رفتن به مطلب

جستجو در تالارهای گفتگو

در حال نمایش نتایج برای برچسب های 'کانفیگ امنیتی وردپرس'.

  • جستجو بر اساس برچسب

    برچسب ها را با , از یکدیگر جدا نمایید.
  • جستجو بر اساس نویسنده

نوع محتوا


تالارهای گفتگو

  • تالار اصلی
    • قوانین و مقررات
    • اطلاعیه ها
    • انتقادات و پیشنهادات
  • بخش پشتیبانی ( جهت رفع مشکلات )
    • پرسش و پاسخ ها
  • بازارچه محصولات اینترنتی
    • خرید و فروش دامین
    • خرید و فروش وب سایت
    • عمومی
  • اسکریپت
    • آموزش
    • اسکریپت ها
  • مدیریت محتوای سایت
    • وردپرس
    • وی بولتین
    • نیوک
    • جوملا
    • دیتالایف انجین
    • Whmcs
    • دیگر سیستم های مدیریت محتوا
  • ووکامرس فارسی
    • نسخه ها و اخبار
    • معرفی افزونه های ووکامرس
    • معرفی قالب های ووکامرس فارسی
    • آموزش های مرتبط با ووکامرس
    • پرسش و پاسخ / پشتیبانی ووکامرس فارسی
  • هاست و دامنه
    • دامنه
    • هاست
  • سئو
    • آموزشها
    • درخواست آنالیز سایت
  • کدنویسی
    • Html
    • CSS
    • PHP
    • jQuery
    • XML
    • کدنویسی قالب
  • قالب آماده
    • قالبهاي Html
    • قالبهاي Flash
  • گرافیک
    • بنر , هدر , لوگو و...
    • فتوشاپ
    • پی اس دی
  • نرم افزار و سخت افزار
    • مطالب عمومی نرم افزار
    • مطالب عمومی سخت افزار
  • تکنولوژی
    • اخبار
    • اینترنت و شبکه
    • امنیت
    • سیستم عامل
    • عکاسی
  • موبایل
    • آندروید
    • ویندوز فون
    • ای او اس
    • کلوپ هواداران
  • عمومی
    • گفتگوی آزاد
    • معرفی وب سایت
    • صندلی داغ بیست اسکریپت

جستجو در ...

نمایش نتایجی که شامل ...


تاریخ ایجاد

  • شروع

    پایان


آخرین بروزرسانی

  • شروع

    پایان


فیلتر بر اساس تعداد ...

تاریخ عضویت

  • شروع

    پایان


گروه


درباره من


آیدی تلگرام


سیستم مدیریت محتوای مورد علاقه


زبان برنامه نویسی و تخصص ها


انجمن ساز مورد علاقه


آدرس سایت


سن


AIM


ICQ


یاهو


اسکایپ


فیسبوک


توییتر


صفحه خانگی


محل سکونت


علایق شما


درباره من


جنسیت

  1. rainymonth2006

    اموزش امنیت وردپرس

    در این پست قصد دارم اموزش امنیت وردپرس را از پایه تا تقریبا پیشرفته خدمتتان توضیح دهم. فقط این نکته را درنظر بگیرید که امنیت وردپرس نسبی است و دائما باید نکاتی را که در این اموزش یادخواهد شد در نظربگیرید و همینطور از اخرین اخبار امنیت سایت، هاست ، افزونه ها و پوسته ها و خود وردپرس در جریان باشد. اموزش امنیت وردپرس برای تکنسین ها اگر مواردی که تا بحال گفته شده، را انجام دهید؛ تا حدود مطلوبی امنیت سایت وردپرسی را تامین کردید. اما می توانید امنیت وردپرس را بیشتر کنید. برخی موارد نیاز به دانش کدنویسی در حد خیلی ساده دارد. نام کاربری پیش فرض “admin” را تغییر دهید قبلا نام کاربری پیش فرض مدیریت وردپرس، “admin” بود. از آنجا که نام کاربری نیمی از اعتبار ورود است، این امر هکرها را ترغیب به حملات brute-force می کند. خوشبختانه وردپرس از آن زمان به بعد تغییر کرده است و در حال حاضر هنگام نصب وردپرس می توان نام کاربری پیش فرض مدیریت را تغییر دارد . با این حال، هنوز برخی از کاربران هنگام نصب وردپرس، نام کاربری مدیریت را به عنوان “admin” تنظیم می کنند. از آنجا که بعد از نصب وردپرس، وردپرس به شما اجازه تغییر نام کاربری را نمی دهد، سه روش برای تغییر نام کاربری وجود دارد. 1. نام کاربری مدیر جدید ایجاد کنید و قبلی را حذف کنید. 2. از افزونه تغییر نام کاربری استفاده کنید 3. به روزرسانی نام کاربری از طریق phpMyAdmin توجه: ما در مورد نام کاربری “admin” صحبت می کنیم، نه نقش مدیر. غیر فعال کردن ویرایشگر فایل ویرایشگر فایل به شما اجازه می دهد که فایل های افزونه ها و پوسته ها را از قسمت مدیریت وردپرس ویرایش کنید. ما توصیه می کنیم آن را خاموش کنید بخاطراینکه این ویژگی می تواند خطر امنیتی باشد. شما می توانید این کار را با اضافه کردن کد زیر در فایل wp-config.php خود انجام دهید . // Disallow file edit define( 'DISALLOW_FILE_EDIT', true ); غیر فعال کردن اجرای فایل PHP در دایرکتوری های خاص وردپرس راه دیگری برای قوی تر کردن امنیت سایت وردپرس شما این است که از اجرای فایل PHP در دایرکتوری هایی که نیازی به PHP نیست مانند /wp-content/uploads/ را غیرفعال کنید. 1. فایل Notepad را بازکرده و متن زیر را درون آن قرار می دهیم: <Files *.php>deny from all</Files> 2. هنگام ذخیره فایل، دقیقا عبارت زیر را وارد می کنیم.( ” را هم تایپ کنید) ".htaccess" 3. سپس آن را در مسیر /wp-content/uploads/ و /wp-includes/ آپلود کنید. محدود کردن تلاش های ورود به منطقه مدیریت وردپرس اگر کاربر نام کاربری یا رمزعبور خود را هنگام ورود اشتباه وارد کند، بطور پیش فرض می تواند بینهایت تلاش کند. این مورد امنیت وردپرس را در معرض خطر حمله های Brute Force قرار می دهد . به این صورت هکرها با استفاده از رمزهای تصادفی سعی در ورود به مدیریت وردپرس می کنند. روش محدود کردن تلاش ورود به مدیریت وردپرس در قسمت Brute Force Protection از تنظیمات Wordfence، می توان با استفاده از گزینه Lock out after how many login failures ، تعداد تلاش را محدود کرد و بعد از ان کاربر قفل می شود. اگر از افرونه Wordfence استفاده نمی کنید، می توانید از افزونه Login LockDown استفاده کنید. ابتدا این افزونه را نصب و فعال کنید. پس از فعال سازی، از قسمت تنظیمات، روی گزینه Login LockDown کلیک کنید تا وارد صفحه مربوطه شوید. تعداد تلاش را در کادر زیر گزینه Max Login Retries واردکنید. تغییر پیشوند جدول های پایگاه داده وردپرس به طور پیش فرض، وردپرس از _wp به عنوان پیشوند جداول پایگاه داده وردپرس استفاده می کند . اگر دیتابیس پایگاه داده از پیشوند پیشفرض استفاده می کند، هکرها می دانند نام جداول شما چیست. به همین دلیل توصیه می کنیم آن را تغییر دهید. نکته: این می تواند سایت شما را شکست دهد در صورتی که به درستی انجام نشود. اگر با مهارت های برنامه نویسی خود احساس راحتی کنید، ادامه دهید. حفاظت از پوشه مدیریت وردپرس و صفحه ورود به سیستم به طور معمول، هکرها می توانند بدون محدودیت پوشه wp-admin و صفحه ورود را از سرور درخواست کنند . این مورد به هکرها اجازه می دهد تا به میزانی که می خواهند انواع ترفندها و جملات DDoS را روی این دو صفحه اجرا کنند. شما می توانید بر روی این دو در سمت سرور، رمز قراردهید و درخواست ها را محدودکنید. غیر فعال کردن Directory Indexing ِDIrectory Indexing قابلیتی است که اگر فعال باشد و یک دایرکتوری از سرور دارای فایل index(مثل index.php و…) نباشد، تمام محتویات آن پوشه به کاربر نمایش داده می شود. ِDIrectory Indexing می تواند توسط هکرها مورد سوء استفاده قرار گیرد تا از طریق آن، هکر ها فایلی را که دارای آسیب پذیری های شناخته شده است شناسایی کنند و بتوانند از این فایل ها برای دسترسی استفاده کنند. DIrectory Indexing همچنین می تواند توسط افراد دیگر مورد استفاده قرار گیرد تا فایل ها و تصاویر شما را کپی کنند، و به ساختار دایرکتوری شما و سایر اطلاعات دسترسی پیدا کنند. ب شما باید با استفاده از FTP یا از cPanel ، یک فایل htaccess. را در دایرکتوری ریشه سایت خود بسازید و البته اگر از قبل وجود دارد، باید خط زیر را در انتهای فایل اضافه کنید: Options -Indexes غیر فعال کردن XML-RPC در وردپرس XML-RPC به طور پیش فرض تا وردپرس 3.5 فعال بود و دلیل آن هم این بود که به شما کمک می کرد تا سایت وردپرس خود را به برنامه های دیگر تحت وب و تلفن همراه وصل کنید. با این حال به دلیل ماهیت قدرتمند آن، XML-RPC می تواند حملات را به طور قابل توجهی تقویت کند. به عنوان مثال، به طور سنتی اگر یک هکر بخواهد 500 کلمه عبور متفاوت را در سایت شما امتحان کند، باید 500 بار باید وارد سایت شود و رمزعبور را امتحان کند درحالیکه این کار توسط افزونه ورود به سیستم قفل شده است. اما با استفاده از XML-RPC، یک هکر می تواند از تابع system.multicall برای تست هزاران کلمه عبور با 20 یا 50 درخواست استفاده کند. به همین دلیل است که اگر از XML-RPC استفاده نمی کنید، توصیه می کنیم آن را غیرفعال کنید. XML-RPC چیست؟ XML-RPC یک تابع قابل استفاده از راه دور است که از XML برای کدگذاری فراخوانی ها و HTTP هم به عنوان یک مکانیسم انتقال استفاده می کند. به طور خلاصه، XML-RPC به شما اجازه می دهد تا از نرم افزارهایی مثل Windows Live Writer و Microsoft word برای نوشتن مقالات سایت استفاده کنید. البته اگر شما از اپلیکیشن وردپرسی استفاده می کنید باز این مورد مورد نیاز است. اگر شما مایل به استفاده از خدماتی مانند IFTTT، باز هم نیاز به XML-RPC دارید. 3 راه برای غیرفعال سازی XML-RPC در وردپرس وجود دارد، اما روش htaccess. بهترین است زیرا کمترین منابع را استفاده می کند. روش اول غیرفعال کردن XML-RPC در وردپرس: استفاده از فیلتر در حالی که گزینه مربوطه در مدیریت وردپرس برای خاموش کردن XML-RPC حذف شده است، یک فیلتر وجود دارد که می توانید برای خاموش کردن آن در صورت لزوم استفاده کنید. add_filter('xmlrpc_enabled', '__return_false'); روش دوم غیرفعال کردن XML-RPC در وردپرس: استفاده از افزونه شما می توانید به اسانی از افزونه Disable XML-RPC برای غیرفعال کردن xml-rpc استفاده کنید. روش سوم غیرفعال کردن XML-RPC در وردپرس: استفاده از htaccess. در حالی که استفاده از افزونه برای بسیاری موارد کافی است، هنوز هم امکان حمله وجود دارد. در این موارد، ممکن است بخواهید همه درخواست های مربوط به xmlrpc.php را حتی قبل از آن که درخواست به وردپرس داده شود، غیرفعال کنید. به سادگی کد زیر را در فایل .htaccess خود اضافه کنید: # Block WordPress xmlrpc.php requests order deny,allow deny from all allow from 123.123.123.123 خارج کردن(Log out) خودکار کاربران غیرفعال از محیط مدیریت وردپرس برخی اوقات پیش می آید که کاربر log in می کند، و پس از مدتی کامپیوتر یا هر دستگاه دیگری که با آن واردشده، ترک می کند. این یک خطر امنیتی محسوب می شود. بخاطراینکه ممکن است فرد دیگری در همین حین از دستگاه او استفاده کند، تغییراتی در حساب کاربری ایجاد کند. مثلا رمزعبور را تغییردهد یا حتی بدتر از آن، ایمیل را هم تغییردهد. به همین دلیل است که بسیاری از سایت های اینترنت بانکی و سایت های مالی به طور خودکار پس از مدت زمانی که کاربر غیرفعال می شود، بطور خودکار، کاربر را از سایت خارج (log out) می کنند. . شما می توانید امکانی مشابه را در سایت وردپرسی خود نیز اجرا کنید. شما نیاز به نصب و فعال کردن افزونه Inactive Logout دارید. پس از فعال کردن افزونه، از قسمت تنظیمات » گزینه Inactive Logout را کلیک کنید تا وارد صفحه پیکربندی شوید. به سادگی مدت زمان را در قسمت Idle Timeout تنظیم کرده و هیچ یک از گزینه ها را انتخاب نکنید و درنهایت روی Save Changes کلیک کنید. اضافه کردن سوال امنیتی به وردپرس اضافه کردن سوال امنیتی به صفحه ورود login وردپرس، کار برای افرادی که قصد دسترسی غیرمجاز دارند، سخت تر می کند. شما برای اضافه کردن سوال امنیتی به وردپرس، می توانید از افزونه WP Security Questions استفاده کنید. برای انجام تنظیمات این افزونه، می توانید بعد از نصب و فعال سازی این افزونه ، در فهرست گزینه های داخل پیشخوان، از قسمت WP Security Question روی گزینه Plugin settings کلیک کنید. محافظت از فایل wp-config فایل پیکربندی وردپرس فایل wp-config حاوی اطلاعات حیاتی وردپرس است. این اطلاعات راه هنگام نصب وردپرس وارد کردیم: نام پایگاه داده نام کاربری پایگاه داده رمزعبور پایگاه داده ادرس سرور پایگاه داده اگر این اطلاعات بدست نفوذگران و هکران بیافتد، امنیت وردپرس شما به شدت تهدید می شود. هکرها می توانند اقداماتی را برای نفوذ بیشتر، پاک کردن اطلاعات شما، اسپمینگ و… انجام دهند. پس باید تمام سعی خود را بکار بگیرید تا این فایل دردسترس هکرها نباشد. برای محافظت از فایل wp-config می توان از راهکاری های زیر استفاده کرد: راه کار اول افزایش امنیت وردپرس با محافظت از فایل wp-config: تنظیم مجوز 600 برای فایل wp-config: اگر با تنظیم این مجوز مشکلی در سایت پیش آمد، می توانید مجوز 644 را قراردهید. 1. برای این کار بعد از ورود به File Manager و رفتن به آدرسی که وردپرس را نصب کرده اید. 2. روی فایل wp-config کلیک راست کرده، گزینه Change permissions را کلیک می کنید. 3. سپس طبق تصویر زیر ، تنظیمات را انجام دهید . روی گزینه Change Permissions کلیک کنید. راه کار اول افزایش امنیت وردپرس با محافظت از فایل wp-config: قراردادن کد زیر در ابتدای فایل htaccess. محلی که وردپرس را نصب کردید: # PROTECT WP-CONFIG # Apache < 2.3 Order allow,deny Deny from all Satisfy All # Apache >= 2.3 Require all denied البته بهتراست هر دو راهکار را برای قوی تر کردن این کار استفاده کنید. حذف شماره نسخه وردپرس یکی از دلایل به روزرسانی وردپرس، این است که ممکن است در هر نسخه مشکلات امنیتی موجود باشید، که یا از طرف کاربران گزارش شده است یا تیم امنیت وردپرس که سریعا وصله های امنیتی را در قالب به روزرسانی اعلام می کنند. از طرفی هم اکسپلویتهایی هم برای این باگ نوشته شده و در اینترنت یافت می شود، پس حتی اگر فردی هکر تازه کارباشد و فقط با نحوه کدنویسی اشناباشد می تواند، سایت های قربانی که از نسخه خاصی که مشکل امنیتی دارد و اکسپلویت آن موجود است را یافته، و شروع به نفوذ به سایت موردنظرکند. از طرفی هکرها یا بصورت دستی یا بااستفاده از اسکریپت، از نسخه وردپرس آگاه می شوند. همین الان می توانید، سایت وردپرسی در مرورگر بازکنید. کلیک راست کرده و گزینه view page source یا شبیه آن را کلیک کنید. دنبال کلمه generator بگردید، همان ابتدای صفحه با تگ زیر مواجه می شوید: <meta name="generator" content="WordPress 5.0.3" /> می توانید ببینید که نسخه وردپرس براحتی قابل ردیابی است. روش حذف نسخه وردپرس با قراردادن کد زیر در فایل functions.php پوسته فعال وردپرس، می توانید علاوه بر حذف نسخه وردپرس از سورس صفحات سایت، نسخه وردپرس را از خوراکRSS و همینطور استایل و اسکریپت ها هم حذف کنید. // remove version from head remove_action('wp_head', 'wp_generator'); // remove version from rss add_filter('the_generator', '__return_empty_string'); // remove version from scripts and styles function shapeSpace_remove_version_scripts_styles($src) { if (strpos($src, 'ver=')) { $src = remove_query_arg('ver', $src); } return $src; } add_filter('style_loader_src', 'shapeSpace_remove_version_scripts_styles', 9999); add_filter('script_loader_src', 'shapeSpace_remove_version_scripts_styles', 9999);
×
×
  • اضافه کردن...