رفتن به مطلب

آموزش قدم به قدم امنیت وردپرس


عبدالماجد

پست های پیشنهاد شده

با سلام خدمت دوستان محترم .

در این تایپیک میخواهیم راههای تامین هرچه بیشتر امنیت سایت ( وبلاگتان ) رو مرور کنیم .

قوانین این تایپیک :

هر گونه سوال امنیتی در بخش وردپرس/امنیت مطرح شود . ( در این بخش فقط آموزش ها قرار میگیرند)

اگر کسی قصد کپی کردن آموزشی از سایتی دیگر را دارد حتما منبع را ذکر بکند و حتی الامکان از مدیر سایت اجازه بگیرد .

اگر کسی سایتش مورد هجوم و هک قرار گرفت موضوع رو اعلام نکند چون احتمال سوء استفاده ی بیشتر وجود دارد و در صورت صلاحدید موضوع رو پ.خ بکند ( به یکی از مدیران ) تا مورد بررسی قرار بگیرد .

دوستان صبر بکنید اموزش ها کم کم شروع میشه .

با ما باشید تا تامین امنیت هرچه بیشتر سایت شما .

قوانین تایپیک : هر گونه سوال در تایپیک جداگانه مطرح شود .

از ارسال هر گونه اسپم جداً خودداری نمایید .

لینک به ارسال

ممنون مرتضی عزیز ؛ به طور خلاصه نکات مفیدی رو ذکر کردی .

سطح دسترسی ها

برای فایلهای خودتون سطح دسترسی مناسب بزارید تا کار هکر مشکل بشه .

فایل index.php روت وردپرس رو کمترین سطح دسترسی رو بهش بدید تا فقط قابل خوندن باشه . در زیر تعدادی از فایلهایی که سطح دسترسی پایین باید داشته باشن رو ذکر میکنم .

wp-config.php

index.php

پوسته : index.php

functions.php

در صورتی که پرمیژن این دو فایل رو پایین قرار بدید امکان ویرایش این دو فایل از پوسته تون رو با وردپرس ندارید .

هر موقع احتیاج به ویرایش این فایلها پیدا کردید میتونید از فایل منیجر یا ftp پرمیژن بالاتری به این فایلها بدید .

برای امشب وقت ندارم بیشتر تایپ بکنم :D

بقیه اش باشه بعداً ;)

لینک به ارسال

سلام

تجربه ثابت کرده که بیشتر هک ها مربوط به ضعف امنیتی هاست می باشد و نه به وردپرس.

درضمن در مورد بند 7 آیا انتخاب پیشوند _prefix دلیل خاصی داره؟

دوستان می تونن برای امنیت بیشتر فایل wp-config.php رو بهش سطح دسترسی 400 بدهند و در یک پوشه قبل تر قرار بدهند.

و همچنین استفاده از افزونه های زیر پیشنهاد میشه:

BulletProof Security

Limit Login Attempts

وردپرس ايمن

Wordpress Firewall 2

WP Security Scan

WP-Beautifier

لینک به ارسال

سلام

تجربه ثابت کرده که بیشتر هک ها مربوط به ضعف امنیتی هاست می باشد و نه به وردپرس.

تایید میشه .

درضمن در مورد بند 7 آیا انتخاب پیشوند _prefix دلیل خاصی داره؟

در مستندات وردپرس تاکید شده بهش .

و اگه پلاگینی دارای باگ sql بود که نوع پیدا کردن تیبل ها از نوع billing باشه هکر به راحتی پیشوند تیبل ها رو حدس میزنه اما اگه چیزی دیگه بزارید هکر ( کرکر ) دچار مشکل میشه .

و همچنین استفاده از افزونه های زیر پیشنهاد میشه:

BulletProof Security

Limit Login Attempts

وردپرس ايمن

Wordpress Firewall 2

WP Security Scan

WP-Beautifier

اینا رو توی برنامه داشتم ( دارم ) که یک به یک توضیح بدم .

ما با دستکاریهایی و نصب پلاگین ها و تغییرات کمی میتونیم خیلی از مشکلات سرور رو تا حدی با وردپرس جبران بکنیم .

لینک به ارسال

جلوگیری از ایندکس شدن بعضی از فولدر های مهم !

همونطور که میدونید هسته ی وردپرس تقریبا هیچ باگی نداره و تنها باگهای وردپرس متعلق به پوسته ها و یا افزونه هاست .

یعنی بی توجهی بعضی برنامه نویسا باعث میشه که توی پلاگینشون باگ مثلا ( sqli , rfu , ویا حتی شاید lfu , ) پیدا بشه و اگه کسی باگ رو اکسپلویت بکنه برای بسیاری دردسر ساز میشه .

چون فولدر پاگینهای وردپرس به راحتی برای گوگل قابل مشاهده است ( مگه اینکه شما دایرکتوری لیستینگ رو غیر فعال کرده باشید ) که در این صورت تمامی پلاگینهایی که نصب کردید قابل ایندکس برای گوگل خواهند بود و اگه یکی از پلاگینهای مشکل دار رو نصب کرده باشید ممکنه توی نتایج یک دورک سایتتون بیاد و باری سایتتون مشکل پیش بیاد . ( اگه توضیح بیشتر در مورد مطالب خواستید بگید تا توضیح بدم )

با اضافه کردن این چند خط کد به فایل robots.txt از ایندکس شدن چند فولدر مهم توسط گوگل جلوگیری میکنیم :

Disallow: /wp-content/plugins
Disallow: /wp-content/cache
Disallow: /wp-content/themes

لینک به ارسال

BulletProof Security

پلاگینی کامل برای امنیت سایت ( هاست و وردپرس ) شما توسط .htaccess !

همونطور که میدونید معمولا هاستها یک سری دسترسی هایی رو باز میزارن که ممکنه خطر ساز باشه .

البته مشکل از هاست نیست و ما باید خودمون طبق خواسته هامون و بنا بر سیستمی که نصب میکنیم باید یک سری از موارد رو رعایت و به هاست اضافه بکنیم .

یکی از اون بخش ها فایل اچ تی اکسز یا همون .htaccess هست که بوسیه ی اون میتونید یک سری دستوراتی به آپاچی بدید و یک سری از دسترسی ها رو محدود کنید .

این پلاگین به جز تامین امنیت روت سایت شما بلکه قادر به ساخت یک فایل اچ تی اکسز داخل فولدر wp-admin برای جلوگیری از دسترسی هکر ( کرکر ) ها به این فولدر هست .

کار با پلاگین :

بعد از نصب این پلاگین ، یک منو به زیر منوی تنظیمات در پیشخوان وردپرس اضافه میشه که با رفتن به منو با یک صفحه که دارای چندین تب هست مواجه میشید .

قبل از هر کار با پلاگین از فایل اچ تی اکسز خودتون یک بک آپ بگیرید .

تب security modes :

ای اولین تب صفحه ی پلاگین هستش و قسمت اصلی اون !

قسمت active bulletproof modes

چهار قسمت داره که شما در هر چهار قسمت تیک گزینه ی bulletproof mode رو بزنید ( یک به یک ) و فعالشون بکنید تا اچ تی اکسز های مهم رو براتون بسازه .

تب های بعدی هم اطلاعات امنیتی و کلی سایت ، بک آپ گیری از اچ تی اکسز های ساخته شده و قسمت های اضافی ای داره که چندان مهم نیستن و مهم ترین بخش هاش تب اول + دوم + سوم و چهارم هستن که اطلاعات کلی و امنیتی سایتتون رو بهتون میدن و میتونید متوجه خطرات و یا نواقص سایتتون بشید .

لینک به ارسال

اگر تا بحال رمز یا شناسه ورود به وردپرس را اشتباه وارد کرده باشید، حتماً با خطاهایی از قبیل: خطا: شناسه معتبر نیست. رمزتان را فراموش کرده‌اید؟ یا رمز وارد شده برای نام‌کاربری *** نادرست است. رمز خود را فراموش کرده‌اید؟ مواجه شدید. با دنبال کردن این آموزش، از خطر نمایش این خطاها راحت می شوید.

اگر هکری به سراغ شما بیاید، همین خطاها می توانند کمک کنند تا هکر نابکار، به راحتی به خواسته شوم خود یعنی بدست آوردن شناسه و رمز شما، برسد.

برای مثال اگر شناسه ورورد شما admin باشد، و هکر همین شناسه را وارد کند و رمز را اشتباه بزند، با خطای رمز وارد شده برای نام‌کاربری admin نادرست است. رمز خود را فراموش کرده‌اید؟ مواجه می شود. پس به این نتیجه می رسد که شناسه ورود وردپرس شما همان admin هست و حال تمرکز خود را برای بدست آوردن رمز شما جمع می کند.

login-page.jpg

راه حل:

برای غیرفعال کردن این خطاها دو راه دارید.

راه اول:

افزونه Secure WordPress را که در مطلب ۱۱ افزونه وردپرس برای ایمن کردن وردپرس هم معرفی شد را نصب کنید و در قسمت تنظیمات این افزونه، تیک قسمت غیرفعال کردن پیغام‌های خطا در زمان ورود به وردپرس را بزنید.

راه دوم:

کد زیر را در به فایل functions.php پوسته اضافه کنید.

add_filter('login_errors',create_function('$a', "return null;"));

نکته: هیچ وقت از شناسه پیش فرض Admin استفاده نکنید.

ویرایش شده توسط OmidSh
لینک به ارسال

حال شاید دوستانی در هنگام نصب وردپرس از شناسه پیش‌فرض Admin استفاده کرده‌اند و یا به هر دلیلی قصد تغییر شناسه خود را دارند.

تغییر شناسه از طریق دیتابیس امکان‌پذیر هست. اما شاید دوستانی با طرز کار با دیتابیس آشنا نباشند. راه بسیار ساده دیگری هم وجود دارد.

افزونه WPVN - Username Changer را نصب و فعال کنید. بعد از آن گزینه‌ای به نام Change Username در بخش کاربران اضافه می‌شود که از آن قسمت می‌توانید شناسه ورود خود را تغییر دهید.

لینک به ارسال

از اونجائی که همه حرفه ای نیستند بیان سرور و وردپرس رو هک کنند لذا دست به هک برای ایمیل میشوند برای امنیت 100% این قسمت ( که خودم متاسفانه از همین راه یه بار هک شدم ) میتونید کار زیر رو انجام بدید !

سعی کنید از ریدایرکت ایمیل استفاده کنید ، یعنی ایمیل اصلی سایت که براش یوزر و پسوورد ارسال میشه رو یه ریدایرکت ایمیل قرار بدید !

فایده اش هم اینه که طرف هیچ وقت به ایمیل اصلی دسترسی نداره که بخواد مشخصات رو گیر بیاره !

اگر کسی نیاز به آموزش ساخت ریدایرکت ایمیل داشت پیام خصوصی بده در خدمتم !

لینک به ارسال

اگر ایمیل از سرویس های معتبر مثل گوگل باشه این راه تقریبا غیرممکن خواهد بود.

هک ایمیل خیلی خیلی سخت تر از هک سرور هست!

لینک به ارسال

درود ;

چندتا نكته هم من بگم ،

اقا مرتضي عزيز محافظت از wp-config رو گفتند ،،

- به همون صورت ميتونيم از .htaccess محافظت كنيم با قرار دادن كد زير در .htaccess


<Files .htaccess>
order allow,deny
deny from all
</Files>

- مخفي كردن نگارش وردپرس شما كه آقا پارسا در اينجا آموزشش رو قرار دادند ..

- محدود كردن تعداد دفعات ورود .. براي اينكار ميتونيد از افزونه‌ي


http://wordpress.org/extend/plugins/login-lockdown/

استفاده كنيد ..

فرصتي بود به همراه دوستان مطالب بيشتري رو خواهيم گفت ..

لینک به ارسال
اگه مفيد ميدونيد بهتره توضيح بديد تا دوستان هم استفاده كنند ..

مفید که ولله این روزها هرکی میخواد هک کن این راه رو انتخاب میکنه !

...

اولا به نام خدا دوما سلام !

مراحل کار :

اول تو پنل هاست تون ، تو قسمت ریدایرکت ایمیل به اکانت بسازید به این شکل :

مثال -> Info@wp-parsi.com To wp-parsi@gmail.com

_________________________________________________________

بعد برید تو اکانت جیمیل تون حالا چرا جیمیل چون قویترین سرویس دهنده ایمیل هستش و بنده این ترفند رو فقط دیدم جیمیل میتونه امکانش رو بده بهرحال توی قسمت Setting به تب Accounts and Import و قسمت Send mail as برید (طبق شکل زیر )

Untitled.jpg

_________________________________________________________

Add another email address you own رو بزنید صفحه تازه ای باز میشه ... طبق شکل زیر عمل کنید :

ssss.jpg

اونجایی که نوشته نام : باید نام ایمیلی که میخواید برای دیگران نمایش داده بشه رو بنویسید

زیرش هم اون ایمیلی که تو هاست ساختیم یعنی : Info@wp-parsi.com

_________________________________________________________

Next Sterp رو بزنید ، مرحله بعد گزینه اولی رو بزنید و Send Verification رو انتخاب کنید ، اگر مراحل رو دقیق پیش رفته باشد یه ایمیل میاد به جیمیلتون ، اونو باز کنید یه confirmation code کد میده اونو مثل عکس زیر وارد کنید و سپس حالشو ببرید

gfdfghdh.jpg

نکته : زمان ارسال ایمیل اون ایمیل ظاهری رو انتخاب کنید ... اگر بخواین میتونید توی تنظیمات حالت پیش فرض همین ایمیل info@wp-parsi.com رو قرار بدید ... به این شکل کسی به ایمیل اصلیتون دسترسی نداره یعنی نمیدونه رو کدوم سرویس دهنده هستید که بخواد هک اتون بکنه !

ویرایش شده توسط amirabar
لینک به ارسال

دوستان هرگونه سوال رو در تایپیک دیگه مطرح بکنید و در این تایپیک فقط مباحث آموزشی رو دنبال بکنید و اگه آموزشی دارید فقط اونو قرار بدید .

هاستینگ مناسب !

یکی از لوازم امنیت کامل هاست مناسب با امنیت بالا هست .

برخی از هاست ها دارای امنیتی بسیار پایین با ساختاری ساده ( خنده دار ) هستند که مناسب برای هک و به دست گرفتن کامل سرور هستند .

اگه میخواهید هک نشوید حتماً از جایی هاست بگیرید که سایتهای زیادی و حتی الامکان بزرگ و معروفی را هاست کرده باشند تا از بابت امن بودن مقداری اطمینان حاصل بکنید .

فرض مثال اگر سایت شما هیچگونه باگی نداشته باشد گاهاً هکر با یک دورک ساده میتواند یکی از سایتهای داراری باگ در سرور را شناسایی کرده ، هک کند و از طریق ورود به سایت هک شده به سادگی تمام سایت شما را هم دیفیس بکند و این یعنی شما امنیت پایینی دارید ( هر چند سی ام اس شما مثلا وردپرس از همه لحاظ امن باشد ).

امنیت سایتی را بررسی میکردم متوجه شدم فقط با چند کلیک به تمامی سایتهای روی هاست ( بیش از چند صد و یا بالای هزار سایت ) دسترسی کامل دارم و این دسترسی به سادگی تمام کلیه ی سایتهای سرور را با خطر فوق العاده بالا مواجه کرده بود .

سعی میکنیم یک تایپیک جهت بررسی هاستینگ های مناسب در انجمن درست بکنیم تا هاستینگ هایی که از حاظ امنیت قوی ، خوب و متوسط هستند رو به شما معرفی بکنیم .

لینک به ارسال

همواره یکی از بزرگترین دغدغه های مدیران وب سایت های وردپرسی امنیت بخش مدیریت می باشد. نکاتی که در زیر آمده است، مجموعه ایست جامع از آنچه یک مدیر سایت وردپرسی برای حفاظت از پنل مدیریت خود نیاز دارد.

Untitled-1-300x254.jpgبرای اطمینان از امنیت بیشتر، “وردپرس با طعم فارسی” استفاده از تمامی این ۱۳ نکته را به شما پیشنهاد می کند.

۱- ایجاد لینک ورود سفارشی

همانطور که میدانید، تمامی کاربران برای ورود به بخش مدیریت (پیشخوان سایت) می بایست از مسیر wp-admin.php استفاده کنند. حال آنکه اگر شما در مکان های مختلف از رمز عبور مشابه استفاده کرده باشید و در نتیجه رمز عبور شما در خطر باشد، هکر ها براحتی می توانند وب سایت شما را هک کنند. افزونه ای با نام “Stealth Login” این امکان را به شما می دهد تا لینک های مربوط به بخش ورود، خروج، مدیریت و ثبت نام را بصورت سفارشی تعریف نمایید. همچنین با فعال کردن Stealth mode می توانید از دسترسی کاربران به مسیر wp-admin.php جلوگیری کنید. آنگاه آدرس موردنظرتان را برای لینک ورودی سایت خود تعریف کنید. اگرچه این کار امنیت ۱۰۰% سایت را تضمین نمی کند، اما با تغییر مسیر ورودی، هکر را در مواردی که قصد هک رمز ورود شما را دارد با مشکل روبه رو می کند.

stealthlogin-300x256.gif۲- استفاده از کلمه عبور قوی

این نکته بنظر پیش پا افتاده است اما در واقع یکی از مهمترین نکات در زمینه ایمن سازی بخش مدیریت سایت می باشد. سعی کنید از گذرواژه هایی استفاده کنید که براحتی قابل شناسایی نباشند، برای اینکار می توانید از نشانگر میزان امنیت گذرواژه که در وردپرس موجود است، استفاده نمایید. همچنین پیشنهاد میشود گذرواژه خود را بصورت دوره ای (بطور مثال هر ماه) تغییر دهید.

strongpassword.gif۳- محدودیت تعداد دفعات تلاش کاربر در ورود به سایت

گاهی ممکن است هکرها تصور کنند که گذرواژه شما را در اختیار دارند و یا اینکه برای بدست آوردن آن از اسکریپتی استفاده کنند. در این حالت، مهمترین چیزی که می تواند به شما کمک کند امنیت وب سایت خود بالا ببرید، محدود کردن تعداد تلاش در ورود به سایت می باشد. بدین منظور شما میتوانید با فعال سازی افزونه Limit Login Attempt، برای تعداد تلاش کاربر در ورود به سایت محدودیت تعیین نمایید، با این کار هکر ها شانس کمتری برای رمزیابی دارند و در صورت اعمال محدودیت کاربر برای مدت زمان مشخصی از ورود به سایت محروم خواهد بود.

screenshot.gif۴- استفاده از صفحات ایمن SLL برای ورود

2012-04-26_142837.pngشما برای ورود به بخش مدیریت سایت خود میتوانید از کانال های رمزگذاری شده SLL استفاده کنید، با این کار آدرس های شما با //:https همراه خواهد شد. بدین منظور شما می بایست شرکت ارائه دهنده هاست وب سایت تان در جریان امر قرار دهید. پس از هماهنگی با شرکت مذکور، کد زیر را در فایل wp-config.php اضافه نمایید:

define(’FORCE_SSL_ADMIN’, true);

همچنین میتوانید افزونه ای با نام Admin SLL استفاده کنید. استفاده از افزونه نسبت به روش بالا بسیار راحت تر است. لازم به ذکر است که این افزونه تنها با نسخه های ۲٫۷ و جدیدتر وردپرس سازگاری دارد.

۵- حفظ امنیت گذرواژه در پوشه Wp-Admin

askapache-300x193.gifداشتن دو گذرواژه به هیچ وجه اشتباه نمی باشد، برعکس، اینکار به افزایش امنیت بخش مدیریت وب سایت تان می افزاید. برای اینکار تنها لازم است افزونه AskApache Password Protect را دانلود و نصب نمایید. این افزونه گذرواژه را کدگذاری می کند و همچنین مجوز های فایلی با امنیت معتبر را برروی هر دو قرار می دهد.

۶- ایجاد محدودیت بر اساس IP بازدیدکنندگان

شما می توانید دسترسی به پنل Wp-Admin را محدود نمایید و تنها به IP آدرس های مشخص اجازه ورود بدهید. بدین منظور ابتدا فایل htaccess. را در پوشه /wp-admin/ ایجاد کنید، و سپس کد زیر را در آن وارد نمایید:


AuthUserFile /dev/null
AuthGroupFile /dev/null
AuthName "WordPress Admin Access Control"
AuthType Basic
<LIMIT GET>
order deny,allow
deny from all
# whitelist Syed's IP address
allow from xx.xx.xx.xxx
# whitelist David's IP address
allow from xx.xx.xx.xxx
# whitelist Amanda's IP address
allow from xx.xx.xx.xxx
# whitelist Muhammad's IP address
allow from xx.xx.xx.xxx
# whitelist Work IP address
allow from xx.xx.xx.xxx
</LIMIT>

حال برای اجرای این هک IP آدرس را تغییر دهید.

۷- هرگز کاربران خود را admin (مدیر) قرار ندهید

کاربر admin اولین کاربری می باشد که پس از شروع به کار وردپرس در بخش کاربران یافت می شود. از نظر امنیتی در بسیاری موارد حملات هکرها از طریق حساب کابری ادمین بوده است. پیشنهاد می شود پس از ایجاد یک کاربر جدید و قرار دادن تمام اختیارات برای آن، کاربر ادمین را بصورت کامل حذف کنید.

۸- حذف پیغام خطا در صفحه ورود کاربر

errormessage-300x193.gifدر حالت عادی هنگامیکه گذرواژه یا نام کاربری اشتباه وارد شود، پیغام خطایی با همین عنوان نمایش داده می شود. در مواردی که هکر قصد هک کردن سایت شما را دارد، اگر گذرواژه را بطور اشتباه وارد نماید با پیغام خطا مواجه می شود و در نتیجه متوجه می شود که نام کاربری صحیح است و این یعنی یک قدم به هک وب سایت شما نزدیک شده است. برای حذف کامل این پیغام لازم است که کد زیر را در فایل functions.php وارد نمایید.

add_filter('login_errors',create_function('$a', "return null;"));

همچنین افزونه ای با عنوان Secure WordPress موجود می باشد که همین عملکرد را ارائه می کند.

۹- استفاده از گذرواژه کد شده برای ورود

این روش برای مواقعی که SSL غیر فعال می باشد بسیار کارآمد است. افزونه ای با عنوان Semisecure Login Reimagined عمل کد کردن گذرواژه را انجام میدهد و در نتیجه باعث افزایش امنیت پنل مدیریت می شود. برای استفاده از این افزونه می بایست جاوا اسکریپت فعال باشد.

۱۰- حفاظت از وردپرس توسط آنتی ویروس

آنتی ویروس راهکاری مفید و موثر برای حفظ امنیت وب سایت شما در مقابل اسپم ها و سوء استفاده های احتمالی می باشد. این افزونه روزانه بصورت خودکار وب سایت شما را چک کرده و از طریق ایمیل به شما اطلاع رسانی می کند.

۱۱- استفاده از آخرین نسخه وردپرس

از آنجا که پس از انتشار نسخه های جدید وردپرس، این شرکت پس از چندی باگ ها و مشکلات احتمالی را اعلام می کند، در نتیجه لازم است که همواره وردپرس خود را بروز رسانی نمایید.

۱۲- گذرواژه یکبار مصرف

افزونه گذرواژه یکبار مصرف با ارائه گذرواژه هایی که تنها برای یکبار ورود قابل استفاده می باشند امنیت بخش مدیریت وب سایت شما را تضمین می کند. بیشترین مورد استفاده این افزونه در مکان های عمومی مانند کافی نت ها می باشد که خطر سرقت گذرواژه همواره کاربران را تهدید می کند.

۱۳- افزونه دیوارآتش وردپرس (WordPress Firewall)

Firewall-300x167.png

این دیوار آتش پارامترهای مشکوک را شناسایی و رهگیری کرده و از انها جلوگیری می کند. همچنین بیشتر افزونه های دیگر وردپرس را نیز در مقابل این خطر پشتیبانی می کند. برای برخورداری از بیشترین امنیت ممکن می توانید با ایجاد تنظیمات لازم این افزونه را پیش از دیگر افزونه ها اجرا کنید.

نکته آخر :

رعایت تمامی این قدمها به معنای جلوگیری ۱۰۰% از هک شدن نیست. بلکه مانند قفل فرمان اتومبیل که دزد را معطل می کند، این موارد نیز کار هکر در هک کردن سایت وردپرسی شما را به تاخیر می اندازد که در نهایت ممکن است هکر بی خیال ماجرا شود و یا با کل کل فراوان، تا شما را هک نکند، دست برندارد!

منبع:wpfarsi.com

لینک به ارسال

افزونه stealth-login از دور خارج و دیگه در منبع قابل دریافت نیست.

لینک به ارسال

افزونه stealth-login از دور خارج و دیگه در منبع قابل دریافت نیست.

یکی از مهمترین نکات امنیتی به روز بودن هست .

سعی کنید به محض آپدیت شدن وردپرس یا پلاگینی سریعاً خودتون رو هم آپدیت کنید !!!

گاهاً یک باگ در پلاگینی پیدا میشه و بعد مدتی پابلیک میشه و ( اگه شما از این سری پلاگینها استفاده بکنید ) در این صورت سایت شما یک لقمه ی آماده برای هکرهای تازه کار میشه تا روی سایت شما تمرین بکنند .

البته همه ی پلاگینها دارای مشکل امنیتی نیستند و فقط به خاطر آپدیت نشدنشون از مخزن پلاگینها در دسترس نیستند ولی باز هم در مورد همچنین پلاگینهایی احتیاط رو سرلوحه ی کارتون قرار بدید .

لینک به ارسال

وبینار امنیت وردپرس که سایت iThemes چند وقت پیش برگزار کرد هم ارزش مطالعه و دیدن رو داره:

http://ithemes.tv/lockdown-wordpress-security-tips-from-sucuri/

لینک به ارسال

تغییر آدرس لاگین پیش فرض وردپرس از wp-login.php به آدرس دلخواه !

استفاده از افزونه ی http://wordpress.org.../stealth-login/ برای تغییر آدرس لاگین وردپرس ساده ترین راه هست و مطمئن .

اما فایده ی این کار اینه که اگه به هر طریقی شخصی به یوزر + پسورد وردپرس شما دسترسی پیدا بکنه نمیتونه آدرس لاگین رو پیدا بکنه و از ورود به سایت ناکام میمونه .

لینک به ارسال

آموزش تغییر دادن wp-login.php به آدرس دلخواه توسط htaccess

خوب دوستان این روش ساده تر و بدون تغییر در هسته ی وردپرس و یا نصب پلاگین هست .

فایل .htaccess روت سایتتون رو ویرایش بکنید و کد زیر رو بهش اضافه بکنید :

RewriteRule ^login$ http://yoursite.com/wp-login.php [NC,L]

به جای yoursite.com آدرس سایت خودتون رو وارد بکنید و تغییرات رو سیو بکنید و نتیجه رو ببینید .

لینک به ارسال
  • 1 ماه بعد...

دوستان راه هایی رو گفتند که نگارش وردپرس رو مخفی نگه داریم علاوه بر اون فایل readme.html رو هم حذف کنید چون اگر حذف نکنید با example.com/readme.html میشه نگارش وردپرستون رو متوجه شد

ممنون دوست عزیز بابت یادآوری !

برای اخفای فایل readme.html طبق روش زیر عم بکنید :

اول این فایل رو تغییر نام بدید ( به یک اسمی که تصادفی باشه و به ذهن کسی نرسه ) یا حذفش بکنید

بعد یک فایل خالی با همین نام ایجاد بکنید و پرمیژن ( سطح دسترسی)ش رو 400 بگذارید .

با این کار در آپدیت های بعدی فایل جدید از بسته ی وردپرس جایگزین فایل ساخته شده توسط شما به خاطر سطح دسترسی پایینش نخواهد شد و لازم نیست با هر بار آپدیت فایل readme.html را هم حذف بکنید .

لینک به ارسال

مخفی سازی نسخه ی وردپرس

گاهاًٌ در برخی نسخه های وردپرس طبق معمول سیستم های اوپن سورس باگهایی با درجات امنیتی مختلف پیدا و منتشر میشوند که ممکن است کسی که از آن باگ اطلاع دارد قصد سوء استفاده از باگ موجود در نسخه ی وردپرس شما را داشته باشد .

البته ما به شما توصیه میکنیم که از هر سیستمی چه وردپرس ، جوملا و .... استفاده میکنید سایت خود را بروز نگه دارید تا دست سوء استفاده کنندگان را از سایت خود دور نگه دارید .

حال اگر به خاطر دلایلی مثلا درس و امتحان و یا .... مدتی نمیتوانید به سایت سر بزنید پیشنهاد میکنیم با دستوری که برایتان قرار میدهم نسخه ی وردپرس را از سورس کدهای سایت خود حذف بکنید .

البته راههای زیادی برای فهمیدن نسخه ی وردپرس نصب شده ی سایت شما وجود دارد اما یکی از ساده ترین راهها جستجو در سورس سایت است که با این دستور از این طریق کسی کار به جایی نبرده و به اصطلاح به کاه دون میزند .

<?php remove_action('wp_head', 'wp_generator'); ?>

این دستور را به فایل فانکشن قالبتان اضافه نمایید .

اگر این فایل موجود نبود فایلی به نام functions.php درون پوشه ی پوسته ی مورد نظرتان ساخته و دستور فوق را در آن ذخیره نمایید .

لینک به ارسال

سوالهای تاپیک در اینجا مطرح بشن و این تاپیک فقط بحث آموزشی دنبال میشه.

هرگونه ارسال سوال در این تاپیک = دریافت اخطار

لینک به ارسال
  • 4 هفته بعد...

اگر اجازه بدید،تصمیم گرفتم توی این تاپیک یکسری پست مفید و آموزشی بدم:

به صورت پیش فرض در هنگام نصب ورد پرس در قسمت فایل wp-config.php بر روی کوکی ها قفل گذاری نشده ...

برای قفل گذاشتن بر روی کوکی ها در فایل wp-config.php در خط ۴۵ تا ۴۸ ( این قسمت Authentication Unique Keys. )


define(’AUTH_KEY’, ‘put your unique phrase here’);
define(’SECURE_AUTH_KEY’, ‘put your unique phrase here’);
define(’LOGGED_IN_KEY’, ‘put your unique phrase here’);
define(’NONCE_KEY’, ‘put your unique phrase here’);

رای دریافت جدیدترین کدها ازسایت رسمی اینجا کلیک کنید .

کد ها به جای کد های قبلی در فایل wp-config.php بزارید و فایل رو save کنید . پرمیژن فایل wp-config.php رو حتما ۴۴۴ بزارید .

====================================================================================

غیر فعال کردن TRACE and TRACK با کد زیر انجام میشه.

TRACE and TRACK یکی از بهترین راه ها برای انجامن حملات xss هست

کد زیر رو در htaccess وارد کنید :


# disable TRACE and TRACK in the main scope of httpd.conf
RewriteEngine On
RewriteCond %{REQUEST_METHOD} ^TRACE
RewriteRule .* – [F]
RewriteCond %{REQUEST_METHOD} ^TRACK
RewriteRule .* – [F]
<VirtualHost www.example.com># disable TRACE and TRACK in the [url]www.example.com[/url] virtual host
RewriteEngine On
RewriteCond %{REQUEST_METHOD} ^TRACE
RewriteRule .* – [F]
RewriteCond %{REQUEST_METHOD} ^TRACK
RewriteRule .* – [F]
</VirtualHost>
#

ویرایش شده توسط Mx7.NeT
لینک به ارسال
  • 2 ماه بعد...

سلان

بهتره سطح دسترسی روی 777 نباشه. چون دسترسی کامل هست و خطرناک!

فایل موردنظر شما هم جزء فایلهای اصلی وردپری نیست.

لینک به ارسال

به گفتگو بپیوندید

هم اکنون می توانید مطلب خود را ارسال نمایید و بعداً ثبت نام کنید. اگر حساب کاربری دارید، برای ارسال با حساب کاربری خود اکنون وارد شوید .

مهمان
ارسال پاسخ به این موضوع ...

×   شما در حال چسباندن محتوایی با قالب بندی هستید.   حذف قالب بندی

  تنها استفاده از 75 اموجی مجاز می باشد.

×   لینک شما به صورت اتوماتیک جای گذاری شد.   نمایش به صورت لینک

×   محتوای قبلی شما بازگردانی شد.   پاک کردن محتوای ویرایشگر

×   شما مستقیما نمی توانید تصویر خود را قرار دهید. یا آن را اینجا بارگذاری کنید یا از یک URL قرار دهید.

×
×
  • اضافه کردن...