رفتن به مطلب

آموزش قدم به قدم امنیت وردپرس


عبدالماجد

پست های پیشنهاد شده

آموزش تغییر دادن wp-login.php به آدرس دلخواه توسط htaccess

خوب دوستان این روش ساده تر و بدون تغییر در هسته ی وردپرس و یا نصب پلاگین هست .

فایل .htaccess روت سایتتون رو ویرایش بکنید و کد زیر رو بهش اضافه بکنید :

RewriteRule ^login$ http://yoursite.com/wp-login.php [NC,L]

به جای yoursite.com آدرس سایت خودتون رو وارد بکنید و تغییرات رو سیو بکنید و نتیجه رو ببینید .

اصلا هیچ تغییری نکرد و صفحه لایگ مثل سابق کارش رو انجام داد.

دوستان یه افزونه جدید معرفی بکنند

لینک به ارسال

کار نکردن این کد به نوع سرور هم بر میگرده.

افزونه جدید در مورد تغییر آدرس ورود نداریم. البته چندتا هستن که صددرصد درست عمل نمیکنن.

لینک به ارسال

در مورد تغيير دسترسي نوشتاري فايل كانفيگ و بعضي فايلهاي ديگه.بعضي هاستينگها اين امكان رو نداره تا به 644 تغيير بديم.چه كار بايد كرد.مثلا يكي از ويستا پنلهاي رايگان اين امكان رو نداره.

لینک به ارسال

فکر نمیکنم پنلی باشه که سطح دسترسی نداشته باشه.

اما همه اینها ftp میدن و میتونید از طریق برنامه هایی مثل filezilla و cuteftp سطح دسترسی رو مشخص کنید.

لینک به ارسال

اصلا هیچ تغییری نکرد و صفحه لایگ مثل سابق کارش رو انجام داد.

دوستان یه افزونه جدید معرفی بکنند

Admin username changer

http://wordpress.org...ername-changer/

ویرایش شده توسط amirabar
لینک به ارسال

اگر اجازه بدید،تصمیم گرفتم توی این تاپیک یکسری پست مفید و آموزشی بدم:

به صورت پیش فرض در هنگام نصب ورد پرس در قسمت فایل wp-config.php بر روی کوکی ها قفل گذاری نشده ...

برای قفل گذاشتن بر روی کوکی ها در فایل wp-config.php در خط ۴۵ تا ۴۸ ( این قسمت Authentication Unique Keys. )


define(’AUTH_KEY’, ‘put your unique phrase here’);
define(’SECURE_AUTH_KEY’, ‘put your unique phrase here’);
define(’LOGGED_IN_KEY’, ‘put your unique phrase here’);
define(’NONCE_KEY’, ‘put your unique phrase here’);

رای دریافت جدیدترین کدها ازسایت رسمی اینجا کلیک کنید .

کد ها به جای کد های قبلی در فایل wp-config.php بزارید و فایل رو save کنید . پرمیژن فایل wp-config.php رو حتما ۴۴۴ بزارید .

چرا خودشون پيش فرض اين كدهارو قرار نميدن؟؟؟ پس مساله امنيتي بودن اين كد ها خودش از اين ديدگاه زير سواله!

غیر فعال کردن TRACE and TRACK با کد زیر انجام میشه.

TRACE and TRACK یکی از بهترین راه ها برای انجامن حملات xss هست

لطفا كمي بيشتر از اين TRACE and TRACK صحبت كنيد و اينكه اصلا كارش چيه و چرا اين فعاله كه ما بخوايم غير فعالش كنيم! واقعا اين مساله امنيت چه چيزايي داره و انسان ميشنوه كه نگو! چرا پيش فرض خودشون اينارو قرار نمدن و چرا همين TRACE and TRACK بازه كه ما بخوايم ببنديمش!!؟

لینک به ارسال

سلام

با اجازه بزرگترا ! من هم یه آموزش کوچیک میذارم :)

دسترسی به پنل ورود را با تغییر نام اون محدود کنید . (wp-login.php ) را به نام دلخواه خود تغییر دهید . فایل wp-login.php را باز کنید و مقادیر wp-login.php را به yourname.php تغییر بدید . توجه کنید باید 13 تا wp-login.php با اسم مورد نظر شما عوض شده باشه . بعدش این فایل را در پوشه وردپرس باز کنید : wp-includes/general-template.php و در این فایل هم مقادیر wp-login.php را با yourname.php جایگزین کنید ، اینجا هم 5 تا اسم باید عوض شه .

توجه کنید که بعد از هر بار آپدیت وردپرس ، آدرس به حالت دیفالت برمی گرده

لینک به ارسال
  • 2 هفته بعد...

با تشکر از عبدالماجد عزیز

برای شروع چند مبحث کاربردی رو اینجا مطرح میکنم:

1- همیشه بروز باشید!

یکی از اصلی ترین نکات، بروزرسانی هسته وردپرس است. همیشه وردپرس خود را بروز نگهدارید.

2- نام کاربری مدیر را "admin" انتخاب نکنید!

سعی کنید نام کاربری مدیر را چیزی انتخاب کنید که براحتی قابل حدس زدن نباشد. مواردی مثل admin - modir - administrator و... را انتخاب نکنید.

3- رمز عبور مناسب انتخاب کنید

سعی کنید در رمز عبور خود از حروف نامتعارف و کاراکترهای جانبی استفاده کنید. حدالامکان از password generator های قدرتمند برای اینکار استفاده ببرید.

4- سطح دسترسی پوشه های زیر را روی 755 (user account) قرار دهید :


/wp-includes/
/wp-content/
/wp-content/themes/
/wp-content/plugins/
/wp-admin/

و سطح دسترسی فایلهای داخل آنها بر روی 644 قرار گیرد.

5- امنیت پوشه wp-includes را بکمک قرار دادن کدهای زیر (در .htaccess) بالاتر ببرید:


RewriteEngine On
RewriteBase /
RewriteRule ^wp-admin/includes/ - [F,L]
RewriteRule !^wp-includes/ - [S=3]
RewriteRule ^wp-includes/[^/]+\.php$ - [F,L]
RewriteRule ^wp-includes/js/tinymce/langs/.+\.php - [F,L]
RewriteRule ^wp-includes/theme-compat/ - [F,L]
# Block the include-only files.

6- امنیت فایل wp-config.php را بکمک قرار دادن کدهای زیر (در .htaccess) بالاتر ببرید:


order allow,deny
deny from all
</files>
<files wp-config.php>

7- در پایگاه داده، پیشوند (_prefix) پیشفرض (wp_) را تغییر دهید.

8- بصورت مرتب از پایگاه داده خود پشتیبان بگیرید.

منبع اصلی

سلام

لطفا شیوه تغییر دسترسی رو توضیح بدید

از کجا با ید انجام بسه بعدش چه کار باید انجام داد.

سلام

لطفا شیوه تغییر دسترسی رو توضیح بدید

از کجا با ید انجام بسه بعدش چه کار باید انجام داد.

و بگید کد ها رو در زیر و یا بالای کدام خط htaccess بزارم

ممنون

لینک به ارسال

سلام

به انجمن خوش اومدین دوست عزیز

لطفا شیوه تغییر دسترسی رو توضیح بدید

از کجا با ید انجام بسه بعدش چه کار باید انجام داد.

از طریق پنل سایتتون باید تغییر بدید. نوشته شده permission

و بگید کد ها رو در زیر و یا بالای کدام خط htaccess بزارم

بعدش بزارید

لینک به ارسال

اینم یک آموزش از بنده!

دوستان بعضی ها میان و از عکس ها و فایل های شما دزدی میکنن! با این کد می تونین جلوی این کار رو بگیرید!

این کد ها رو در این مسیر بریزید!

wp-content/uploads و یه فایل با نام .htaccess بسازید!


RewriteEngine on
RewriteCond %{HTTP_REFERER} !^$
RewriteCond %{HTTP_REFERER} !^http(s)?://(www\.)?yoursite.ir/.*$ [NC]
RewriteRule \.(jpg|jpeg|png|gif|ico|bmp|swf)$ http://www.yoursite.ir/yourpic.jpg [NC,R,L]

به جای yoursite.ir آدرس سایت مجاز برای نمایش رو قرار مدین و به جای http://www.yoursite.ir/yourpic.jpg آدرس عکسی که می خواهید بهجای اونها دیده بشه رو قرار مدین!

توجه! اون عکس رو در پوشه ای به غیر از uploads قرار بدین!

موفق باشید

________________________________________________________________________________

دوستان اینم یه robots.txt ایمن و سئو شده!

#######################################################

#TCJ Robots

# All Bots

User-agent: *

Disallow: /cgi-bin

Disallow: /wp-admin/

Disallow: /wp-includes/

Disallow: /wp-content/

Disallow: /wp-content/

Disallow:/wp-content/themes

Disallow:/wp-content/upgrade

Disallow:/wp-content/plugins

Disallow:wp-content/cache

Disallow:/wp-content/bps-backup

Disallow:/wp-content/languages

Disallow: /readme.html

Disallow: /license.txt

Disallow: /search/

Disallow: /wp-

Disallow: /trackback

Disallow: /trackback/

Disallow: */trackback/*

Disallow: /*/trackback/$

Disallow: /author

Disallow: /wget/

Disallow: /httpd/

Disallow: /cgi-bin

Disallow: /cgi-bin/

Disallow: /images/

Disallow: /search

Disallow: /feed

Disallow: /feed/

Disallow: /rss

Disallow: /comments/feed

Disallow: /feed/$

Disallow: /*/feed/$

Disallow: /*/feed/rss/$

Disallow: /useronline/

Disallow: /*?

Disallow: /*.xhtml$

Disallow: /stats*

Disallow: /about/legal-notice/

Disallow: /about/copyright-policy/

Disallow: /about/terms-and-conditions/

Disallow: /docs*

Disallow: /manual*

Disallow: /category/uncategorized*

Disallow: /bargozari

Disallow: /graphic

Disallow: /error_log

Disallow: /php.ini

Disallow: /xmlrpc.php

Allow: /wp-content/uploads/*.gif

Allow: /wp-content/uploads/*.png

Allow: /wp-content/uploads/*.jpg

Allow: /sitemap.xml.gz$

# Dugg Mirror

User-agent: duggmirror

Disallow: /

# disallow files ending with the following extensions

User-agent: Googlebot

Disallow: /*.php$

Disallow: /*.js$

Disallow: /*.inc$

Disallow: /*.css$

Disallow: /*.gz$

Disallow: /*.cgi$

Disallow: /*.wmv$

Disallow: /*.php*

Disallow: /*.gz$

# Google AdSense

User-agent: Mediapartners-Google

Disallow:

#disallow WayBack archiving site

User-agent: ia_archiver

Disallow: /

# BEGIN XML-SITEMAP-PLUGIN

Sitemap: http://www.yoursite.ir/sitemap.xml

# END XML-SITEMAP-PLUGIN

#######################################################

ویرایش شده توسط Black_sky
لینک به ارسال

دسترسی به پوشه wp-content رو با این دستورات محدود کنید!

یک فایل به اسم .htaccess در wp-content ایجاد کرده و دستورات زیر رو درون او قرار دهید!


Order Allow,Deny
Deny from all
<files ?.(jpg|gif|rar|jpge|mp3|zip|png|js|css)$? ~>
Allow from all
</files>

لینک به ارسال

چرا خودشون پيش فرض اين كدهارو قرار نميدن؟؟؟ پس مساله امنيتي بودن اين كد ها خودش از اين ديدگاه زير سواله!

خوب به این دلیل خودش این کار رو انجام نمیده چون این ها باید برای هر سایت اختصاصی باشد! اگر به فایل wp-config.php توجه داشته باشید خودش گفته که از این امکان استفاده کنید!

برای دوستانی که گفتند سطح دسترسی wp-config.php و

.htaccess

را غیر قابل نوشتن کنید بگم که این کار اشتباه است! چون برخی از برنامه ها نیاز دارن بر روی این فایل تغییراتی بدن پس بهتره با

.htaccess دسترسی این فایل ها رو محدود کنیم!

وردپرسی باشید

:)

ویرایش شده توسط mr-amir
لینک به ارسال
  • 4 هفته بعد...

برای دوستانی که گفتند سطح دسترسی wp-config.php و .htaccess را غیر قابل نوشتن کنید بگم که این کار اشتباه است! چون برخی از برنامه ها نیاز دارن بر روی این فایل تغییراتی بدن پس بهتره با

.htaccess دسترسی این فایل ها رو محدود کنیم!

اول باید بدونیم که چرا یک برنامه لازم داشته باشه که به فایل کانفیگ ما دسترسی داشته باشه.

معمولا به جز برنامه های کش و یک سری برنامه خاص، دیگه نباید به هر افزونه و ... دیگه ای به همین راحتی امکان دسترسی به این فایل رو بدیم؛ حالا اگه یک موقع لازم شد میتونید سطح دسترسی این فایل رو موقتا تغییر بدید تا برنامه ورد نظرتون تغییراتش رو اعمال بکنه و بعد دوباره سطح دسترسیشو پایین بیارید.

در ضمن در عین حال محدود کردن پرمیژن این فایل با اچ تی اکسز هم توصیه میشه.

لینک به ارسال

در این مقال،خواهیم دید که چگونه از طریق راه ihdd ساده،می توان امنیت وردپرس خود را بالا ببریم.

۱.حتما وردپرس و افزونه ها(plugins) را بروز نگه دارید.معمولا مهمترین کاری که شما باید انجام بدهید،بروز کردن نسخه ی فعلی به جدیدترین ورژن موجود است.البته نگران نباشید،خود وردپرس شما را از ارائه ی نسخه ی جدید مطلع کرده و این امکان را می دهد که با یک کلیک به صورت اتوماتیک سیستم را بروز کنید.همین کار را می توان در مورد افزونه ها نیز انجام داد.

۲.از نام کاربری متفاوت برای مدیر استفاده کنید.وردپرس به صورت پیش فرض نام کاربری(username) مدیر اصلی را admin انتخاب می کند و بدین ترتیب فقط زحمت پیدا کردن کلمه ی عبور به گردن هکرها می افتد.برای تغییر این وضعیت و سخت تر کردن حدس نام کاربری باید یک کاربر جدید منتهی با مجوز های مدیر ،ایجاد کنید.حالا با کاربر جدید وارد بخش مدیریت شده و ضمن انتقال پست های admin به حساب جدید،مدیر قدیمی وردپرس را پاک کنید.

۳.ایجاد کاربرصرفاُ پست کننده(posting user) که مجوزهای مدیریتی ندارد،در این صورت علاوه بر اینکه شما وبلاگ خود را در برابر هکرها محافظت کرده اید،آن را از تغییرات ناخواسته ی خودتان هم محافظت نموده اید.

۴.در هر جایی که نیاز هست،از ابزار ضد ربات(captcha) استفاده کنید.مخصوصا برای بخش نظرات و ورود مدیر و کاربران.]برای این کار با کمی جستجو در سایت wordpress.org می توانید افزونه های متعددی را بیابید.[

۵.پسوند پیش فرضجداول وردپرس را تغییر دهید.اگر برای اولین بار می خواهید وردپرس را نصب کنید،می توانید این کار را هنگام نصب انجام دهید .اگر قصد انجام این کار روی سیستم از قبل نصب شده را دارید راهنمای زیر می تواند شما را راهنمایی کند.

با افزونه ی ذیل نیز می توانید به راحتی این کار را انجام دهید:

6.دسترسی به دایرکتوری wp-admin را محدود کنید.برای این کار سه راه حل وجود دارد:یکی از طریق IP ، دیگری با استفاده از رمز عبور(Password) و سومی افزونه ی AskApache Password Protect .اگر شما ip معینی نداشته و از مکانهای مختلف مثل منزل و محل کار به وردپرس دسترسی دارید این گزینه پاسخگو نخواهد بود و باید از روش دوم یا سوم استفاده کرد.در هر صورت مجبوریم مقداری با فایل .htaccess بازی کنیم.

۱.محافظت دایرکتوری wp-admin از طریق آدرس :ip

1.یک فایل با نام “.htaccess” در دایرکتوری فوق ایجاد کنید.البته اگر قبلا وجود نداشته باشد.

۲.محتویات زیر را جایی که XXX.XXX.XXX.XXX مساوی همان ip شماست،اضافه کنید.برای چند ip مجزا،باید چند بار خط Allow from را اضافه کنید.

Order deny,allow

Deny from all

Allow from XXX.XXX.XXX.XXX

2.محافظت دایرکتوری wp-admin با رمز عبور:

۱.یک فایل با نام “.htaccess” در دایرکتوری فوق ایجاد کنید.البته اگر قبلا وجود نداشته باشد.

۲.یک فایل جدید بیرون از دایرکتوری public_html با نام “.htpasswd” ایجاد کنید.دقت کنید که فایل را خارج از پوشه ی فوق و در مسیر بالای آن ایجاد کنید وگرنه همه خواهند توانست پسورد شما را به راحتی ببینند.

۳.محتویات ذیل را به فایل “.htpasswd” اضافه کنید.

Xxxx:yyyy

در اینجا xxxx به معنای نام کاربری و yyyy به معنای رمز عبور آمده است.

۴.حالا می بایست کدهایی که در زیر آمده است ،به فایل “.htaccess” که در دایرکتوری wp-admin ساخته ایم،اضافه کنیم.

AuthName EnterPassword

AuthType Basic

AuthUserFile /path/to/your/directory/.htpasswd

require xxxx

باید مطمئن شوید که به جای /path/to/your/directory/، مسیری ثابت و درست را به فایل “.htpasswd” قرار داده اید.اگر در این مورد اطلاعی ندارید،می توانید از میزبان وب تان سوال کنید.همانطور که مشاهده می کنید،xxxx همان نام کاربری است که در فایل “.htpasswd” قرار دادیم.

۳.با افزونه ی AskApache Password Protect:

این افزونه در واقع از روش های فوق استفاده می کند ولی مزیت آن سادگی آن است!

7.اطلاعات ورود(login) را کدگذاری کنید.هرگاه شما سعی در لاگین به وبسایت خود را داشته باشید،پسورد شما بدون کدگذاری ارسال می شود.اگر شما در یک شبکه ی عمومی باشید،هکر به راحتی می تواند با به اصطلاح گوش کردن(sniff) به شبکه،اطلاعات ورود شما را بدست آورد.بهترین راه،کدگذاری لاگین با استفاده از افزونه ی Chap Secure Login می باشد.این افزونه یک hash تصادفی با رمز عبور اضافه کرده و با استفاده از پروتکل CHAP ورود شما را اعتبارسنجی می کند.

دانلود افزونه :Chap Secure Login

اطلاعات بیشتر در مورد پروتکل :CHAP

8.استفاده از کلمه ی عبور مطمئن.یکی از مواردی که به آسانی می تواند باعث بالا رفتن امنیت هر سیستمی شود،استفاده از کلمه ی عبوری است که به راحتی قابل حدس زدن نباشد.برای این کار توصیه می شود از ترکیب کلمات بزرگ و کوچک،حروف ویژه مثل @ یا & و اعداد استفاده کنید.هنگام ورود کلمه ی عبور ،وردپرس به شما می گوید که رمز انتخابی در چه حدی از امنیت قرار دارد.

۹.نسخه ی وردپرس را لو ندهید.تعداد زیادی از پوسته(theme) های وردپرس،اطلاعات مربوط به نسخه ی نرم افزار را در ابر تگ هایشان قرار می دهند.بدین ترتیب هکرهای عزیز با داشتن نسخه ی دقیق وردپرس،می توانند اقدام به پایه گذاری حملات سخت بر پایه ی حفره های امنیتی آن نسخه را انجام دهند.برای حذف این مشخصه ی غیر ضروری به داشبورد وردپرس لاگین کرده و به بخش ویرایش پوسته (Design->Theme Editor) رفته و روی فایل header کلیک کنید.حالا در بخش چپ و داخل کدها،تکه کدی شبیه اسکریپت زیر را پیدا کرده و پاک کنید:

<meta name=”generator” content=”WordPress <?php bloginfo(’version’); ?>” />

و دکمه ی Update File را بفشارید.

نکته:در وردپرس نسخه ی ۲.۶ به بعد ،این کار به صورت اتوماتیک توسط ورپرس انجام می گیرد و برای حل آن می بایست افزونه ی WP-Security Scan plugin را از آدرس زیر نصب کنید.

10.دایرکتوری مربوط به افزونه ها را مخفی کنید.اگر به آدرس http://yourwebsite.c...content/plugins بروید،می توانید لیست تمام افزونه هایی را که استفاده می کنید،ببینید و ببینند.برای مخفی کردن این دایرکتوری می توانید یک فایل خالی با نام index.html آپلود کنید.ویرایشگر متن(مثل Notepad) را باز کرده و فایل خالی را با نام index.html ذخیره کنید.حالا با استفاده از یک برنامه ی ftp(مثل Filezilla) فیل فوق را به پوشه ی plugins آپلود کنید.حل شد!

۱۱.از پایگاه داده ، نسحه ی پشتیبان تهیه کنید.گرچه رعایت موارد بالا،امنیت وردپرس را تا حد قابل قبولی افزایش می دهد،ولی بهترین راه داشتن نسخه ی پشتیبان از داده های مان است تا در صورت بروز هرگونه مشکل،امکان بازگشت به حالت قبل را داشته باشیم.پیشنهاد ما افزونه ی wp-database-backup می باشد.می توانید آن را طوری برنامه ریزی کنید که از پایگاه داده به صورت روزانه،پشتیبان تهیه کند.

لینک به ارسال
  • 4 هفته بعد...

سلام

من تازه عضو شدم

یه آموزش میزام واستون امیدوارم مفید باشه

آموزش تغییر جداول دیتابیس وردپرس

یادتون باشه موقع نصب ورد پرس همیشه جدادول دیتا بیس رو تغییر بدید ولی اگه این رو فراموش کردید و الان قصد تغییر دادنش رو دارید این آموزش رو با یک افزونه و خیلی سریع و راحت بهتون میدم تغییر جدوال دیتابیس امینت سایت شما خیلی بالا تر میبره و بسیاری از از حمله از نوع sql از همین طریق هست...تغییر دستی جدوال دیتا بیس یکم خست هستش همین روش بهترین و آسون ترین رو هست

1-اول از دیتا بیس خودتون بکاپ بگیرید

2-حالا افزونه WP Security Scan رو دانلود کنید و نصب و فعال کنید این افزونه رو در گوگل سرچ کنید هست

3-بعد برید به سی پنل و فالی wp-config.php رو در پوشه های ورد پرس پیدا کنید و سطح دسترسی فایل اون رو روی 666 قرار بدید

4-حالا وراد ورد پرس خودتون بشید برید افزونه ای رو که نصب کردید پیدا کنید و بعد از فعال کردن وارد تنظیماتش بشید و بعد گزنیه Data base رو پیدا کنید و واردش بشید

5-پنجره جدید باز میشه پایین صفحه نوشته شده wp_ این مقدار رو باید تغییر بدید به یه چیزی سخت مثل hyfed_ بعد ذخیرش کنید

6-یادتون نره قبل از دیتا بیس بکاپ بگیرید بعد از کار هم سطح دسترسی فایل wp-config.ph رو روی 400 یا 444 تنظیم کنید

موفق باشید

لینک به ارسال
  • 5 ماه بعد...

ممنون مرتضی عزیز ؛ به طور خلاصه نکات مفیدی رو ذکر کردی .

سطح دسترسی ها

برای فایلهای خودتون سطح دسترسی مناسب بزارید تا کار هکر مشکل بشه .

فایل index.php روت وردپرس رو کمترین سطح دسترسی رو بهش بدید تا فقط قابل خوندن باشه . در زیر تعدادی از فایلهایی که سطح دسترسی پایین باید داشته باشن رو ذکر میکنم .

wp-config.php

index.php

پوسته : index.php

functions.php

در صورتی که پرمیژن این دو فایل رو پایین قرار بدید امکان ویرایش این دو فایل از پوسته تون رو با وردپرس ندارید .

هر موقع احتیاج به ویرایش این فایلها پیدا کردید میتونید از فایل منیجر یا ftp پرمیژن بالاتری به این فایلها بدید .

برای امشب وقت ندارم بیشتر تایپ بکنم :D

بقیه اش باشه بعداً ;)

سلام

این فایل هایی که فرمودین دسترسی رو چند بدیم بهشون؟

و اینکه کلا اون سه تا گزینه مربوط به دسترسی که user و group و world است یعنی چی؟ یعنی اگه ایندکس روت رو world اون رو دسترسی اش رو به 004 تغییر بدیم سایتمون رو میتونن کاربرا بازدید کنند؟

لینک به ارسال

دوستان اینم یه robots.txt ایمن و سئو شده!

#######################################################

#TCJ Robots

# All Bots

User-agent: *

Disallow: /cgi-bin

Disallow: /wp-admin/

Disallow: /wp-includes/

Disallow: /wp-content/

Disallow: /wp-content/

Disallow:/wp-content/themes

Disallow:/wp-content/upgrade

Disallow:/wp-content/plugins

Disallow:wp-content/cache

Disallow:/wp-content/bps-backup

Disallow:/wp-content/languages

Disallow: /readme.html

Disallow: /license.txt

Disallow: /search/

Disallow: /wp-

Disallow: /trackback

Disallow: /trackback/

Disallow: */trackback/*

Disallow: /*/trackback/$

Disallow: /author

Disallow: /wget/

Disallow: /httpd/

Disallow: /cgi-bin

Disallow: /cgi-bin/

Disallow: /images/

Disallow: /search

Disallow: /feed

Disallow: /feed/

Disallow: /rss

Disallow: /comments/feed

Disallow: /feed/$

Disallow: /*/feed/$

Disallow: /*/feed/rss/$

Disallow: /useronline/

Disallow: /*?

Disallow: /*.xhtml$

Disallow: /stats*

Disallow: /about/legal-notice/

Disallow: /about/copyright-policy/

Disallow: /about/terms-and-conditions/

Disallow: /docs*

Disallow: /manual*

Disallow: /category/uncategorized*

Disallow: /bargozari

Disallow: /graphic

Disallow: /error_log

Disallow: /php.ini

Disallow: /xmlrpc.php

Allow: /wp-content/uploads/*.gif

Allow: /wp-content/uploads/*.png

Allow: /wp-content/uploads/*.jpg

Allow: /sitemap.xml.gz$

# Dugg Mirror

User-agent: duggmirror

Disallow: /

# disallow files ending with the following extensions

User-agent: Googlebot

Disallow: /*.php$

Disallow: /*.js$

Disallow: /*.inc$

Disallow: /*.css$

Disallow: /*.gz$

Disallow: /*.cgi$

Disallow: /*.wmv$

Disallow: /*.php*

Disallow: /*.gz$

# Google AdSense

User-agent: Mediapartners-Google

Disallow:

#disallow WayBack archiving site

User-agent: ia_archiver

Disallow: /

# BEGIN XML-SITEMAP-PLUGIN

Sitemap: http://www.yoursite.ir/sitemap.xml

# END XML-SITEMAP-PLUGIN

#######################################################

سلام

من دنباله آدرس سایتم robots.txt رو میزنم و میره تو این فایل.

اما در پنل هاستم نمیتونم پیداش کنم این فایل رو.حتی با نمایش فایل های مخفی.

خواهشا کمک کنید

بعدش اینکه همین کدهایی که معرفی کردین رو توش کپی کنیم ؟ مطمئن؟

لینک به ارسال

سلام

من دنباله آدرس سایتم robots.txt رو میزنم و میره تو این فایل.

اما در پنل هاستم نمیتونم پیداش کنم این فایل رو.حتی با نمایش فایل های مخفی.

خواهشا کمک کنید

بعدش اینکه همین کدهایی که معرفی کردین رو توش کپی کنیم ؟ مطمئن؟

کدام فایل؟

اگر فایل در روت هاست وجود ندارد ایجادش کنید

میتوانید تست کنید

لینک به ارسال

7- در پایگاه داده، پیشوند (_prefix) پیشفرض (wp_) را تغییر دهید.

  • چطور و ازکجا میشه این کار رو انجام داد؟
  • وردپرس من از ابتدا با پیشوند wp نصب شده.آیا اکنون امکان تغییرش هست؟
  • آیا تغییرش اختلالی در وبسایت ایجاد نمی کنه؟

لینک به ارسال

بله راه داره اما قبل از انجام هر کاری حتما بکآپ بگیرید.

http://www.wpbeginner.com/wp-tutorials/how-to-change-the-wordpress-database-prefix-to-improve-security/

افزونه:

http://wordpress.org/plugins/db-prefix-change/

لینک به ارسال

با تشکر از عبدالماجد عزیز

برای شروع چند مبحث کاربردی رو اینجا مطرح میکنم:

1- همیشه بروز باشید!

یکی از اصلی ترین نکات، بروزرسانی هسته وردپرس است. همیشه وردپرس خود را بروز نگهدارید.

2- نام کاربری مدیر را "admin" انتخاب نکنید!

سعی کنید نام کاربری مدیر را چیزی انتخاب کنید که براحتی قابل حدس زدن نباشد. مواردی مثل admin - modir - administrator و... را انتخاب نکنید.

3- رمز عبور مناسب انتخاب کنید

سعی کنید در رمز عبور خود از حروف نامتعارف و کاراکترهای جانبی استفاده کنید. حدالامکان از password generator های قدرتمند برای اینکار استفاده ببرید.

4- سطح دسترسی پوشه های زیر را روی 755 (user account) قرار دهید :

/wp-admin/
/wp-includes/
/wp-content/
/wp-content/themes/
/wp-content/plugins/

و سطح دسترسی فایلهای داخل آنها بر روی 644 قرار گیرد.

5- امنیت پوشه wp-includes را بکمک قرار دادن کدهای زیر (در .htaccess) بالاتر ببرید:

# Block the include-only files.
RewriteEngine On
RewriteBase /
RewriteRule ^wp-admin/includes/ - [F,L]
RewriteRule !^wp-includes/ - [S=3]
RewriteRule ^wp-includes/[^/]+\.php$ - [F,L]
RewriteRule ^wp-includes/js/tinymce/langs/.+\.php - [F,L]
RewriteRule ^wp-includes/theme-compat/ - [F,L]

6- امنیت فایل wp-config.php را بکمک قرار دادن کدهای زیر (در .htaccess) بالاتر ببرید:

<files wp-config.php>
order allow,deny
deny from all
</files>

7- در پایگاه داده، پیشوند (_prefix) پیشفرض (wp_) را تغییر دهید.

8- بصورت مرتب از پایگاه داده خود پشتیبان بگیرید.

منبع اصلی

سلام من طبق این دستورات عمل کردم اما سایت بهم ریخت باینصورت که صفه بصورت تکست و بدون تصویر زیر هم درآمد, که مجبور شدم سطح دسترسیهارو دوباره به حال اول برگردونم

باتشکر

لینک به ارسال

استایل‌سایتتون لود نمیشده ..

دسترسی دایرکتوری‌های


/wp-admin/
/wp-includes/
/wp-content/
/wp-content/themes/
/wp-content/plugins/

به صورت پیشفرض روی 755 قرار دارند و مشکلی نیست ، میتونید بررسی کنید ..

لینک به ارسال
  • 2 هفته بعد...

چند وقت پیش من هک شدم و حتی هاستینگ رو عوض کردم و تمام چیزهارو پاک کردم و وردپرس و افزونه ها رو دوباره نصب کردم و افزونه better wp security رو هم نصب کردم

الان اگر بخوام ببینم امنیت سایتم بهبود پیدا کرده و ایا افزونه هایی که استفاده میکنم باگ دارند یا خیر یا کلا ببینم امنیتش در چه حد هست باید چیکار کنم؟ سیت یا برنامه ای هست ؟

لینک به ارسال

یه سری سایت‌ها هستند که طبق الگوریتم‌های خاص خودشون میتونن چک کنند و یه مقداری رو بهتون نشون میدن که با جستجو میتونید پیداشون کنید ، نمونه :


http://sitecheck.sucuri.net/scanner/
https://scanmyserver.com/

بهترین راه‌ش از نظر من اینه که اگر دوست هکر دارید بهش بگید که سعی کنه به سایتتون نفوذ کنه برای تست :)

لینک به ارسال

یه سری سایت‌ها هستند که طبق الگوریتم‌های خاص خودشون میتونن چک کنند و یه مقداری رو بهتون نشون میدن که با جستجو میتونید پیداشون کنید ، نمونه :


http://sitecheck.sucuri.net/scanner/
https://scanmyserver.com/

بهترین راه‌ش از نظر من اینه که اگر دوست هکر دارید بهش بگید که سعی کنه به سایتتون نفوذ کنه برای تست :)

دوست هکر ندارم!!!

سایت دوم رو انجام دادم ولی خوب باز یه روش تخصصی تر نیاز دارم برای فهمیدن امنیت هاستم و سایتم چون جدیدا یک سو استفاده ازم شده!

لینک به ارسال

به گفتگو بپیوندید

هم اکنون می توانید مطلب خود را ارسال نمایید و بعداً ثبت نام کنید. اگر حساب کاربری دارید، برای ارسال با حساب کاربری خود اکنون وارد شوید .

مهمان
ارسال پاسخ به این موضوع ...

×   شما در حال چسباندن محتوایی با قالب بندی هستید.   حذف قالب بندی

  تنها استفاده از 75 اموجی مجاز می باشد.

×   لینک شما به صورت اتوماتیک جای گذاری شد.   نمایش به صورت لینک

×   محتوای قبلی شما بازگردانی شد.   پاک کردن محتوای ویرایشگر

×   شما مستقیما نمی توانید تصویر خود را قرار دهید. یا آن را اینجا بارگذاری کنید یا از یک URL قرار دهید.

×
×
  • اضافه کردن...