امنیت وردپرس قسمت دوم
در قسمت اول راجع به ایمن سازی وردپرس در برابر حملات ده نکته را مورد بررسی قرار دادیم. اکنون به ادامه مطلب می پردازیم.
۱۱-رمزگذاری بر روی wp-admin
یکی از فولدرهای مهم در نصب وردپرس شما فولدر wp-admin است. همانطور که از نامش بر می آید حاوی فایلهای مربوط به صفحات ادمین وبلاگ است. پس بهتر است که اصلا” در دسترس عادی نباشد. این فولدر برخلاف wp-content که برای نصب افزونه ها و … مدام در حال تغییر است، فقط در زمان به روزرسانی وردپرس دچار تغییر میشود. برای بالا بردن ایمنی در داخل فایل منیجر هاست خود بر روی این فولدر یک رمز قوی بگذارید. فقط مراقب باشید خودتان آن را فراموش نکنید! در اغلب پانلها امکان password protect کردن فولدرها وجود دارد. فراموش نکنید فقط فولدر wp-admin و نه بقیه چیزها!
۱۲-دسترسی فولدرها را چک کنید. فولدرهای وردپرس باید سطح دسترسی ۷۵۵ داشته باشند. به هیچ وجه سطح دسترسی ۷۷۷ ایجاد نکنید. به هیچ وجه! اگر هم به دلایلی مجبور هستید موقتا” این کار را انجام دهید حتما” بعد از انجام کارتان به حالت قبلی برگردانید.
دقت کنید برخی فایلهای وردپرس سطح دسترسی کمتری از ۷۵۵ هم دارند. در شکل زیر دسترسی صحیح را مشاهده می کنید.
(read=4 write=2 execute=1)
13-فایلی با نام readme.html در فولدر اصلی بلاگ شما روی هاست وجود دارد که حاوی اطلاعات نسخه نصب شده وردپرس شماست. آن را پاک کنید.
۱۴-شما اکنون وردپرس نصب شده دارید پس لزومی ندارد که فایل اجراکننده روند نصب وجود داشته باشد. فایلی با نام install.php در فولدر wp-admin وجود دارد که باید پس از نصب پاک کنید. در صورتیکه نیاز داشتید دوباره فایلهای نصب را به داخل فولدر خود اضافه کنید.
۱۵-احتمالا” هاست شما امکان نصب با یک کلیک انواع سیستم های مدیریت محتوا را در اختیار شما گذاشته است. مثلا” با نامهایی مانند EasyApps یا Fantastico و … برای شما امکان نصب سریع سیستم مدیریت محتوا فراهم میکنند. اما معمولا” به دلیل اینکه تنظیمات این کدهای پیش آماده مشخص است ممکن است وبلاگ شما در معرض خطر و آسیب پذیری قرار گیرد. پس خودتان نصب را دستی انجام دهید.
لینک کوتاه : https://3zar.ir/?p=3468
مطلب جالبی بود
دست گلت درد نکنه واقعاً جای تشکر و قدر دانی داره
ممنون از لطفتون.
درود..سایت مفیدی دارید
تشکر ویژه
لایــــــــــــــــــــکــ داشت.
موفق باشید.
تشکر ویژه
سایت خوبی دارید
مطلب جالبی بود ممنون
اون فایل readme.html را اصلاً متوجهش نشده بودم تا حالا!
ممنون بهخاطر اطلاعرسانی!
موفق باشید!
منم تا حالا دقت نکرده بودم.خوشحالم مفید واقع شد امین جان.
این خوب بود رضا جان …
قربانت رضا جان.
مطلب مفیدی بود ممنون
من فایل install-helper هم پاک کردم
مشکلی که نیست؟
نه محمد جان مشکلی پیش نمیاد. 🙂
ببین آقا رضا …
این فایل install-helper دقیقا برای نصب چه چیزی هست؟
سلام اکبر جان تا اونجا فهمیدم در حین نصب میاد برای تیبل ها و مواردی از اون قبیل استفاده میشود.فایل اصلی install.php است.
سلام
این رمزگذاری روی پوشه wp-admin قبلا انجام دادم بودم که بیخیالش شدم
چون موقع لاگین و تنظیمات profile کاربر عادی، مسیر wp-admin استفاده میشه و ازش پسورد می خواد
سلام هادی جان
مشکلی در تست های انجام شده تا الان نبوده دوست من.
سلام
مگه میشه!! وقتی یه کاربر حالا چه ادمین چه کاربر عادی لوگین میکنه از wp-admin استفاده میشه!
خب اگه پسورد بذاری از هرکی به این مسیر بره پسورد میگیره
حالا لوگین من چون تغییر مسیر شده درسته ولی توی پروفایل از کاربر پسورد می خواد.
http://…/wp-admin/profile.php
سلام هادی جان
دقیقا!! پسورد گذاری روی wp-admin یکی راه موثر در جلوگیری از حملات می باشد.در تست هایی که انجام گرفته تا 87% حملات را میشه پیشگیری کرد.