهید در غیر اینصورت بر روی گزینه “No,thanks” کلیک کنید.

علاوه بر پاپ آپ ذکر شده، پس از فعال شدن افزونه، پیامی در بالای داشبورد مدیریت وردپرس برای شما نمایان میشود که از شما می پرسد که آیا مایل هستید، افزونه به صورت اتوماتیک اپدیت شود؟

در صورتی که در اینجا گزینه ی Yes, enable auto-update را انتخاب کنید، هرگاه که آپدیت جدیدی برای این افزونه در دسترس باشد، به روز رسانی به صورت اتوماتیک صورت خواهد گرفت.

حالا برای این که بتوانید افزونه وردفنس را کاملا کنترل و اجرا نمایید، می بایست به آدرس سایت سازنده WordFence رفته و ثبت نام نمایید و آدرس سایت خود را اضافه نمایید. همانند شکل زیر

بعد از ثبت نام و اضافه کرد وب سایت به طور خودکار افزونه کاملا فعال شده و می توانید و هم در پنل مدیریت سایت wordfence تنظیمات را کنترل و اجرا کنید و هم در پیشخوان وردپرس وب سایت تان.

شروع کار با افزونه WordFence Security

در این بخش به اتفاق، به بررسی زیر منو های موجود در منوی Wordfence خواهیم پرداخت.

اسکن – Scan : کارمان را از زیر منوی scan شروع میکنیم. پس از ورود به این بخش، در صفحه ای که برای شما باز شده روی دکمه ی Start a Wordfence Scan کلیک کنید تا عملیات اسکن سایت آغاز شود. در حین انجام کار میتوانید عملیات لحظه به لحظه را در بخش Scan Detailed Activity و Scan Summary مشاهده نمایید. توجه داشته باشید که این اسکن ممکن است کمی به طول بیانجامد، بنابراین صبور باشید.

در هنگام اسکن در بخش Scan summary ممکن است عبارت Paid Members Only را مشاهده کنید. این عبارت به این معناست که ویژگی مورد نظر تنها در نسخه ی پیشرفته ی افزونه Wordfence در دسترس خواهد بود که در صورت نیاز می توانید این نسخه را خریداری کرده و مورد استفاده قرار دهید.

همچنین اگر در بخشی، عبارت Disabled را مشاهده کردید، این مسئله به این معناست که به مراجعه به بخش تنظیمات افزونه، میتوانید اسکن مواردی که غیر فعال هستند را نیز فعال کنید.

پس از به پایان رسیدن اسکن، در صورتی که همه چیز به خوبی پیش رفته باشد و هیچ مشکلی در سایت شما وجود نداشته باشد، در بخش New Issues در پایین صفحه، عبارت Congratulations! No security problems were detected by Wordfence که با رنگ سبز به نمایش در می آید، مشاهده خواهد شد. اما اگر اسکن، مشکلی را پیدا کرده باشد، با تصویری مانند زیر روبرو میشوید که مشکل را به شما اعلام میکند.

مطابق تصویر بالا، به همراه هر هشدار امنیتی، در بخش Tools، امکاناتی نیز در اختیار شما قرار می گیرد که با استفاده از آنها می توانید مشکل ذکر شده را برطرف کنید. مثلا در تصویر بالا، خطای امنیتی پیش آمده به ما می گوید که کاربری با دسترسی مدیریت، از یک رمز عبور ساده استفاده میکند. جهت رفع مشکل، میتوانیم در بخش Tools روی Edit this user کلیک کرده و کاربر مورد نظر را ویرایش کنیم.

همچنین در بخش Resolve با انتخاب گزینه ی I have fixed this issue میتوانید به افزونه بگویید که مشکل را حل کرده اید، با انتخاب گزینه ی Ignore this weak password میتوانید به افزونه بگویید که این رمز عبور ساده را نادیده بگیرد و یا با انتخاب All this user’s weak passwords میتوانید تعیین کنید که به طور کلی رمز های ساده نادیده گرفته شوند.

مد نظر داشته باشید که گزینه های در دسترس بر اساس هر خطا، متفاوت خواهند بود. یعنی فرضا وقتی افزونه از تغییر یک فایل به شما خبر میدهد، شما گزینه های دیگری مثل مشاهده تغییرات، بازگردانی به حالت اولیه و … را در اختیار خواهید داشت. بنابراین در هر زمان با توجه به نوع خطر امنیتی گزارش شده، باید تصمیم بگیرید که به چه شکل عمل کرده و از کدام گزینه ها استفاده کنید.

ترافیک زنده – Live Traffic : با ورود به این بخش، همانطور که از نام آن نیز مشخص است، می توانید ترافیک سایت خود را به صورت کاملا زنده زیر نظر بگیرید. در این بخش می توانید بازدیدکننده های انسانی، خزنده ها، ربات گوگل، ورود ها و خروج ها و … را به صورت کاملا تفکیک شده مشاهده نمایید. همچنین این امکان را دارید که هر یک از بازدیدکنندگان را بر اساس آی پی یا کل شبکه، بلاک کنید و از دسترسی افرادی که مایل نیستید از سایت استفاده کنند، جلوگیری نمایید.

Performance Setup : اینجا همان جایی است که جادوی سرعت اتفاق می افتد! در اینجا می توانید سیستم cache را برای سایت خود فعال کنید. سیستم کش به صورت پیشفرض غیر فعال است. پس از ورود به این منو، شما این امکان را دارید که از بین سه حالت، غیر فعال، افزایش سرعت 2 تا 3 برابر و افزایش سرعت 30 تا 50 برابر، یکی را انتخاب کنید. در اینجا مطابق تصویر زیر، ما گزینه ی سوم یعنی افزایش سرعت 30 تا 50 برابر را انتخاب کرده ایم.

البته بدیهی است که اگر به هر دلیل این گزینه برای سایت شما مناسب نباشد، می توانید از گزینه های دیگر بهره ببرید. در پایان با کلیک روی Save Changes to the type of caching enabled above کلیک کنید تا تنظیمات این بخش ذخیره شوند.

نکته : در صورت استفاده از افزونه های کش دیگر نظیر لایت اسپید کش در سایت امکان استفاده از این بخش امکانپذیر نیست.

تنظیمات موجود در زیر منوی Performance Setup به همین جا ختم نمی شوند. شما در این بخش میتوانید تعیین کنید که صفحات SSL نیز کش شوند، اطلاعات دیباگ به انتهای کد HTML سایت شما اضافه شود و یا هرگاه نوشته ی جدیدی که از قبل برنامه ریزی شده در سایت منتشر میشود، کش پاک شده و باز سازی شود.

همچنین با استفاده از دکمه های Get Cache stats و Clear the Cache میتوانید وضعیت کش را مشاهده کرده و در صورت نیاز آن را پاک کنید و در پایان هم می توانید آیتم هایی که مایل نیستید کش شوند را تعیین نمایید.

آی پی های مسدود شده – Blocked IPs : در این بخش شما میتوانید لیستی از آی پی های مسدود شده را به همراه دلیل مسدود شدن آنها مشاهده کنید. همچنین در صورت نیاز میتوانید به صورت دستی، یک آی پی دلخواه را از دسترسی به سایت محروم نمایید.

Password Audit : در صورت استفاده از نسخه ی پریمیوم افزونه، در این قسمت می توانید سختی رمز عبور کاربران سایت خود را اندازه گیری کنید. در این حالت به صورت شبیه سازی، از طرف سرور های Wordfence یک حمله ی کرک پسورد روی سایت شما صورت می گیرد تا مشخص شود، به دست آوردن رمز های کاربران سایت تا چه حد سخت یا آسان است و این طریق، کیفیت و سختی رمز ها سنجیده خواهد شد.

ورود با موبایل – Cellphone sign-in : با استفاده از این بخش می توانید لاگین دو مرحله ای را برای سایت خود فعال کنید. در این حالت در زمان ورود به حساب کاربری، یک کد برای موبایل شما ارسال می شود که جهت ورود باید از آن کد استفاده کنید. استفاده از این امکانات نیازمند ارتقا افزونه به نسخه ی پریمیوم خواهد بود.

مسدود کردن کشور ها – Country Blocking : امکانات این بخش نیز مجددا محدود به کاربران پریمیوم است. اما به هر حال با استفاده از امکاناتی که در این بخش در اختیار شما قرار گرفته، می توانید به سادگی از دسترسی کاربرانی که از کشورهای خاصی سایت شما را بارگذاری میکنند، جلوگیری به عمل آورید.

برنامه ریزی اسکن – Scan Schedule : همانطور که از نام این بخش نیز کاملا مشخص است، در اینجا می توانید افزونه را جهت انجام اسکن های مرتب در بازه های زمانی از پیش تعیین شده، تنظیم نمایید. امکانات این بخش نیز محدود به کاربران پریمیوم است!

Whois Lookup : با وارد کردن یک آدرس آی پی و یا یک دامنه در این بخش، می توانید اطلاعات کاملی در رابطه با مالک آن دامنه یا آی پی خاص مشاهده نمایید.

مسدود کردن پیشرفته – Advanced Blocking : در این قسمت شما این امکان را دارید که یک بازه IP خاص، User-agent یا همان مرورگر و یا یک ارجاع دهنده/ Referer خاص را به طور کامل از دسترسی به سایت محروم کنید.

تنظیمات – Options : همان طور که از نام این بخش هم مشخص است، تنظیمات افزونه در این قسمت قرار گرفته اند. اگر فرضا تصمیم گرفتید که افزونه را به نسخه پریمیوم آپگرید کنید، پس از آپگرید، لایسنس جدید را باید در همین منو وارد نمایید.

در این قسمت تنظیمات متعددی در اختیار شما قرار گرفته که به شما اجازه می دهد بخش های مختلف افزونه را به دلخواه خود فعال و غیر فعال کنید. مثلا در بخش Update Wordfence automatically می توانید آپدیت اتوماتیک را برای افزونه فعال کنید و یا اگر فراموش کردید در قسمت اول آموزش، ایمیل تان را به افزونه ارائه دهید، می توانید همین حالا ایمیل تان را در قسمت Where to email alerts قرار دهید. همچنین در قسمت Security Level میتوانید سطح امنیتی افزونه را تعیین نمایید.

در ادامه در بخش Alerts می توانید مشخص کنید که در چه زمان هایی مایل هستید افزونه به شما هشدار ارسال کند. و در بخش Scans to include نیز می توانید تعیین کنید که در زمان اسکن، افزونه به دنبال چه مواردی در سایت بگردد. بنابراین اگر به بخشی از اسکن نیاز ندارید می توانید آن را به سادگی غیر فعال کنید.

یا در بخش Other Options شما این انتخاب را دارید که ورزن وردپرس را مخفی کنید، یا وقتی یک درخواست POST از آی پی که ارجاع دهنده ی آن خالی است دریافت می شود، به طور اتوماتیک آن را غیر فعال کنید.

به طور کلی در این بخش تنظیمات بسیار با ارزشی وجود دارد که با صرف زمان بر اساس نیاز می توانید با آنها به نتایج بسیار خوبی دست پیدا کنید. اما به این نکته توجه داشته باشید که اکثر کاربران نیازی به اعمال تغییرات در تنظیمات این بخش نخواهند داشت. بنابراین اعمال هر نوع تغییر در این بخش لازم است که با دقت و کسب اطلاعات صحیح پیش از اعمال تغییر، صورت بگیرد.

در پایان هم وقتی از تنظیمات خود رضایت داشتید، می توانید در بخش Exporting and Importing Wordfence Settings از کلیه ی تنظیمات خود، یک نسخه ی پشتیبان تهیه کنید و بعدا در صورت نیاز آن را مورد استفاده قرار دهید.

همانطور که حتما تا الان خودتان هم به خوبی متوجه شده اید، این افزونه امکانات بسیار عالی ای را در اختیار شما قرار می دهد. بنابراین اگر به فکر امنیت وبسایت خود هستید و تا امروز، هنوز در این زمینه اقدامی نکرده اید، این افزونه می تواند برای شما یک شروع قوی باشد. حتی اگر از قبل، از افزونه های دیگری مثل iThemes Security هم استفاده می کردید، شاید بد نباشد که همین حالا دست به کار شوید و افزونه ی Wordfence را جایگزین رقبای قدیمی اش کنید.