آموزش های عمومیامنیتبخش وردپرسعمومیوردپرس

آموزشی آموزش قدم به قدم امنیت وردپرس

آموزشی آموزش قدم به قدم امنیت وردپرس
آموزشی آموزش قدم به قدم امنیت وردپرس
آموزشی آموزش قدم به قدم امنیت وردپرس
آموزشی آموزش قدم به قدم امنیت وردپرس
آموزشی آموزش قدم به قدم امنیت وردپرس

نوشته : عبدالماجد

با سلام خدمت دوستان محترم .

در این تایپیک میخواهیم راههای تامین هرچه بیشتر امنیت سایت ( وبلاگتان ) رو مرور کنیم .

قوانین این تایپیک :

هر گونه سوال امنیتی در بخش وردپرس/امنیت مطرح شود . ( در این بخش فقط آموزش ها قرار میگیرند)

اگر کسی قصد کپی کردن آموزشی از سایتی دیگر را دارد حتما منبع را ذکر بکند و حتی الامکان از مدیر سایت اجازه بگیرد .

اگر کسی سایتش مورد هجوم و هک قرار گرفت موضوع رو اعلام نکند چون احتمال سوء استفاده ی بیشتر وجود دارد و در صورت صلاحدید موضوع رو پ.خ بکند ( به یکی از مدیران ) تا مورد بررسی قرار بگیرد .

دوستان صبر بکنید اموزش ها کم کم شروع میشه .

با ما باشید تا تامین امنیت هرچه بیشتر سایت شما .

قوانین تایپیک : هر گونه سوال در تایپیک جداگانه مطرح شود .

از ارسال هر گونه اسپم جداً خودداری نمایید .

نوشته : Morteza

با تشکر از عبدالماجد عزیز

برای شروع چند مبحث کاربردی رو اینجا مطرح میکنم:

1- همیشه بروز باشید!

یکی از اصلی ترین نکات، بروزرسانی هسته وردپرس است. همیشه وردپرس خود را بروز نگهدارید.

2- نام کاربری مدیر را “admin” انتخاب نکنید!

سعی کنید نام کاربری مدیر را چیزی انتخاب کنید که براحتی قابل حدس زدن نباشد. مواردی مثل admin – modir – administrator و… را انتخاب نکنید.

3- رمز عبور مناسب انتخاب کنید

سعی کنید در رمز عبور خود از حروف نامتعارف و کاراکترهای جانبی استفاده کنید. حدالامکان از password generator های قدرتمند برای اینکار استفاده ببرید.

4- سطح دسترسی پوشه های زیر را روی 755 (user account) قرار دهید :

/wp-admin/
/wp-includes/
/wp-content/
/wp-content/themes/
/wp-content/plugins/

و سطح دسترسی فایلهای داخل آنها بر روی 644 قرار گیرد.

5- امنیت پوشه wp-includes را بکمک قرار دادن کدهای زیر (در .htaccess) بالاتر ببرید:

# Block the include-only files.
RewriteEngine On
RewriteBase /
RewriteRule ^wp-admin/includes/ - [F,L]
RewriteRule !^wp-includes/ - [S=3]
RewriteRule ^wp-includes/[^/] .php$ - [F,L]
RewriteRule ^wp-includes/js/tinymce/langs/. .php - [F,L]
RewriteRule ^wp-includes/theme-compat/ - [F,L]

6- امنیت فایل wp-config.php را بکمک قرار دادن کدهای زیر (در .htaccess) بالاتر ببرید:


order allow,deny
deny from all

7- در پایگاه داده، پیشوند (_prefix) پیشفرض (wp_) را تغییر دهید.

8- بصورت مرتب از پایگاه داده خود پشتیبان بگیرید.

منبع اصلی

نوشته : عبدالماجد

ممنون مرتضی عزیز ؛ به طور خلاصه نکات مفیدی رو ذکر کردی .

سطح دسترسی ها

برای فایلهای خودتون سطح دسترسی مناسب بزارید تا کار هکر مشکل بشه .

فایل index.php روت وردپرس رو کمترین سطح دسترسی رو بهش بدید تا فقط قابل خوندن باشه . در زیر تعدادی از فایلهایی که سطح دسترسی پایین باید داشته باشن رو ذکر میکنم .

wp-config.php

index.php

پوسته : index.php

functions.php

در صورتی که پرمیژن این دو فایل رو پایین قرار بدید امکان ویرایش این دو فایل از پوسته تون رو با وردپرس ندارید .

هر موقع احتیاج به ویرایش این فایلها پیدا کردید میتونید از فایل منیجر یا ftp پرمیژن بالاتری به این فایلها بدید .

برای امشب وقت ندارم بیشتر تایپ بکنم :D

بقیه اش باشه بعداً ;)

نوشته : montazer

سلام

تجربه ثابت کرده که بیشتر هک ها مربوط به ضعف امنیتی هاست می باشد و نه به وردپرس.

درضمن در مورد بند 7 آیا انتخاب پیشوند _prefix دلیل خاصی داره؟

دوستان می تونن برای امنیت بیشتر فایل wp-config.php رو بهش سطح دسترسی 400 بدهند و در یک پوشه قبل تر قرار بدهند.

و همچنین استفاده از افزونه های زیر پیشنهاد میشه:

BulletProof Security

Limit Login Attempts

وردپرس ایمن

Wordpress Firewall 2

WP Security Scan

WP-Beautifier

نوشته : عبدالماجد

سلام
تجربه ثابت کرده که بیشتر هک ها مربوط به ضعف امنیتی هاست می باشد و نه به وردپرس.

تایید میشه .

درضمن در مورد بند 7 آیا انتخاب پیشوند _prefix دلیل خاصی داره؟

در مستندات وردپرس تاکید شده بهش .

و اگه پلاگینی دارای باگ sql بود که نوع پیدا کردن تیبل ها از نوع billing باشه هکر به راحتی پیشوند تیبل ها رو حدس میزنه اما اگه چیزی دیگه بزارید هکر ( کرکر ) دچار مشکل میشه .

و همچنین استفاده از افزونه های زیر پیشنهاد میشه:
BulletProof Security
Limit Login Attempts
وردپرس ایمن
Wordpress Firewall 2
WP Security Scan
WP-Beautifier

اینا رو توی برنامه داشتم ( دارم ) که یک به یک توضیح بدم .

ما با دستکاریهایی و نصب پلاگین ها و تغییرات کمی میتونیم خیلی از مشکلات سرور رو تا حدی با وردپرس جبران بکنیم .

نوشته : عبدالماجد

جلوگیری از ایندکس شدن بعضی از فولدر های مهم !

همونطور که میدونید هسته ی وردپرس تقریبا هیچ باگی نداره و تنها باگهای وردپرس متعلق به پوسته ها و یا افزونه هاست .

یعنی بی توجهی بعضی برنامه نویسا باعث میشه که توی پلاگینشون باگ مثلا ( sqli , rfu , ویا حتی شاید lfu , ) پیدا بشه و اگه کسی باگ رو اکسپلویت بکنه برای بسیاری دردسر ساز میشه .

چون فولدر پاگینهای وردپرس به راحتی برای گوگل قابل مشاهده است ( مگه اینکه شما دایرکتوری لیستینگ رو غیر فعال کرده باشید ) که در این صورت تمامی پلاگینهایی که نصب کردید قابل ایندکس برای گوگل خواهند بود و اگه یکی از پلاگینهای مشکل دار رو نصب کرده باشید ممکنه توی نتایج یک دورک سایتتون بیاد و باری سایتتون مشکل پیش بیاد . ( اگه توضیح بیشتر در مورد مطالب خواستید بگید تا توضیح بدم )

با اضافه کردن این چند خط کد به فایل robots.txt از ایندکس شدن چند فولدر مهم توسط گوگل جلوگیری میکنیم :

Disallow: /wp-content/plugins
Disallow: /wp-content/cache
Disallow: /wp-content/themes

نوشته : عبدالماجد

BulletProof Security

پلاگینی کامل برای امنیت سایت ( هاست و وردپرس ) شما توسط .htaccess !

همونطور که میدونید معمولا هاستها یک سری دسترسی هایی رو باز میزارن که ممکنه خطر ساز باشه .

البته مشکل از هاست نیست و ما باید خودمون طبق خواسته هامون و بنا بر سیستمی که نصب میکنیم باید یک سری از موارد رو رعایت و به هاست اضافه بکنیم .

یکی از اون بخش ها فایل اچ تی اکسز یا همون .htaccess هست که بوسیه ی اون میتونید یک سری دستوراتی به آپاچی بدید و یک سری از دسترسی ها رو محدود کنید .

این پلاگین به جز تامین امنیت روت سایت شما بلکه قادر به ساخت یک فایل اچ تی اکسز داخل فولدر wp-admin برای جلوگیری از دسترسی هکر ( کرکر ) ها به این فولدر هست .

کار با پلاگین :

بعد از نصب این پلاگین ، یک منو به زیر منوی تنظیمات در پیشخوان وردپرس اضافه میشه که با رفتن به منو با یک صفحه که دارای چندین تب هست مواجه میشید .

قبل از هر کار با پلاگین از فایل اچ تی اکسز خودتون یک بک آپ بگیرید .

تب security modes :

ای اولین تب صفحه ی پلاگین هستش و قسمت اصلی اون !

قسمت active bulletproof modes

چهار قسمت داره که شما در هر چهار قسمت تیک گزینه ی bulletproof mode رو بزنید ( یک به یک ) و فعالشون بکنید تا اچ تی اکسز های مهم رو براتون بسازه .

تب های بعدی هم اطلاعات امنیتی و کلی سایت ، بک آپ گیری از اچ تی اکسز های ساخته شده و قسمت های اضافی ای داره که چندان مهم نیستن و مهم ترین بخش هاش تب اول دوم سوم و چهارم هستن که اطلاعات کلی و امنیتی سایتتون رو بهتون میدن و میتونید متوجه خطرات و یا نواقص سایتتون بشید .

نوشته : OmidSh

اگر تا بحال رمز یا شناسه ورود به وردپرس را اشتباه وارد کرده باشید، حتماً با خطاهایی از قبیل: خطا: شناسه معتبر نیست. رمزتان را فراموش کرده‌اید؟ یا رمز وارد شده برای نام‌کاربری *** نادرست است. رمز خود را فراموش کرده‌اید؟ مواجه شدید. با دنبال کردن این آموزش، از خطر نمایش این خطاها راحت می شوید.

اگر هکری به سراغ شما بیاید، همین خطاها می توانند کمک کنند تا هکر نابکار، به راحتی به خواسته شوم خود یعنی بدست آوردن شناسه و رمز شما، برسد.

برای مثال اگر شناسه ورورد شما admin باشد، و هکر همین شناسه را وارد کند و رمز را اشتباه بزند، با خطای رمز وارد شده برای نام‌کاربری admin نادرست است. رمز خود را فراموش کرده‌اید؟ مواجه می شود. پس به این نتیجه می رسد که شناسه ورود وردپرس شما همان admin هست و حال تمرکز خود را برای بدست آوردن رمز شما جمع می کند.

login-page.jpg

راه حل:

برای غیرفعال کردن این خطاها دو راه دارید.

راه اول:

افزونه Secure WordPress را که در مطلب 11 افزونه وردپرس برای ایمن کردن وردپرس هم معرفی شد را نصب کنید و در قسمت تنظیمات این افزونه، تیک قسمت غیرفعال کردن پیغام‌های خطا در زمان ورود به وردپرس را بزنید.

راه دوم:

کد زیر را در به فایل functions.php پوسته اضافه کنید.

add_filter('login_errors',create_function('$a', "return null;"));

نکته: هیچ وقت از شناسه پیش فرض Admin استفاده نکنید.

نوشته : OmidSh

حال شاید دوستانی در هنگام نصب وردپرس از شناسه پیش‌فرض Admin استفاده کرده‌اند و یا به هر دلیلی قصد تغییر شناسه خود را دارند.

تغییر شناسه از طریق دیتابیس امکان‌پذیر هست. اما شاید دوستانی با طرز کار با دیتابیس آشنا نباشند. راه بسیار ساده دیگری هم وجود دارد.

افزونه WPVN – Username Changer را نصب و فعال کنید. بعد از آن گزینه‌ای به نام Change Username در بخش کاربران اضافه می‌شود که از آن قسمت می‌توانید شناسه ورود خود را تغییر دهید.

نوشته : Amir

از اونجائی که همه حرفه ای نیستند بیان سرور و وردپرس رو هک کنند لذا دست به هک برای ایمیل میشوند برای امنیت 100% این قسمت ( که خودم متاسفانه از همین راه یه بار هک شدم ) میتونید کار زیر رو انجام بدید !

سعی کنید از ریدایرکت ایمیل استفاده کنید ، یعنی ایمیل اصلی سایت که براش یوزر و پسوورد ارسال میشه رو یه ریدایرکت ایمیل قرار بدید !

فایده اش هم اینه که طرف هیچ وقت به ایمیل اصلی دسترسی نداره که بخواد مشخصات رو گیر بیاره !

اگر کسی نیاز به آموزش ساخت ریدایرکت ایمیل داشت پیام خصوصی بده در خدمتم !

نوشته : Morteza

اگر ایمیل از سرویس های معتبر مثل گوگل باشه این راه تقریبا غیرممکن خواهد بود.

هک ایمیل خیلی خیلی سخت تر از هک سرور هست!

نوشته : Saeed Fard

درود ;

چندتا نکته هم من بگم ،

اقا مرتضی عزیز محافظت از wp-config رو گفتند ،،

– به همون صورت میتونیم از .htaccess محافظت کنیم با قرار دادن کد زیر در .htaccess



order allow,deny
deny from all

– مخفی کردن نگارش وردپرس شما که آقا پارسا در اینجا آموزشش رو قرار دادند ..

– محدود کردن تعداد دفعات ورود .. برای اینکار میتونید از افزونه‌ی


wordpress.org/extend/plugins/login-lockdown/

استفاده کنید ..

فرصتی بود به همراه دوستان مطالب بیشتری رو خواهیم گفت ..

نوشته : Amir

اگه مفید میدونید بهتره توضیح بدید تا دوستان هم استفاده کنند ..

مفید که ولله این روزها هرکی میخواد هک کن این راه رو انتخاب میکنه !

اولا به نام خدا دوما سلام !

مراحل کار :

اول تو پنل هاست تون ، تو قسمت ریدایرکت ایمیل به اکانت بسازید به این شکل :

مثال -> Info@wp-parsi.com To wp-parsi@gmail.com

_________________________________________________________

بعد برید تو اکانت جیمیل تون حالا چرا جیمیل چون قویترین سرویس دهنده ایمیل هستش و بنده این ترفند رو فقط دیدم جیمیل میتونه امکانش رو بده بهرحال توی قسمت Setting به تب Accounts and Import و قسمت Send mail as برید (طبق شکل زیر )

Untitled.jpg

_________________________________________________________

Add another email address you own رو بزنید صفحه تازه ای باز میشه … طبق شکل زیر عمل کنید :

ssss.jpg

اونجایی که نوشته نام : باید نام ایمیلی که میخواید برای دیگران نمایش داده بشه رو بنویسید

زیرش هم اون ایمیلی که تو هاست ساختیم یعنی : Info@wp-parsi.com

_________________________________________________________

Next Sterp رو بزنید ، مرحله بعد گزینه اولی رو بزنید و Send Verification رو انتخاب کنید ، اگر مراحل رو دقیق پیش رفته باشد یه ایمیل میاد به جیمیلتون ، اونو باز کنید یه confirmation code کد میده اونو مثل عکس زیر وارد کنید و سپس حالشو ببرید

gfdfghdh.jpg

نکته : زمان ارسال ایمیل اون ایمیل ظاهری رو انتخاب کنید … اگر بخواین میتونید توی تنظیمات حالت پیش فرض همین ایمیل info@wp-parsi.com رو قرار بدید … به این شکل کسی به ایمیل اصلیتون دسترسی نداره یعنی نمیدونه رو کدوم سرویس دهنده هستید که بخواد هک اتون بکنه !

نوشته : عبدالماجد

دوستان هرگونه سوال رو در تایپیک دیگه مطرح بکنید و در این تایپیک فقط مباحث آموزشی رو دنبال بکنید و اگه آموزشی دارید فقط اونو قرار بدید .

هاستینگ مناسب !

یکی از لوازم امنیت کامل هاست مناسب با امنیت بالا هست .

برخی از هاست ها دارای امنیتی بسیار پایین با ساختاری ساده ( خنده دار ) هستند که مناسب برای هک و به دست گرفتن کامل سرور هستند .

اگه میخواهید هک نشوید حتماً از جایی هاست بگیرید که سایتهای زیادی و حتی الامکان بزرگ و معروفی را هاست کرده باشند تا از بابت امن بودن مقداری اطمینان حاصل بکنید .

فرض مثال اگر سایت شما هیچگونه باگی نداشته باشد گاهاً هکر با یک دورک ساده میتواند یکی از سایتهای داراری باگ در سرور را شناسایی کرده ، هک کند و از طریق ورود به سایت هک شده به سادگی تمام سایت شما را هم دیفیس بکند و این یعنی شما امنیت پایینی دارید ( هر چند سی ام اس شما مثلا وردپرس از همه لحاظ امن باشد ).

امنیت سایتی را بررسی میکردم متوجه شدم فقط با چند کلیک به تمامی سایتهای روی هاست ( بیش از چند صد و یا بالای هزار سایت ) دسترسی کامل دارم و این دسترسی به سادگی تمام کلیه ی سایتهای سرور را با خطر فوق العاده بالا مواجه کرده بود .

سعی میکنیم یک تایپیک جهت بررسی هاستینگ های مناسب در انجمن درست بکنیم تا هاستینگ هایی که از حاظ امنیت قوی ، خوب و متوسط هستند رو به شما معرفی بکنیم .

نوشته : tazeh

همواره یکی از بزرگترین دغدغه های مدیران وب سایت های وردپرسی امنیت بخش مدیریت می باشد. نکاتی که در زیر آمده است، مجموعه ایست جامع از آنچه یک مدیر سایت وردپرسی برای حفاظت از پنل مدیریت خود نیاز دارد.

Untitled-1-300x254.jpgبرای اطمینان از امنیت بیشتر، “وردپرس با طعم فارسی” استفاده از تمامی این 13 نکته را به شما پیشنهاد می کند.

1- ایجاد لینک ورود سفارشی

همانطور که میدانید، تمامی کاربران برای ورود به بخش مدیریت (پیشخوان سایت) می بایست از مسیر wp-admin.php استفاده کنند. حال آنکه اگر شما در مکان های مختلف از رمز عبور مشابه استفاده کرده باشید و در نتیجه رمز عبور شما در خطر باشد، هکر ها براحتی می توانند وب سایت شما را هک کنند. افزونه ای با نام “Stealth Login” این امکان را به شما می دهد تا لینک های مربوط به بخش ورود، خروج، مدیریت و ثبت نام را بصورت سفارشی تعریف نمایید. همچنین با فعال کردن Stealth mode می توانید از دسترسی کاربران به مسیر wp-admin.php جلوگیری کنید. آنگاه آدرس موردنظرتان را برای لینک ورودی سایت خود تعریف کنید. اگرچه این کار امنیت 100% سایت را تضمین نمی کند، اما با تغییر مسیر ورودی، هکر را در مواردی که قصد هک رمز ورود شما را دارد با مشکل روبه رو می کند.

stealthlogin-300x256.gif2- استفاده از کلمه عبور قوی

این نکته بنظر پیش پا افتاده است اما در واقع یکی از مهمترین نکات در زمینه ایمن سازی بخش مدیریت سایت می باشد. سعی کنید از گذرواژه هایی استفاده کنید که براحتی قابل شناسایی نباشند، برای اینکار می توانید از نشانگر میزان امنیت گذرواژه که در وردپرس موجود است، استفاده نمایید. همچنین پیشنهاد میشود گذرواژه خود را بصورت دوره ای (بطور مثال هر ماه) تغییر دهید.

strongpassword.gif3- محدودیت تعداد دفعات تلاش کاربر در ورود به سایت

گاهی ممکن است هکرها تصور کنند که گذرواژه شما را در اختیار دارند و یا اینکه برای بدست آوردن آن از اسکریپتی استفاده کنند. در این حالت، مهمترین چیزی که می تواند به شما کمک کند امنیت وب سایت خود بالا ببرید، محدود کردن تعداد تلاش در ورود به سایت می باشد. بدین منظور شما میتوانید با فعال سازی افزونه Limit Login Attempt، برای تعداد تلاش کاربر در ورود به سایت محدودیت تعیین نمایید، با این کار هکر ها شانس کمتری برای رمزیابی دارند و در صورت اعمال محدودیت کاربر برای مدت زمان مشخصی از ورود به سایت محروم خواهد بود.

screenshot.gif4- استفاده از صفحات ایمن SLL برای ورود

2012-04-26_142837.pngشما برای ورود به بخش مدیریت سایت خود میتوانید از کانال های رمزگذاری شده SLL استفاده کنید، با این کار آدرس های شما با //:https همراه خواهد شد. بدین منظور شما می بایست شرکت ارائه دهنده هاست وب سایت تان در جریان امر قرار دهید. پس از همآهنگی با شرکت مذکور، کد زیر را در فایل wp-config.php اضافه نمایید:

define(’FORCE_SSL_ADMIN’, true);

همچنین میتوانید افزونه ای با نام Admin SLL استفاده کنید. استفاده از افزونه نسبت به روش بالا بسیار راحت تر است. لازم به ذکر است که این افزونه تنها با نسخه های 2٫7 و جدیدتر وردپرس سازگاری دارد.

5- حفظ امنیت گذرواژه در پوشه Wp-Admin

askapache-300x193.gifداشتن دو گذرواژه به هیچ وجه اشتباه نمی باشد، برعکس، اینکار به افزایش امنیت بخش مدیریت وب سایت تان می افزاید. برای اینکار تنها لازم است افزونه AskApache Password Protect را دانلود و نصب نمایید. این افزونه گذرواژه را کدگذاری می کند و همچنین مجوز های فایلی با امنیت معتبر را برروی هر دو قرار می دهد.

6- ایجاد محدودیت بر اساس IP بازدیدکنندگان

شما می توانید دسترسی به پنل Wp-Admin را محدود نمایید و تنها به IP آدرس های مشخص اجازه ورود بدهید. بدین منظور ابتدا فایل htaccess. را در پوشه /wp-admin/ ایجاد کنید، و سپس کد زیر را در آن وارد نمایید:


AuthUserFile /dev/null
AuthGroupFile /dev/null
AuthName "WordPress Admin Access Control"
AuthType Basic

order deny,allow
deny from all
# whitelist Syed's IP address
allow from xx.xx.xx.xxx
# whitelist David's IP address
allow from xx.xx.xx.xxx
# whitelist Amanda's IP address
allow from xx.xx.xx.xxx
# whitelist Muhammad's IP address
allow from xx.xx.xx.xxx
# whitelist Work IP address
allow from xx.xx.xx.xxx

حال برای اجرای این هک IP آدرس را تغییر دهید.

7- هرگز کاربران خود را admin (مدیر) قرار ندهید

کاربر admin اولین کاربری می باشد که پس از شروع به کار وردپرس در بخش کاربران یافت می شود. از نظر امنیتی در بسیاری موارد حملات هکرها از طریق حساب کابری ادمین بوده است. پیشنهاد می شود پس از ایجاد یک کاربر جدید و قرار دادن تمام اختیارات برای آن، کاربر ادمین را بصورت کامل حذف کنید.

8- حذف پیغام خطا در صفحه ورود کاربر

errormessage-300x193.gifدر حالت عادی هنگامیکه گذرواژه یا نام کاربری اشتباه وارد شود، پیغام خطایی با همین عنوان نمایش داده می شود. در مواردی که هکر قصد هک کردن سایت شما را دارد، اگر گذرواژه را بطور اشتباه وارد نماید با پیغام خطا مواجه می شود و در نتیجه متوجه می شود که نام کاربری صحیح است و این یعنی یک قدم به هک وب سایت شما نزدیک شده است. برای حذف کامل این پیغام لازم است که کد زیر را در فایل functions.php وارد نمایید.

add_filter('login_errors',create_function('$a', "return null;"));

همچنین افزونه ای با عنوان Secure WordPress موجود می باشد که همین عملکرد را ارائه می کند.

9- استفاده از گذرواژه کد شده برای ورود

این روش برای مواقعی که SSL غیر فعال می باشد بسیار کارآمد است. افزونه ای با عنوان Semisecure Login Reimagined عمل کد کردن گذرواژه را انجام میدهد و در نتیجه باعث افزایش امنیت پنل مدیریت می شود. برای استفاده از این افزونه می بایست جاوا اسکریپت فعال باشد.

10- حفاظت از وردپرس توسط آنتی ویروس

آنتی ویروس راهکاری مفید و موثر برای حفظ امنیت وب سایت شما در مقابل اسپم ها و سوء استفاده های احتمالی می باشد. این افزونه روزانه بصورت خودکار وب سایت شما را چک کرده و از طریق ایمیل به شما اطلاع رسانی می کند.

11- استفاده از آخرین نسخه وردپرس

از آنجا که پس از انتشار نسخه های جدید وردپرس، این شرکت پس از چندی باگ ها و مشکلات احتمالی را اعلام می کند، در نتیجه لازم است که همواره وردپرس خود را بروز رسانی نمایید.

12- گذرواژه یکبار مصرف

افزونه گذرواژه یکبار مصرف با ارائه گذرواژه هایی که تنها برای یکبار ورود قابل استفاده می باشند امنیت بخش مدیریت وب سایت شما را تضمین می کند. بیشترین مورد استفاده این افزونه در مکان های عمومی مانند کافی نت ها می باشد که خطر سرقت گذرواژه همواره کاربران را تهدید می کند.

13- افزونه دیوارآتش وردپرس (WordPress Firewall)

Firewall-300x167.png

این دیوار آتش پارامترهای مشکوک را شناسایی و رهگیری کرده و از انها جلوگیری می کند. همچنین بیشتر افزونه های دیگر وردپرس را نیز در مقابل این خطر پشتیبانی می کند. برای برخورداری از بیشترین امنیت ممکن می توانید با ایجاد تنظیمات لازم این افزونه را پیش از دیگر افزونه ها اجرا کنید.

نکته آخر :

رعایت تمامی این قدمها به معنای جلوگیری 100% از هک شدن نیست. بلکه مانند قفل فرمان اتومبیل که دزد را معطل می کند، این موارد نیز کار هکر در هک کردن سایت وردپرسی شما را به تاخیر می اندازد که در نهایت ممکن است هکر بی خیال ماجرا شود و یا با کل کل فراوان، تا شما را هک نکند، دست برندارد!

منبع:wpfarsi.com

نوشته : Morteza

افزونه stealth-login از دور خارج و دیگه در منبع قابل دریافت نیست.

نوشته : عبدالماجد

افزونه stealth-login از دور خارج و دیگه در منبع قابل دریافت نیست.

یکی از مهمترین نکات امنیتی به روز بودن هست .

سعی کنید به محض آپدیت شدن وردپرس یا پلاگینی سریعاً خودتون رو هم آپدیت کنید !!!

گاهاً یک باگ در پلاگینی پیدا میشه و بعد مدتی پابلیک میشه و ( اگه شما از این سری پلاگینها استفاده بکنید ) در این صورت سایت شما یک لقمه ی آماده برای هکرهای تازه کار میشه تا روی سایت شما تمرین بکنند .

البته همه ی پلاگینها دارای مشکل امنیتی نیستند و فقط به خاطر آپدیت نشدنشون از مخزن پلاگینها در دسترس نیستند ولی باز هم در مورد همچنین پلاگینهایی احتیاط رو سرلوحه ی کارتون قرار بدید .

نوشته : محسن غیاثی

وبینار امنیت وردپرس که سایت iThemes چند وقت پیش برگزار کرد هم ارزش مطالعه و دیدن رو داره:

http://ithemes.tv/lockdown-wordpress-security-tips-from-sucuri/

نوشته : عبدالماجد

تغییر آدرس لاگین پیش فرض وردپرس از wp-login.php به آدرس دلخواه !

استفاده از افزونه ی http://wordpress.org…/stealth-login/ برای تغییر آدرس لاگین وردپرس ساده ترین راه هست و مطمئن .

اما فایده ی این کار اینه که اگه به هر طریقی شخصی به یوزر پسورد وردپرس شما دسترسی پیدا بکنه نمیتونه آدرس لاگین رو پیدا بکنه و از ورود به سایت ناکام میمونه .

نوشته : عبدالماجد

آموزش تغییر دادن wp-login.php به آدرس دلخواه توسط htaccess

خوب دوستان این روش ساده تر و بدون تغییر در هسته ی وردپرس و یا نصب پلاگین هست .

فایل .htaccess روت سایتتون رو ویرایش بکنید و کد زیر رو بهش اضافه بکنید :

RewriteRule ^login$ yoursite.com/wp-login.php [NC,L]

به جای yoursite.com آدرس سایت خودتون رو وارد بکنید و تغییرات رو سیو بکنید و نتیجه رو ببینید .

نوشته : عبدالماجد

دوستان راه هایی رو گفتند که نگارش وردپرس رو مخفی نگه داریم علاوه بر اون فایل readme.html رو هم حذف کنید چون اگر حذف نکنید با example.com/readme.html میشه نگارش وردپرستون رو متوجه شد

ممنون دوست عزیز بابت یادآوری !

برای اخفای فایل readme.html طبق روش زیر عم بکنید :

اول این فایل رو تغییر نام بدید ( به یک اسمی که تصادفی باشه و به ذهن کسی نرسه ) یا حذفش بکنید

بعد یک فایل خالی با همین نام ایجاد بکنید و پرمیژن ( سطح دسترسی)ش رو 400 بگذارید .

با این کار در آپدیت های بعدی فایل جدید از بسته ی وردپرس جایگزین فایل ساخته شده توسط شما به خاطر سطح دسترسی پایینش نخواهد شد و لازم نیست با هر بار آپدیت فایل readme.html را هم حذف بکنید .

نوشته : عبدالماجد

مخفی سازی نسخه ی وردپرس

گاهاًٌ در برخی نسخه های وردپرس طبق معمول سیستم های اوپن سورس باگهایی با درجات امنیتی مختلف پیدا و منتشر میشوند که ممکن است کسی که از آن باگ اطلاع دارد قصد سوء استفاده از باگ موجود در نسخه ی وردپرس شما را داشته باشد .

البته ما به شما توصیه میکنیم که از هر سیستمی چه وردپرس ، جوملا و …. استفاده میکنید سایت خود را بروز نگه دارید تا دست سوء استفاده کنندگان را از سایت خود دور نگه دارید .

حال اگر به خاطر دلایلی مثلا درس و امتحان و یا …. مدتی نمیتوانید به سایت سر بزنید پیشنهاد میکنیم با دستوری که برایتان قرار میدهم نسخه ی وردپرس را از سورس کدهای سایت خود حذف بکنید .

البته راههای زیادی برای فهمیدن نسخه ی وردپرس نصب شده ی سایت شما وجود دارد اما یکی از ساده ترین راهها جستجو در سورس سایت است که با این دستور از این طریق کسی کار به جایی نبرده و به اصطلاح به کاه دون میزند .

 

این دستور را به فایل فانکشن قالبتان اضافه نمایید .

اگر این فایل موجود نبود فایلی به نام functions.php درون پوشه ی پوسته ی مورد نظرتان ساخته و دستور فوق را در آن ذخیره نمایید .

نوشته : Morteza

سوالهای تاپیک در اینجا مطرح بشن و این تاپیک فقط بحث آموزشی دنبال میشه.

هرگونه ارسال سوال در این تاپیک = دریافت اخطار

نوشته : MohammadHossein

اگر اجازه بدید،تصمیم گرفتم توی این تاپیک یکسری پست مفید و آموزشی بدم:

به صورت پیش فرض در هنگام نصب ورد پرس در قسمت فایل wp-config.php بر روی کوکی ها قفل گذاری نشده …

برای قفل گذاشتن بر روی کوکی ها در فایل wp-config.php در خط 45 تا 48 ( این قسمت Authentication Unique Keys. )


define(’AUTH_KEY’, ‘put your unique phrase here’);
define(’SECURE_AUTH_KEY’, ‘put your unique phrase here’);
define(’LOGGED_IN_KEY’, ‘put your unique phrase here’);
define(’NONCE_KEY’, ‘put your unique phrase here’);

رای دریافت جدیدترین کدها ازسایت رسمی اینجا کلیک کنید .

کد ها به جای کد های قبلی در فایل wp-config.php بزارید و فایل رو save کنید . پرمیژن فایل wp-config.php رو حتما 444 بزارید .

====================================================================================

غیر فعال کردن TRACE and TRACK با کد زیر انجام میشه.

TRACE and TRACK یکی از بهترین راه ها برای انجامن حملات xss هست

کد زیر رو در htaccess وارد کنید :


# disable TRACE and TRACK in the main scope of httpd.conf
RewriteEngine On
RewriteCond %{REQUEST_METHOD} ^TRACE
RewriteRule .* – [F]
RewriteCond %{REQUEST_METHOD} ^TRACK
RewriteRule .* – [F]
# disable TRACE and TRACK in the [url]www.example.com[/url] virtual host
RewriteEngine On
RewriteCond %{REQUEST_METHOD} ^TRACE
RewriteRule .* – [F]
RewriteCond %{REQUEST_METHOD} ^TRACK
RewriteRule .* – [F]

#

نوشته : Morteza

سلان

بهتره سطح دسترسی روی 777 نباشه. چون دسترسی کامل هست و خطرناک!

فایل موردنظر شما هم جزء فایلهای اصلی وردپری نیست.


(1) اموزش امنیت در وردپرس پروژه ایمن سازی
اموزش امنیت در وردپرس پروژه ایمن سازی وردپرس - آکادمی مجازی ایران 123


(2) آموزش ویدیوئی 0 تا 100 افزایش امنیت وردپرس
آموزش ویدیوئی 0 تا 100 افزایش امنیت وردپرس


(3) دوره آموزش امنیت وردپرس - متخصص امنیت
دوره آموزش امنیت وردپرس - متخصص امنیت وردپرس شوید


(4) فیلم آموزشی قدم به قدم نوشتن مطلب در
فیلم آموزشی قدم به قدم نوشتن مطلب در وردپرس با تمامی جزئیات - آیلین وب


(5) آموزش نحوه نصب افزونه در وردپرس
آموزش نحوه نصب افزونه در وردپرس - آموزش قدم به قدم


(6) نکات افزایش امنیت در وردپرس قدم به قدم
نکات افزایش امنیت در وردپرس قدم به قدم دیجی وردپرس


(7) امنیت وردپرس آموزش ویدیویی تکنیک های
امنیت وردپرس آموزش ویدیویی تکنیک های امنیت و حفاظت حرفهای از وردپرس


(8) آموزش قدم به قدم کار با وردپرس
آموزش قدم به قدم کار با وردپرس


(9) دوره امنیت کامل در سایت وردپرسی - وب
دوره امنیت کامل در سایت وردپرسی - وب سایت آموزشی زرین درس


(10) کامل ترین پکیج آموزش امنیت وردپرس
کامل ترین پکیج آموزش امنیت وردپرس

دیدگاهتان را بنویسید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *

13 − 12 =

دکمه بازگشت به بالا