آموزش راه اندازی و تنظیم افزونه امنیتی Wordfence
تا امروز افزونه های متعددی را در جهت بهینه سازی و تامین امنیت وردپرس به شما معرفی کرده ایم. اما امروز میخواهیم درباره ی افزونه ای با شما صحبت کنیم که نه تنها از پس مراقبت از سایت شما در برابر انواع حملات بر می آید، بلکه میتواند بارگذاری سایت شما را تا 50 برابر سریع تر کند! بله! امروز تصمیم داریم در رابطه با افزونه امنیتی و بهینه سازی Wordfence صحبت کنیم. از شما دعوت میکنیم که در آموزش امروز با مسترکد همراه شوید.
با امکانات افزونه امنیتی Wordfence بیشتر آشنا شوید …
افزونه وردفنس (wordfence) به صورت همزمان، هم یک افزونه ی امنیتی بسیار قوی است که میتواند وبسایت وردپرسی شما را در برابر انواع حملات مراقبت کند و هم میتواند به عنوان یک افزونه کش و بهینه ساز قوی، با بهره گیری از موتور فالکون، سرعت بارگذاری سایت شما را تا 50 برابر بهبود ببخشد. برخی از امکانات این افزونه عبارتند از :
- محافظت real-time از سایت در برابر انواع حملات شناخته شده. (اگر حمله ای در یکی از سایت هایی که از این افزونه اتفاق بیفتد، حمله کننده در کلیه ی سایت های دیگری که از این افزونه استفاده میکنند بلاک خواهد شد.)
- جلوگیری از دسترسی شبکه های آلوده
- جلوگیری از دسترسی خزنده هایی که سایت شما را به دنبال حفره های امنیتی اسکن میکنند (جهت سوء استفاده)
- امکان بلاک کردن دسترسی بر اساس کشور و بازه های زمانی خاص (در نسخه پریمیوم)
- امکان استفاده از سیستم Two Factor Authentication (لاگین دو مرحله ای با استفاده از موبایل)
- اجبار به استفاده از رمز های قوی
- محافظت در برابر حملات بروت فورس و جلوگیری از نمایش خطاهایی که با ارائه ی اطلاعات مهم، امنیت سایت را به خطر می اندازند
- اسکن و تشخیص باگ امنیتی HeartBleed
- اسکن فایل های هسته ی وردپرس، افزونه ها و قالب ها و مقایسه با نسخه های اصلی جهت شناسایی فایل های آلوده.
- اسکن و شناسایی بیش از 44000 بد افزار شناخته شده
- اسکن و تشخیص انواع backdoor ها و حفره های امنیتی از جمله C99, R57, RootShell, Crystal Shell, Matamu, Cybershell, W4cking, Sniper, Predator, Jackal, Phantasma, GFS, Dive, Dx و …
- جلوگیری از دسترسی گوگل بات های تقلبی، اسکن های مخرب، بات نت ها و …
- امکان مشاهده ترافیک سایت به صورت زنده
- بررسی امنیت DNS و تشخیص تغییرات غیر مجاز
- مانیتور فضای مصرف شده ی دیسک جهت جلوگیری از حملات DDOS ای که از این شیوه جهت جلوگیری از سرویس دهی استفاده میکنند
- امکان استفاده در حالت مالتی سایت (چند سایته)
- بهره مندی از موتور Falcon سریعترین موتور کشینگ در وردپرس جهت به حداقل رساندن درخواست های دیتابیس و سرور
- سازگار با IPV6 ( که برای هممون خیلی مهمه! ? )
- کارکرد صحیح در کنار افزونه هایی مانند ووکامرس و سایر قالب ها و افزونه های شناخته شده
- و بسیاری از امکانات دیگر …
نصب و فعالسازی افزونه WordFence Security
لطفا پیش از شروع کار با افزونه از سایت خود بکاپ تهیه کنید. برای شروع ابتدا افزونه Wordfence Security را دریافت کرده و بر روی سایت خود نصب و فعال کنید. اگر با نحوه ی انجام این کار آشنا نیستید، ابتدا آموزش نصب افزونه در وردپرس را بخوانید. بلافاصله پس از فعال سازی افزونه، یک پنجره ی پاپ آپ کوچک در صفحه ی مدیریت وردپرس برای شما باز میشود که از شما درخواست میکند جهت دریافت هشدار های امنیتی در رابطه با سایتتان، آدرس ایمیل خود را در کادر مربوط به ایمیل وارد کنید
علاوه بر پاپ آپ ذکر شده، پس از فعال شدن افزونه، پیامی در بالای داشبورد مدیریت وردپرس برای شما نمایان میشود که از شما میپرسد که آیا مایل هستید، افزونه به صورت اتوماتیک اپدیت شود؟
در صورتی که در اینجا گزینه ی Yes, enable auto-update را انتخاب کنید، هرگاه که آپدیت جدیدی برای این افزونه در دسترس باشد، به روز رسانی به صورت اتوماتیک صورت خواهد گرفت.
همچنین مشاهده خواهید کرد که منوی جدیدی با عنوان WordFence به منو های اصلی ناحیه مدیریت شما افزوده میشود. ما کارمان را با بررسی زیر منو های موجود در این بخش آغاز میکنیم و سعی خواهیم کرد که حتی الامکان تمامی آپشن ها و تنظیمات مهم و اصلی را مورد بررسی قرار دهیم.
آشنایی با تنظیمات افزونه WordFence Security
در این بخش به اتفاق، به بررسی زیر منو های موجود در منوی Wordfence خواهیم پرداخت.
اسکن – Scan : کارمان را از زیر منوی scan شروع میکنیم. پس از ورود به این بخش، در صفحه ای که برای شما باز شده روی دکمه ی Start a Wordfence Scan کلیک کنید تا عملیات اسکن سایت آغاز شود. در حین انجام کار میتوانید عملیات لحظه به لحظه را در بخش Scan Detailed Activity و Scan Summary مشاهده نمایید. توجه داشته باشید که این اسکن ممکن است کمی به طول بیانجامد، بنابراین صبور باشید و اگر لازم است یک فنجان قهوه میل کنید تا اسکن به پایان برسد.
در هنگام اسکن در بخش Scan summary ممکن است عبارت Paid Members Only را مشاهده کنید. این عبارت به این معناست که ویژگی مورد نظر تنها در نسخه ی پیشرفته ی افزونه Wordfence در دسترس خواهد بود که در صورت نیاز میتوانید این نسخه را خریداری کرده و مورد استفاده قرار دهید.
همچنین اگر در بخشی، عبارت Disabled را مشاهده کردید، این مسئله به این معناست که به مراجعه به بخش تنظیمات افزونه، میتوانید اسکن مواردی که غیر فعال هستند را نیز فعال کنید.
پس از به پایان رسیدن اسکن، در صورتی که همه چیز به خوبی پیش رفته باشد و هیچ مشکلی در سایت شما وجود نداشته باشد، در بخش New Issues در پایین صفحه، عبارت Congratulations! No security problems were detected by Wordfence که با رنگ سبز به نمایش در می آید، مشاهده خواهد شد. اما اگر اسکن، مشکلی را پیدا کرده باشد، با تصویری مانند زیر روبرو میشوید که مشکل را به شما اعلام میکند.
مطابق تصویر بالا، به همراه هر هشدار امنیتی، در بخش Tools، امکاناتی نیز در اختیار شما قرار میگیرد که با استفاده از آنها میتوانید مشکل ذکر شده را برطرف کنید. مثلا در تصویر بالا، خطای امنیتی پیش آمده به ما میگوید که کاربری با دسترسی مدیریت، از یک رمز عبور ساده استفاده میکند. جهت رفع مشکل، میتوانیم در بخش Tools روی Edit this user کلیک کرده و کاربر مورد نظر را ویرایش کنیم. همچنین در بخش Resolve با انتخاب گزینه ی I have fixed this issue میتوانید به افزونه بگویید که مشکل را حل کرده اید، با انتخاب گزینه ی Ignore this weak password میتوانید به افزونه بگویید که این رمز عبور ساده را نادیده بگیرد و یا با انتخاب All this user’s weak passwords میتوانید تعیین کنید که به طور کلی رمز های ساده نادیده گرفته شوند. مد نظر داشته باشید که گزینه های در دسترس بر اساس هر خطا، متفاوت خواهند بود. یعنی فرضا وقتی افزونه از تغییر یک فایل به شما خبر میدهد، شما گزینه های دیگری مثل مشاهده تغییرات، بازگردانی به حالت اولیه و … را در اختیار خواهید داشت. بنابراین در هر زمان با توجه به نوع خطر امنیتی گزارش شده، باید تصمیم بگیرید که به چه شکل عمل کرده و از کدام گزینه ها استفاده کنید.
ترافیک زنده – Live Traffic : با ورود به این بخش، همانطور که از نام آن نیز مشخص است، میتوانید ترافیک سایت خود را به صورت کاملا زنده زیر نظر بگیرید. در این بخش میتوانید بازدیدکننده های انسانی، خزنده ها، ربات گوگل، ورود ها و خروج ها و … را به صورت کاملا تفکیک شده مشاهده نمایید. همچنین این امکان را دارید که هر یک از بازدیدکنندگان را بر اساس آی پی یا کل شبکه، بلاک کنید و از دسترسی افرادی که مایل نیستید از سایت استفاده کنند، جلوگیری نمایید.
Performance Setup : اینجا همان جایی است که جادوی سرعت اتفاق می افتد! در اینجا میتوانید سیستم cache را برای سایت خود فعال کنید. سیستم کش به صورت پیشفرض غیر فعال است. پس از ورود به این منو، شما این امکان را دارید که از بین سه حالت، غیر فعال، افزایش سرعت 2 تا 3 برابر و افزایش سرعت 30 تا 50 برابر، یکی را انتخاب کنید. در اینجا مطابق تصویر زیر، ما گزینه ی سوم یعنی افزایش سرعت 30 تا 50 برابر را انتخاب کرده ایم.
البته بدیهی است که اگر به هر دلیل این گزینه برای سایت شما مناسب نباشد، میتوانید از گزینه های دیگر بهره ببرید. در پایان با کلیک روی Save Changes to the type of caching enabled above کلیک کنید تا تنظیمات این بخش ذخیره شوند.
تنظیمات موجود در زیر منوی Performance Setup به همینجا ختم نمیشوند. شما در این بخش میتوانید تعیین کنید که صفحات SSL نیز کش شوند، اطلاعات دیباگ به انتهای کد HTML سایت شما اضافه شود و یا هرگاه نوشته ی جدیدی که از قبل برنامه ریزی شده در سایت منتشر میشود، کش پاک شده و باز سازی شود.
همچنین با استفاده از دکمه های Get Cache stats و Clear the Cache میتوانید وضعیت کش را مشاهده کرده و در صورت نیاز آن را پاک کنید و در پایان هم میتوانید آیتم هایی که مایل نیستید کش شوند را تعیین نمایید.
آی پی های مسدود شده – Blocked IPs : در این بخش شما میتوانید لیستی از آی پی های مسدود شده را به همراه دلیل مسدود شدن آنها مشاهده کنید. همچنین در صورت نیاز میتوانید به صورت دستی، یک آی پی دلخواه را از دسترسی به سایت محروم نمایید.
Password Audit : در صورت استفاده از نسخه ی پریمیوم افزونه، در این قسمت میتوانید سختی رمز عبور کاربران سایت خود را اندازه گیری کنید. در این حالت به صورت شبیه سازی، از طرف سرور های Wordfence یک حمله ی کرک پسورد روی سایت شما صورت میگیرد تا مشخص شود، به دست آوردن رمز های کاربران سایت تا چه حد سخت یا آسان است و این طریق، کیفیت و سختی رمز ها سنجیده خواهد شد.
ورود با موبایل – Cellphone sign-in : با استفاده از این بخش میتوانید لاگین دو مرحله ای را برای سایت خود فعال کنید. در این حالت در زمان ورود به حساب کاربری، یک کد برای موبایل شما ارسال میشود که جهت ورود باید از آن کد استفاده کنید. استفاده از این امکانات نیازمند ارتقا افزونه به نسخه ی پریمیوم خواهد بود.
مسدود کردن کشور ها – Country Blocking : امکانات این بخش نیز مجددا محدود به کاربران پریمیوم است. اما به هر حال با استفاده از امکاناتی که در این بخش در اختیار شما قرار گرفته، میتوانید به سادگی از دسترسی کاربرانی که از کشورهای خاصی سایت شما را بارگذاری میکنند، جلوگیری به عمل آورید.
برنامه ریزی اسکن – Scan Schedule : همانطور که از نام این بخش نیز کاملا مشخص است، در اینجا میتوانید افزونه را جهت انجام اسکن های مرتب در بازه های زمانی از پیش تعیین شده، تنظیم نمایید. امکانات این بخش نیز محدود به کاربران پریمیوم است!
Whois Lookup : با وارد کردن یک آدرس آی پی و یا یک دامنه در این بخش، میتوانید اطلاعات کاملی در رابطه با مالک آن دامنه یا آی پی خاص مشاهده نمایید.
مسدود کردن پیشرفته – Advanced Blocking : در این قسمت شما این امکان را دارید که یک بازه IP خاص، User-agent یا همان مرورگر و یا یک ارجاع دهنده/ Referer خاص را به طور کامل از دسترسی به سایت محروم کنید.
تنظیمات – Options : همانطور که از نام این بخش هم مشخص است، تنظیمات افزونه در این قسمت قرار گرفته اند. اگر فرضا تصمیم گرفتید که افزونه را به نسخه پریمیوم آپگرید کنید، پس از آپگرید، لایسنس جدید را باید در همین منو وارد نمایید.
در این قسمت تنظیمات متعددی در اختیار شما قرار گرفته که به شما اجازه میدهد بخش های مختلف افزونه را به دلخواه خود فعال و غیر فعال کنید. مثلا در بخش Update Wordfence automatically میتوانید آپدیت اتوماتیک را برای افزونه فعال کنید و یا اگر فراموش کردید در قسمت اول آموزش، ایمیلتان را به افزونه ارائه دهید، میتوانید همین حالا ایمیلتان را در قسمت Where to email alerts قرار دهید. همچنین در قسمت Security Level میتوانید سطح امنیتی افزونه را تعیین نمایید.
در ادامه در بخش Alerts میتوانید مشخص کنید که در چه زمان هایی مایلید افزونه به شما هشدار ارسال کند. و در بخش Scans to include نیز میتوانید تعیین کنید که در زمان اسکن، افزونه به دنبال چه مواردی در سایت بگردد. بنابراین اگر به بخشی از اسکن نیاز ندارید میتوانید آن را به سادگی غیر فعال کنید.
یا در بخش Other Options شما این انتخاب را دارید که ورزن وردپرس را مخفی کنید، یا وقتی یک درخواست POST از آی پی که ارجاع دهنده ی آن خالی است دریافت میشود، به طور اتوماتیک آن را غیر فعال کنید.
به طور کلی در این بخش تنظیمات بسیار با ارزشی وجود دارد که با صرف زمان بر اساس نیاز میتوانید با آنها به نتایج بسیار خوبی دست پیدا کنید. اما به این نکته توجه داشته باشید که اکثر کاربران نیازی به اعمال تغییرات در تنظیمات این بخش نخواهند داشت. بنابراین اعمال هر نوع تغییر در این بخش لازم است که با دقت و کسب اطلاعات صحیح پیش از اعمال تغییر، صورت بگیرد.
در پایان هم وقتی از تنظیمات خود رضایت داشتید، میتوانید در بخش Exporting and Importing Wordfence Settings از کلیه ی تنظیمات خود، یک نسخه ی پشتیبان تهیه کنید و بعدا در صورت نیاز آن را مورد استفاده قرار دهید.
همانطور که حتما تا الان خودتان هم به خوبی متوجه شده اید، این افزونه امکانات بسیار عالی ای را در اختیار شما قرار میدهد. بنابراین اگر به فکر امنیت وبسایت خود هستید و تا امروز، هنوز در این زمینه اقدامی نکرده اید، این افزونه میتواند برای شما یک شروع قوی باشد. حتی اگر از قبل، از افزونه های دیگری مثل iThemes Security هم استفاده میکردید، شاید بد نباشد که همین حالا دست به کار شوید و افزونه ی Wordfence را جایگزین رقبای قدیمی اش کنید. توجه داشته باشید که استفاده ی همزمان چندین افزونه با کارکرد مشابه، اصلا توصیه نمیشود. بنابراین در صورتی که تصمیم گرفتید از این افزونه استفاده کنید، قبل از شروع کار، افزونه های مشابه را از روی سایت خود حذف کنید. همچنین حتما پیش از اعمال تغییرات، از سایت خود بکاپ تهیه کنید. بدیهی است که مسترکد در زمینه اجرای ناقص یا اشتباه این آموزش و یا بروز هر نوع مشکل در صورت عدم ایجاد بکاپ و … مسئولیتی را بر عهده نخواهد گرفت.
امیدواریم از این آموزش لذت برده باشید. اگر استفاده از این افزونه را شروع کردید، حتما نظرات خود را در این رابطه با ما در میان بگذارید و ما را نیز در تجربیاتی که از استفاده از این افزونه کسب کرده اید، شریک کنید.
مرسی .
جالب بود.
خودتون هم جایی امتحانش کردید یا صرفا اطلاع رسانیه ؟
بدون امتحان چطوری میشه براش آموزش نوشته باشیم دوست عزیز؟
این افزونه از مطرح ترین افزونه های امنیتی و بهینه سازی وردپرس هست.
پس میشه خواهش کنم این سوال رو پاسخ بدید:
1. حجم تیبل های دیتابیس این افزونه زیاده هست .و البته تعداد تیبل هاش. چطور باید تنظیم کنیم که خودش بعد از مدتی اطلاعات قبلی رو پاک کنه .؟ اصلا لازمه ؟
wordfence این آپشن رو داره که خودش همه ی تیبل هایی که ساخته رو حذف کنه ولی انجام این کار همه ی تنظیماتتون رو هم ریست خواهد کرد. چون از این روش معمولا وقتی استفاده میکنند که بخوان افزونه رو از سایت حذف کنن.
بجز این من اطلاع از روش دیگه ای ندارم.
سلام
اگه از افزونه های کش استفاده کنیم دیگه نیازی به استفاده از سیستم کش این افزونه نیست.
درسته؟ (بهتره این نکته را در توضیحات اضافه کنید)
سپاس
سلام
واضح هست که همزمان از چند افزونه به یک منظور نباید استفاده کرد.
درود
من از افزونه
all in one security&fire wall
استفاده میکنم . و تمامی اپشن هاشو هم فعال کردم …
بنظرتون از این Wordfence هم استفاده کنم ؟
استفاده همزمانشون مشکلی نداره ؟
امنیت برام خیلی مهمه
سلام
هیچ وقت از دو افزونه ای که کار یکسان انجام میدن، همزمان استفاده نکنید. یکی رو انتخاب کنید و مورد استفاده قرار بدید.
زمانی که پاسخ یک کاربر رو میدین انگار طلبکار هستید و دعوا دارید
اینجوری نمیشه مخاطب رو راضی نگه داشت
برید پاسخ هاتون رو به کاربرها ببینید
شاید دلیلی که کسی سوالاتشون رو نمیپرسن همین نحوه پاسگویی هستش
خودم زمانی که نحوه پاسخگویی رو دیدم پشیمون شدم سوالم رو بپرسم
هرچند میدونم منتشر نمیکنید کامنتم رو اما گفتم شاید تغییری در روند پاسخگویی باشه شایدم نباشه
موفق باشید
فعلا که شما طلبکاری برادر!
احتمالا شما دلت از جای دیگه پر بوده …
سلام
من این افزونه را نصب کردم….
در کنارش یک افزونه WP Rocket هم نصب کردم. متاسفانه وردفنس به صورت اتوماتیک دسترسی افزونه را محدود میکنه و بسیار اذیت کننده هست
افزونه راکت هم مدام این ارورها را میده
مراقب باشید، شما لازم نیست که e writing permissions on WP Rocket cache folder (wp-content/cache/wp-rocket). For WP Rocket works properly, please CHMOD 755 or 775 or 777 این پوشه.
و ارورهای مشابه
من از هاست دسترسی ها را اصلاح میکنم اما زمانی که وردفنس اسکن مجدد انجام میده دوباره این اخطار ها میاد
ممنون میشم کمکم کنید این مشکل را حل کنم
باتشکر
من تو سایتم تازگی ها یک پاپ اپ اومده با این اسم: onclkds چطور پاک کنم؟ یک ویروس فکر کنم لطفا کمک کنید
باید محل قرار گیری کدش رو در سایتتون پیدا کنید. مثلا ممکنه در یکی از افزونه ها یا قالب سایتتون باشه. همچنین ممکنه کد به صورت base64 یا به حالت عادی در سایت قرار گرفته باشه. بعد از پیدا کردن محل کد باید حذفش کنید تا مشکلتون برطرف شه ولی متاسفانه معمولا عمق این مسائل بیشتر از پیدا کردن و پاک کردن چند خط کد هست …
با سلام و خسته نباشید
به اشتباه چند آی پی را بصورت دستی از بخش Tools این افزونه بلاک کردم ، هر چی گشتم موردی پیدا نکردم که بشه آی پی هایی که بصورت دستی بلاک کردم را آنبلاک کنم
در واقع از Live Traffic این کار رو انجام دادم
ممنون میشم راهنمایی بفرمایید.
با تشکر