رفتن به مطلب

سوالها و مشکلات : آموزش قدم به قدم امنیت وردپرس


Amir.

پست های پیشنهاد شده

من دستکاری نکردم.

چند وقت پیش متوجه شده بودم که سایتم با موبایل باز نمیشه. و به فایل .htaccess کدی اضافه شده بود که اون کد رو حذف کردم مشکل برطرف شد.

بعد از دایرکت ادمین برام ایمیل میومد در مورد wp-includes/js

بعدا که بکاپ رو دانلود کردم انتی ویروسم js/agent.nkw trojan رو شناسایی کرد. من کل فایلها رو حذف کردم و از اول وردپرس رو نصب کردم بعد بکاپ رو انتقال دادم و یه بکاپ جدید گرفتم. تمام ویروسها حذف شدن الانم توی سایت ویروسی ندارم. این اخطار رو با آلبالو گرفتم

لینک به ارسال

مورد خاصی نیستش ، میتونید دایرکتوری wp-includes رو از نو بارگزاری کنید .

لینک به ارسال

فایلهای وردپرس ایرادی ندارن احتمالا شخصی تونسته به نوعی اون فایل رو اونجا آپلود کنه.

آموزش های امنیتی رو بخونید.

موفق باشید.

لینک به ارسال
  • 3 هفته بعد...
  • 4 هفته بعد...

چند وقت پیش یه خط کد به بالای سایت من اضافه شده بود و توی مرورگر فایر فاکس نمایش داده میشد یکی از دوستان یه خط کد گفت به سایت اضافه کردم از بالای سایت حذف شد ولی هنوز توی نتایج جستجوی گوگل نمایش داده میشد از توی گوگل وبمستر حذفشون کردم ولی بعد چند وقت دوباره برگشتن و توی سورس سایت هستن چطور میتونم این کدها رو کاملا از سایت حذف کنم تمام افزونه های امنیتی و ویروس یاب رو امتحان کردم چیزی پیدا نشد چطور این کدها رو کامل حذف کنم

آدرس سایت :

خرید و فروش مسکن و املاک

لینک به ارسال

ممکنه مشکل از قالبتون باشه ، قالب را تغییر و تست کنید

اگر مشکل از قالب نبود احتمال میدم مشکل از افزونه هاتون باشه ، در هاستتان و در داخل پوشه wp-content نام فولدر plugins را تغییر بدید تا همه ی افزونه هاتان غیر فعال شود و تست کنید

لینک به ارسال
  • 3 هفته بعد...

دوستان تو آموزش تغییر نام صفحه لاگین روش تغییر نام را توضیح دادید ولی هیچ توضیحی داده نشده که چطوری ما این فایل تغییر نام داده شده را به cpanel منتقل کنیم... و جایگزین wp-login اصلی کنیم....من فایل اصلی را از تو cpanel حذف کردم و این فایل تغییر نام داده شده را اپلود کردم ولی کار نکرد.. لطفا" راهنمایی کنید باید چی کار کنیم؟

لینک به ارسال

می شه لطفا" ویدئوهای تغییر نام و تغییر مسیر فایل کانفیگ را دوباره بزارید.... تو قسمت امنیت من هر چی می گردن پیداشون نمی کنم مثل این که حذف شدن

http://forum.wp-parsi.com/forum/10-%D8%A7%D9%85%D9%86%DB%8C%D8%AA/

لینک به ارسال

من منظورم دقیقا" همون بخشه که لینکشو گذاشتید ویدئوهای آموزشی اونجا یک قسمتش حذف شده

ویدئوهاتی مربوط به تغییر نام و تغییر مسیر فایل کانفیگ حذف شدن .. لطفا" چک کنید

و تو ویدئهایی که برای تغییر نام صفحه لاگین گذاشتید هیچ توضیحی نداده که چطوری باید تو cpanel این تغییرات را اعمال کنیم.... برای تغییرات تو cpanl باید چی کار کنیم؟

لینک به ارسال

دوست عزیز افزونه

Change DB Prefix

که توی فیلم آموزشی برای تغییر پیشوند اسامی دیتابیس پیشنهاد شده.. وقتی فعالش می کنیم.. یک پیغام هشدار می ده که این افزونه با افزونه سئو و با افزونه نقشه سایت مشکل داره... آیا با این وجود باز هم باید ازش استفاده کرد؟ این پیغام اروری که می ده طبیعیه؟

و موقعی هم که می خوام پیشوند را عوض کنم اون بالا یک پیغام نوشته به این مضمون

  • Make sure your wp-config.php file must be writable.
  • And check the database must have ALTER rights.

من چطور می تونم بفهمم که wp-config

writable هست؟

و آخرین سوالم این که بعد از تغییر پیشوند مشکلی برای عملیات هایی مثل بکاپ گرفتن یا بعدها برای رستور کردن بکاپ ها یا موقعی که بخوام سایت را منتقل کنم به یک هاستینگ دیگه پیش نمی یاد؟

ویرایش شده توسط uploader333
لینک به ارسال

افزونه مشکلی نداره و سایر دوستان هم استفاده کردند و مشکلی نداشتند ، اگر با سایر افزونه ها نداخل داره سایرین را غیر فعال و بعد ازش استفاده کنید یا اینکه تغییر پیوند را بصورت دستی انجام بدید(سرچ کنید آموزش هاش هس)

در ضمن قبل از هر تغییری حتما بک آپ بگیرید !

در مورد wp-config در فایل منیجر هاستتان از دکمه premissiton استفاده کنید و گزینه های write را براش فعال کنید.

لینک به ارسال

افزونه مشکلی نداره و سایر دوستان هم استفاده کردند و مشکلی نداشتند ، اگر با سایر افزونه ها نداخل داره سایرین را غیر فعال و بعد ازش استفاده کنید یا اینکه تغییر پیوند را بصورت دستی انجام بدید(سرچ کنید آموزش هاش هس)

در ضمن قبل از هر تغییری حتما بک آپ بگیرید !

در مورد wp-config در فایل منیجر هاستتان از دکمه premissiton استفاده کنید و گزینه های write را براش فعال کنید.

برای writable کردنش باید هر سه تا گزینه مربوط به write را تیک بزنم؟

لینک به ارسال
  • 3 هفته بعد...

سلام

دسترسی فایل wp-login.php خودش رو 0644 اگه رو 600 بزاری تفاوتی هم داره؟

در کل بهترین حالت کدوم هست که بزاریم.

لینک به ارسال

سلام

دسترسی فایل wp-login.php خودش رو 0644 اگه رو 600 بزاری تفاوتی هم داره؟

در کل بهترین حالت کدوم هست که بزاریم.

سلام

اگه دسترسی را کم کنید این صفحه براتون بالا نمیاد و خیلی مشکل دیگه بایدیه دسترسی خواندن و نوشتن داشته باشه حتما.

همون

644 بسته ، برای امنیتش بهتره روش پسورد بزارید.

موفق باشید/.

لینک به ارسال

سلام

اگه دسترسی را کم کنید این صفحه براتون بالا نمیاد و خیلی مشکل دیگه بایدیه دسترسی خواندن و نوشتن داشته باشه حتما.

همون

644 بسته ، برای امنیتش بهتره روش پسورد بزارید.

موفق باشید/.

منظورتون رو پوشه wp-admin پسورد برارم ؟

لینک به ارسال

منظورتون رو پوشه wp-admin پسورد برارم ؟

بله شرمنده من یه لحظه حواسم نبود فک کردم wp-admin رو میگید.در کل باید قابلیت خوانده شدن 444 و نوشته شدن برای یوزر که میشه 644 رو داشته باشه.

موفق باشید

لینک به ارسال

سلام

دسترسی فایل wp-login.php خودش رو 0644 اگه رو 600 بزاری تفاوتی هم داره؟

در کل بهترین حالت کدوم هست که بزاریم.

سلام

برای یادگیری این موضوع این و این رو بخونید خیلی کمک‌تون می‌کنه

لینک به ارسال
  • 4 هفته بعد...

سلام

"محدود کردن ورود یوزر ادمین به یک آی پی"

خب برای انجام این کار باید کد های زیر رو در

htacceess پوشه های

wp-admin و توی htacceess روت فرار بدیم.


<Files wp-login.php>
Order Deny,Allow
Deny from All
Allow from 111.222.333.444
</Files>


AuthUserFile /dev/null
AuthGroupFile /dev/null
AuthName "WordPress Admin Access Control"
AuthType Basic
<LIMIT GET>
order deny,allow
deny from all
# whitelist Admin's IP address
allow from 111.222.333.444
</LIMIT>

خب تا اینجا مشکلی نیست، اما اینکه ip من ثالت نیست و متغیر میکنه بجز دو رقم های اولش!

خب راه حل اینه که ip رو به صورت زیر قرار بدم، البته کدومش صحیح هست یا فرقی نمیکنه؟


111.222.


111.222.*

این مراحل رو انجام دادم ولی بازم این روش کار نمیکنه یعنی باز هم اجازه بارگزاری پنل به من داده نمیشه، یعنی اصلا لودی صورت نمیگیره تو مرورگر!

دوستان تو این پست گفتن مشکل از این کد ریر که توی htacceess روت هست این رو بردار درست میشه.


<Files .htaccess>
order allow,deny
deny from all
</Files>

خب من این رو برداشتم ولی باز هم هیچی!

حالا به

غیر از اون کد، از این کدها هم در htaccess استفاده میکنم. ربطی بهشون داره؟

البته اینک بگم رو پوشه wp-admin هم رمز گذاشتم.


#<VirtualHost http://YourDomain.com>[/right]

[/color]
[color=#282828]

[right]# disable TRACE and TRACK in the [url]http://YourDomain.com[/url] virtual host
#RewriteEngine On
#RewriteCond %{REQUEST_METHOD} ^TRACE
#RewriteRule .* – [F]
#RewriteCond %{REQUEST_METHOD} ^TRACK
#RewriteRule .* – [F]
#</VirtualHost>
#


# Stop Directory listening
Options -Indexes


# Block the include-only files
RewriteEngine On
RewriteBase /
RewriteRule ^wp-admin/includes/ - [F,L]
RewriteRule !^wp-includes/ - [S=3]
RewriteRule ^wp-includes/[^/]+\.php$ - [F,L]
RewriteRule ^wp-includes/js/tinymce/langs/.+\.php - [F,L]
RewriteRule ^wp-includes/theme-compat/ - [F,L]


<files wp-config.php>
order allow,deny
deny from all
</files>

لینک به ارسال

سلام

"محدود کردن ورود یوزر ادمین به یک آی پی"

خب برای انجام این کار باید کد های زیر رو در

htacceess پوشه های

wp-admin و توی htacceess روت فرار بدیم.


<Files wp-login.php>
Order Deny,Allow
Deny from All
Allow from 111.222.333.444
</Files>


AuthUserFile /dev/null
AuthGroupFile /dev/null
AuthName "WordPress Admin Access Control"
AuthType Basic
<LIMIT GET>
order deny,allow
deny from all
# whitelist Admin's IP address
allow from 111.222.333.444
</LIMIT>

خب تا اینجا مشکلی نیست، اما اینکه ip من ثالت نیست و متغیر میکنه بجز دو رقم های اولش!

خب راه حل اینه که ip رو به صورت زیر قرار بدم، البته کدومش صحیح هست یا فرقی نمیکنه؟


111.222.


111.222.*

این مراحل رو انجام دادم ولی بازم این روش کار نمیکنه یعنی باز هم اجازه بارگزاری پنل به من داده نمیشه، یعنی اصلا لودی صورت نمیگیره تو مرورگر!

دوستان تو این پست گفتن مشکل از این کد ریر که توی htacceess روت هست این رو بردار درست میشه.


<Files .htaccess>
order allow,deny
deny from all
</Files>

خب من این رو برداشتم ولی باز هم هیچی!

حالا به

غیر از اون کد، از این کدها هم در htaccess استفاده میکنم. ربطی بهشون داره؟

البته اینک بگم رو پوشه wp-admin هم رمز گذاشتم.


#<VirtualHost http://YourDomain.com>[/right]

[/color]
[color=#282828]

[right]# disable TRACE and TRACK in the [url]http://YourDomain.com[/url] virtual host
#RewriteEngine On
#RewriteCond %{REQUEST_METHOD} ^TRACE
#RewriteRule .* – [F]
#RewriteCond %{REQUEST_METHOD} ^TRACK
#RewriteRule .* – [F]
#</VirtualHost>
#


# Stop Directory listening
Options -Indexes


# Block the include-only files
RewriteEngine On
RewriteBase /
RewriteRule ^wp-admin/includes/ - [F,L]
RewriteRule !^wp-includes/ - [S=3]
RewriteRule ^wp-includes/[^/]+\.php$ - [F,L]
RewriteRule ^wp-includes/js/tinymce/langs/.+\.php - [F,L]
RewriteRule ^wp-includes/theme-compat/ - [F,L]


<files wp-config.php>
order allow,deny
deny from all
</files>

دوست عزیز محدود کردن به روش ip توی ایران جواب نمیده چون ما ip هامون استاتیک نیست و متغیره ( مگه اینکه از isp هسح خودتون یک ip استاتیک مخصوص به خودتون بگیرید )

همون که شما رمز گذاشتید روی wp-admin براتون کافیه

ویرایش شده توسط kasra
لینک به ارسال
  • 4 هفته بعد...

سلام خدمت دوستان

بنده چند تا سوال مهم از اساتید گرامی داشتم

هاستی که من استفاه مکینم سیستم عمال ویندوز 2012 هست

برای امنیت یک سری راهکار و تغییرات تو فایل

htaccess هست

اما هاست ویندوز با این فایل مشکل داره و با ایجاد اون سایت بالا نمیاد

میشه بفرمایید در این مورد چیکار کنم؟

دوم اینکه تو هاست های لینوکس ما میتونیم دسترسی های مختلف را اعمال کنیم

اما تو هاست ویندوز فقط دو تا گزینه بیشتر نیست (رد و رایت) که من به جز پوشه اپلود همه دسترسی ها را روی رد قرار دادم

از این افزونه ها هم استفاده میکنم

Acunetix Secure WordPress

All In One WP Security

Block Bad Queries (BBQ)

Hide My WP (Share On 20Script.iR)

Security Ninja Lite

Wordpress Firewall 2

روی پوشه wp-admin هم از طریق هاست رمز گذاشتم

صفحه ورود لاگین ورد پرس را هم مخفی و تعداد دفعات ورود اشتباه را هم محدود کردم

با سایت زیر چک کردم و موارد زیر را نشون داد

http://tools.netfixed.ir/wp-scan/

1- WordPress Plugins The following plugins were detected from the HTML source of the WordPress front page.

ditty-news-ticker

Information WordPress Theme The theme has been found by examining the path /wp-content/themes/ *theme name* /

Theme : enfold

Information User Enumeration is not available

Information Directory Indexing is NOT Enabled

Information Linked Javascript

//ajax.googleapis.com/ajax/libs/jquery/1.8.3/jquery.min.js

http://...com/wp-content/themes/enfold/js/avia-compat.js

http://...com/wp-content/themes/enfold/config-layerslider/LayerSlider/static/js/greensock.js

http://...com/wp-content/themes/enfold/config-layerslider/LayerSlider/static/js/layerslider.kreaturamedia.jquery.js

http://...com/wp-content/themes/enfold/config-layerslider/LayerSlider/static/js/layerslider.transitions.js

http://...com/wp-content/themes/enfold/js/avia.js

http://...com/wp-content/themes/enfold/js/shortcodes.js

http://...com/wp-content/themes/enfold/js/aviapopup/jquery.magnific-popup.min.js

http://...com/wp-includes/js/mediaelement/mediaelement-and-player.min.js

http://...com/wp-includes/js/mediaelement/wp-mediaelement.js

http://...com/wp-includes/js/comment-reply.min.js

https://maps.googleapis.com/maps/api/js?v=3.exp&sensor=false

http://...com/wp-content/plugins/ditty-news-ticker/assets/js/jquery.touchSwipe.min.js

http://...com/wp-content/plugins/ditty-news-ticker/assets/js/jquery.easing.1.3.js

http://...com/wp-content/plugins/ditty-news-ticker/assets/js/ditty-news-ticker.js

دوستان برای امنیت بیشتر چه راهکاری پیشنهاد میدید؟؟(این مواردی که تو Linked Javascript نشون داده جز اشکالات امنیتی هست؟)

برا رفع مشکلات سایت چه راهکاری پیش نهاد میدید؟

ممنونم پیشاپیش

ویرایش شده توسط ufa007
لینک به ارسال
  • 3 هفته بعد...

سلام دوستان

بنده سوالی داشتم

اول اینکه کلا فایل htaccess به چ درد میخوره؟ایا فقط برای امنیته؟

دوم اینکه من کد های الان داخل فایل htaccess سر در نمیارم و نمیدونم کی اضافشون کردم ، اگه الان پاکشون کنم و از اول دستوراتی که تو تاپیک اموزش امنیت گذاشتن رو اضاف کنم ایا به مشکلی نمیخورم؟

با سپاس

لینک به ارسال
  • 2 هفته بعد...

سلام دوستان، سایت من از طریق لینک زیر این روزها ورودی های متعددی داره، من یادم نمیاد این لینک رو در جایی برای کسی قرار داده باشم!!!

http://cyan-home.com/wp-content/themes/CyanHome/style.css

لینک به ارسال

به گفتگو بپیوندید

هم اکنون می توانید مطلب خود را ارسال نمایید و بعداً ثبت نام کنید. اگر حساب کاربری دارید، برای ارسال با حساب کاربری خود اکنون وارد شوید .

مهمان
ارسال پاسخ به این موضوع ...

×   شما در حال چسباندن محتوایی با قالب بندی هستید.   حذف قالب بندی

  تنها استفاده از 75 اموجی مجاز می باشد.

×   لینک شما به صورت اتوماتیک جای گذاری شد.   نمایش به صورت لینک

×   محتوای قبلی شما بازگردانی شد.   پاک کردن محتوای ویرایشگر

×   شما مستقیما نمی توانید تصویر خود را قرار دهید. یا آن را اینجا بارگذاری کنید یا از یک URL قرار دهید.

×
×
  • اضافه کردن...