ورود عضویت ویژه
مشهدهاست
برای خرید سزار قیمت پیشنهادی خود را فقط با شماره 09333023200 تلگرام نمائید.

امنیت وردپرس قسمت سوم

12345
امنیت وردپرس قسمت سومبازبینی توسط باران مهرانگیز(سردبیر بخش طراحی و توسعه) در ۲۱-۰۴-۱۳۹۱امتیاز: 5.0امنیت وردپرس قسمت سومدر قسمتهای اول دوم راجع به ایمن سازی وردپرس در برابر حملات پانزده نکته را مورد بررسی قرار دادیم. اکنون در قسمت آخر به ادامه مطلب می پردازیم. ۱۶-ادیتور پلاگین ...

در قسمتهای اول دوم راجع به ایمن سازی وردپرس در برابر حملات پانزده نکته را مورد بررسی قرار دادیم. اکنون در قسمت آخر به ادامه مطلب می پردازیم.

امنیت وردپرس قسمت سوم

۱۶-ادیتور پلاگین و تم را غیر فعال کنید تا شانس خرابکاری در صورت عبور از سدهای قبلی با محدودیتی جدی برای هکر روبرو شود. برای این کار کد زیر را در داخل فایل wp-config.php خود اضافه کنید. (این کد ممکن است در اینجا نامناسب نمایش داده شود اما اگر کپی کنید و در ویرایشگر متنی وارد کنید درست نمایش داده میشود)

با این کار اگر هکر به نحوی بتواند از مسیری وارد سیستم مدیریت محتوای شما شود قادر نخواهد بود با دستکاری پلاگینها و یا قالبها موفق به خرابی کل سایت شما شود چون ابزار کارش بسته است.

۱۷-مهمترین راه مقابله با حملات تزریق در داخل دیتابیس تغییر پیشوند پیش فرض وردپرس است. این پیش فرض در حالت عادی _wp است. با تغییر دادن این پیشوند کار هکر به میزان بسیار زیادی در تزریق داخل دیتابیس محدود میشود. این پیشوند میتواند شامل حروف و عدد باشد. سعی کنید یک چیز غیر قابل حدس زدن بسازید. مثلا” _w2fx3b1
برای انجام این کار دو راه ساده دارید.

الف-با رفتن داخل MyPhpAdmin از دیتابیس خود یک بک آپ بگیرید. سپس فایل SQL را داخل یک ویرایشگر متنی مانند Notepad باز کنید و کلیه پیشوندها را Replace کنید و سپس آن را با فرمت UTF-8 مجددا” ذخیره کنید. سپس یک دیتابیس و کاربر دیتابیس جدید در هاست خود بسازید و این فایل SQL را داخل آن Import کنید. سپس به نحوی که در ادامه خواهم گفت فایل wp-config.php را ویرایش نمایید.
ب-اگر به هر دلیلی روش فوق جواب نمی دهد با این روش اقدام کنید. ابتدا خروجی WXR سایت خود که یک فایل xml است از طریق ابزارهای بیرون ریزی که در بخش ابزارهای وردپرس موجود است را دانلود و ذخیره کنید.
حال یک دیتابیس و کاربر دیتابیس جدید بسازید. در نهایت فایل wp-config.php را ویرایش نمایید و در آن مقادیر مربوط به دیتابیس را قرار دهید و همچنین داخل این فایل تعریف پیشوند وردپرس را از _wp به آن چیزی که مد نظرتان است تغییر دهید.
حال از کل هاست خود بک فول بک آپ بگیرید که اگر مشکلی بود برگردید. بعد هم وردپرس خود را پاک کنید و از نو در هاست خود با همین دیتابیس و … که جدیدا” ساختید یک وردپرس نو نصب کنید. حال افزونه و لینکها و کاربران و … را دستی وارد وردپرس جدید نمایید. در نهایت هم محتوای بلاگ خود را از طریق همان فایل WXR از طریق ابزارهای درون ریزی به داخل وردپرس وارد کنید. اگر حجم فایل مذکور بالاست و مستقیم نمی توانید آن را اپلود نمایید با نرم افزار WXR File Splitter آن را چند تکه کنید و یکی یکی درون ریزی نمایید. این برنامه رایگان و کم حجم را با جستجو در گوگل می یابید.
این مرحله شاید کمی وقت گیر باشد اما مهمترین دری است که به روی هکرها می بندید. ۹۰ درصد هکها در داخل دیتابیس صورت میگیرد.

نحوه ویرایش فایل wp-config.php

فایل را داخل ویرایشگری متنی باز کنید و در بخش

پیشوند خود را وارد کنید. سپس آن را ذخیره کنید.

18-اگر سرور شما آپاچی است با استفاده از تغییر دسترسی در فایل htaccess. محدودیتهایی زیر را اعمال کنید:

الف-دسترسی به طور کامل برای فایل wp-config.php بسته شود.

ب-امکان ایندکس کردن فولدرها حتی اگر حاوی فایل index هم نباشند بسته شود تا محتوای فولدرها برای هکرها مخفی بماند.

ج-امکان درخواست اجرای کد و اسکریپت بسته شود.

برای این کار یک فایل متنی باز کنید و محتویات زیر را در آن بزنید:

حال این فایل را با نامhtaccess.txt ذخیره کنید و در ریشه یا root هاست خود اپلود کنید و در انجا نام آن را به htaccess. تغییر دهید. فایل htaccess. یک فایل موروثی است یعنی اگر پوشه ای این فایل را نداشته باشد تنظیماتش را از فایل htaccess. پوشه بالایی یا همان والد خود دریافت می کند و به همین شیوه تا آخر که ریشه هاست است. پس اگر این فایل برای پوشه مورد نظر شما موجود نبود می توانید یک فایل با این نام در پوشه ایجاد نمایید و به دلخواه تنظیم کنید

19-برای مقابله با اسپمهای سیل آسا از افزونه هایی که برای ارسال کامنت نوشتن متن داخل عکس را درخواست میکنند نصب کنید. با این کار عملا” در اسپم را هم به روی هکرها بسته اید زیرا با تعداد بالای ارسال اسپم میتوانند سیستم مدیریت محوتای شما را دچار دردسر کنند. این افزونه ها در نام خود کلمه  captcha را دارند. با جستجوی کلمات wordpress captcha comments در گوگل به این افزونه ها دست خواهید یافت.

۲۰-در بخش افزونه های وردپرس با جستجو کردن به دنبال افزونه های با عنوان security باشید و آنهایی که مناسب تشخیص میدهید نصب کنید. چون ممکن است افزونه ای که نام میبرم با ورژن وردپرس شما سازگار نباشد نامی از آنها نمی آورم.

در نهایت هم سعی کنید با سر زدن به فروم فارسی وردپرس در جریان تغییرات لازم و به روز شده که توسط کاربران مختلف بحث میشود قرار بگیرید.
فراموش نکنید امنیت صد در صدی نیست اما با تمهیداتی می توانید راه عبور را به شدت دشوار سازید. راهی که هر کسی امکان عبور نداشته باشد.

QR: امنیت وردپرس قسمت سوم
مرجع : سزار
لینک کوتاه : http://www.3zar.ir/?p=3600
Processing your request, Please wait....
  • دیدگاهتان را فقط در رابطه با همین موضوع ثبت کنید, در غیر اینصورت پاسخ داده نخواهد شد.
  • اگر سوالتان به بررسی سایت مربوط می شود حتما آدرس سایت را ذکر کنید.
  • استفاده از نام های تبلیغاتی و آدرس سایت ها غیر مرتبط, باعث عدم تایید و پاسخ به دیدگاه می شود.
  • دیدگاه‌های کاربران 28 نظر

    1. وحید اسماعیلی

      خدا خیرت بده

    2. مصطفی ناظری راد

      ممنون.

    3. مجید قربانی شمس آبادی

      کوتاه و مفید

    4. خدا خیرت بده

    5. سید علی شعاع حسینی

      خیلی دنبالش بودم.تشکر

    6. مطلب جالبی بود

    7. روزبه شهریار زاد

      دست گلت درد نکنه واقعاً جای تشکر و قدر دانی داره

    8. سلام. این خیلی عالیه. مرسی هزار بار

    9. امین رمضانی

      مطلب جالبی بود

    10. ممنو بخاطر این مقالات ارزشمند

      من وقتی کد های بالا را تو اچ تی اکسس می ریزم سایتم ارور 500 می ده و بالا نمی آید ؟

      ضمنا اگر تغییر دادن WP می ترسم . خطری هست

      • VIP

        سلام حسین جان.پرمیشن فولدر هات چیه؟ در صورت که server api ی هاستت cgi باشه وقتی پرمشن ها روی 777 قرار بگیره همچین اروری میده. باید 755 قرار بدی. البته اگه مشکل فقط همین باشه.
        باید بدونی که مهمترین عامل ارور 500 وجود پرمیشن های نادرست برای فایل ها و فولدرهاست اگر از صحت پرمیشن ها مطمئن هستید برای رفع ارور ابتدا قبل از ورود به فایل منیجر تیک گزینه
        Show Hidden Files
        را زده و وارد فایل منیجر شوید در شاخه ای که فایل ارور میدهد در
        htaccess
        خود متن زیر را کپی کنید

        اگر متن فوق وجود داشت مطمئن شوید که بجای
        allow from all
        نوشته نشده باشد
        deny from all
        که اگر اینگونه بود deny را به allow تغییر دهید

    11. آقا رضا

      برای من که کار نکرد 1

      پرمیشن هام درسته و اینکه کد ها را به اچ تی اکسس اضافه می کنم ارور 500 را می ده و سایت بالا نمی آید ./

      ممنون الان دارم روی تغییر wp- کار می کنم خدا کنه این دیگه کار کنه و سایتم …. نشه

      • سلام حسین جان
        در مورد مشکل شما باید بیشتر بررسی شود .
        در مورد -wp لطفاً backup را تهیه کنید .
        این مورد را برای دیتابیس سزار پیاده سازی نمودیم .
        موفق باشید
        یا علی

    12. سلام

      حمید جان

      یک سئوال به جای wp- بیشتر از 6 کاراکتر اجازه نمیده که باشه و از اعداد و حروف باید باشه

      درسته ؟!

    13. آقا

      من می توانم از مطالب سایتتون در وبلاگم استفاده کنم

      البته با ذکر منبع و لینک مطلب

      می توانم این کار را انجام بدم

      • VIP

        تشکر حسین جان.
        این نشانه شخصیت و بزرگواری شماست.
        هدف گسترش دانش و بروز رسانی دانش کاربران و مدیران می باشد و این محقق نمی گردد جزء با اطلاع رسانی گسترده.

    14. با اجازه پرتال سزار ایران

      http://blog.yahova.com/%d9%85%d8%aa%d9%81%d8%b1%d9%82%d9%87/%d8%a8%d9%87%d8%a8%d9%88%d8%af-%d8%a7%d9%85%d9%86%db%8c%d8%aa-%d8%af%d8%b1-%d9%88%d8%b1%d8%af%d9%be%d8%b1%d8%b3-%d9%82%d8%b3%d9%85%d8%aa-%d8%a7%d9%88%d9%84/

      و

      http://blog.yahova.com/%d9%85%d8%aa%d9%81%d8%b1%d9%82%d9%87/%d8%a7%d9%85%d9%86%db%8c%d8%aa-%d9%88%d8%b1%d8%af%d9%be%d8%b1%d8%b3-%d9%82%d8%b3%d9%85%d8%aa-%d8%af%d9%88%d9%85/

      و

      http://blog.yahova.com/%d9%85%d8%aa%d9%81%d8%b1%d9%82%d9%87/%d8%a7%d9%85%d9%86%db%8c%d8%aa-%d9%88%d8%b1%d8%af%d9%be%d8%b1%d8%b3-%d9%82%d8%b3%d9%85%d8%aa-%d8%b3%d9%88%d9%85/

    15. رضا جان اموزشتون مثل دفعات قبل عالی بود
      تشکر

    16. ممنون ، خیلی کاربردی بود … موفق باشید 🙂

    17. با سلام
      مقالات جالبی دارید.
      آیا شما میتونید کمکی کنید که ما بتونیم به جای اینکه با این آدرس (mysite.com/wp-admin) به پنل مدیریتی وارد شویم ، با ادرسی نظیر (mysire.com/psk232_ss) وارد پنل مدیریتی شویم ؟
      اگر میشود لطفا جواب را به ایمیل بنده ارسال نمائید. (لطفا ایمیل کنید چون شاید وقت نکنم اینجا بیام.)
      ممنون/ با تشکر از شما

      • VIP

        سلام سجاد جان
        این کار قابل اجرا می باشد,این فکر شما در ذهن خیلی از کاربران آمده است.نظیر این کار را با خیلی از cms های دیگر انجام داده اند.مثلا از دیتالایف نسخه های متعدد که با تغییرات در آن به عنوان یک پرتال ساز استفاده میکنند. نمونه آن را میتوانید در “سیستم مدیریت محتوای پرتال ساز سما ایرانی” و “پرتال ساز پردیس نت” دید که با هسته دیتالایف انجین می باشد.

        ولی این کار هم مزیت داره و دردسر 🙂
        مزیتش اینه که شما برای خود یک cms اختصاصی داری که هر جا خاصتی , با نام شرکت خودت بدون اینکه زحمت زیادی بکشی برای هسته اون برای مشتری هات نصب میکنی. و …

        مهمترین دردسر های بعدش اینه که این cms شما دارای باگ می باشد که اگر توجه کنید در هر سری نسخه های جدید از وردپرس منتشر میشه که یک تیم برنامه نویسی قوی پشت قضیه است که دارنند رو سیستم کار میکنند, که اگه بخوای بروز رسانی انجام بشود حال توسط کاربرانتون و خودتون یکم با مشکل بر میخورید ; اگر هم که بهشون نگید پشت این قضیه پرتال چیه نامردی در حقشون شده و اونا دارنند با یک سیستم مدیریت محتوا که دارای باگ است به کار خود ادامه می دهند که هر لحظه احتمال نفوذ در سیستم آنها وجود دارد.صحبت کلی بود تا در جریان قضیه باشید. 🙂

    18. اول تشکر بخاطر مطالبتون!

      بعد اینکه برای ویرایش پسوند فایل های دیتابیس …
      چند تا افزونه هست که این امکان رو به راحتی می ده! (با چند تا کلیک ساده پسوندها عوض می شن)

      • VIP

        سلام اکبر جان
        مرسی بابت اشاره خوبتان.میخواستم در یک قالب پک امنیتی این موضوع را اشاره کنم ولی خوب همینجا مطرح میکنم که میتوانید برای ویرایش پسوند WP_ در دیتابیس از پلاگین های مختلفی استفاده کنید,توجه به این موضوع مهم است که حتما Backup تهیه کنید
        پلاگین مورد نظر را می توانید از اینجا دانلود کنید :

        که علاوه بر قابلیت تغییر پیشوند قابلیت اسکن از محتوا و هر آنچه که دارید را هست تا با گوشزد آن به شما در بالا بردن امنیت وردپرستان کمک کند.
        سایت پشتیبان این پلاگین عالی :

        ممنون.

    19. آقا رضا من متوجه منظورتون نشدم ! من فقط میخوام به جای اینکه با آدرس wp-admin وارد وردپرس بشیم ، با آدرس دیگه وارد بشیم که هکر نتونه هکمون کنه ! همین !
      ممنون میشم بهم کمک کنید در مورد این مسئله !

    20. VIP

      میگم میشه.ولی کار میبره بزارید ببینم چی میشه خبرشو میزارم اینجا یا در یک پست جداگانه.

    جوابی بنویسید

    ایمیل شما نشر نخواهد شدفیلد های ضروری نشانه گذاری شده است. *

    *


    *

    سفارش تبلیغ

    برای عضویت در خبرنامه پیامکی سزار کافیست عدد 3 را به شماره 500020409 پیامک کنید ! آخر هفته ها پیامک های خوشمزه ما رو رایگان بخونید !