آموزش جامع تأمین امنیت وردپرس با افزونه Solid Security (iThemes Security سابق) + دانلود رایگان

9 تیر 1404 4 بازدید

سیستم مدیریت محتوای وردپرس در ذات خود از استحکام امنیتی مناسبی برخوردار است، اما دنیای دیجیتال همواره در حال تغییر است و حفره‌های امنیتی بالقوه هیچ‌گاه به‌طور کامل از بین نمی‌روند. نفوذگران حرفه‌ای همواره در کمین هستند تا راهی برای دسترسی غیرمجاز به سایت‌ها پیدا کنند. علاوه بر این، نصب و استفاده از افزونه‌های متعدد، به‌خصوص افزونه‌های غیرضروری یا با کدنویسی ضعیف، می‌تواند سطح امنیت سایت شما را کاهش دهد. هدف ما در این مقاله، ارتقای امنیت وبسایت وردپرسی شما به سطحی قابل قبول و مطمئن است. در میان ابزارهای امنیتی متنوع موجود برای وردپرس، افزونه‌های قدرتمندی یافت می‌شوند که می‌توانند به محافظت از سایت شما کمک کنند. امروز قصد داریم شما را با یکی از برترین این افزونه‌ها آشنا کنیم تا بتوانید با خیالی آسوده‌تر، وبسایتتان را در برابر تهدیدات ایمن سازید.

اهمیت تأمین امنیت در وردپرس

لازم است تأکید کنیم که صرفاً نصب یک افزونه امنیتی، تمام ماجرا نیست. پیش از هر اقدامی برای نصب افزونه، اکیداً توصیه می‌شود که با روش‌های پایه‌ای و ضروری امنیت وردپرس آشنا شوید و آن‌ها را در سایت خود پیاده‌سازی کنید. تنها پس از رعایت این اصول اولیه است که می‌توانید به فکر استفاده از یک افزونه امنیتی باشید. اگرچه پیش‌تر در خصوص افزونه‌های امنیتی دیگر صحبت کرده‌ایم، اما اکنون تمرکز ما بر معرفی و آموزش افزونه Solid Security است که بسیاری آن را یکی از بهترین محافظ‌های وردپرس می‌دانند. نسخه رایگان این افزونه با نام Solid Security در دسترس عموم قرار دارد.

Solid Security (iThemes Security سابق)، محافظ قدرتمند وردپرس

حفظ ایمنی سایت

همانطور که اشاره شد، افزونه‌های متعددی برای افزایش امنیت وردپرس توسعه یافته‌اند. افزونه Solid Security (با نام قبلی iThemes Security) یکی از شناخته‌شده‌ترین و محبوب‌ترین گزینه‌هاست که در مخزن وردپرس بیش از 900 هزار نصب فعال دارد. این افزونه هم در نسخه رایگان و هم در نسخه پولی (حرفه‌ای) عرضه می‌شود و ما در این آموزش بر روی قابلیت‌های نسخه رایگان تمرکز خواهیم کرد.

امکانات کلیدی افزونه Solid Security

  • پیشگیری از تلاش‌های هک و نفوذ
  • شناسایی و رفع نقاط ضعف امنیتی رایج در وردپرس
  • محافظت در برابر انواع بدافزارها و کدهای مخرب
  • ارائه گزارش و امتیاز کلی از وضعیت امنیتی سایت
  • قابلیت اسکن سایت برای شناسایی بدافزارها
  • مسدودسازی ورود کاربران مشکوک یا ربات‌ها
  • و بسیاری امکانات دیگر…

راهنمای نصب و پیکربندی افزونه

برای شروع، افزونه را از طریق دکمه دانلود موجود در انتهای مقاله دریافت کنید. سپس در پنل مدیریت وردپرس خود به مسیر افزونه‌ها > افزودن > بارگذاری افزونه بروید. فایل زیپ افزونه را انتخاب کرده و آن را نصب کنید. پس از نصب موفقیت‌آمیز، افزونه را در صفحه افزونه‌های نصب‌شده فعال نمایید. با فعال‌سازی افزونه، یک گزینه جدید به نام «امنیت» به منوی مدیریت وردپرس شما اضافه خواهد شد.

security menu- بررسی منوهای امنیتی
فهرست مربوط به افزونه Solid Security

گزینه‌های اصلی موجود در این منو عبارتند از:

  1. تنظیمات: دسترسی به تمامی تنظیمات عمومی و جزئی افزونه.
  2. بررسی امنیت: ابزاری برای مشاهده وضعیت ماژول‌های امنیتی و پیکربندی سریع آن‌ها.
  3. گزارشات: مشاهده رویدادها، حملات و فعالیت‌های امنیتی ثبت شده.
  4. به نسخه پولی بروید: لینکی برای ارتقا به نسخه حرفه‌ای افزونه.

پیکربندی تنظیمات افزونه

گام اول برای استفاده از افزونه، کلیک بر روی گزینه «تنظیمات» است. در این صفحه، فهرستی از ماژول‌های امنیتی مختلف را مشاهده می‌کنید که بیشتر آن‌ها در نسخه رایگان قابل استفاده هستند. برخی از این ماژول‌ها به صورت پیش‌فرض فعال هستند.

general settings - تنظیمات اصلی افزونه
تنظیمات اصلی افزونه Solid Security

ماژول تنظیمات عمومی

این بخش شامل تنظیمات پایه و ضروری افزونه است که معمولاً به صورت استاندارد بهینه شده‌اند. با این حال، در صورت نیاز می‌توانید تغییراتی اعمال کنید. یک اقدام مفید در این بخش، ترجمه پیام‌های مختلف افزونه (مانند پیام‌های مربوط به مسدودسازی دسترسی) به زبان فارسی است. پس از اعمال تغییرات، فراموش نکنید که تنظیمات را ذخیره کنید.

ماژول رهگیری خطای 404

یکی از قابلیت‌های هوشمندانه این افزونه، شناسایی و رهگیری کاربرانی است که به صورت مکرر به صفحات با خطای 404 (صفحه یافت نشد) در سایت شما دسترسی پیدا می‌کنند. این رفتار می‌تواند نشانه تلاش برای یافتن نقاط ضعف یا ساختارهای مخفی در سایت باشد. افزونه با تشخیص تکرار غیرعادی این خطاها از سوی یک کاربر، به صورت خودکار او را مسدود می‌کند. شما می‌توانید این ماژول را فعال کرده و در تنظیمات آن، تعداد دفعات مجاز مشاهده خطای 404 پیش از مسدود شدن کاربر را تعیین کنید.

404 pages- قفل های امنیتی
پیکربندی رهگیری خطاهای 404

ماژول مرکز هشدارها

این ماژول مسئول ارسال ایمیل‌های حاوی اطلاعات امنیتی مهم برای شماست. برای مثال، افزونه می‌تواند شما را از حملات مشکوک، مسدود شدن کاربران یا خلاصه‌ای از فعالیت‌های امنیتی روزانه مطلع کند. تنظیمات پیش‌فرض این بخش نیز بهینه هستند، اما می‌توانید آن‌ها را بر حسب نیاز تغییر دهید. شما می‌توانید تعیین کنید که خلاصه وضعیت امنیتی سایت به صورت روزانه یا هفتگی برای شما ارسال شود.

notification- دریافت خلاصه اطلاعات ایمنی
تنظیم دریافت گزارش‌های امنیتی

ماژول کاربران مسدود شده

این ویژگی به شما امکان می‌دهد تا آدرس‌های IP یا عامل‌های کاربری مشخصی را از دسترسی به سایتتان منع کنید. بدون نیاز به دستکاری فایل‌های سرور، می‌توانید لیست سیاه خود را مدیریت کنید. کاربران و ربات‌هایی که IP آن‌ها در این لیست قرار داشته باشد، امکان مشاهده سایت شما را نخواهند داشت. افزونه به صورت پیش‌فرض می‌تواند از لیستی از IPهای مخرب که توسط منابع معتبر مانند hackrepair.com ارائه می‌شود، استفاده کند. کافیست گزینه مربوطه را تیک بزنید تا این محافظت خودکار فعال شود.

ban users- کاربران مسدود
مدیریت لیست کاربران و IPهای مسدود شده

ماژول محدودسازی دسترسی زمانی

پوشه wp-admin یکی از حساس‌ترین بخش‌های سایت وردپرسی شماست؛ چرا که نقطه ورود به بخش مدیریت و دسترسی به فایل‌های اصلی سایت محسوب می‌شود. افزونه Solid Security این امکان را فراهم می‌کند که دسترسی به این پوشه را در ساعات مشخصی از روز محدود کنید. به عنوان مثال، اگر در ساعات اداری بر روی سایت کار می‌کنید و در خارج از این ساعات نیازی به دسترسی به مدیریت ندارید، می‌توانید دسترسی به wp-admin را برای سایر ساعات روز مسدود کنید تا خطر نفوذ به این بخش حیاتی کاهش یابد. توجه داشته باشید که ساعت نمایش داده شده در این بخش باید با ساعت واقعی منطقه زمانی شما همخوانی داشته باشد. در غیر این صورت، تنظیمات زمانی به درستی عمل نخواهند کرد و لازم است منطقه زمانی وردپرس را در تنظیمات عمومی سایت اصلاح کنید.

not access- مسدود کردن wp-admin
محدود کردن دسترسی به wp-admin در ساعات خاص

ماژول ردیابی تغییرات فایل

یکی از قابلیت‌های برجسته افزونه، امکان مانیتورینگ تغییرات ایجاد شده در فایل‌های سایت است. این ماژول فایل‌های کلیدی وردپرس، قالب‌ها و افزونه‌ها را اسکن کرده و هرگونه تغییری که توسط شما اعمال نشده باشد را به اطلاع شما می‌رساند. این ویژگی برای شناسایی نفوذها یا تغییرات مخرب حیاتی است. پس از فعال‌سازی ماژول، به بخش تنظیمات آن بروید و گزینه اسکن را برای بررسی اولیه فایل‌های سایت کلیک کنید.

lists- اسکن فایل های مهم
پیکربندی و انجام اسکن تغییرات فایل‌ها

همانطور که در تصویر بالا مشاهده می‌کنید، این ماژول به صورت پیش‌فرض لیستی از پوشه‌های مهم برای اسکن را شامل می‌شود که در صورت نیاز می‌توانید برخی از آن‌ها را از لیست حذف کنید. همچنین، فهرستی از پسوندهای فایل‌هایی وجود دارد که معمولاً تغییر آن‌ها از نظر امنیتی کم‌اهمیت است (مانند mp3 یا jpg) و می‌توانید این لیست را نیز مدیریت کنید.

ماژول تهیه نسخه پشتیبان از پایگاه داده

این ماژول به شما امکان می‌دهد تا به راحتی از دیتابیس (پایگاه داده) سایت خود بکاپ تهیه کنید. داشتن نسخه پشتیبان از دیتابیس حیاتی است، زیرا در صورت بروز هرگونه مشکل، اختلال یا از دست رفتن اطلاعات، می‌توانید سایت خود را با استفاده از این نسخه پشتیبان بازیابی کنید. در تنظیمات این ماژول، با کلیک بر روی دکمه «ایجاد پشتیبان پایگاه داده»، یک نسخه از اطلاعات دیتابیس شما تهیه می‌شود.

شما می‌توانید روش پشتیبان‌گیری را بر روی «ذخیره محلی و ایمیل» تنظیم کنید تا فایل بکاپ هم بر روی هاست شما ذخیره شود و هم به آدرس ایمیلتان ارسال گردد. همچنین امکان زمان‌بندی پشتیبان‌گیری خودکار وجود دارد که افزونه به صورت منظم در بازه‌های زمانی مشخص شده، عملیات بکاپ‌گیری را انجام دهد.

backup db- پشتیبان گیری از افزونه
تنظیمات تهیه نسخه پشتیبان از پایگاه داده

ماژول محافظت در برابر حملات Brute Force (محلی)

حملات Brute Force به تلاش‌های مکرر و خودکار برای حدس زدن نام کاربری و رمز عبور گفته می‌شود. صفحات ورود به وردپرس (مانند wp-login.php) هدف اصلی این نوع حملات هستند. هکرها با استفاده از لیست‌های حاوی رمزهای عبور رایج یا ترکیبات احتمالی، سعی می‌کنند با آزمون و خطا به سایت شما نفوذ کنند. این فرآیند می‌تواند در عرض چند دقیقه ترکیب صحیح را پیدا کند.

این ماژول به شما امکان می‌دهد تا تعداد دفعات مجاز تلاش ناموفق برای ورود را محدود کنید. در تنظیمات، می‌توانید تعداد تلاش‌های ناموفق مجاز را هم برای هر «میزبان» (IP یا سیستم خاص) و هم برای هر «کاربر» (نام کاربری خاص) تنظیم کنید. ماژول دیگری نیز برای محافظت در برابر حملات Brute Force «شبکه‌ای» وجود دارد که با جمع‌آوری اطلاعات از سایت‌های متعدد در شبکه افزونه، آدرس‌های IP مشکوک را شناسایی و مسدود می‌کند و به این ترتیب امنیت وردپرس را افزایش می‌دهد.

brute force- حداکثر تلاش ناموفق کاربران
تنظیم محدودیت تلاش‌های ناموفق برای ورود

ماژول دسترسی‌های فایل

این ماژول به شما کمک می‌کند تا سطوح دسترسی فایل‌ها و پوشه‌های اصلی وردپرس را بررسی کنید. با کلیک بر روی گزینه مربوطه، لیستی از پوشه‌های مهم سایت به همراه سطح دسترسی فعلی و سطح دسترسی پیشنهادی (که برای امنیت بیشتر توصیه می‌شود) نمایش داده می‌شود. شما می‌توانید با مراجعه به فایل منیجر هاست خود، سطح دسترسی این پوشه‌ها را مطابق با مقادیر پیشنهادی افزونه تغییر دهید.

file and document- دسترسی های پرونده
بررسی و تنظیم دسترسی‌ فایل‌ها و پوشه‌ها

ماژول الزامات رمز عبور

این ماژول کاربران سایت (به خصوص کاربرانی که دسترسی به بخش مدیریت دارند) را ملزم به انتخاب رمزهای عبور قوی‌تر می‌کند. افزونه به صورت خودکار قدرت رمز عبور انتخابی را ارزیابی کرده و در صورت ضعیف بودن، اجازه استفاده از آن را نمی‌دهد. استفاده از رمزهای عبور قوی شامل ترکیبی از حروف بزرگ و کوچک، اعداد و نمادها، یکی از گام‌های مهم در تأمین امنیت وردپرس است.

ماژول ترفندهای سیستمی

این ماژول مجموعه‌ای از تنظیمات امنیتی پیشرفته‌تر را ارائه می‌دهد. با این حال، طبق اعلام سازنده، ممکن است این تنظیمات با همه قالب‌ها و افزونه‌ها سازگار نباشند و در برخی موارد باعث بروز اختلال شوند. بنابراین، توصیه می‌شود در حالت عادی از فعال‌سازی این تنظیمات خودداری کنید. در صورت نیاز و پس از فعال‌سازی هر گزینه در این بخش، حتماً سایت خود را به دقت بررسی کنید تا از عملکرد صحیح آن اطمینان حاصل نمایید.

password- ماژول ترفندهای سیستم
تنظیمات ماژول ترفندهای سیستمی

ماژول پروتکل SSL

استفاده از پروتکل SSL باعث می‌شود آدرس سایت شما با https آغاز شود و ارتباط بین مرورگر کاربر و سرور سایت رمزنگاری شود که امنیت اطلاعات را به‌طور قابل توجهی افزایش می‌دهد. همچنین، داشتن گواهی SSL یکی از فاکتورهای مهم برای بهبود رتبه سایت در نتایج جستجوی گوگل است. پیش از فعال‌سازی این ماژول در افزونه، ابتدا باید گواهی SSL را از طریق شرکت هاستینگ خود فعال و نصب کنید. پس از اطمینان از فعال بودن SSL بر روی هاست، می‌توانید این ماژول را فعال کنید تا سایت شما به صورت خودکار از https استفاده کند.

ssl- پروتکل امنیتی SSL
فعال‌سازی پروتکل امنیتی SSL

ماژول ترفندهای وردپرسی

این ماژول حاوی تنظیمات امنیتی متفاوتی است که بر بخش‌های مختلف وردپرس مانند روش‌های ورود، مدیریت دیدگاه‌ها و … تأثیر می‌گذارد. فعال‌سازی این گزینه‌ها می‌تواند سطح امنیت وردپرس را افزایش دهد. اما مانند ماژول ترفندهای سیستمی، احتمال ناسازگاری با برخی قالب‌ها یا افزونه‌ها وجود دارد. بنابراین، توصیه می‌شود این تنظیمات را با احتیاط و به صورت جداگانه فعال کرده و پس از هر تغییر، عملکرد سایت را به دقت بررسی کنید.

trends- ترفندهای وردپرس
تنظیمات ماژول ترفندهای وردپرسی

ماژول WordPress Salts

فایل wp-config.php وردپرس حاوی کدهای منحصر به فردی به نام Salts است که برای افزایش امنیت کوکی‌های کاربران و اطلاعات حساس استفاده می‌شود. تغییر دوره‌ای این کدها می‌تواند امنیت سایت را بهبود بخشد. این ماژول به شما اجازه می‌دهد تا به سادگی این کدهای یونیک را تغییر دهید. توجه داشته باشید که پس از فعال کردن این ماژول و تغییر Salts، تمامی کاربرانی که وارد سایت شما شده‌اند و اطلاعات ورود آن‌ها در مرورگرشان ذخیره شده است، باید مجدداً وارد حساب کاربری خود شوند.

salt- ماژول وردپرس Salt
مدیریت ماژول WordPress Salts

جمع‌بندی و نتیجه‌گیری

تا این بخش، با امکانات اصلی و رایگان افزونه Solid Security (iThemes Security سابق) و نحوه تنظیم ماژول‌های مهم آن آشنا شدید. شاید در ابتدای مسیر کاری خود، اهمیت امنیت سایت آنقدر ملموس نباشد، اما با گذشت زمان و افزایش ارزش محتوا و کسب‌وکار آنلاینتان، محافظت از سایت به امری حیاتی تبدیل می‌شود. فراموش نکنید که حاصل سال‌ها تلاش شما می‌تواند تنها با یک حمله موفق از بین برود. با استفاده از افزونه Solid Security، می‌توانید یک لایه امنیتی قوی به سایت وردپرسی خود اضافه کنید و از آن در برابر بسیاری از تهدیدات رایج محافظت نمایید.

سازندگان این افزونه ادعا می‌کنند که Solid Security با بیش از 30 روش مختلف از سایت شما محافظت می‌کند و به شما در تأمین امنیت جامع وردپرس یاری می‌رساند.

اگر در خصوص مطالب مطرح شده یا تنظیمات افزونه سؤالی دارید، حتماً در بخش دیدگاه‌ها مطرح کنید تا کارشناسان پاسخگوی شما باشند.