9. מסך Options
טוב. הגענו לעיקר. ללב התוסף. כאן תשלטו על רוב, אם לא כל האפשרויות של התוסף. לא נוכל לעבור עליהן אחת אחת מפאת קוצר היריעה והזמן, אבל בגדול אדריך אתכם מה כדאי לשנות ובמה לא כדאי לגעת. אז יאללה…
בחלק העליון תמצאו את מפתח הרשיון שלכם. אם תקנו את גרסת הפרמיום תתבקשו להכניס כאן את הרשיון שקיבלתם לאחר הרכישה [עיגול 1 בתפיסת מסך מס' 18].
בשאר הדברים לא הייתי נוגע, מלבד לוודא שסריקה מתוזמנת אוטומטית (automatic scheduled scans) מופעלת [עיגול 2 בתפיסת מסך מס' 18]. האופציה מתחתיה [עיגול 3 בתפיסת מסך מס' 18] אמור כבר להיות מופעל אם הפעלתם את האפשרות לעדכון אוטמוטי כשעברנו על מסך Scan.
מומלץ להזין כתובת אימייל [עיגול 4 בתפיסת מסך מס' 18] לקבלת התראות במייל.
נרד להמשך המסך:
כאן תוכלו להגדיר את רמת האבטחה באחת מ-5 האפשרויות/רמות הבאות:
- רמה 0: מבטל את כל אמצעי האבטחה של וורדפנס
- רמה 1: אבטחה קלה. רק הבסיס.
- רמה 2: אבטחה בינונית. מתאים לרוב האתרים.
- רמה 3: אבטחה גבוהה. לשימוש בזמן מתקפה.
- רמה 4: נעילת האתר. מניעת מתקפה על חשבון חוסר גישה לאתר.
- התאמה אישית
ברירת המחדל היא רמה 2. אבל היות ואנחנו ניגע בהמשך באפשרויות השונות, רמת האבטחה תשתנה להתאמה אישית [עיגול 1 בתפיסת מסך מס' 19].
לדעתי כדאי להגדיר לוורדפנס לידע אתכם על כל עדכון של התוסף. כך תוכלו לוודא שהאתר לא ניזוק מהעדכון באיזו צורה (עכשיו השאלה כמה פעמים אני צריך לצעוק שחובה שיהיו לכם גיבויים של האתר וכמה שיותר יותר טוב) [עיגול 2 בתפיסת מסך מס' 19]. ברגע שתסמנו את האופציה הזו, רמת האבטחה תשתנה ל-התאמה אישית.
האפשרויות הבאות (תחת Alerts) מגדירות מתי תשלח אליכם התראה על משהו שקורה באתר. אם תרצו תוכלו להוסיף גם קבלת מייל על כל משתמש שמתחבר לאתר [עיגול 3 בתפיסת מסך מס' 19]. אני מניח שזה טוב לאתרים עם מספר משתמשים רשומים מועט. אחרת זה יטריף אתכם.
לאחר מכן ניתן להגדיר את האימייל המסכם על פעילות באתר שוורדפנס ישלח לכם פעם בשבוע, בשבועיים או בחודש [עיגול 4 בתפיסת מסך מס' 19].
נמשיך עוד למטה באותו עמוד:
בעמוד הזה, אני ממליץ להשאיר את הגדרות ברירת המחדל. ניתן להדליק את האפשרויות לבדיקת קבצי המקור של התבניות והתוספים. אבל! ויש פה אבל גדול, וורדפנס יודע לבדוק קבצי תבניות שקיימות במאגר הרשמי של וורדפרס בלבד! תבניות מסחריות שאינן מופיעות ב-repository של וורדפרס, לא ניתן יהיה לסרוק. אותו כנ"ל לגבי תוספים – וורדפנס ידע לבדוק רק את התוספים במאגר התוספים הרשמי של וורדפרס [עיגול 1 בתפיסת מסך מס' 20]. לכן, אם האתר שלכם אינו מתאים להגדרה הזו – אל תפעילו את האפשרות הזה.
בהגדרת המחדל של וורדפנס, הוא סורק קבצים שנמצאים בספריות הבאות בלבד:
- הספריה הראשית של וורדפרס (root)
- wp-admin וכל תתי הספריות תחתיה
- wp-content וכל תתי הספריות תחתיה
- wp-includes וכל תתי הספריות תחתיה
אחת החוזקות של וורדפנס היא לסרוק קבצים מחוץ לספריות הוורדפרס לעיל, מעין אנטי וירוס לכלל השרת שלכם ולא רק להתקנת וורפרנס. אחלה אופציה. [עיגול 2 בתפיסת מסך מס' 20].
נמשיך לגלול עוד למטה במסך.
כברירת מחדל, וורדפנס מכריח מנהלים להשתמש בססמאות חזקות (בודק אורך מינימלי, שימוש במספרים ובצירוף של אותיות גדולות וקטנות וכו') [עיגול 1 בתפיסת מסך מס' 21]. כאן תוכלו להגדיר אם לבטל את האפשרות הזו או לכפות אותה גם על משתמשים.
כברירת מחדל נוספת, וורדפנס ינעל משתמשים שיזינו ססמא לא נכונה במשך 20 נסיונות, או ישתמשו ב"שכחתי ססמא" 20 פעמים רצוף. כך היה גם אצלי בהתקנה הראשונית עד שקיבלתי הודעה מוורדפנס שהוא חסם מישהו מטורקיה אחרי 20 נסיונות גישה למערכת. החלטתי שזה יותר מדי. נכון, משתמש עלול לשכוח את הססמא שלו. אבל 20 נסיונות זה הרבה יותר מדי. חשבתי על 5 נסיונות. בסופו של דבר התפשרתי על 10 נסיונות בשתי האפשרויות הללו [עיגולים 3 ו-4 בתפיסת מסך מס' 21]. ממליץ לכם לא לאפשר יותר מ-10 נסיונות, אלא אם כן אתם יודעים שהמשתמשים שלכם שכחנים. 🙂
וורדפנס, כברירת מחדל, יחסום את האפשרות להשתמש בשם משתמש "admin", גם אם הוא לא קיים עדיין במערכת. אגב, אם שם המשתמש שלכם כמנהל הוא admin, זה לא יחסום אתכם. מה שכן, רצוי להשתמש בכינוי אחר מטעמי אבטחה היות וכל נסיונות הפריצה שראיתי עד היום השתמשו בכינוי admin כדי להיכנס למערכת. בכל אופן, תוכלו להגדיר לוורדפנס שמות משתמשים נוספים שאתם אוסרים למשתמשים להירשם איתם. זה יכול להיות שמות כמו 'administrator' או 'מנהל' או אפילו קללות שלא תרצו שיופיעו כשמות משתמשים [עיגול 4 בתפיסת מסך מס' 21].
בכל שאר ברירות המחדל של וורדפנס, אני ממליץ לא לעשות שינוי.
נמשיך לגלול לסוף העמוד.
לא נשאר עוד במה לגעת, רק רציתי לתת לכם טיפ ממקרה שחוויתי אצל לקוח. הוא קיבל איזו שגיאה שוורדפנס לא עובד. יותר מזה, וורדפנס הפריע לו להעלות פוסטים והוא נאלץ לעשות כל מיני מניפולציות בשביל להעלות פוסטים. גם כיבוי התוסף עצמו לא עזר לו. אז הנה הסוד, אם אתם נתקלים בבעיה שיוצר וורדפנס ומעוניינים לכבות אותו ולהדליק מחדש או סתם לכבות אותו ולא להשתמש בו, לפני שאתם מוחקים – הדליקו את האפשרות "Delete Wordfence tables and data on deactivation?". זה יגרום לכך שוורדפנס יסיר את בסיסי המידע שלו בזמן הכיבוי, מה שאומר שכשתדליקו אותו מחדש גם כל ההגדרות שלו יתאפסו ואז תצטרכו להגדיר הכל מחדש. אבל זה עדיף מאשר להמשיך לקבל הודעות שגיאה.
על מסך Diagnostics אני אפסח, למרות שהוא מעניין מאוד למי שרוצה לראות את הקרביים של המערכת שלו ולהבין מה קורה שם מאחורי הקלעים. אם אתם לא מאלה שאוהבים לראות דם, עזבו את זה.
סיכום
אז מה היה לנו שם?
- למדנו להכיר את תוסף Wordfence על בוריו ומסכיו
- עברנו על מה שנראה לי שכדאי לשנות מאפשרויות ברירת המחדל של התוסף
- קיבלתם מבט לאפשרויות הפרמיום של התוסף
חסר לכם משהו במדריך?
רוצים להציע הצעות לשיפור?
אשמח לשמוע כל דבר, אז תשאירו תגובה.
תודה על שלקחת ברצינות את הבקשה למאמר המשך על הגדרת התוסף .מאמר מושקע הכולל הדרכה צעד אחר צעד עם תמונות .
לגבי חסימת ip האם קיימת אופציה למשהו הפוך דהיינו אני פונה לקהל ישראלי על כן אני מגדיר רק גישה רק למי שאני מעוניין דהיינו לip ישראלי בלבד וכל שאר העולם חסום בברירת מחדל .
היי ירון,
הייתי ממליץ לאשר גישה רק לטווחי IP של ישראל דרך קובץ htaccess.
אם אתה יודע מה אתה עושה, יש לך כלי שיבנה לך את הקובץ שאתה צריך כולל טווחי ה-IP של ישראל או כל מדינה אחרת שתרצה:
https://www.countryipblocks.net/country_selection.php
בהצלחה! 🙂
הפעלית את הקאש של וורדפנס והוא פשוט הרס לי את כל האתר. בטלתי והאתר חזר לקדמותו.
תודה על המאמר. הוא מצויין
באמת?! מצער נורא לשמוע. אבל משמח שהצלחת להחזיר את האתר לקדמותו.
מעניין היה לחקור את העניין. ידוע לך מה התנגש איתו?
אגב, בחרת במנוע של פלקון או ב-cache הרגיל?
מטריד אותי שה-Cache הפיל לך את האתר. יש מצב שיש לך תוסף Cache אחר מופעל והתנגשות ביניהם גרמה לנפילת האתר?
אין לי בכלל את המסך Performance Setup, הגיוני ?
איזה קטע. אחרי התגובה שלך בדקתי אצלי וראיתי שגם אצלי המסך לא מופיע. חיפשתי בגוגל ומצאתי שהחברה המפתחת החליטה להסיר את האפשרות ל-Caching ולהתמקד באבטחה ולא בשיפור ביצועים. עדכנתי את המאמר בהתאם. תודה לך.
תודה תודה תודה על ההשקעה ועל הנגשת המידע הכל כל חשוב הזה!
אליפות! תודה רבה! מדריך שלקח אותי פשוט צעד אחר צעד והיה מדויק לגמרי לכל מה שהופיע לי במסך הפעלה של התוסף. תודה!!!
ממש שמחתי לשמוע!
אגב, אני עובד על מדריך שמתאים לגרסה הנוכחית של Wordfence, שמסכי הניהול שלה טיפה השתנו.
אשמח לדעת באיזו גרסה של Wordfence את משתמשת.
דוד תודה רבה על המאמר המושקע.
ניסיתי להפעיל את התוסף ולא הצלחתי. אני עובד על שרת מקומי. האם לדעתך זה קשור?
תודה מראש
היי אסי,
תנסה להוסיף לקובץ C:\xampp\apache\conf\httpd.conf את הקוד שמופיע פה:
https://wordpress.org/support/topic/wordfence-and-xampp-problem/
האמת שאני לא ככ מבין בכל הקבצים של XAMPP ומפחד להרוס שם משהו. נראה לי אחכה שהעלה את זה לאחסון ואז התקין את WORDFENCE כמו שצריך.
תודה רבה 🙂
היי דוד, העליתי את האתר שלי לאחסון והגדרתי את כל ההגדרות לפי ההסבר שלך. אני חייב להגיד לך שהמדריך שלך מושלם, וגם מישהו שלא מבין במחשבים כמוני הצלחתי לעשות הכל 🙂
רציתי לעדכן שהמסך WHO IS LOOKUP בגרסה האחרונה בתוך מסך TOOLS וכן מסך ADVANCE BLOCKING בתוך מסך BLOCKING. (אבל כמובן שמהמדריך אפשר להבין בדיוק מה לעשות במסכים אלה).
רציתי לשאול: כשעשיתי סריקה ידנית SCAN הוא העלה לי 3 שגיאות:
1. Publicly accessible config, backup, or log file found: wp-content/debug.log
2. WordPress core file modified: readme.html
3. The Plugin "להגביל ניסיונות התחברות" appears to be abandoned (updated 1 בJune 2012, tested to WP 3.3.2).
האם אתה מכיר את הבעיות הנ"ל? האם חשוב לטפל בהם?
שוב המון המון תודה
היי אסי. תודה רבה על התגובה שלך. שימחת אותי מאד שהמדריך שלי הצליח לעזור לך.
האמת שאני חושב כבר כמה זמן לעשות מדריך חדש שישקף את הגרסה העכשווית, אבל אני שמח לשמוע שעדיין ניתן להבין מהמדריך כמו שהוא כרע מה צריך לעשות.
לגבי השאלות שלך:
1. נשמע כאילו שהאתר שלך נמצא במצב debug. תבדוק בwp-config שהוא off.
2. תמחוק את הקובץ הזה מספריית השורש. הוא מאפשר להאקרים לדעת מה גרסת הוורדפרס שאתה מריץ.
3. התוסף הזה לא עודכן כבר 5 שנים. מצד שני אם אתה משתמש בוורדפנס אין לך צורך בתוסף הזה היות ווורדפנס יודע להגביל נסיונות התחברות.
תודה. עוזר מאוד