جستجو در تالارهای گفتگو

چند نکته برای برقراری امنیت وردپرس امروزه وردپرس به یکی از cmsهای پرکاربرد بین کاربران تبدیل شده است اما در بعضی مواقع به دلیل عدم رعایت نکات امنیتی امکان دارد که به تور هکرهای کلاه سیاه برخورد کند. آیا وردپرس امن است؟ جواب این سوال بستگی به افراد دارد زیرا وردپرس تا زمانی که بهترین شیوه های امنیتی بر روی آن پیاده سازی شود، بسیار امن است . از آنجایی که وردپرس ۲۵ درصد از تمام وبسایت ها را شامل می شود، آسیب پذیری های امنیتی زیادی برای آن منتشر می شود زیرا خیلی از طراح های وب مسائل امنیتی را به خوبی رعایت نمی کنند. در صورتی که اگر یک هکر بتواند راهی برای دسترسی به یکی از ۷۰۰ میلیون وبسایت وردپرس در وب پیدا کند، میتواند برای سایر وب سایت هایی که تنظیمات امنیتی مشابهی دارند نیز نفوذ کند. وردپرس یک سیستم مدیریت محتوای اوپن سورس است و متشکل از تیمی است که به طور شبانه روزی برای شناسایی و رفع مسائل امنیتی وردپرس که در کد اصلی قرار دارند کار می کنند. تا درصورتی که یک آسیب پذیری جدید پیدا شود، بلافاصله به رفع باگ آن بپردازند. به همین دلیل است که به روز نگه داشتن وردپرس به آخرین نسخه به طور باورنکردنی برای امنیت کلی وب سایت شما مهم است. البته خوب است بدانید که آسیب پذیری های امنیتی وردپرس فراتر از هسته وردپرس میباشند و اکثرا به تم ها یا افزونه هایی که در سایت شما نصب میباشند، گسترش می یابد. براساس گزارش اخیر wpscan.org، تعداد ۳،۹۷۲ آسیب پذیری امنیتی شناخته شده است که مربوط به مسائل زیر می باشد: ۵۲% پلاگین ها یا افزونه های نصب شده ۳۷% مربوط به هسته وردپرس ۱۱% مربوط به قالب ها یا تم های نصب شده سایت وردپرس چگونه هک می شود؟ عوامل متعددی می توانند سایت وردپرس شما را به خطر بی اندازند که متداول ترین آنها عبارتند از: کلمات عبور ضعیف استفاده از رمز عبور ضعیف یکی از بزرگترین آسیب پذیری های امنیتی است که شما به راحتی می توانید آن را جلوگیری کنید. گذرواژه ادمین WordPress شما باید قوی باشد متشکل از انواع مختلفی از کاراکترها، علامت ها یا اعداد باشد. علاوه بر این، گذرواژه شما باید خاص سایت وردپرس شما باشد و در هیچ جای دیگر استفاده نشود. عدم به روز رسانی وردپرس، پلاگین ها و یا تم ها اجرای نسخه های منسوخ شده پلاگین ها و تم ها می تواند شما را در برابر حملات آسیب پذیر کند. به روز رسانی ها اغلب برای مسائل امنیتی در کدها می باشند، بنابراین همیشه مهم است که آخرین نسخه از تمام افزونه ها و تم های نصب شده در وب سایت وردپرس خود را اجرا کنید. به روز رسانی ها در داشبورد وردپرس شما در دسترس خواهند بود. همچنین لازم است تا هرزگاهی یک نسخه پشتیبان از وب سایت خود تهیه کنید که این میتواند در موارد حساسی به داد شما برسد برای مثال ممکن است یک به روز رسانی برای وب سیات شما ناخوشایند یا خسته کننده باشد، که در صورت داشتن نسخه پشتیبان میتوانید آنرا بازیابی کنید. اگر شما بیش از یک وب سایت وردپرس را مدیریت می کنید، ابزاری مانند iThemes Sync می تواند با دادن یک داشبورد برای مدیریت چندین سایت وردپرس به شما کمک کند. استفاده از پلاگین ها و تم ها از منابع غیر قابل اعتماد افزونه ها یا تم های ناامن یا منسوخ شده یکی از رایج ترین روش هایی است که مهاجمان می توانند به وب سایت وردپرسی شما نفوذ کنند. از آنجا که پلاگین ها و تم ها منابع ناامن آسیب پذیری های امنیتی زیادی دارند، به عنوان بهترین روش امنیتی، تنها پلاگین ها و تم های وردپرس را از منابع معتبر مانند سایت خود WordPress.org یا از شرکت هایی که مدتی در حال کار هستند تهیه کنید. استفاده از هاستینگ های ضعیف از آنجای که در اکثر مواقع هکر ها برای نفوذ به وب سایت شما به سراغ وب سرور شما هم میرند پس باید از یک میزبان خیلی قوی و معتبر استفاده کنید زیرا میزبانی های کیفیت پایین باعث آسیب پذیر شدن سایت شما می شوند. استفاده از هاستینگ مشترک نیز می تواند نگران افرین باشد، زیرا وب سایت های متعدد در یک سرور ذخیره می شوند و اگر یک وبسایت هک شده باشد، مهاجمان ممکن است از روش هایی مانند سیملینک و… به وب سایت های دیگر نیز دسترسی پیدا کنند. اما در هر صورت به دلیل گران بودن هاستینگ اختصاصی اکثرا از میزبانی اشتراکی استفاده می کنند. چند نکته درباره امن سازی cms وررپرس در ادامه نیز چند مورد برای امن کردن سیستم مدیریت محتوای وردپرس خواهیم آموخت: کپی متن زیر در robot.txt 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 User-agent: * Disallow: /pscripts/ Disallow: /wp-content/ Disallow: /wp-admin/ Disallow: /unixtux/ Disallow: /wp-includes Disallow: /wp-content/plugins Disallow: /wp-content/cache Disallow: /wp-content/themes Disallow: /wp-includes/js Disallow: /trackback Disallow: /category/*/* Disallow: */trackback Disallow: /*?* Disallow: /*? Disallow: /*~* Disallow: /*~ مخفی کردن صفحه login اینکد کردن فایل config امن سازی فایل robot امن سازی فایل htaccess. استفاده از capcha حذف فایل setup_config بعد از نصب اپدیت روزانه(درصورت وجود) استفاده از افزونه های امنیتی دانلود افزونه ها و تم ها از سایت های معتبر عدم استفاده از پسورد های ضعیف غیر فعال کردن قابلیت ویرایش قالب از درون پنل وردپرس. کافیه به آخر فایل config.php درون هاست عبارت زیر رو اضافه کنید. 1 ;(define(‘DISALLOW_FILE_EDIT’, true امیدوارم این مطلب هم براتون مفید واقع شده باشه. منبع: kaliboys.com

با سلام به کاربران عزیز انجمن 20اسکریپت پلاگینی که هم اکنون قصد معرفی آن را داریم، پلاگین تامین امنیت سایت است با نام Better WP Security . که توی این زمینه هم کارشو بسیار خوب انجام میده. صفرتاصد وردپرس رو مورد تحلیل وبرسی قرار میده واز همه مهمتر کار باهاش خیلی اسونه از جمله امکانات پلاگین میشه به موارد زیر اشاره کرد: تغییر پیشوند جداول دیتابیس بستن خودکار یک آی پی در صورت تلاش برای ورود به سایت تغییر مسیر پوشه wp-content حذف پیغام های خطای ورود به وردپرس پشتیبان گیری از دیتابیس تعیین زمان بندی برای پشتیبان گیری و ارسال پشتیبان دیتابیس به ایمیل حذف تگ نشان دهنده نسخه وردپرس تغییر مسیر ورود به وب سایت تغییر نام از نام کاربری مدیریت از Admin حذف پیغام خطای به روز رسانی افزونه و قالب ها از کاربرانی که دسترسی به روز رسانی آنها را ندارند اجباری کردن استفاده از SSL در مدیریت و مطالب و برگه ها (در صورت پشتیبانی سرور) بستن روبات ها و دیگر هاست های مزاحم قابلیت استفاده در وردپرس شبکه نمایش یک شماره تصادفی به کاربران و دیگر نویسندگانی که مدیر نیستند به عنوان نسخه پلاگین یا قالب ایمیل سریع خطا یا مشکلی که برای سایت پیش بیاید و امکانات دیگه ای که این افزونه رو قوی ترین پلاگین امنیت ساز وردپرس کرده. دانلود با لینک مستقیم الویراهاست

اگر یک وبلاگ نویس باشید معمولا یک وبلاگ جدید مبتنی بر وردپرس ایجاد می کنید و مشتاق هستید که هر چه زودتر مطالب خود را در آن منتشر کنید. یا شاید هم قبلا یک وبلاگ وردپرس داشته اید اما نمی دانید چطور باید ایمنی آن را حفظ کنید. در ادامه ۵ اشتباه رایج امنیتی که بلاگرها در هنگام نصب و استفاده از وردپرس مرتکب می شوند را با هم مرور می کنیم. ببینید آیا شما هم همین اشتباهات را مرتکب شده اید یا نه و اگر پاسخ شما به این سوال مثبت است با راهنمایی هایی که در همین مقاله آمده است اشتباهات خود را رفع کنید. اشتباه اول: استفاده نکردن از یک رمز ورود قوی ساختن یک رمز عبور قدرتمند اولین قدم در ایمن سازی هر برنامه و نرم‌افزاری است، و وردپرس هم از این قاعده مستثنی نیست. اگر از رمزهایی استفاده می‌کنید که خیلی راحت می‌توان آنها را حدس زد یا از یک رمز عبور برای همه جا ( ایمیل، فروم‌ها، حساب‌های بانکی، ثبت‌نام‌های آنلاین و حتی وردپرس ) استفاده می‌کنید، سیستم وردپرس شما در برابر حملات آسیب‌پذیر می‌باشد. راه حل: از نسخه ۳.۷ به بعد، وردپرس به یک قدرت‌سنج رمز عبور هوشمندتر مجهز شد. از این قدرت‌سنج برای ساختن رمزی قدرتمند استفاده کنید. قطعا نمی‌توانید همه رمزهای متفاوت با یکدیگر را به ذهن بسپارید و از یاد نبرید، به همین خاطر بهتر است از نرم‌افزارهایی مثل LastPass استفاده کنید که همه رمزهای شما را در خود ذخیره می‌کنند. اشتباه دوم: به روز رسانی نکردن وردپرس، تم‌ها و پلاگین‌ها آیا سیستم وردپرس خود و تم‌ها و پلاگین‌هایش را به طور مداوم به روز رسانی می‌کنید؟ اگر هنوز از نسخه‌های قدیمی استفاده می‌کنید، احتمال حمله به وبلاگ شما زیاد است. این نرم افزارها مداوما به روز رسانی می‌شوند تا مشکلات امنیتی نسخه‌های قبل را رفع کنند ( علاوه بر این چندین ویژگی جدید هم به آنها اضافه می‌شود و اگر در نسخه‌های قبل مشکل دیگری وجود داشته در نسخه جدید آن مشکلات هم حل می‌شوند ). اگر هنوز سیستم وردپرس، تم‌ها و پلاگین‌ها را به روز رسانی نکرده‌اید بهتر است هفته‌ای یک بار این کار را انجام دهید. راه حل: به عنوان ادمین وارد داشبورد سیستم وردپرس خود بشوید و اگر پیامی دیدید که خبر از به روز رسانی جدید می‌داد، سیستم وردپرس خود را به روز رسانی کنید. در همان صفحه به روز رسانی‌ها می‌توانید ببینید که آیا تم‌ها و پلاگین‌هایی که از آنها استفاده می‌کنید دارای نسخه جدیدتری هستند یا خیر. اگر نسخه جدیدی از آنها وجود داشت، آنها را هم به روز رسانی کنید. تنبلی نکنید، فقط چند کلیک زمان می‌برد. اشتباه سوم: داشتن کاربر « admin » و انتشار مطالب با این نام اگر هیچ نام کاربری دیگری مشخص نکنید، وردپرس به طور پیشفرض یک نام کاربری با نام « admin » ( و با رمز عبور pass ) ایجاد می‌کند. بسیاری از افراد، در هنگام نصب وردپرس این نام کاربری و رمز عبور را تغییر نمی‌دهند. بنابراین اگر شخص دیگری بتواند با نام کاربری admin وارد سیستم وردپرس وبلاگ شما بشود، می‌تواند هر بلایی که دلش می‌خواهد سر وبلاگ شما بیاورد. پس یک نام کاربری درست کنید که کسی نتواند به سادگی آن را حدس بزند. یک اشتباه بزرگ‌تر این است که به همه بگویید برای وبلاگ خود یک کاربر با اختیارات ادمین و با نام کاربری admin دارید. چطور چنین چیزی را به همه می‌گویید؟ با انتشار مطالب در وبلاگ با نام این کاربر. به جای این کار، یک نام کاربری جدید برای انتشار مطالب در وبلاگ خود ایجاد کنید. فقط در مواقعی که لازم است با کاربر admin به سیستم وردپرس وبلاگ خود وارد شوید ( مثلا زمان به روز رسانی ). راه حل: اگر کاربری با نام کاربری admin در سیستم وردپرس وبلاگ خود دارید، با همین نام کاربری به داشبورد وردپرس وارد شوید. سپس یک کاربر دیگر با اختیارات ادمین ایجاد کنید ولی این بار با نام کاربری دیگری که به راحتی قابل حدس زدن نباشد. همچنین یک رمز عبور قوی هم برای این کاربر ادمین جدید تنظیم کنید. در مرحله بعد از داشبورد وردپرس خارج شوید و این بار با کاربر ادمین جدیدی که به تازگی ساختید به داشبورد وارد شوید. حالا یک کاربر دیگر بسازید اما این بار با اختیارات سردبیر. این همان کاربری است که با استفاده از آن مطالب را در وبلاگ منتشر می‌کنید. در آخر، کاربر ادمین اول با نام کاربری admin را از سیستم وردپرس وبلاگ خود حذف کنید، وردپرس به شما این امکان را می‌دهد که مطالبی که با نام این کاربر در وبلاگ منتشر شده‌اند را به نام کاربری دیگری واگذار کنید. اگر قبلا مطالبی با کاربر admin در وبلاگ منتشر کرده‌اید، در این مرحله همه آن مطالب را به کاربر سردبیر که به تازگی ساخته‌اید واگذار کنید. اشتباه چهارم: حذف نکردن ویجت پیشفرض متا از نوار کناری وبلاگ وردپرس به طور پیشفرض چند ویجت را در سایدبار وبلاگ شما نصب می‌کند. ویجت متا یکی از همان ویجت‌ها است. این ویجت شامل لینک‌هایی برای ورود به / خروج از داشبورد وبلاگ شما می‌شود. اما با در اختیار گذاشتن لینک ورود به داشبورد، کار هکرها را هم ساده‌تر می کند. راه حل: با یک کاربر با اختیارات ادمین وارد داشبورد وردپرس وبلاگ خود شوید و در بخش ویجت‌ها، ویجت متا را از سایدبار حذف کنید. اشتباه پنجم: بکاپ نگرفتن ( مداوم ) از دیتابیس و وردپرس آخرین باری که از وردپرس و دیتابیس خود بکاپ گرفتید کی بود؟ آیا پاسخ این سوال را به سختی به یاد می‌آورید؟ شاید فکر کنید این موضوع زیاد به امنیت وردپرس ارتباط ندارد، اما اشتباه می‌کنید. حتی توصیه می‌شود که پروسه بکاپ گرفتن را اتوماتیک کنید چون معمولا اگر خودتان بخواهید این کار را بکنید ممکن است بکاپ گرفتن را برای مدتی طولانی فراموش کنید. راه حل: از ابزارهای قدرتمند و مناسب برای بکاپ گرفتن از سیستم وردپرس به صورت اتوماتیک استفاده کنید. نتیجه: آیا اشتباه امنیتی رایج دیگری در تنظیمات وردپرس به نظرتان می‌رسد؟ مطرح کنید