رفتن به مطلب

مهم آموزش قدم به قدم امنیت وردپرس


KINGERFAN

پست های پیشنهاد شده

با سلام خدمت همه 20 اسکریپتی های عزیز امروز قراره چند تا نکته آموزشی امنیت وردپرس قراره بهتون یاد بدم. امیدوارم بهره کافی رو ببرید از مدیران عزیز تقاضا دارم تایپیکو نبندن چون میخوام دفعه های بعد هم آموزش بزارم ممنون .:x

آموزش 1 :

سطح دسترسی ها

برای فایلهای خودتون سطح دسترسی مناسب بزارید تا کار هکر مشکل بشه .

فایل index.php روت وردپرس رو کمترین سطح دسترسی رو بهش بدید تا فقط قابل خوندن باشه . در زیر تعدادی از فایلهایی که سطح دسترسی پایین باید داشته باشن رو ذکر میکنم .

wp-config.php

index.php

پوسته : index.php

functions.php

در صورتی که پرمیژن این دو فایل رو پایین قرار بدید امکان ویرایش این دو فایل از پوسته تون رو با وردپرس ندارید .

هر موقع احتیاج به ویرایش این فایلها پیدا کردید میتونید از فایل منیجر یا ftp پرمیژن بالاتری به این فایلها بدید .

لینک به دیدگاه
به اشتراک گذاری در سایت های دیگر

آموزش 2 :

جلوگیری از ایندکس شدن بعضی از فولدر های مهم !

همونطور که میدونید هسته ی وردپرس تقریبا هیچ باگی نداره و تنها باگهای وردپرس متعلق به پوسته ها و یا افزونه هاست .

یعنی بی توجهی بعضی برنامه نویسا باعث میشه که توی پلاگینشون باگ مثلا ( sqli , rfu , ویا حتی شاید lfu , ) پیدا بشه و اگه کسی باگ رو اکسپلویت بکنه برای بسیاری دردسر ساز میشه .

چون فولدر پاگینهای وردپرس به راحتی برای گوگل قابل مشاهده است ( مگه اینکه شما دایرکتوری لیستینگ رو غیر فعال کرده باشید ) که در این صورت تمامی پلاگینهایی که نصب کردید قابل ایندکس برای گوگل خواهند بود و اگه یکی از پلاگینهای مشکل دار رو نصب کرده باشید ممکنه توی نتایج یک دورک سایتتون بیاد و باری سایتتون مشکل پیش بیاد . ( اگه توضیح بیشتر در مورد مطالب خواستید بگید تا توضیح بدم )

با اضافه کردن این چند خط کد به فایل robots.txt از ایندکس شدن چند فولدر مهم توسط گوگل جلوگیری میکنیم :

Disallow: /wp-content/plugins
Disallow: /wp-content/cache
Disallow: /wp-content/themes

 

لینک به دیدگاه
به اشتراک گذاری در سایت های دیگر

آموزش 3:

bulletProof Security

پلاگینی کامل برای امنیت سایت ( هاست و وردپرس ) شما توسط .htaccess !

همونطور که میدونید معمولا هاستها یک سری دسترسی هایی رو باز میزارن که ممکنه خطر ساز باشه .

البته مشکل از هاست نیست و ما باید خودمون طبق خواسته هامون و بنا بر سیستمی که نصب میکنیم باید یک سری از موارد رو رعایت و به هاست اضافه بکنیم .

یکی از اون بخش ها فایل اچ تی اکسز یا همون .htaccess هست که بوسیه ی اون میتونید یک سری دستوراتی به آپاچی بدید و یک سری از دسترسی ها رو محدود کنید .

این پلاگین به جز تامین امنیت روت سایت شما بلکه قادر به ساخت یک فایل اچ تی اکسز داخل فولدر wp-admin برای جلوگیری از دسترسی هکر ( کرکر ) ها به این فولدر هست .

کار با پلاگین :

بعد از نصب این پلاگین ، یک منو به زیر منوی تنظیمات در پیشخوان وردپرس اضافه میشه که با رفتن به منو با یک صفحه که دارای چندین تب هست مواجه میشید .

قبل از هر کار با پلاگین از فایل اچ تی اکسز خودتون یک بک آپ بگیرید .

تب security modes :

ای اولین تب صفحه ی پلاگین هستش و قسمت اصلی اون !

قسمت active bulletproof modes

چهار قسمت داره که شما در هر چهار قسمت تیک گزینه ی bulletproof mode رو بزنید ( یک به یک ) و فعالشون بکنید تا اچ تی اکسز های مهم رو براتون بسازه .

تب های بعدی هم اطلاعات امنیتی و کلی سایت ، بک آپ گیری از اچ تی اکسز های ساخته شده و قسمت های اضافی ای داره که چندان مهم نیستن و مهم ترین بخش هاش تب اول + دوم + سوم و چهارم هستن که اطلاعات کلی و امنیتی سایتتون رو بهتون میدن و میتونید متوجه خطرات و یا نواقص سایتتون بشید .

لینک به دیدگاه
به اشتراک گذاری در سایت های دیگر

آموزش 4:

پنهان کردن نام نمایشی مدیر:

در برخی از قالب ها ممکن است در پست منتشر شده, نام کاربری مدیر سایت نمایش داده شود! برای برطرف کردن این مشکل وارد پنل کاربری سایت شوید و به قسمت “ویرایش شناسه کاربری من” (بالای نوار وردپرس – سمت چپ) مراجعه کنید, سپس در قسمت “نمایش عمومی نام” میتوانید نام کاربری خود را تغییر دهید.

در صورتی که نام کاربری (User Name) شما ضیعف و قابل حدس است, از طریق آموزش زیر به تغییر آن اقدام کنید و از نام کاربری قوی استفاده کنید.

نام کاربری خود را از URL بایگانی نویسنده پنهان کنید:

راه دیگری که مهاجم به طور بالقوه می تواند نام کاربری شما را به دست آورد، از طریق صفحات آرشیو نویسنده در سایت شما است.

وردپرس به طور پیش فرض نام کاربری شما را در URL صفحه آرشیو نویسنده نمایش می دهد. به عنوان مثال، اگر نام کاربری شما “balyan” است، صفحه آرشیو نویسنده شما چیزی شبیه به “www.yoursite.com/author/balyan” خواهد بود.

به همان دلایلی که در بالا برای نام کاربری “admin” توضیح داده شد، این امر خیلی هم ایده آل نیست. بنابراین ایده ی خوبی است که با استفاده از تغییر ورودی user_nicename خود در پایگاه داده ها (phpMyAdmin)، که در اینجا شرح داده شده است، کلمه ی کاربری خود را مخفی کنید.

لینک به دیدگاه
به اشتراک گذاری در سایت های دیگر

اموزش 5 :

با یه سری روش میشه user & pass ادمین بدست آورد و ما کار نداریم و وقتی شخص وارد سایت میشه با یوزر ادمین سریع میره سراغ ویرایشگر و index.php پاک میکنه و صفحه خودش میزاره (چون دسترسی به هاست نداره )

با کد زیر توی فانکشن گزینه ویرایشگر حذف میکنید 


<?php function remove_editor_menu() {
remove_action('admin_menu', '_add_themes_utility_last', 101);
}
add_action('_admin_menu', 'remove_editor_menu', 1);

 

لینک به دیدگاه
به اشتراک گذاری در سایت های دیگر

آموزش 6 :

تغییر نام کلی

wp-config

ما هدفمون اینه که کلا wp-config رو از دید مخفی کنیم (اصلا تو روت وردپرس نباشه)

و از دیتابیس محافظت کنیم چون اطلاعات دیتابیس

توجه:هر فایلی رو که جابه جا یا ویرایش میکنید بک آپ بگیرید یه جا ذخیره کنید

میایم wp-config.php رو مثلا به black.php تقییر میدیم

و سپس به یک پوشه بندازید که کسی پیگیرش نیست مثلا tmp قبل از public_html

تو فایل wp-load.php فایل کانفیگ فراخانی شده که باید ویرایش کنیم خودمون فراخانی کنیم

خط های زیر را

if ( file_exists( ABSPATH . 'wp-config.php') ) {
require_once( ABSPATH . 'wp-config.php' );
} elseif ( file_exists( dirname(ABSPATH) . '/wp-config.php' ) && ! file_exists( dirname(ABSPATH) . '/wp-settings.php' ) ) {
require_once( dirname(ABSPATH) . '/wp-config.php' );

به صورت زیر ویرایش میکنیم:

if ( file_exists( ABSPATH . '../tmp/black.php') ) {
require_once( ABSPATH . '../tmp/black.php' );
} elseif ( file_exists( dirname(ABSPATH) . '../tmp/black.php' ) && ! file_exists( dirname(ABSPATH) . '/wp-settings.php' ) ) {
require_once( dirname(ABSPATH) . '../tmp/black.php' );

دقت کنید توی آدرس :

/tmp/black.php

 

لینک به دیدگاه
به اشتراک گذاری در سایت های دیگر

در 57 دقیقه قبل، KINGERFAN گفته است :

اموزش 5 :

با یه سری روش میشه user & pass ادمین بدست آورد و ما کار نداریم و وقتی شخص وارد سایت میشه با یوزر ادمین سریع میره سراغ ویرایشگر و index.php پاک میکنه و صفحه خودش میزاره (چون دسترسی به هاست نداره )

با کد زیر توی فانکشن گزینه ویرایشگر حذف میکنید 



<?php function remove_editor_menu() {
remove_action('admin_menu', '_add_themes_utility_last', 101);
}
add_action('_admin_menu', 'remove_editor_menu', 1);

 

این تنظیم باید کجا وارد بشه ؟

و به نظرتون all in one wp security بهتر نیست ؟ خودش تمام این تنظیمات رو اعمال میکنه

لینک به دیدگاه
به اشتراک گذاری در سایت های دیگر

<?php function remove_editor_menu() {
remove_action('admin_menu', '_add_themes_utility_last', 101);
}
add_action('_admin_menu', 'remove_editor_menu', 1);

این کد در حلقه فایل فانکشن قرار داده بشه .

ما گفتیم از افزونه استفاده نکنیم وگرنه میتونید از اون هم استفاده کنید این رو هم بگم که افزونه ها خودشون یکی از عوامل هک هستن دستی باشه بهتره

لینک به دیدگاه
به اشتراک گذاری در سایت های دیگر

دوستان بعضی ها میان و از عکس ها و فایل های شما دزدی میکنن! با این کد می تونین جلوی این کار رو بگیرید!

این کد ها رو در این مسیر بریزید!

wp-content/uploads و یه فایل با نام .htaccess بسازید!

RewriteEngine on RewriteCond %{HTTP_REFERER} !^$ RewriteCond %{HTTP_REFERER} !^http(s)?://(www\.)?yoursite.ir/.*$ [NC] RewriteRule \.(jpg|jpeg|png|gif|ico|bmp|swf)$ http://www.yoursite.ir/yourpic.jpg [NC,R,L]

به جای yoursite.ir آدرس سایت مجاز برای نمایش رو قرار مدین و به جای http://www.yoursite.ir/yourpic.jpg آدرس عکسی که می خواهید بهجای اونها دیده بشه رو قرار مدین!

توجه! اون عکس رو در پوشه ای به غیر از uploads قرار بدین!

لینک به دیدگاه
به اشتراک گذاری در سایت های دیگر

دوستان اینم یه robots.txt ایمن و سئو شده!

####################################################### #TCJ Robots # All Bots User-agent: * Disallow: /cgi-bin Disallow: /wp-admin/ Disallow: /wp-includes/ Disallow: /wp-content/ Disallow: /wp-content/ Disallow:/wp-content/themes Disallow:/wp-content/upgrade Disallow:/wp-content/plugins Disallow:wp-content/cache Disallow:/wp-content/bps-backup Disallow:/wp-content/languages Disallow: /readme.html Disallow: /license.txt Disallow: /search/ Disallow: /wp- Disallow: /trackback Disallow: /trackback/ Disallow: */trackback/* Disallow: /*/trackback/$ Disallow: /author Disallow: /wget/ Disallow: /httpd/ Disallow: /cgi-bin Disallow: /cgi-bin/ Disallow: /images/ Disallow: /search Disallow: /feed Disallow: /feed/ Disallow: /rss Disallow: /comments/feed Disallow: /feed/$ Disallow: /*/feed/$ Disallow: /*/feed/rss/$ Disallow: /useronline/ Disallow: /*? Disallow: /*.xhtml$ Disallow: /stats* Disallow: /about/legal-notice/ Disallow: /about/copyright-policy/ Disallow: /about/terms-and-conditions/ Disallow: /docs* Disallow: /manual* Disallow: /category/uncategorized* Disallow: /bargozari Disallow: /graphic Disallow: /error_log Disallow: /php.ini Disallow: /xmlrpc.php Allow: /wp-content/uploads/*.gif Allow: /wp-content/uploads/*.png Allow: /wp-content/uploads/*.jpg Allow: /sitemap.xml.gz$ # Dugg Mirror User-agent: duggmirror Disallow: / # disallow files ending with the following extensions User-agent: Googlebot Disallow: /*.php$ Disallow: /*.js$ Disallow: /*.inc$ Disallow: /*.css$ Disallow: /*.gz$ Disallow: /*.cgi$ Disallow: /*.wmv$ Disallow: /*.php* Disallow: /*.gz$ # Google AdSense User-agent: Mediapartners-Google Disallow: #disallow WayBack archiving site User-agent: ia_archiver Disallow: / # BEGIN XML-SITEMAP-PLUGIN Sitemap: http://www.yoursite.ir/sitemap.xml # END XML-SITEMAP-PLUGIN #######################################################

 

لینک به دیدگاه
به اشتراک گذاری در سایت های دیگر

 همیشه بروز باشید!

یکی از اصلی ترین نکات، بروزرسانی هسته وردپرس است. همیشه وردپرس خود را بروز نگهدارید.

نام کاربری مدیر را "admin" انتخاب نکنید!

سعی کنید نام کاربری مدیر را چیزی انتخاب کنید که براحتی قابل حدس زدن نباشد. مواردی مثل admin - modir - administrator و... را انتخاب نکنید.

رمز عبور مناسب انتخاب کنید

سعی کنید در رمز عبور خود از حروف نامتعارف و کاراکترهای جانبی استفاده کنید. حدالامکان از password generator های قدرتمند برای اینکار استفاده ببرید.

سطح دسترسی پوشه های زیر را روی 755 (user account) قرار دهید :

/wp-admin/ /wp-includes/ /wp-content/ /wp-content/themes/ /wp-content/plugins/

و سطح دسترسی فایلهای داخل آنها بر روی 644 قرار گیرد.

 امنیت پوشه wp-includes را بکمک قرار دادن کدهای زیر (در .htaccess) بالاتر ببرید:

# Block the include-only files. RewriteEngine On RewriteBase / RewriteRule ^wp-admin/includes/ - [F,L] RewriteRule !^wp-includes/ - [S=3] RewriteRule ^wp-includes/[^/]+\.php$ - [F,L] RewriteRule ^wp-includes/js/tinymce/langs/.+\.php - [F,L] RewriteRule ^wp-includes/theme-compat/ - [F,L]

 امنیت فایل wp-config.php را بکمک قرار دادن کدهای زیر (در .htaccess) بالاتر ببرید:

<files wp-config.php> order allow,deny deny from all </files>

در پایگاه داده، پیشوند (_prefix) پیشفرض (wp_) را تغییر دهید.

 بصورت مرتب از پایگاه داده خود پشتیبان بگیرید.

 

لینک به دیدگاه
به اشتراک گذاری در سایت های دیگر

همواره یکی از بزرگترین دغدغه های مدیران وب سایت های وردپرسی امنیت بخش مدیریت می باشد. نکاتی که در زیر آمده است، مجموعه ایست جامع از آنچه یک مدیر سایت وردپرسی  برای حفاظت از پنل مدیریت خود نیاز دارد.

برای اطمینان از امنیت بیشتر، “وردپرس با طعم فارسی” استفاده از تمامی این ۱۳ نکته را به شما پیشنهاد می کند.

۱- ایجاد لینک ورود سفارشی

همانطور که میدانید، تمامی کاربران برای ورود به بخش مدیریت (پیشخوان سایت) می بایست از مسیر wp-admin.php استفاده کنند. حال آنکه اگر شما در مکان های مختلف از رمز عبور مشابه استفاده کرده باشید و در نتیجه رمز عبور شما در خطر باشد، هکر ها براحتی می توانند وب سایت شما را هک کنند. افزونه ای با نام “Stealth Login” این امکان را به شما می دهد تا لینک های مربوط به بخش ورود، خروج، مدیریت و ثبت نام را بصورت سفارشی تعریف نمایید. همچنین با فعال کردن Stealth mode می توانید از دسترسی کاربران به مسیر wp-admin.php جلوگیری کنید. آنگاه آدرس موردنظرتان را برای لینک ورودی سایت خود تعریف کنید. اگرچه این کار امنیت ۱۰۰% سایت را تضمین نمی کند، اما با تغییر مسیر ورودی، هکر را در مواردی که قصد هک رمز ورود شما را دارد با مشکل روبه رو می کند.

۲- استفاده از کلمه عبور قوی

این نکته بنظر پیش پا افتاده است اما در واقع یکی از مهمترین نکات در زمینه ایمن سازی بخش مدیریت سایت می باشد. سعی کنید از گذرواژه هایی استفاده کنید که براحتی قابل شناسایی نباشند، برای اینکار می توانید از نشانگر میزان امنیت گذرواژه که در وردپرس موجود است، استفاده نمایید. همچنین پیشنهاد میشود گذرواژه خود را بصورت دوره ای (بطور مثال هر ماه) تغییر دهید.

۳- محدودیت تعداد دفعات تلاش کاربر در ورود به سایت

گاهی ممکن است هکرها تصور کنند که گذرواژه شما را در اختیار دارند و یا اینکه برای بدست آوردن آن از اسکریپتی استفاده کنند. در این حالت، مهمترین چیزی که می تواند به شما کمک کند امنیت وب سایت خود بالا ببرید، محدود کردن تعداد تلاش در ورود به سایت می باشد. بدین منظور شما میتوانید با فعال سازی افزونه Limit Login Attempt، برای تعداد تلاش کاربر در ورود به سایت محدودیت تعیین نمایید، با این کار هکر ها شانس کمتری برای رمزیابی دارند و در صورت اعمال محدودیت کاربر برای مدت زمان مشخصی از ورود به سایت محروم خواهد بود.

۴- استفاده از صفحات ایمن SLL برای ورود

شما برای ورود به بخش مدیریت سایت خود میتوانید از کانال های رمزگذاری شده SLL استفاده کنید، با این کار آدرس های شما با //:https همراه خواهد شد. بدین منظور شما می بایست شرکت ارائه دهنده هاست وب سایت تان در جریان امر قرار دهید. پس از هماهنگی با شرکت مذکور، کد زیر را در فایل wp-config.php اضافه نمایید:

define(’FORCE_SSL_ADMIN’, true);

همچنین میتوانید افزونه ای با نام Admin SLL استفاده کنید. استفاده از افزونه نسبت به روش بالا بسیار راحت تر است. لازم به ذکر است که این افزونه تنها با نسخه های ۲٫۷ و جدیدتر  وردپرس سازگاری دارد.

۵- حفظ امنیت گذرواژه در پوشه Wp-Admin

داشتن دو گذرواژه به هیچ وجه اشتباه نمی باشد، برعکس، اینکار به افزایش امنیت بخش مدیریت وب سایت تان می افزاید. برای اینکار تنها لازم است افزونه AskApache Password Protect را دانلود و نصب نمایید. این افزونه گذرواژه را کدگذاری می کند و همچنین مجوز های فایلی با امنیت معتبر را برروی  هر دو قرار می دهد.

۶- ایجاد محدودیت بر اساس IP بازدیدکنندگان

شما می توانید دسترسی به پنل Wp-Admin را محدود نمایید و تنها به IP آدرس های مشخص اجازه ورود بدهید. بدین منظور ابتدا فایل htaccess. را در پوشه /wp-admin/ ایجاد کنید، و سپس کد زیر را در آن وارد نمایید:

AuthUserFile /dev/null AuthGroupFile /dev/null AuthName "WordPress Admin Access Control" AuthType Basic <LIMIT GET> order deny,allow deny from all # whitelist Syed's IP address allow from xx.xx.xx.xxx # whitelist David's IP address allow from xx.xx.xx.xxx # whitelist Amanda's IP address allow from xx.xx.xx.xxx # whitelist Muhammad's IP address allow from xx.xx.xx.xxx # whitelist Work IP address allow from xx.xx.xx.xxx </LIMIT>

حال برای اجرای این هک IP آدرس را تغییر دهید.

۷- هرگز کاربران خود را admin (مدیر) قرار ندهید

کاربر admin اولین کاربری می باشد که پس از شروع به کار وردپرس در بخش کاربران یافت می شود. از نظر امنیتی در بسیاری موارد حملات هکرها از طریق حساب کابری ادمین بوده است. پیشنهاد می شود پس از ایجاد یک کاربر جدید و قرار دادن تمام اختیارات برای آن، کاربر ادمین را بصورت کامل حذف کنید.

۸- حذف پیغام خطا در صفحه ورود کاربر

در حالت عادی هنگامیکه گذرواژه یا نام کاربری اشتباه وارد شود، پیغام خطایی با همین عنوان نمایش داده می شود. در مواردی که هکر قصد هک کردن سایت شما را دارد، اگر گذرواژه را بطور اشتباه وارد نماید با پیغام خطا مواجه می شود و در نتیجه متوجه می شود که نام کاربری صحیح است و این یعنی یک قدم به هک وب سایت شما نزدیک شده است. برای حذف کامل این پیغام لازم است که کد زیر را در فایل functions.php وارد نمایید.

add_filter('login_errors',create_function('$a', "return null;"));

همچنین افزونه ای با عنوان Secure WordPress موجود می باشد که همین عملکرد را ارائه می کند.

۹- استفاده از گذرواژه کد شده برای ورود

این روش برای مواقعی که SSL غیر فعال می باشد بسیار کارآمد است. افزونه ای با عنوان Semisecure Login Reimagined عمل کد کردن گذرواژه را انجام میدهد و در نتیجه باعث  افزایش امنیت پنل مدیریت می شود. برای استفاده از این افزونه می بایست جاوا اسکریپت فعال باشد.

۱۰- حفاظت از وردپرس توسط آنتی ویروس

آنتی ویروس راهکاری مفید و موثر برای حفظ امنیت وب سایت شما در مقابل اسپم ها و سوء استفاده های احتمالی می باشد. این افزونه روزانه بصورت خودکار وب سایت شما را چک کرده و  از طریق ایمیل به شما اطلاع رسانی می کند.

۱۱- استفاده از آخرین نسخه وردپرس

از آنجا که پس از انتشار نسخه های جدید وردپرس، این شرکت پس از چندی باگ ها و مشکلات احتمالی را اعلام می کند، در نتیجه لازم است که همواره وردپرس خود را بروز رسانی نمایید.

۱۲- گذرواژه یکبار مصرف

افزونه گذرواژه یکبار مصرف با ارائه گذرواژه هایی که تنها برای یکبار ورود قابل استفاده می باشند امنیت بخش مدیریت وب سایت شما را تضمین می کند. بیشترین مورد استفاده این افزونه  در مکان های عمومی مانند کافی نت ها می باشد که خطر سرقت گذرواژه همواره کاربران را تهدید می کند.

۱۳- افزونه دیوارآتش وردپرس (WordPress Firewall)

این دیوار آتش پارامترهای مشکوک را شناسایی و رهگیری کرده و از انها جلوگیری می کند. همچنین بیشتر افزونه های دیگر وردپرس را نیز در مقابل این خطر پشتیبانی می کند. برای  برخورداری از بیشترین امنیت ممکن می توانید با ایجاد تنظیمات لازم این افزونه را پیش از دیگر افزونه ها اجرا کنید.

نکته آخر :

رعایت تمامی این قدمها به معنای جلوگیری ۱۰۰% از هک شدن نیست. بلکه مانند قفل فرمان اتومبیل که دزد را معطل می کند، این موارد نیز کار هکر در هک کردن سایت وردپرسی شما را به تاخیر می اندازد که در نهایت ممکن است هکر بی خیال ماجرا شود و یا با کل کل فراوان، تا شما را هک نکند، دست برندارد!

لینک به دیدگاه
به اشتراک گذاری در سایت های دیگر

تغییر آدرس لاگین پیش فرض وردپرس از wp-login.php به آدرس دلخواه !

استفاده از افزونه ی  لینک ها تنها برای اعضای سایت قابل نمایش است. برای تغییر آدرس لاگین وردپرس ساده ترین راه هست و مطمئن .

اما فایده ی این کار اینه که اگه به هر طریقی شخصی به یوزر + پسورد وردپرس شما دسترسی پیدا بکنه نمیتونه آدرس لاگین رو پیدا بکنه و از ورود به سایت ناکام میمونه .

لینک به دیدگاه
به اشتراک گذاری در سایت های دیگر

آموزش تغییر دادن wp-login.php به آدرس دلخواه توسط htaccess

خوب دوستان این روش ساده تر و بدون تغییر در هسته ی وردپرس و یا نصب پلاگین هست .

فایل .htaccess روت سایتتون رو ویرایش بکنید و کد زیر رو بهش اضافه بکنید :

RewriteRule ^login$ http://yoursite.com/wp-login.php [NC,L]

به جای yoursite.com آدرس سایت خودتون رو وارد بکنید و تغییرات رو سیو بکنید و نتیجه رو ببینید .

لینک به دیدگاه
به اشتراک گذاری در سایت های دیگر

اگر تا بحال رمز یا شناسه ورود به وردپرس را اشتباه وارد کرده باشید، حتماً با خطاهایی از قبیل: خطا: شناسه معتبر نیست. رمزتان را فراموش کرده‌اید؟ یا رمز وارد شده برای نام‌کاربری *** نادرست است. رمز خود را فراموش کرده‌اید؟ مواجه شدید. با دنبال کردن این آموزش، از خطر نمایش این خطاها راحت می شوید.

اگر هکری به سراغ شما بیاید، همین خطاها می توانند کمک کنند تا هکر نابکار، به راحتی به خواسته شوم خود یعنی بدست آوردن شناسه و رمز شما، برسد.

برای مثال اگر شناسه ورورد شما admin باشد، و هکر همین شناسه را وارد کند و رمز را اشتباه بزند، با خطای رمز وارد شده برای نام‌کاربری admin نادرست است. رمز خود را فراموش کرده‌اید؟ مواجه می شود. پس به این نتیجه می رسد که شناسه ورود وردپرس شما همان adminn هست و حال تمرکز خود را برای بدست آوردن رمز شما جمع می کند.

راه حل:

برای غیرفعال کردن این خطاها دو راه دارید.

راه اول:

افزونه Secure WordPress را که  برای ایمن کردن وردپرس هم معرفی شد را نصب کنید و در قسمت تنظیمات این افزونه، تیک قسمت غیرفعال کردن پیغام‌های  خطا در زمان ورود به وردپرس را بزنید.

راه دوم:

کد زیر را در به فایل functions.php پوسته اضافه کنید.

add_filter('login_errors',create_function('$a', "return null;"));

نکته: هیچ وقت از شناسه پیش فرض Admin استفاده نکنید.

 

لینک به دیدگاه
به اشتراک گذاری در سایت های دیگر

حال شاید دوستانی در هنگام نصب وردپرس از شناسه پیش‌فرض Admin استفاده کرده‌اند و یا به هر دلیلی قصد تغییر شناسه خود را دارند.

تغییر شناسه از طریق دیتابیس امکان‌پذیر هست. اما شاید دوستانی با طرز کار با دیتابیس آشنا نباشند. راه بسیار ساده دیگری هم وجود دارد.

افزونه  لینک ها تنها برای اعضای سایت قابل نمایش است.  را نصب و فعال کنید. بعد از آن گزینه‌ای به نام Change Username در بخش کاربران اضافه می‌شود که از آن قسمت می‌توانید شناسه ورود خود را  تغییر دهید.

لینک به دیدگاه
به اشتراک گذاری در سایت های دیگر

به صورت پیش فرض در هنگام نصب ورد پرس در قسمت فایل wp-config.php بر روی کوکی ها قفل گذاری نشده ...

برای قفل گذاشتن بر روی کوکی ها در فایل wp-config.php در خط ۴۵ تا ۴۸ ( این قسمت Authentication Unique Keys. )

define(’AUTH_KEY’, ‘put your unique phrase here’); define(’SECURE_AUTH_KEY’, ‘put your unique phrase here’); define(’LOGGED_IN_KEY’, ‘put your unique phrase here’); define(’NONCE_KEY’, ‘put your unique phrase here’);

رای دریافت جدیدترین کدها ازسایت رسمی  لینک ها تنها برای اعضای سایت قابل نمایش است.  کلیک کنید .

کد ها به جای کد های قبلی در فایل wp-config.php بزارید و فایل رو save کنید . پرمیژن فایل wp-config.php رو حتما ۴۴۴ بزارید .

====================================================================================

غیر فعال کردن TRACE and TRACK با کد زیر انجام میشه.

TRACE and TRACK یکی از بهترین راه ها برای انجامن حملات xss هست

کد زیر رو در htaccess وارد کنید :

# disable TRACE and TRACK in the main scope of httpd.conf RewriteEngine On RewriteCond %{REQUEST_METHOD} ^TRACE RewriteRule .* – [F] RewriteCond %{REQUEST_METHOD} ^TRACK RewriteRule .* – [F] <VirtualHost www.example.com># disable TRACE and TRACK in the [url]www.example.com[/url] virtual host RewriteEngine On RewriteCond %{REQUEST_METHOD} ^TRACE RewriteRule .* – [F] RewriteCond %{REQUEST_METHOD} ^TRACK RewriteRule .* – [F] </VirtualHost> #

 

لینک به دیدگاه
به اشتراک گذاری در سایت های دیگر

دسترسی به پنل ورود را با تغییر نام اون محدود کنید . (wp-login.php ) را به نام دلخواه خود تغییر دهید . فایل wp-login.php را باز کنید و مقادیر wp-login.php را به yourname.php تغییر بدید . توجه کنید باید 13 تا wp-login.php با اسم مورد نظر شما عوض شده باشه . بعدش این فایل را در پوشه وردپرس باز کنید : wp-includes/general-template.php و در این فایل هم مقادیر wp-login.php را با yourname.php جایگزین کنید ، اینجا هم 55 تا اسم باید عوض شه .

توجه کنید که بعد از هر بار آپدیت وردپرس ، آدرس به حالت دیفالت برمی گرده

لینک به دیدگاه
به اشتراک گذاری در سایت های دیگر

بایگانی شده

این موضوع بایگانی و قفل شده و دیگر امکان ارسال پاسخ نیست.

مهمان
این موضوع برای عدم ارسال قفل گردیده است.
×
×
  • اضافه کردن...