رفتن به مطلب

تنظیمات مناسب permission ها و مسایل امنیتی سایت


Mahdyari

پست های پیشنهاد شده

سلام دوستان خسته نباشید

میخواستم بدونم پرمیشن ها رو روی چه سطحی تنظیم کنم که به بهترین سطح امنیت برسم ؟ 

این اقدامات رو واسه ی بالا بردن امنیت انجام دادم 

پیشوند جداول رو تغییر دادم

سالت کد رو تایین کردم 

فایل های readme.htm licence.txt installer.php و installerhelper.php رو حذف کردم

لوگو ، لینک درون لوگو و ارور های wp-login رو حذف کردم

برای صفحه ی لاگین کپچا گذاشتم

ادرس بیس صفحه مدیران سایت رو از author تغییر دادم

url/?author=1 رو حذف کردم

و نام کاربری مدیران رو تغییر دادم و همینطور url slug

امکان ویرایش و اپلود پلاگین ها و ویرایش پوسته رو حذف کردم

اطلاعات سورس پیج ( wp-version  wlwmanifest post rel llink index rel link adjacent rel link wp shortlink ) رو پاک کردم

و پلاگین ithemes security رو هم نصب و پیکربندی کردم 

 

الان 4 تا نکته میمونه 

یک پرمیشن ها روی چ سطحی باشن ؟ ممنون میشم اگه راهنمایی کنید توی اینترنت مطلب خوب و کاملی ندیدم

دو بهتر نیست که ادرس wp-login رو کاملا عوض کنم و مثلا بزارم voordemodiran1234.php تا اینکه کپچا بزارم ؟ 

سوم سایت هایی مثل semrush چقد میتونن مفید باشن ؟

و چهارم نکته امنیتی خاصی اگه میدونین بگین چون این کارایی که من کردم به عنوان یه مبتدی با یه سرچ ساده بود و صد در صد اون اقای هکر محترم ترفند عبور ازین حرکات رو بلده 

 

لینک به ارسال
در 1 ساعت قبل، Mahdyari گفته است :

سلام دوستان خسته نباشید

میخواستم بدونم پرمیشن ها رو روی چه سطحی تنظیم کنم که به بهترین سطح امنیت برسم ؟ 

این اقدامات رو واسه ی بالا بردن امنیت انجام دادم 

پیشوند جداول رو تغییر دادم

سالت کد رو تایین کردم 

فایل های readme.htm licence.txt installer.php و installerhelper.php رو حذف کردم

لوگو ، لینک درون لوگو و ارور های wp-login رو حذف کردم

برای صفحه ی لاگین کپچا گذاشتم

ادرس بیس صفحه مدیران سایت رو از author تغییر دادم

url/?author=1 رو حذف کردم

و نام کاربری مدیران رو تغییر دادم و همینطور url slug

امکان ویرایش و اپلود پلاگین ها و ویرایش پوسته رو حذف کردم

اطلاعات سورس پیج ( wp-version  wlwmanifest post rel llink index rel link adjacent rel link wp shortlink ) رو پاک کردم

و پلاگین ithemes security رو هم نصب و پیکربندی کردم 

 

الان 4 تا نکته میمونه 

یک پرمیشن ها روی چ سطحی باشن ؟ ممنون میشم اگه راهنمایی کنید توی اینترنت مطلب خوب و کاملی ندیدم

دو بهتر نیست که ادرس wp-login رو کاملا عوض کنم و مثلا بزارم voordemodiran1234.php تا اینکه کپچا بزارم ؟ 

سوم سایت هایی مثل semrush چقد میتونن مفید باشن ؟

و چهارم نکته امنیتی خاصی اگه میدونین بگین چون این کارایی که من کردم به عنوان یه مبتدی با یه سرچ ساده بود و صد در صد اون اقای هکر محترم ترفند عبور ازین حرکات رو بلده 

 

سلام. چک لیست وردفنس تا حدود خیلی خوبی مناسبه. یک سری از اقدامات مثل تغییر پیشوند جداول تغییری ایجاد نمیکنه، اگه هکر دسترسی به دیتابیس داشته باشه با یه کوئری میتونه کل جداول رو ببینه، پس تغییرش تفاوتی ایجاد نمیکنه.

از همه مهمتر اینه که بروزرسانی ها رو انجام بدید و از هیچ محصول نال شده استفاده نکنید. محصولات نال شده شامل محصولاتی هست که از هر جایی بجز مخزن وردپرس و وبسایت رسمی محصول دانلود میکنید و یا از مارکتهای ایرانی خریداری میکنید.

اگه این نکته رو رعایت نکنید هیچ افزونه و راهکاری جوابگو نیست، تقریبا هیچ سیستمی نمیتونه backdoor ها رو شناسایی کنه.

لینک به ارسال
در 32 دقیقه قبل، yazdaniwp گفته است :

سلام. چک لیست وردفنس تا حدود خیلی خوبی مناسبه. یک سری از اقدامات مثل تغییر پیشوند جداول تغییری ایجاد نمیکنه، اگه هکر دسترسی به دیتابیس داشته باشه با یه کوئری میتونه کل جداول رو ببینه، پس تغییرش تفاوتی ایجاد نمیکنه.

از همه مهمتر اینه که بروزرسانی ها رو انجام بدید و از هیچ محصول نال شده استفاده نکنید. محصولات نال شده شامل محصولاتی هست که از هر جایی بجز مخزن وردپرس و وبسایت رسمی محصول دانلود میکنید و یا از مارکتهای ایرانی خریداری میکنید.

اگه این نکته رو رعایت نکنید هیچ افزونه و راهکاری جوابگو نیست، تقریبا هیچ سیستمی نمیتونه backdoor ها رو شناسایی کنه.


خب من قالبم رو از یک سایت ایرانی خریدم که به گفته ی یکی از دوستانی که چندین ساله توی این زمینه فعاله سایت خوب و مطمینی هستش

هیچ راهی واسه پیدا کردن بک دور ها نیست ؟ حداقل شکش و شمایل یک بک دور رو میشه بگین ؟ که معمولا به چ شکل نوشته میشه ؟ 

در ضمن سایت من فروشگاهیه و محصول دانلودی نداره و خب گزینه خیلی مناسبی واسه ی هکر ها نیست 

 

لینک به ارسال
در 6 دقیقه قبل، Mahdyari گفته است :

خب من قالبم رو از یک سایت ایرانی خریدم که به گفته ی یکی از دوستانی که چندین ساله توی این زمینه فعاله سایت خوب و مطمینی هستش

توضیحات جناب یزدانی راجب محصولات نال شده کاملا درست هست و خرید قالب از سایت ایرانی ( قالبی که نسخه اصلیش در تم فارست هست ) یعنی همون محصول نال شده در واقع شما یک محصول نال شده رو خریداری کردید.

در 8 دقیقه قبل، Mahdyari گفته است :

هیچ راهی واسه پیدا کردن بک دور ها نیست ؟ حداقل شکش و شمایل یک بک دور رو میشه بگین ؟ که معمولا به چ شکل نوشته میشه ؟ 

در این مورد بهتره با یک متخصص امنیت مشورت کنید، اما بهترین راه حل خرید قالب یا افزونه از سایت مرجع هست.

لینک به ارسال
در 7 ساعت قبل، Mahdyari گفته است :

خب من قالبم رو از یک سایت ایرانی خریدم که به گفته ی یکی از دوستانی که چندین ساله توی این زمینه فعاله سایت خوب و مطمینی هستش

جناب اسدیان کامل توضیح دادن، میزان فعالیت یک مجموعه دلیل بر معتبر بودنش نیست قطعا. نمونه اش گُلد کوئست :) محصولی که توسعه دهنده اصلی کدگذاری نکرده، با یه فارسی سازی و تغییرات کدگذاری میشه و عملا تا دیکُد نشه هیچ چیزی قابل بررسی نیست.

در 7 ساعت قبل، Mahdyari گفته است :

هیچ راهی واسه پیدا کردن بک دور ها نیست ؟ حداق       

ببینید بحث نفوذ حالات متفاوتی داره، یکی از حالات اینه که من یه کد اضافه میکنم که در حالت عادی یه کد ساده php هست، از توابع نرمال وردپرس هم استفاده میکنم، خب چطور کسی میخواد این رو متوجه بشه؟ حالت دیگه اش اینه که من میام یه بلاک کد مینویسم و کدگذاریش میکنم و در زمان اجرا دیکد میشه. عملا این هم قابل شناسایی نیست. یا اینکه یه کد نرمال اضافه میکنم و در شرایط خاصی اجرا میشه.

این فقط یه بخش هست، احتمال آلوده بودن فایلهای جانبی مثل تصاویر هم هست که واقعا نمیشه متوجه شد این malware ها شد.

در 7 ساعت قبل، Mahdyari گفته است :

در ضمن سایت من فروشگاهیه و محصول دانلودی نداره و خب گزینه خیلی مناسبی واسه ی هکر ها نیست 

اتفاقا وبسایتهای فروشگاهی بهترین گزینه هستن و از قضا فروشگاه های محصولات فیزیکی هم بهترن، اطلاعات کاربران و تراکنش های مالی، محصولات و موجودی و قیمتشون و.... همگی اطلاعات محرمانه هستن که بدرد خیلی ها میخوره.

اما در کل ما زیاد بحثمون سر سرقت اطلاعات نیست، بحث سر رفتار مخرب هست. میتونن کل دیتابیس شما رو پاک کنن، رمز و دسترسی همه کاربران رو تغییر بدن و همه رو ادمین کنن، میتونن بصورت دوره ای هر کسی که وارد سایت میشه رو به وبسایت خودشون منتقل کنن یعنی وقتی آدرس سایت خودتون رو میزنید، یه کمپین تبلیغاتی خودشون رو باز کنن.

پس سعی کنید محصولات اصلی رو تهیه کنید و از همین شروع کار هم با هر کسی کار میکنید مجابشون کنید که اصل خریداری کنن. قطعا خیلی ها در توانشون نیست یا نمیخوان هزینه کنن ولی اگه یه پروژه هم داشته باشید که رعایت کنه مطمئنا یه رزومه خوب میشه. اکثر سایتهایی که با محصولات نال شده کار میشن حتی سال بعد هاست و دامنه شون رو هم تمدید نمیکنن

لینک به ارسال
در 8 ساعت قبل، asadiy4n گفته است :

توضیحات جناب یزدانی راجب محصولات نال شده کاملا درست هست و خرید قالب از سایت ایرانی ( قالبی که نسخه اصلیش در تم فارست هست ) یعنی همون محصول نال شده در واقع شما یک محصول نال شده رو خریداری کردید.

 

در 24 دقیقه قبل، yazdaniwp گفته است :

جناب اسدیان کامل توضیح دادن، میزان فعالیت یک مجموعه دلیل بر معتبر بودنش نیست قطعا. نمونه اش گُلد کوئست :) محصولی که توسعه دهنده اصلی کدگذاری نکرده، با یه فارسی سازی و تغییرات کدگذاری میشه و عملا تا دیکُد نشه هیچ چیزی قابل بررسی نیست.

 

اخه خرید محصول لایزنز شده از سایت هایی مثل تم فارست فک میکنم نیاز به حساب بانکی بین المللی یا یک واسط داشته باشه درسته ؟
بعد از خرید این محصولات هم دایرکشنن ltr رو خودمون باید rtl کنیم و قالب رو ترجمه کنیم ؟

یجورایی میشه گفت کمتر مشتری ای حاضر میشه همچین هزینه ای کنه  

لینک به ارسال

 

در ۱ ساعت قبل، Mahdyari گفته است :

اخه خرید محصول لایزنز شده از سایت هایی مثل تم فارست فک میکنم نیاز به حساب بانکی بین المللی یا یک واسط داشته باشه درسته ؟

این مورد رو که جناب @Morteza  و جناب @فرشاد گوهری زحمتش رو کشیدن.

در ۱ ساعت قبل، Mahdyari گفته است :

بعد از خرید این محصولات هم دایرکشنن ltr رو خودمون باید rtl کنیم و قالب رو ترجمه کنیم ؟

خیلی از قالبها rtl رو پشتیبانی میکنن. در غیر اینصورت بله باید این کارها رو انجام بدید.

 

در ۱ ساعت قبل، Mahdyari گفته است :

یجورایی میشه گفت کمتر مشتری ای حاضر میشه همچین هزینه ای کنه  

کسی که برای کسب و کارش ارزش قائله چنین کاری میکنه قطعا. اگر هم ارزش قائل نیستن که قطعا سر هزینه با شما هم به مشکل میخورن. کلا وحی مُنزَل نیست کسی که نمیتونه 2-3 تومن هزینه زیرساخت وبسایتش کنه، وبسایت داشته باشه. این ذهنیتی هست که مارکتهای ایرانی جا انداختن. همه جای دنیا همین قواعد رعایت میشه. اگه کسی حاضر نیست چنین هزینه ای بکنه مطمئنا رشد هم نمیکنه، رشد که نکنه عملا نه درآمد درستی برای شما داره و نه خودش نتیجه مطلوب میگیره و اکثرا بعد از یکسال هم هاست و دامنه رو تمدید نمیکنن.

لینک به ارسال

به گفتگو بپیوندید

هم اکنون می توانید مطلب خود را ارسال نمایید و بعداً ثبت نام کنید. اگر حساب کاربری دارید، برای ارسال با حساب کاربری خود اکنون وارد شوید .

مهمان
ارسال پاسخ به این موضوع ...

×   شما در حال چسباندن محتوایی با قالب بندی هستید.   حذف قالب بندی

  تنها استفاده از 75 اموجی مجاز می باشد.

×   لینک شما به صورت اتوماتیک جای گذاری شد.   نمایش به صورت لینک

×   محتوای قبلی شما بازگردانی شد.   پاک کردن محتوای ویرایشگر

×   شما مستقیما نمی توانید تصویر خود را قرار دهید. یا آن را اینجا بارگذاری کنید یا از یک URL قرار دهید.

×
×
  • اضافه کردن...