آموزش افزونه امنیتی Wordfence برای وردپرس

در این پست میخواهیم با آموزش افزونه امنیتی Wordfence و نصب و راه اندازی این افزونه امنیتی قدرتمند برای وردپرس آشنا شویم.افراد زیادی را میبینم که از پایین بودن امنیت وردپرس حرف میزنند و چون این وسط سایت هایشان یکی دو باری هم هک شده است از این شکایت میکنند که وردپرس ضعف های امنیتی زیادی دارد و برای همین آن را سیستم مدیریت محتوای مناسبی نمیدانند.

افزونه امنیتی Wordfence

البته میپذیریم که هر اسکریپیتی باگ های خاص خودش را دارد اما اینکه ما بخش مدیریت اسکریپتمان را برای همه باز بگذاریم و رمزمان از ۱۲۳۴۵ آن طرف تر نرود و تازه یوزرمان هم همان admin آشنای همیشگی باشد و عملا سایتمان را به امان خدا رها کرده باشیم و بعد که هک شدیم بیاییم و تقصیر را گردن اسکریپت بیاندازیم واقعا بی انصافی است. به نظر شخصی من و البته به نظر میلیون ها نفر دیگر در سراسر جهان، وردپرس واقعا قدرتمند است، خوب پس بیایید این بار با هم ضد گلوله کردن وردپرسمان را یاد بگیریم. اینکه در این مقاله امنیت وردپرس را هدف میگیرم دلیلش نا امنی وردپرس نیست، بلکه دلیلش این است که این اسکریپت طرفداران بسیار زیادی دارد.

آشنایی با امکانات افزونه امنیتی Wordfence

افزونه وردفنس (wordfence) به صورت همزمان، هم یک افزونه ی امنیتی بسیار قوی است که میتواند وبسایت وردپرسی شما را در برابر انواع حملات مراقبت کند و هم میتواند به عنوان یک افزونه کش و بهینه ساز قوی، با بهره گیری از موتور فالکون، سرعت بارگذاری سایت شما را تا 50 برابر بهبود ببخشد. برخی از امکانات این افزونه عبارتند از :

  • محافظت real-time از سایت در برابر انواع حملات شناخته شده. (اگر حمله ای در یکی از سایت هایی که از این افزونه اتفاق بیفتد، حمله کننده در کلیه ی سایت های دیگری که از این افزونه استفاده میکنند بلاک خواهد شد.).
  • جلوگیری از دسترسی شبکه های آلوده و جلوگیری از دسترسی خزنده هایی که سایت شما را به دنبال حفره های امنیتی اسکن میکنند (جهت سوء استفاده).
  • امکان استفاده از سیستم Two Factor Authentication (لاگین دو مرحله ای با استفاده از موبایل).
  • اجبار به استفاده از رمز های قوی برای کاربران و ادمین وردپرس.
  • محافظت در برابر حملات بروت فورس و جلوگیری از نمایش خطاهایی که با ارائه ی اطلاعات مهم، امنیت سایت را به خطر می اندازند
  • اسکن و تشخیص باگ امنیتی HeartBleed،اسکن فایل های هسته ی وردپرس، افزونه ها و قالب ها و مقایسه با نسخه های اصلی جهت شناسایی فایل های آلوده.اسکن و شناسایی بیش از 44000 بد افزار شناخته شده.
  • اسکن و تشخیص انواع backdoor ها و حفره های امنیتی از جمله C99, R57, RootShell, Crystal Shell, Matamu, Cybershell, W4cking, Sniper, Predator, Jackal, Phantasma, GFS, Dive, Dx و …
  • امکان مشاهده ترافیک سایت به صورت زنده،بررسی امنیت DNS و تشخیص تغییرات غیر مجاز.
  • مانیتور فضای مصرف شده ی دیسک جهت جلوگیری از حملات DDOS ای که از این شیوه جهت جلوگیری از سرویس دهی استفاده میکنند.
  • امکان استفاده در حالت مالتی سایت (چند سایته)،بهره مندی از موتور Falcon سریعترین موتور کشینگ در وردپرس جهت به حداقل رساندن درخواست های دیتابیس و سرور.
  • کارکرد صحیح در کنار افزونه هایی مانند ووکامرس و سایر قالب ها و افزونه های شناخته شده.

نصب و فعالسازی افزونه WordFence Security

لطفا پیش از شروع کار با افزونه از سایت خود بکاپ تهیه کنید. برای شروع ابتدا افزونه Wordfence Security را دریافت کرده و بر روی سایت خود نصب و فعال کنید.بلافاصله پس از فعال سازی افزونه، یک پنجره ی پاپ آپ کوچک در صفحه ی مدیریت وردپرس برای شما باز میشود که از شما درخواست میکند جهت دریافت هشدار های امنیتی در رابطه با سایتتان، آدرس ایمیل خود را در کادر مربوط به ایمیل وارد کنید.علاوه بر پاپ آپ ذکر شده، پس از فعال شدن افزونه، پیامی در بالای داشبورد مدیریت وردپرس برای شما نمایان میشود که از شما میپرسد که آیا مایل هستید، افزونه به صورت اتوماتیک اپدیت شود؟

در صورتی که در اینجا گزینه ی Yes, enable auto-update را انتخاب کنید، هرگاه که آپدیت جدیدی برای این افزونه در دسترس باشد، به روز رسانی به صورت اتوماتیک صورت خواهد گرفت.

تنظیمات افزونه WordFence Security

اسکن – Scan:کارمان را از زیر منوی scan شروع میکنیم. پس از ورود به این بخش، در صفحه ای که برای شما باز شده روی دکمه ی Start a Wordfence Scan کلیک کنید تا عملیات اسکن سایت آغاز شود. در حین انجام کار میتوانید عملیات لحظه به لحظه را در بخش Scan Detailed Activity و Scan Summary مشاهده نمایید. توجه داشته باشید که این اسکن ممکن است کمی به طول بیانجامد، بنابراین صبور باشید.

در هنگام اسکن در بخش Scan summary ممکن است عبارت Paid Members Only را مشاهده کنید. این عبارت به این معناست که ویژگی مورد نظر تنها در نسخه ی پیشرفته ی افزونه Wordfence در دسترس خواهد بود که در صورت نیاز میتوانید این نسخه را خریداری کرده و مورد استفاده قرار دهید.همچنین اگر در بخشی، عبارت Disabled را مشاهده کردید، این مسئله به این معناست که به مراجعه به بخش تنظیمات افزونه، میتوانید اسکن مواردی که غیر فعال هستند را نیز فعال کنید.

پس از به پایان رسیدن اسکن، در صورتی که همه چیز به خوبی پیش رفته باشد و هیچ مشکلی در سایت شما وجود نداشته باشد، در بخش New Issues در پایین صفحه، عبارت Congratulations! No security problems were detected by Wordfence که با رنگ سبز به نمایش در می آید، مشاهده خواهد شد. اما اگر اسکن، مشکلی را پیدا کرده باشد، با تصویری مانند زیر روبرو میشوید که مشکل را به شما اعلام میکند.

افزونه امنیتی Wordfence

مطابق تصویر بالا، به همراه هر هشدار امنیتی، در بخش Tools، امکاناتی نیز در اختیار شما قرار میگیرد که با استفاده از آنها میتوانید مشکل ذکر شده را برطرف کنید. مثلا در تصویر بالا، خطای امنیتی پیش آمده به ما میگوید که کاربری با دسترسی مدیریت، از یک رمز عبور ساده استفاده میکند. جهت رفع مشکل، میتوانیم در بخش Tools روی Edit this user کلیک کرده و کاربر مورد نظر را ویرایش کنیم.

همچنین در بخش Resolve با انتخاب گزینه ی I have fixed this issue میتوانید به افزونه بگویید که مشکل را حل کرده اید، با انتخاب گزینه ی Ignore this weak password میتوانید به افزونه بگویید که این رمز عبور ساده را نادیده بگیرد و یا با انتخاب All this user’s weak passwords میتوانید تعیین کنید که به طور کلی رمز های ساده نادیده گرفته شوند. مد نظر داشته باشید که گزینه های در دسترس بر اساس هر خطا، متفاوت خواهند بود.

به عنوان مثال وقتی افزونه از تغییر یک فایل به شما خبر میدهد، شما گزینه های دیگری مثل مشاهده تغییرات، بازگردانی به حالت اولیه و … را در اختیار خواهید داشت. بنابراین در هر زمان با توجه به نوع خطر امنیتی گزارش شده، باید تصمیم بگیرید که به چه شکل عمل کرده و از کدام گزینه ها استفاده کنید.

ترافیک زنده – Live Traffic:با ورود به این بخش، همانطور که از نام آن نیز مشخص است، میتوانید ترافیک سایت خود را به صورت کاملا زنده زیر نظر بگیرید. در این بخش میتوانید بازدیدکننده های انسانی، خزنده ها، ربات گوگل، ورود ها و خروج ها و … را به صورت کاملا تفکیک شده مشاهده نمایید. همچنین این امکان را دارید که هر یک از بازدیدکنندگان را بر اساس آی پی یا کل شبکه، بلاک کنید و از دسترسی افرادی که مایل نیستید از سایت استفاده کنند، جلوگیری نمایید.

Performance Setup:در اینجا میتوانید سیستم cache را برای سایت خود فعال کنید. سیستم کش به صورت پیشفرض غیر فعال است. پس از ورود به این منو، شما این امکان را دارید که از بین سه حالت، غیر فعال، افزایش سرعت 2 تا 3 برابر و افزایش سرعت 30 تا 50 برابر، یکی را انتخاب کنید. در اینجا مطابق تصویر زیر، ما گزینه ی سوم یعنی افزایش سرعت 30 تا 50 برابر را انتخاب کرده ایم.

افزونه امنیتی Wordfence

البته بدیهی است که اگر به هر دلیل این گزینه برای سایت شما مناسب نباشد، میتوانید از گزینه های دیگر بهره ببرید. در پایان با کلیک روی Save Changes to the type of caching enabled above کلیک کنید تا تنظیمات این بخش ذخیره شوند.تنظیمات موجود در زیر منوی Performance Setup به همینجا ختم نمیشوند. شما در این بخش میتوانید تعیین کنید که صفحات SSL نیز کش شوند، اطلاعات دیباگ به انتهای کد HTML سایت شما اضافه شود و یا هرگاه نوشته ی جدیدی که از قبل برنامه ریزی شده در سایت منتشر میشود، کش پاک شده و باز سازی شود.

همچنین با استفاده از دکمه های Get Cache stats و Clear the Cache میتوانید وضعیت کش را مشاهده کرده و در صورت نیاز آن را پاک کنید و در پایان هم میتوانید آیتم هایی که مایل نیستید کش شوند را تعیین نمایید.

آی پی های مسدود شده – Blocked IPs:در این بخش شما میتوانید لیستی از آی پی های مسدود شده را به همراه دلیل مسدود شدن آنها مشاهده کنید. همچنین در صورت نیاز میتوانید به صورت دستی، یک آی پی دلخواه را از دسترسی به سایت محروم نمایید.

Password Audit:در صورت استفاده از نسخه ی پریمیوم افزونه، در این قسمت میتوانید سختی رمز عبور کاربران سایت خود را اندازه گیری کنید. در این حالت به صورت شبیه سازی، از طرف سرور های Wordfence یک حمله ی کرک پسورد روی سایت شما صورت میگیرد تا مشخص شود، به دست آوردن رمز های کاربران سایت تا چه حد سخت یا آسان است و این طریق، کیفیت و سختی رمز ها سنجیده خواهد شد.

ورود با موبایل – Cellphone sign-in:با استفاده از این بخش میتوانید لاگین دو مرحله ای را برای سایت خود فعال کنید. در این حالت در زمان ورود به حساب کاربری، یک کد برای موبایل شما ارسال میشود که جهت ورود باید از آن کد استفاده کنید. استفاده از این امکانات نیازمند ارتقا افزونه به نسخه ی پریمیوم خواهد بود.

مسدود کردن کشور ها – Country Blocking:امکانات این بخش نیز مجددا محدود به کاربران پریمیوم است. اما به هر حال با استفاده از امکاناتی که در این بخش در اختیار شما قرار گرفته، میتوانید به سادگی از دسترسی کاربرانی که از کشورهای خاصی سایت شما را بارگذاری میکنند، جلوگیری به عمل آورید.

برنامه ریزی اسکن – Scan Schedule:همانطور که از نام این بخش نیز کاملا مشخص است، در اینجا میتوانید افزونه را جهت انجام اسکن های مرتب در بازه های زمانی از پیش تعیین شده، تنظیم نمایید. امکانات این بخش نیز محدود به کاربران پریمیوم است!

مسدود کردن پیشرفته – Advanced Blocking:در این قسمت شما این امکان را دارید که یک بازه IP خاص، User-agent یا همان مرورگر و یا یک ارجاع دهنده/ Referer خاص را به طور کامل از دسترسی به سایت محروم کنید.

در پایان هم وقتی از تنظیمات خود رضایت داشتید، میتوانید در بخش Exporting and Importing Wordfence Settings از کلیه ی تنظیمات خود، یک نسخه ی پشتیبان تهیه کنید و بعدا در صورت نیاز آن را مورد استفاده قرار دهید.این افزونه امکانات بسیار عالی ای را در اختیار شما قرار میدهد. بنابراین اگر به فکر امنیت وبسایت خود هستید و تا امروز، هنوز در این زمینه اقدامی نکرده اید، این افزونه میتواند برای شما یک شروع قوی باشد. حتی اگر از قبل، از افزونه های دیگری مثل iThemes Security هم استفاده میکردید، شاید بد نباشد که همین حالا دست به کار شوید و افزونه ی Wordfence را جایگزین رقبای قدیمی اش کنید.

توجه داشته باشید که استفاده ی همزمان چندین افزونه با کارکرد مشابه، اصلا توصیه نمیشود. بنابراین در صورتی که تصمیم گرفتید از این افزونه استفاده کنید، قبل از شروع کار، افزونه های مشابه را از روی سایت خود حذف کنید. همچنین حتما پیش از اعمال تغییرات، از سایت خود بکاپ تهیه کنید.

امیدواریم از این آموزش استفاده کرده باشید. اگر استفاده از این افزونه را شروع کردید، حتما نظرات خود را در این رابطه با ما در میان بگذارید و ما را نیز در تجربیاتی که از استفاده از این افزونه کسب کرده اید، شریک کنید.

کدفرند

کدفرند محلی برای کسانی است که علاقه به برنامه‌ نویسی راه اندازی کسب و کار اینترنتی شخصی دارند،ما در این جا دور هم جمع شده ایم تا از جدیدترین مباحث برنامه نویسی و تازه های فناوری اطلاعات بنویسیم.

همه مطالب این نویسنده

تاکنون هیچ نظری ثبت نشده است