در تمامی وب سایت ها بحث امنیت یکی از مباحث مهم می باشد که امنیت وب سایتهای وردپرسی نیز از آن مستثنا نیست. امنیت وردپرس به خودی خود بالاست اما برای بالا بردن امنیت هر چه بیشتر نیاز به افزونه های امنیتی می باشد که افزونه Wordfence بی شک یکی از بهترین افزونه ها در این زمینه می باشد.
نصب یک افزونه هیچگاه امنیت وب سایت را ۱۰۰% نخواهد کرد اما امنیت آن را در حد مقبولی بالا خواهد برد. این افزونه از سایت شما در برابر بسیاری از حملات شامل حملات هکرها، DDoS و بدافزارها محافظت می کند.
بیشتر بخوانید: افزونه امنیتی رایگان وردپرس
ویژگی های مهم افزونه Wordfence Security
- دارای فایروال داخلی برای جلوگیری از حملات سایبری مانند حملات DoS
- دارای اسکنر بدافزار برای اسکن کردن کدهای وردپرس مانند کدهای خود وردپرس، قالبها و افزونه و حتی داده ها برای یافتن کدهای مخرب احتمالی و باگهای امنیتی
- مسدود کردن حملات سایبری، کاربران مشکوک
- ایجاد کلمات عبور قوی برای مدیران و کاربران و نویسندگان
- نمایش آمار بازدید بصورت real-time
- آمار تمام ورودها و حملات جلوگیری شده
ویژگی های نسخه پولی
- شناسایی IP های هکرها به صورت real-time
- بلاک کردن IP به صورت کشوری
- آپدیت خودکار
نصب افزونه Wordfence
نصب این افزونه تفاوتی با افزونه های دیگر وردپرس ندارد. می توانید آن را از مخزن افزونه های وردپرس نصب کنید. قبل از نصب و فعال سازی این افزونه حتما از سایت خود پشتیبان بگیرید.
پس از فعال سازی افزونه، یک پنجره ی پاپ آپ برای شما باز می شود که از شما می خواهد جهت دریافت هشدار های امنیتی سایت وردپرسی تان، آدرس ایمیل خود را در کادر مربوط به ایمیل وارد کنید.

در صفحه باز شده آدرس ایمیل خود را وارد کرده و در صورت تمایل به دریافت ایمیلهای امنیتی، گزینه YES را انتخاب کنید. سپس تیک قبول قوانین را بزنید و بر روی دکمه CONTINUE کلیک کنید.
سپس پاپ آپ دیگری برای شما باز می شود که از شما می پرسد آیا مایل به خریداری نسخه Premium این افزونه هستید یا خیر. در صورتی که مایل به خریداری نیستید روی no thanks کلیک کنید.
داشبورد افزونه wordfence
در صفحهی داشبورد، نمایی کلی از تنظیمات امنیتی افزونه را در سایت خود مشاهده می کنید. اعلانات امنیتی، آمار IP آدرسهایی که اخیرا مسدود شده اند، تلاشهای ناموفق برای ورود به سیستم، حملات بلاک شده و… را نیز در این بخش می توانید مشاهده نمایید.

تنظیمات افزونه
بخش فایروال
هنگامی که برای اولین بار Wordfence Web Application Firewall را نصب می کنید، در حالت learning mode قرار دارد. این مد به Wordfence اجازه می دهد تا در مورد سایت شما اطلاعات کسب کرده و بتواند نحوه محافظت از آن و ورود بازدیدکنندگان عادی از طریق فایروال را درک کند.
قبل از اینکه فایروال را فعال کنید، به شما توصیه شده است که به مدت یک هفته به Wordfence زمان دهید. پس از سپری شدن مدت زمان توصیه شده، فایروال به صورت خودکار فعال می شود.
اگر می خواهید فایروال را قبل از مدت زمان توصیه شده فعال کنید، روی دکمه Manage Firewall کلیک کنید.
در پنجره کشویی قسمت Web Application Firewall Status گزینه Enabled and Protecting را انتخاب کرده و روی دکمه Save Changes کلیک کنید.

در بلوک Protection Levels سطح حفاظت افزونه نشان داده می شود. فایروال wordfence دو سطح حفاظتی دارد.
- سطح basic که به صورت پیشفرض فعال است، همراه سایر افزونه های وردپرسی شما بارگذاری میشود. این سطح میتواند سایت شما را در برابر تهدیدهای مختلف حفظ کند، اما خطراتی که قبل از بارگذاری شدن افزونه ها ایجاد می شوند را، نمیتواند پوشش دهد.
- سطح دوم امنیت که سطح گسترده نامیده می شود این امکان را به wordfence می دهد که قبل از افزونه ها و حتی خود هستهی وردپرس، اجرا شود و خطرات احتمالی را دفع کند.
برای تنظیم سطح امنیت گسترده از بخش firewall روی گزینهی optimize firewall button کلیک کنید.
Wordfence تستهایی انجام میدهد تا پیکربندی سرور شما را تشخیص دهد و آنرا انتخاب کند. اگر آنچه انتخاب کردید با پیکربندی واقعی سرورتان مغایر بود، گزینه را تغییر دهید. سپس روی دکمه continue کلیک کنید.
در مرحله بعد wordfence از شما میخواهد از فایل htaccess پشتیبانگیری کنید. روی دکمه download .htaccess کلیک کنید و بعد از اتمام دانلود continue را بزنید. اکنون ملاحظه میکنید که سطح امنیت شما به extended تغییر کرده.

در این صفحه به صورت خودکار پیکربندی صحیح سرور بهینه سازی برای شما انتخاب شده است. بهتر است این گزینه را تغییر ندهید، اما اگر می دانید پیکربندی سرور شما به درستی تشخیص داده نشده است، می توانید آن را تغییر دهید.
اگر هاست شما در هیچ یک از تنظیمات پیش فرض قرار نگرفته است، باید گزینه “Manual configuration” را انتخاب کنید.
اگر سایت را به یک هاست جدید یا یک محل نصب جدید منتقل کنید باید به صورت موقت حفاظت گسترده را غیر فعال کنید تا با خطای فایل پیدا نمی شود مواجه نشوید. با استفاده از دکمه Remove Extended Protection می توانید حفاظت گسترده را موقتا متوقف کنید.
در بخش Advanced Firewall Options می توانید تنظیمات تخصصی تری را اعمال نمایید.

Delay IP and Country blocking until after WordPress and plugins have loaded: وقتی فایروال افزونه Wordfence بهینه سازی شده باشد، قبل از لود شدن وردپرس و تمام افزونه ها و قالب هایش لود می شود. اما اگر سرور شما قبل از بارگذاری وردپرس با آدرس های IP و کشورهای بلاک شده یا دیگر تنظیمات پیشرفته بلاک کردن مشکل داشته باشد، می توانید این گزینه را فعال کنید تا وردپرس در ابتدا بارگذاری شود. توسعه دهندگان افزونه فعال کردن این گزینه را به غیر از موارد آزمایشی توصیه نمی کنند.
Whitelisted services: برای جلوگیری از مسدود کردن غیر عمدی برخی سرویس های خارجی مانند فیسبوک و بقیه گزینه های مشخص شده، این سرویس ها در لیست سفید قرار گرفته شده اند. شما می توانید لیست سفید هر سرویس خاص را غیر فعال کنید.
Immediately block IPs that access these URLs: این ویژگی در واقع به منظور درست کردن دام برای هکرها ایجاد شده است. شما در این قسمت می توانید یک آدرس URL فیک وارد کنید. هرکس که سعی کند به آن URL دسترسی پیدا کند فوراً مسدود می شود.
Ignored IP addresses for Wordfence Web Application Firewall alerting: اگر شما به صورت منظم از سرویس های اسکن کردن، آپ تایم و دیگر سرویس های مشابه ربات استفاده می کنید و نمی خواهید در مورد آنها از طرف افزونه هشدار دریافت کنید می توانید در این قسمت IP سرویس ها را وارد کنید. این کار را در صورتی انجام دهید که کاملاً به این سرویس ها اطمینان دارید در غیر این صورت هیچ هشداری هنگام حمله از طرف این IP ها دریافت نخواهید کرد.
بخش Scan
اسکنر wordfence، هرگونه تغییر در اندازه هستهی رسمی وردپرس و فایلهای افزونه ها را تشخیص می دهد. همچنین فایلها را برای یافتن کدهای مخرب، urlهای ناشناخته، backdoorها و… بررسی میکند. بعد از پایان یافتن اسکن، اسکنر وجود هرگونه کد مشکوک، بدافزار و… را به شما گزارش می دهد. همچنین اقداماتی که میتوانید برای رفع آنها انجام دهید را به شما توصیه میکند.
نسخهی free این افزونه هر ۲۴ ساعت یکبار به صورت خودکار عملیات اسکن را انجام میدهد. اما در نسخهی premium، میتوانید از سربرگ scheduling برنامهی دلخواه خود جهت اسکن را تنظیم کنید.
اگر میخواهید به صورت دستی اسکن را انجام دهید میتوانید بر روی گزینه “Start New Scan” کلیک کنید
بخش tools و options
در بخش options شما می توانید قابلیتهای افزونهی خود را فعال یا غیرفعال کنید. در بخش tools میتوانید whois-lookup را برای تشخیص IPهای مشکوک فعال کنید.
افزونه Wordfence Security دارای ابزارهای مختلفی است که می توانید آنها را در زیرمنوی Tools مشاهده کنید. این ابزارها شامل موارد زیر هستند:
- نمایش ترافیک زنده در زمان واقعی
- جستجوی Whois
- ابزارهای درون ریزی و برون بری
- تشخیص و عیب یابی
Live Trafic
تب Wordfence Live Traffic به شما نشان می دهد که در سایت شما در زمان واقعی چه اتفاقی می افتد، از جمله ورود کاربر ، تلاش برای هک و درخواست هایی که توسط Firewall Wordfence مسدود شده است.
برای این کار روی پنجره Live Traffic Options کلیک کنید. پس از آن روی دکمه All Traffic کلیک کنید.

ترافیک مستقیما روی سرور وارد می شود، به این معنی که شامل بازدیدهایی است که JavaScript را اجرا نمی کنند. گوگل و سایر بسته های تحلیلی مبتنی بر JavaScript فقط بازدید از مرورگرهایی را نشان می دهند که توسط انسان اداره می شوند، در حالی که Live Traffic می تواند بازدیدهای خزنده هایی مانند Google و Bing را نیز نشان دهد.
Whois-Lookup
سرویس whois به شما امکان می دهد تا صاحب آدرس IP یا نام دامنه ای که از وب سایت شما بازدید می کند یا در وب سایت شما فعالیت مخربی دارد را جستجو کنید.
در قسمت import/export options می توانید تنظیمات و اطلاعات افزونه را برون بری کرده یا از سایت های دیگر درون ریزی کنید.
صفحه Diagnostics اطلاعاتی را نشان می دهد که می تواند برای عیب یابی تداخلات، مشکلات پیکربندی یا سازگاری با سایر افزونه ها، قالب ها یا محیط هاست مورد استفاده قرار گیرد.
تایید هویت دومرحله ای
در زیر منوی Login Security می توانید تایید هویت دو مرحله ای را فعال کنید.
تایید هویت دو عاملی Wordfence به گونه ای طراحی شده است که عمدتا توسط مدیران سایت و افرادی که سطح دسترسی بالایی دارند استفاده شود اما می توانید برای سایر نقشها نیز آن را فعال کنید.
احراز هویت دو مرحله ای یا ۲FA ، به طور قابل توجهی امنیت ورود به سیستم را برای وب سایت شما بهبود می بخشد. Wordfence 2FA با تعدادی از برنامه های مبتنی بر TOTP مانند Google Authenticator ، FreeOTP و Authy کار می کند.
وارد بخش Settings شوید و گزینه Disable XML-RPC authentication را حتما فعال کنید. معمولا نیازی به ورود از طریق XML-RPC در وردپرس نداریم.
و اگر دوست داشته باشید از reCAPTCHa استفاده کنیدمیتوانید از بخش Settings این مورد را با دریافت کد api گوگل فعال کنید.