• اطلاعیه ها

    • Masih

      برخوردی شدید با تاپیک های تبلیغاتی   شنبه, 12 آبان 1397

      درود، از این لحظه به بعد، تمامی تاپیک های تبلیغاتی سبک رپرتاژ که با هدف جمع آوری بک لینک در انجمن های بیست اسکریپت ایجاد می شوند، حذف شده و دسترسی کاربر خاطی نیز مسدود خواهد شد.

9 ارسال در این موضوع قرار دارد

در این پست قصد دارم اموزش امنیت وردپرس را از پایه تا تقریبا پیشرفته خدمتتان توضیح دهم. فقط این نکته را درنظر بگیرید که امنیت وردپرس نسبی است و دائما باید نکاتی را که در این اموزش یادخواهد شد در نظربگیرید و همینطور از اخرین اخبار امنیت سایت، هاست ، افزونه ها و پوسته ها و خود وردپرس در جریان باشد.
 

اموزش امنیت وردپرس برای تکنسین ها

اگر مواردی که تا بحال گفته شده، را انجام دهید؛ تا حدود مطلوبی امنیت سایت وردپرسی را تامین کردید. اما می توانید امنیت وردپرس را بیشتر کنید.

برخی موارد نیاز به دانش کدنویسی در حد خیلی ساده دارد.

نام کاربری پیش فرض “admin” را تغییر دهید

قبلا نام کاربری پیش فرض مدیریت وردپرس، “admin” بود. از آنجا که نام کاربری نیمی از اعتبار ورود است، این امر هکرها را ترغیب به حملات brute-force می کند.

خوشبختانه وردپرس از آن زمان به بعد تغییر کرده است و در حال حاضر هنگام نصب وردپرس می توان نام کاربری پیش فرض مدیریت را تغییر دارد .

با این حال، هنوز برخی از کاربران هنگام نصب وردپرس، نام کاربری مدیریت را به عنوان “admin” تنظیم می کنند.

از آنجا که بعد از نصب وردپرس، وردپرس به شما اجازه تغییر نام کاربری را نمی دهد، سه روش برای تغییر نام کاربری وجود دارد.

1.      نام کاربری مدیر جدید ایجاد کنید و قبلی را حذف کنید.

2.      از افزونه تغییر نام کاربری استفاده کنید

3.      به روزرسانی نام کاربری از طریق phpMyAdmin

توجه: ما در مورد نام کاربری “admin” صحبت می کنیم، نه نقش مدیر.

 

 

غیر فعال کردن ویرایشگر فایل

ویرایشگر فایل به شما اجازه می دهد که فایل های افزونه ها و پوسته ها را از قسمت مدیریت وردپرس ویرایش کنید. ما توصیه می کنیم آن را خاموش کنید بخاطراینکه این ویژگی می تواند خطر امنیتی باشد.

شما می توانید این کار را با اضافه کردن کد زیر در فایل wp-config.php خود انجام دهید .

 

لطفا برای مشاهده code وارد سایت شوید و یا ثبت نام کنید.

 

 

 

غیر فعال کردن اجرای فایل PHP در دایرکتوری های خاص وردپرس

راه دیگری برای قوی تر کردن امنیت سایت وردپرس شما این است که از اجرای فایل PHP در دایرکتوری هایی که نیازی به PHP نیست مانند  /wp-content/uploads/ را غیرفعال کنید.

1.  فایل Notepad را بازکرده و متن زیر را درون آن قرار می دهیم:

 

لطفا برای مشاهده code وارد سایت شوید و یا ثبت نام کنید.

2. هنگام ذخیره فایل، دقیقا عبارت زیر را وارد می کنیم.( ” را هم تایپ کنید)

".htaccess"

3. سپس آن را در مسیر /wp-content/uploads/ و /wp-includes/  آپلود کنید.

 

 

 

محدود کردن تلاش های ورود به منطقه مدیریت وردپرس

 

اگر کاربر نام کاربری یا رمزعبور خود را هنگام ورود اشتباه وارد کند، بطور پیش فرض می تواند بینهایت تلاش کند. این مورد امنیت وردپرس را در معرض خطر حمله های Brute Force قرار می دهد . به این صورت هکرها با استفاده از رمزهای تصادفی سعی در ورود به مدیریت وردپرس می کنند.

روش محدود کردن تلاش ورود به مدیریت وردپرس

  • در  قسمت Brute Force Protection از تنظیمات Wordfence، می توان با استفاده از گزینه Lock out after how many login failures ، تعداد تلاش را محدود کرد و بعد از ان کاربر قفل می شود.
  • اگر از افرونه Wordfence استفاده نمی کنید، می توانید از افزونه Login LockDown استفاده کنید.
    1. ابتدا این افزونه را نصب و فعال کنید.
    2. پس از فعال سازی، از قسمت تنظیمات، روی گزینه Login LockDown کلیک کنید تا وارد صفحه مربوطه شوید. تعداد تلاش را در کادر زیر گزینه Max Login Retries واردکنید.

 

 

 

تغییر پیشوند  جدول های پایگاه داده وردپرس

به طور پیش فرض، وردپرس از _wp به عنوان پیشوند جداول پایگاه داده وردپرس استفاده می کند . اگر دیتابیس پایگاه داده از پیشوند پیشفرض استفاده می کند، هکرها می دانند نام جداول شما چیست. به همین دلیل توصیه می کنیم آن را تغییر دهید.

نکته: این می تواند سایت شما را شکست دهد در صورتی که به درستی انجام نشود. اگر با مهارت های برنامه نویسی خود احساس راحتی کنید، ادامه دهید.

حفاظت از پوشه مدیریت وردپرس و صفحه ورود به سیستم

 

به طور معمول، هکرها می توانند  بدون محدودیت پوشه wp-admin  و صفحه ورود را از سرور درخواست کنند . این مورد به هکرها اجازه می دهد تا به میزانی که می خواهند انواع ترفندها و جملات DDoS را روی این دو صفحه اجرا کنند.

شما می توانید بر روی این دو در سمت سرور، رمز قراردهید و درخواست ها را محدودکنید.

 

غیر فعال کردن Directory Indexing

 

ِDIrectory Indexing قابلیتی است که اگر فعال باشد و یک دایرکتوری از سرور دارای فایل index(مثل index.php و…) نباشد، تمام محتویات آن پوشه به کاربر نمایش داده می شود.

ِDIrectory Indexing می تواند توسط هکرها مورد سوء استفاده قرار گیرد تا از طریق آن، هکر ها فایلی را که دارای آسیب پذیری های شناخته شده است شناسایی کنند و بتوانند از این فایل ها برای دسترسی استفاده کنند.

DIrectory Indexing همچنین می تواند توسط افراد دیگر مورد استفاده قرار گیرد تا فایل ها و تصاویر شما را کپی کنند، و به ساختار دایرکتوری شما و سایر اطلاعات دسترسی پیدا کنند. ب

شما باید با استفاده از FTP یا از cPanel ، یک فایل htaccess. را در دایرکتوری ریشه سایت خود بسازید و البته اگر از قبل وجود دارد، باید خط زیر را در انتهای فایل اضافه کنید:

Options -Indexes
 

غیر فعال کردن XML-RPC در وردپرس

 

XML-RPC به طور پیش فرض تا وردپرس 3.5 فعال بود و دلیل آن هم این بود که به شما کمک می کرد تا سایت وردپرس خود را به برنامه های دیگر تحت وب و تلفن همراه وصل کنید.

با این حال به دلیل ماهیت قدرتمند آن، XML-RPC می تواند حملات را به طور قابل توجهی تقویت کند.

به عنوان مثال، به طور سنتی اگر یک هکر بخواهد 500 کلمه عبور متفاوت را در سایت شما امتحان کند، باید 500 بار باید وارد سایت شود و رمزعبور را امتحان کند درحالیکه این کار توسط افزونه ورود به سیستم قفل شده است.

اما با استفاده از XML-RPC، یک هکر می تواند از تابع system.multicall برای تست هزاران کلمه عبور با 20 یا 50 درخواست استفاده کند.

به همین دلیل است که اگر از XML-RPC استفاده نمی کنید، توصیه می کنیم آن را غیرفعال کنید.

XML-RPC چیست؟

XML-RPC یک تابع قابل استفاده از راه دور است که  از XML برای کدگذاری فراخوانی ها و HTTP هم به عنوان یک مکانیسم انتقال استفاده می کند. به طور خلاصه، XML-RPC به شما اجازه می دهد تا از نرم افزارهایی مثل Windows Live Writer و  Microsoft word برای نوشتن مقالات سایت استفاده کنید. البته اگر شما از اپلیکیشن وردپرسی استفاده می کنید باز این مورد مورد نیاز است. اگر شما مایل به استفاده از خدماتی  مانند IFTTT، باز هم نیاز به XML-RPC دارید.

3 راه برای غیرفعال سازی XML-RPC در وردپرس وجود دارد، اما روش htaccessبهترین است زیرا کمترین منابع را استفاده می کند.

روش اول غیرفعال کردن XML-RPC در وردپرس: استفاده از فیلتر

در حالی که گزینه مربوطه در مدیریت وردپرس برای خاموش کردن XML-RPC حذف شده است، یک فیلتر وجود دارد که می توانید  برای خاموش کردن آن در صورت لزوم استفاده کنید.

add_filter('xmlrpc_enabled', '__return_false');

روش دوم غیرفعال کردن XML-RPC در وردپرس: استفاده از افزونه

شما می توانید به اسانی از  افزونه Disable XML-RPC برای غیرفعال کردن xml-rpc استفاده کنید.

روش سوم غیرفعال کردن XML-RPC در وردپرس: استفاده از htaccess.

در حالی که استفاده از افزونه برای بسیاری موارد کافی است، هنوز هم امکان حمله وجود دارد.

در این موارد، ممکن است بخواهید همه درخواست های مربوط به xmlrpc.php را حتی قبل از آن که درخواست به وردپرس داده شود، غیرفعال کنید.

به سادگی کد زیر را در فایل .htaccess خود اضافه کنید:

# Block WordPress xmlrpc.php requests
order deny,allow
deny from all
allow from 123.123.123.123

 خارج کردن(Log out) خودکار کاربران غیرفعال از محیط مدیریت وردپرس

برخی اوقات پیش می آید که کاربر log in می کند، و پس از مدتی کامپیوتر یا هر دستگاه دیگری که با آن واردشده، ترک می کند. این یک خطر امنیتی محسوب می شود. بخاطراینکه ممکن است فرد دیگری در همین حین از دستگاه او استفاده کند، تغییراتی در حساب کاربری ایجاد کند. مثلا رمزعبور را تغییردهد یا حتی بدتر از آن، ایمیل را هم تغییردهد.

به همین دلیل است که بسیاری از سایت های اینترنت  بانکی و سایت های مالی به طور خودکار پس از مدت زمانی که کاربر غیرفعال می شود، بطور خودکار، کاربر را از سایت خارج (log out) می کنند. . شما می توانید امکانی مشابه را در سایت وردپرسی خود نیز اجرا کنید.

شما نیاز به نصب و فعال کردن افزونه Inactive Logout دارید. پس از فعال کردن افزونه، از قسمت تنظیمات » گزینه Inactive Logout را کلیک کنید تا وارد صفحه پیکربندی شوید.

به سادگی مدت زمان را در قسمت Idle Timeout تنظیم کرده و هیچ یک از گزینه ها را انتخاب نکنید و درنهایت روی Save Changes کلیک کنید.

اضافه کردن سوال امنیتی به وردپرس

اضافه کردن سوال امنیتی به صفحه ورود login وردپرس، کار برای افرادی که قصد دسترسی غیرمجاز دارند، سخت تر می کند. شما برای اضافه کردن سوال امنیتی به وردپرس، می توانید از افزونه 

لطفا برای مشاهده link وارد سایت شوید و یا ثبت نام کنید.

  استفاده کنید.

برای انجام تنظیمات این افزونه، می توانید بعد از نصب و فعال سازی این افزونه ، در فهرست گزینه های داخل پیشخوان، از قسمت  WP Security Question روی گزینه Plugin settings کلیک کنید.

 

 

محافظت از فایل wp-config فایل پیکربندی وردپرس

فایل  wp-config حاوی اطلاعات حیاتی وردپرس است. این اطلاعات راه هنگام نصب وردپرس وارد کردیم:

  • نام پایگاه داده
  • نام کاربری پایگاه داده
  • رمزعبور پایگاه داده
  • ادرس سرور پایگاه داده

اگر این اطلاعات بدست نفوذگران و هکران بیافتد، امنیت وردپرس شما به شدت تهدید می شود. هکرها می توانند اقداماتی را برای نفوذ بیشتر، پاک کردن اطلاعات شما، اسپمینگ و… انجام دهند. پس باید تمام سعی خود را بکار بگیرید تا این فایل دردسترس هکرها نباشد.

برای محافظت از فایل wp-config می توان از راهکاری های زیر استفاده کرد:

راه کار اول 

لطفا برای مشاهده link وارد سایت شوید و یا ثبت نام کنید.

 با محافظت از فایل wp-config: تنظیم مجوز 600 برای فایل wp-config: اگر با تنظیم این مجوز مشکلی در سایت پیش آمد، می توانید مجوز 644 را قراردهید.

1. برای این کار بعد از ورود به File Manager و رفتن به آدرسی که وردپرس را نصب کرده اید.

2. روی فایل wp-config کلیک راست کرده، گزینه Change permissions را کلیک می کنید.

 

3. سپس طبق تصویر زیر ، تنظیمات را انجام دهید . روی گزینه Change Permissions کلیک کنید.

 

راه کار اول افزایش امنیت وردپرس با محافظت از فایل wp-config: قراردادن کد زیر در ابتدای فایل htaccess. محلی که وردپرس را نصب کردید:

 

لطفا برای مشاهده code وارد سایت شوید و یا ثبت نام کنید.

البته بهتراست هر دو راهکار را برای قوی تر کردن این کار استفاده کنید.

حذف شماره نسخه وردپرس

یکی از دلایل به روزرسانی وردپرس، این است که ممکن است در هر نسخه مشکلات امنیتی موجود باشید، که یا از طرف کاربران گزارش شده است یا تیم امنیت وردپرس که سریعا وصله های امنیتی را در قالب به روزرسانی اعلام می کنند.

از طرفی هم اکسپلویتهایی هم برای این باگ نوشته شده و در اینترنت یافت می شود، پس حتی اگر فردی هکر تازه کارباشد و فقط با نحوه کدنویسی اشناباشد می تواند، سایت های قربانی که از نسخه خاصی که مشکل امنیتی دارد و اکسپلویت آن موجود است را یافته، و شروع به نفوذ به سایت موردنظرکند.

از طرفی هکرها یا بصورت دستی یا بااستفاده از اسکریپت، از نسخه وردپرس آگاه می شوند.

همین الان می توانید، سایت وردپرسی در مرورگر بازکنید. کلیک راست کرده و گزینه view page source یا شبیه آن را کلیک کنید.

دنبال کلمه generator بگردید، همان ابتدای صفحه با تگ زیر مواجه می شوید:


<meta name="generator" content="WordPress 5.0.3" />

می توانید ببینید که نسخه وردپرس براحتی قابل ردیابی است.

روش حذف نسخه وردپرس

با قراردادن کد زیر در فایل functions.php پوسته فعال وردپرس، می توانید علاوه بر حذف نسخه وردپرس از سورس صفحات سایت، نسخه وردپرس را از خوراکRSS و همینطور استایل و اسکریپت ها هم حذف کنید.

 

 

لطفا برای مشاهده code وارد سایت شوید و یا ثبت نام کنید.

به اشتراک گذاری این ارسال


لینک به ارسال
به اشتراک گذاری در سایت های دیگر

 

لطفا برای مشاهده link وارد سایت شوید و یا ثبت نام کنید.

با تنظیم کلیدهای امنیت وردپرس

یکی دیگر از روش های بالا بردن امنیت وردپرس ، تنظیم کلیدهای امنیتی وردپرس یا salt key است. اگر  فایل wp-config.php را بازکرده باشید، عبارت زیر را مشاهده ی کنید

* Authentication Unique Keys and Salts.

از نسخه 2.6 وردپرس کلیدهای امنیتی salt key برای افزایش امنیت وردپرس، اضافه شد. این کلیدهای امنیتی را با مراجعه به آدرس زیر پیداکرده و در زیر قسمت بالا قراردهید. البته اگر این قسمت خالی هم نباشد، کد تولید شده را جایگزین کدقبلی کنید.

یکی از نکات امنیتی نصب وردپرس این است که هنگام نصب وردپرس، این فایل را بازکرده و از ادرس زیر کد تولیدشده را در این فایل قراردهید.

لطفا برای مشاهده link وارد سایت شوید و یا ثبت نام کنید.

البته با این کار تمام کاربرانی که لاگین کرده اند، باید دوباره واردشوند. گرچه این مورد برای مواردی که مشکوک به فعالیت غیرمجاز هستید در کنار نظارت بر کاربران قابل استفاده است.

به اشتراک گذاری این ارسال


لینک به ارسال
به اشتراک گذاری در سایت های دیگر

غیرفعال کردن نمایش خطاها

یکی دیگر از روشهای افزایش امنیت وردپرس، غیرفعال کردن نمایش خطاهاست. نمایش خطاها در سایت، یک تهدید امنیتی محسوب می شود، به این علت که برخی هکرهایی که واقعا به علم کدنویسی اشراف دارند، می توانند با دیدن باگ ها و خطاهای سایت، راهکارهایی برای نفوذ پیداکنند.

برای غیرفعال کردن نمایش خطاها، باید مراحل زیر را طی کنید:

1. فایل wp-config.php را در هاست، بازکنید و یکی از 2 حالت کد زیر را پیداکنید.

 define('WP_DEBUG', true);

یا

  define('WP_DEBUG', false);

2. کد بالا را کلا حذف کرده و کد زیر را جایگرین کنید:

ini_set('display_errors','Off');
ini_set('error_reporting', E_ALL );
define('WP_DEBUG', false);
define('WP_DEBUG_DISPLAY', false);

3. فایل را ذخیره کنید.

به اشتراک گذاری این ارسال


لینک به ارسال
به اشتراک گذاری در سایت های دیگر

ارسال شده در (ویرایش شده)

بالا بردن امنیت وردپرس با اضافه کردن سوال امنیتی به وردپرس

اضافه کردن سوال امنیتی به صفحه ورود login وردپرس، کار برای افرادی که قصد دسترسی غیرمجاز دارند، سخت تر می کند. شما برای اضافه کردن سوال امنیتی به وردپرس، می توانید از افزونه 

لطفا برای مشاهده link وارد سایت شوید و یا ثبت نام کنید.

  استفاده کنید.

برای انجام تنظیمات این افزونه، می توانید بعد از نصب و فعال سازی این افزونه ، در فهرست گزینه های داخل پیشخوان، از قسمت  WP Security Question روی گزینه Plugin settings کلیک کنید.

ویرایش شده در توسط rainymonth2006

به اشتراک گذاری این ارسال


لینک به ارسال
به اشتراک گذاری در سایت های دیگر

 

لطفا برای مشاهده link وارد سایت شوید و یا ثبت نام کنید.

نظارت بر کاربران با سطح دسترسی مدیر

در این قسمت از آموزش افزایش امنیت وردپرس، با یکی دیگر از راهکارهای بالا بردن امنیت وردپرس آشنا خواهیدشد. اگر سایتی دارید که بیش از یک مدیر دارد، بایستی برروی کارهای آنهادر محیط مدیریت ، نظارت داشته باشید.

برای این کار می توانید از افزونه افزونه 

لطفا برای مشاهده link وارد سایت شوید و یا ثبت نام کنید.

  یا

لطفا برای مشاهده link وارد سایت شوید و یا ثبت نام کنید.

  استفاده نمائید. با استفاده از این افزونه ها می توانید، روی تمام اعمال کاربران مدیر یا نویسنده، از ایجاد نوشته یا برگه جدید، تا نصب و غیرفعال کردن افزونه ها و هر کاری که در مدیریت وردپرس انجام می دهند، نظارت داشته باشند.

به اشتراک گذاری این ارسال


لینک به ارسال
به اشتراک گذاری در سایت های دیگر

بالا بردن امنیت وردپرس با توقف امکان hotlinking

یکی دیگر از روشهای بالا بردن امنیت وردپرس ، توقف  hotlinking است.

فرض کنید کاربری مقاله شما را در سایت خود، قرارمیدهد، اینجا هر فردی که آن مقاله را باز میکند، تصاویر آن مقاله از هاست سایت شما گرفته می شود و به این صورت پهنای باند هاست شما استفاده می گردد.

بنابراین اگر قصد داشته باشید تصاویر سایت شما در جای دیگری قابل استفاده نباشد، می توانید از کد زیر در htaccess استفاده کنید:

# HOTLINK PROTECTION
RewriteCond %{HTTP_REFERER} !^$
RewriteCond %{HTTP_REFERER} !^http(s)?://([^.]+\.)?testwp\.ap2co\.com [NC]
RewriteRule \.(gif|jpe?g?|png)$ - [NC,F,L]

به اشتراک گذاری این ارسال


لینک به ارسال
به اشتراک گذاری در سایت های دیگر

بالا بردن امنیت وردپرس با بروزرسانی وردپرس

 بسیاری از افزونه های پشتیبان گیری وردپرس رایگان هستند وجود دارند که می توانید از آنها برای پشتیبان گیری خودکار و دستی استفاده کنید.

 

بروز رسانی خودکار وردپرس:

برای اینکار کافی است از پیشخوان وردپرس، وارد قسمت بروزرسانی شوید؛ و همانطور که در تصویر بالا مشخص است، روی گزینه به روزرسانیکنید کلیک کنید.

به همین راحتی کار دیگری برای انجام نیست.

به روز رسانی دستی وردپرس:

  1. ابتدا وارد سایت fa.wordpress.org شوید.
  2. آخرین نسخه وردپرس را دانلود کنید.
  3. فایل را باز کنید. آن را داخل کامپیوتر خود Extract کنید.
  4. وارد پوشه wordpress شوید.
  5. تمام فایل ها و پوشه ها را انتخاب و دوباره آن ها را فشرده کنید.
  6. فایل جدید را داخل پوشه ای که وردپرس را نصب کرده اید در داخل هاست خود آپلود کنید.
  7. فایل آپلودشده را  Extract کنید.
  8. اگر پیامی مبنی بر Replace داده شد، قبول کنید. تا فایلهای جدید جایگزین فایلهای قدیمی وردپرس شوند

به اشتراک گذاری این ارسال


لینک به ارسال
به اشتراک گذاری در سایت های دیگر

لطفا برای مشاهده link وارد سایت شوید و یا ثبت نام کنید.

: محافظت از فایل install.php وردپرس

در این قسمت از بالا بردن امنیت وردپرس، با یک روش دیگر از افزایش امنیت وردپرس آشنا می شوید.  

برای محافظت از فایل install.php می توان از 2 راهکار استفاده کرد:

  1. این فایل را پاک کنید.
  2. دسترسی به فایل INSTALL.PHP را محدودکنید. کد زیر را در  .htaccess در دایرکتوری wp-admin قراردهید

# HOTLINK PROTECTION
# PROTECT install.php

#Apache < 2.3

Order allow,deny
Deny from all
Satisfy all

#Apache >= 2.3

Require all denied

به اشتراک گذاری این ارسال


لینک به ارسال
به اشتراک گذاری در سایت های دیگر

سلام ممنونم کمکم کرد چون من خودم

لطفا برای مشاهده link وارد سایت شوید و یا ثبت نام کنید.

انجام میدم برام مهمه که امن باشن

ممنون

به اشتراک گذاری این ارسال


لینک به ارسال
به اشتراک گذاری در سایت های دیگر

برای ارسال دیدگاه یک حساب کاربری ایجاد کنید یا وارد حساب خود شوید

برای اینکه بتوانید دیدگاهی ارسال کنید نیاز دارید که کاربر سایت شوید

ایجاد یک حساب کاربری

برای حساب کاربری جدید در سایت ما ثبت نام کنید. عضویت خیلی ساده است !


ثبت نام یک حساب کاربری جدید

ورود به حساب کاربری

دارای حساب کاربری هستید؟ از اینجا وارد شوید


ورود به حساب کاربری

  • چه کسانی در حال بازدید هستند؟   0 کاربر

    هیچ کاربر عضوی،در حال مشاهده این صفحه نیست.