آموزش افزونه Wordfence

در تمامی وب سایت ها بحث امنیت یکی از مباحث مهم می باشد که امنیت وب سایتهای وردپرسی نیز از آن مستثنا نیست. امنیت وردپرس به خودی خود بالاست اما برای بالا بردن امنیت هر چه بیشتر نیاز به افزونه های امنیتی می باشد که افزونه Wordfence بی شک یکی از بهترین افزونه ها در این زمینه می باشد.

نصب یک افزونه هیچگاه امنیت وب سایت را ۱۰۰% نخواهد کرد اما امنیت آن را در حد مقبولی بالا خواهد برد. این افزونه از سایت شما در برابر بسیاری از حملات شامل حملات هکرها، DDoS و بدافزارها محافظت می کند.

بیشتر بخوانید: افزونه امنیتی رایگان وردپرس

ویژگی های مهم افزونه Wordfence Security

• دارای فایروال داخلی برای جلوگیری از حملات سایبری مانند حملات DoS
• دارای اسکنر بدافزار برای اسکن کردن کدهای وردپرس مانند کدهای خود وردپرس، قالبها و افزونه و حتی داده ها برای یافتن کدهای مخرب احتمالی و باگهای امنیتی
• مسدود کردن حملات سایبری، کاربران مشکوک
• ایجاد کلمات عبور قوی برای مدیران و کاربران و نویسندگان
• نمایش آمار بازدید بصورت real-time
• آمار تمام ورودها و حملات جلوگیری شده

ویژگی های نسخه پولی

• شناسایی IP های هکرها به صورت real-time
• بلاک کردن IP به صورت کشوری
• آپدیت خودکار

نصب افزونه Wordfence

نصب این افزونه تفاوتی با افزونه ­های دیگر وردپرس ندارد. می توانید آن را از مخزن افزونه های وردپرس نصب کنید. قبل از نصب و فعال سازی این افزونه حتما از سایت خود پشتیبان بگیرید.

پس از فعال سازی افزونه، یک پنجره ی پاپ آپ برای شما باز می شود که از شما می خواهد جهت دریافت هشدار های امنیتی سایت وردپرسی تان، آدرس ایمیل خود را در کادر مربوط به ایمیل وارد کنید.

در صفحه باز شده آدرس ایمیل خود را وارد کرده و در صورت تمایل به دریافت ایمیلهای امنیتی، گزینه YES را انتخاب کنید. سپس تیک قبول قوانین را بزنید و بر روی دکمه CONTINUE کلیک کنید.

سپس پاپ آپ دیگری برای شما باز می شود که از شما می پرسد آیا مایل به خریداری نسخه Premium این افزونه هستید یا خیر. در صورتی که مایل به خریداری نیستید روی no thanks کلیک کنید.

داشبورد افزونه wordfence

در صفحه­‌ی داشبورد، نمایی کلی از تنظیمات امنیتی افزونه را در سایت خود مشاهده می­ کنید. اعلانات امنیتی، آمار IP آدرس­هایی که اخیرا مسدود شده ­اند، تلاش­های ناموفق برای ورود به سیستم، حملات بلاک شده و… را نیز در این بخش می توانید مشاهده نمایید.

تنظیمات افزونه

بخش فایروال

هنگامی که برای اولین بار Wordfence Web Application Firewall را نصب می کنید، در حالت learning mode قرار دارد. این مد به Wordfence اجازه می دهد تا در مورد سایت شما اطلاعات کسب کرده و بتواند نحوه محافظت از آن و ورود بازدیدکنندگان عادی از طریق فایروال را درک کند.

قبل از اینکه فایروال را فعال کنید، به شما توصیه شده است که به مدت یک هفته به Wordfence زمان دهید. پس از سپری شدن مدت زمان توصیه شده، فایروال به صورت خودکار فعال می شود.

اگر می خواهید فایروال را قبل از مدت زمان توصیه شده فعال کنید، روی دکمه Manage Firewall کلیک کنید.

در پنجره کشویی قسمت Web Application Firewall Status گزینه Enabled and Protecting را انتخاب کرده و روی دکمه Save Changes کلیک کنید.

در بلوک Protection Levels سطح حفاظت افزونه نشان داده می شود. فایروال wordfence دو سطح حفاظتی دارد.

• سطح basic که به صورت پیش­فرض فعال است، همراه سایر افزونه ­های وردپرسی شما بارگذاری می‌شود. این سطح می­تواند سایت شما را در برابر تهدیدهای مختلف حفظ کند، اما خطراتی که قبل از بارگذاری شدن افزونه­ ها ایجاد می­ شوند را، نمی­تواند پوشش دهد.
• سطح دوم امنیت که سطح گسترده نامیده می ­شود این امکان را به wordfence می­ دهد که قبل از افزونه­ ها و حتی خود هسته­‌ی وردپرس، اجرا شود و خطرات احتمالی را دفع کند.

برای تنظیم سطح امنیت گسترده از بخش firewall روی گزینه­‌ی optimize firewall button کلیک کنید.

Wordfence تست­هایی انجام می‌دهد تا پیکربندی سرور شما را تشخیص دهد و آن­را انتخاب کند. اگر آنچه انتخاب کردید با پیکربندی واقعی سرورتان مغایر بود، گزینه را تغییر دهید. سپس روی دکمه continue کلیک کنید.

در مرحله بعد wordfence از شما می­خواهد از فایل htaccess پشتیبان­گیری کنید. روی دکمه download .htaccess کلیک کنید و بعد از اتمام دانلود continue را بزنید. اکنون ملاحظه می­کنید که سطح امنیت شما به extended تغییر کرده.

در این صفحه به صورت خودکار پیکربندی صحیح سرور بهینه سازی برای شما انتخاب شده است. بهتر است این گزینه را تغییر ندهید، اما اگر می دانید پیکربندی سرور شما به درستی تشخیص داده نشده است، می توانید آن را تغییر دهید.

اگر هاست شما در هیچ یک از تنظیمات پیش فرض قرار نگرفته است، باید گزینه “Manual configuration”  را انتخاب کنید.

اگر سایت را به یک هاست جدید یا یک محل نصب جدید منتقل کنید باید به صورت موقت حفاظت گسترده را غیر فعال کنید تا با خطای فایل پیدا نمی شود مواجه نشوید. با استفاده از دکمه Remove Extended Protection می توانید حفاظت گسترده را موقتا متوقف کنید.

در بخش Advanced Firewall Options می توانید تنظیمات تخصصی تری را اعمال نمایید.

Delay IP and Country blocking until after WordPress and plugins have loaded: وقتی فایروال افزونه Wordfence بهینه سازی شده باشد، قبل از لود شدن وردپرس و تمام افزونه ها و قالب هایش لود می شود. اما اگر سرور شما قبل از بارگذاری وردپرس با آدرس های IP و کشورهای بلاک شده یا دیگر تنظیمات پیشرفته بلاک کردن مشکل داشته باشد، می توانید این گزینه را فعال کنید تا وردپرس در ابتدا بارگذاری شود. توسعه دهندگان افزونه فعال کردن این گزینه را به غیر از موارد آزمایشی توصیه نمی کنند.

Whitelisted services: برای جلوگیری از مسدود کردن غیر عمدی برخی سرویس های خارجی مانند فیسبوک و بقیه گزینه های مشخص شده، این سرویس ها در لیست سفید قرار گرفته شده اند. شما می توانید لیست سفید هر سرویس خاص را غیر فعال کنید.

Immediately block IPs that access these URLs: این ویژگی در واقع به منظور درست کردن دام برای هکرها ایجاد شده است. شما در این قسمت می توانید یک آدرس URL فیک وارد کنید. هرکس که سعی کند به آن URL دسترسی پیدا کند فوراً مسدود می شود.

Ignored IP addresses for Wordfence Web Application Firewall alerting: اگر شما به صورت منظم از سرویس های اسکن کردن، آپ تایم و دیگر سرویس های مشابه ربات استفاده می کنید و نمی خواهید در مورد آنها از طرف افزونه هشدار دریافت کنید می توانید در این قسمت IP سرویس ها را وارد کنید. این کار را در صورتی انجام دهید که کاملاً به این سرویس ها اطمینان دارید در غیر این صورت هیچ هشداری هنگام حمله از طرف این IP ها دریافت نخواهید کرد.

بخش Scan

اسکنر wordfence، هرگونه تغییر در اندازه هسته­‌ی رسمی وردپرس و فایل­های افزونه ­ها را تشخیص می دهد. همچنین فایل­ها را برای یافتن کدهای مخرب، url­های ناشناخته، backdoor­ها و… بررسی می‌کند. بعد از پایان یافتن اسکن، اسکنر وجود هرگونه کد مشکوک، بدافزار و… را به شما گزارش می­ دهد. همچنین اقداماتی که می­توانید برای رفع آنها انجام دهید را به شما توصیه می­کند.

نسخه‌­ی free این افزونه هر ۲۴ ساعت یکبار به صورت خودکار عملیات اسکن را انجام می­دهد. اما در نسخه­‌ی premium، میتوانید از سربرگ scheduling برنامه­‌ی دلخواه خود جهت اسکن را تنظیم کنید.

اگر می‌خواهید به صورت دستی اسکن را انجام دهید می‌توانید بر روی گزینه “Start New Scan” کلیک کنید

بخش tools و options

در بخش options شما می­ توانید قابلیت­های افزونه­‌ی خود را فعال یا غیرفعال کنید. در بخش tools می­توانید whois-lookup را برای تشخیص IP­های مشکوک فعال کنید.

افزونه Wordfence Security دارای ابزارهای مختلفی است که می توانید آنها را در زیرمنوی Tools مشاهده کنید. این ابزارها شامل موارد زیر هستند:

• نمایش ترافیک زنده در زمان واقعی
• جستجوی Whois
• ابزارهای درون ریزی و برون بری
• تشخیص و عیب یابی

Live Trafic

تب Wordfence Live Traffic به شما نشان می دهد که در سایت شما در زمان واقعی چه اتفاقی می افتد، از جمله ورود کاربر ، تلاش برای هک و درخواست هایی که توسط Firewall Wordfence مسدود شده است.

برای این کار روی پنجره Live Traffic Options کلیک کنید. پس از آن روی دکمه All Traffic کلیک کنید.

ترافیک مستقیما روی سرور وارد می شود، به این معنی که شامل بازدیدهایی است که JavaScript را اجرا نمی کنند. گوگل و سایر بسته های تحلیلی مبتنی بر JavaScript فقط بازدید از مرورگرهایی را نشان می دهند که توسط انسان اداره می شوند، در حالی که Live Traffic می تواند بازدیدهای خزنده هایی مانند Google و Bing را نیز نشان دهد.

Whois-Lookup

سرویس whois به شما امکان می دهد تا صاحب آدرس IP یا نام دامنه ای که از وب سایت شما بازدید می کند یا در وب سایت شما فعالیت مخربی دارد را جستجو کنید.

در قسمت import/export options می توانید تنظیمات و اطلاعات افزونه را برون بری کرده یا از سایت های دیگر درون ریزی کنید.

صفحه Diagnostics اطلاعاتی را نشان می دهد که می تواند برای عیب یابی تداخلات، مشکلات پیکربندی یا سازگاری با سایر افزونه ها، قالب ها یا محیط هاست مورد استفاده قرار گیرد.

تایید هویت دومرحله ای

در زیر منوی Login Security می توانید تایید هویت دو مرحله ای را فعال کنید.

تایید هویت دو عاملی Wordfence به گونه ای طراحی شده است که عمدتا توسط مدیران سایت و افرادی که سطح دسترسی بالایی دارند استفاده شود اما می توانید برای سایر نقشها نیز آن را فعال کنید.

احراز هویت دو مرحله ای یا ۲FA ، به طور قابل توجهی امنیت ورود به سیستم را برای وب سایت شما بهبود می بخشد. Wordfence 2FA با تعدادی از برنامه های مبتنی بر TOTP مانند Google Authenticator ، FreeOTP و Authy کار می کند.

وارد بخش Settings شوید و گزینه Disable XML-RPC authentication را حتما فعال کنید. معمولا نیازی به ورود از طریق XML-RPC در وردپرس نداریم.

و اگر دوست داشته باشید از reCAPTCHa استفاده کنیدمی‌توانید از بخش Settings این مورد را با دریافت کد api گوگل فعال کنید.