senaps
Member

هر وبمستری،خلاصه یه مدت زمانی روی وبلاگش زمان گذاشته و حتی اگه جزو رفقای کپی پیست هم باشه،به هر حال راضی نمیشه اگه یه دفعه که اومد تو وبلاگش،ببینه که یه بابایی زده وبلاگش رو هک کرده و تمام زحماتش بر فناست!
بنابرانی سعی کردم که از منابع مختلف،یه سری مطالب مهم جمع کنم و وبلاگم رو امنیتی و مطمئن کنم،راستش فک کردم که چه بهتر که یه سریشون رو هم با شما در میون بذارم! این شد که این مقاله و ارائه ی ۸ راه حل بسیار راحت و کارا برای ایمن کردن وبلاگ با توضیحات کامل شکل بگیره!!!
۱-از نمایش متون اضافی خود داری کنید!
وقتی که برای لاگ این کردن(ورود) به وبلاگ با مشکلی بر می خورید،وردپرس چیزهایی را نمایش میدهد که به هکر ها کمک میکند که وبلاگ شما را راحت تر هک کنند.!خوب اگه اینکه یه جمله ی ساده میتونه باعث بشه وبلاگمون هک بشه،چرا از نمایش اون جمله جلوگیری نکنیم؟!
راه حل:
برای پاک کردن پیغام های اشتباه در ورود،کافیه که کد زیر رو به functions.php اضافه کنین!
کد:
add_filter('login_errors',create_function('$a', "return null;"));
توضیح کد:
با اضافه کردن این کد،ما فقط یک کد رو به جای کد اصلی تابع login_errors() ااضافه کردیم
منبع:
راه کارهایی برای ایمن کردن وردپرس
امنیت وردپرس:پاک کردن ارورخطا در ورود
۲-استفاده از ssl و اجباری کردن ان:
اگر شما نگرانید که اطلاعات شما سرقت نشوند(در حال انتقالشون یا ….)،راه حل قطعی شما ssl هستش…
(اگه نمی دونین ssl چیه کافیه که بدونین که این یه راهکار یا یک قرارداد پنهانی است که ارتباطات شما در شبکه های اجتماعی و مخصوصا اینترنت را ایمن میکند!)
ایا می دونستین که استفاده از ssl در وردپرس امکان پذیره؟!البته همه ی هاست ها امکان استفاده از این پروتکل رو نمیدن!پس شما باید از مسئولین هاست بپرسید که ایا امکان استفاده از ssl هست یا نه
راه حل:
خیلی راحت فایلwp-config.php رو باز کنین .این فایل توی root محل نصب وردپرس هستش!
خوب حالا کد زیر رو بهش اضافه کنین:
کد:
define('FORCE_SSL_ADMIN', true);
توضیح کد:
چیز سختیاینجا نیست! وردپرس از فایل های زیادی برای تنظیماتش اسافتاده میکنه!ما فقط کدی رو اضافه کردیم که از ssl استفاده میکنه و در حقیقت وردپرس رو مجبور میکنه که از این پروتکل امن استافده کنه!
منبع:
چگونه وردپرس را مجبور کنیم که ازssl استفاده کند؟
۳-استفاده از htaccess. برای محافظت ازwp-config
به عنوان یک کاربر وردپرس،احتمالا میدونین که wp-config.php چقدر اهمیت داره! این فایل شمال یوزر نیم و پسورد و حتی نام بانک اطلاعاتی و شما و اطلاعات دسترسی به اون هستش!بنابراین محافظت از این فایل هم یک امر بینهایت مهم هستش و باعث میشه که این فایل به یکی از حساس ترین فایل های سیستمی شما تبدیل بشه.
راه حل:
برای حل کردن این مشکل،باید فایل .htaccess رو در root پیدا کنین،و بازش کنین(یادتون نره که حتمی هر وقت میخواین با این فایل کار کنین،یه بک اپ ازش تو سیستموتون داشته باشین! این بسیار مهمه)،حالا کد های زیر رو بهش بدین:
<
تموم شد!
کد:
files wp-config.php>
order allow,deny
deny from all
</files>
توضیح کد:
فایل های .htaccess بهترین راه حل برای ممانعت کردن از دسترسی به فایل شما هستن! با این تکه کد بالا،دسترسی های غیر مجاز رو به فایل wp-admin.php به طور کامل غیرممکن کردیم!
منبع:
۱۰ راه اسان برای امن کردن وردپرس
۴-لیست سیاه کاربران ناخواسته
تا حالا فک کردین که توی دنیای واقعی،اگه یه نفر بتونه امروز شما رو اذیت کنه،فردا هم میتونه؟ همین مسئله در دنیای اینترنت هم هست ولو بسیار بد تر!! در حقیقت خیلی وقت ها دیده میشه که یه نام کاربری خاص،ده ها بار یه کامنت خاص رو توی متن های شما کپی کرده!این مسئله علاوه بر خراب کردن وبلاگ شما و بخش نظراتش،باعث اذار شما هم میشه! پلاگین های زیادی برای این مسئله هست،ولی تا وقتی میشه دستی این کارو کرد،چرا باید خطر باگ های پلاگین ها رو به جون خرید؟
راه حل:
کافیه که کد زیر رو به فایل .htaccess اضافه کنین(ببینم،یادتون که نرفته که باید یه نسخه ازش به عنوان بک اپ داشته باشین؟ اگه یادتون رفت زود باشین برین یه بک اپ بگیرین!)ضمن اینکه یادتون نره که ۱۲۳٫۴۵۶٫۷۸۹ رو با ای پی مورد نظر تعویض کنین!
کد:
[INDENT]<Limit GET POST PUT>
order allow,deny
allow from all
deny from 123.456.789
</LIMIT>
[/INDENT]
توضیح کد:با این کد خیلی ساده،میتونین به طور کلی امکان ورود به صفحه رو از ایپی های خاص از بین ببرید! این یعنی یه جریمه واسه کاربرای مزاحم،و یه راه حل برای خلاصی از ربات ها!البته بازم تاکید میکنم که یادتون نره که ۱۲۳٫۴۵۶٫۷۸۹ رو با ایپی مورد نظر عوض کنین!
نکته: برای اضافه کردن ایپی جدید،کافیه یه خط جدید (زیر ای پی قدیمی) اضافه کنینو ای پی جدیدرو اونجا وارد کنین و فایل رو ذخیره کنین!
منبع:
بیش از ۱۵۰ تا از بدترین اسپمر های ۲۰۰۷
۵-جلوی کد ها رو بگیرید!
بسیاری از وبلاگ ها،جلوی کد های GET و POST و درخواست هاشونو میگیرن!اما گاهی این کافی نیست!ما باید وبلاگمون رو درباره ی هرجور کدی که سعی در تغییر در php داره رو بگیریم!
راه حل:
کد های زیر،جلوی کد ها رو میگیرن!بنابراین اونها رو در .htaccess اضافه کنین(هنوز یادتونه که باید ازش بکاپ بگیرین؟)
کد:
Options +FollowSymLinks
RewriteEngine On
RewriteCond %{QUERY_STRING} (\<|%3C).*script.*(\>|%3E) [NC,OR]
RewriteCond %{QUERY_STRING} GLOBALS(=|\[|\%[0-9A-Z]{0,2}) [OR]
RewriteCond %{QUERY_STRING} _REQUEST(=|\[|\%[0-9A-Z]{0,2})
RewriteRule ^(.*)$ index.php [F,L]
توضیح کد:
با استفاده از .htaccess ما میتونیم درخواست ها رو چک کنیم!کاری که ما کردیم این بودش که درخواست هایی که <script>شاملش بود رو یا میخواست GLOBALSرو تغییر بده یا مقدار های_REQUEST رو عوض کنه،جلوش بسته میشه و ارور ۴۰۳ به مرورگرش برگردونده میشه!
منبع:
حفظ امنیت سایت با استفاده از htaccess.
و با کمک گوگل ترنسلت و یه رفیق اروپایی که زحمت ترجمه رو در کنار گوگل برام کشیدن:
Protéger Son Site Avec Un Fichier .htaccess
6-مقابله به مثل با دزدان مطالب!
اگه وبلاگتون یه خورده شناخته شده باشه،اونوقته که مطالبتو نرو تو سایت های دیگه می بینین و نکته ی جالب هم اینه که طرف مدعی هم میشه!بنابراین باید به دنبال راه حل بود! راه حل پیشنهادی من اینه که بهشون شرو ور نشون بدیم!!!یعنی با یه ترفند ساده باری کسانی که مطالب رو میدزدن،درس عبرتی بدیم…..این درس عبرت به این شکل کار میکنه که عکس ها رو فقط از سرور سایت اجرا میکنه!و فقط روی سایت شما! در حقیقت اگر سکی مطالب و عکس های شما رو کپی کنه،جای عکس ها یه صفحه ی خالی میبینه!و احتمال خیلی کمی وجود داره که بخواد عکس های شما رو یکی یکی دانلود کنه و بعد دوباره اپلود کنه!
راه حل:
بازم برین سراغ فایل.htaccess(فهمیدین باید چیکار کنین؟!) و کد های زیر رو بهش اضافه کنین:
کد:
RewriteEngine On
#Replace ?mysite\.com/ with your blog url
RewriteCond %{HTTP_REFERER} !^http://(.+\.)?mysite\.com/ [NC]
RewriteCond %{HTTP_REFERER} !^$
#Replace /images/nohotlink.jpg with your "don't hotlink" image url
RewriteRule .*\.(jpe?g|gif|bmp|png)$ /images/nohotlink.jpg [L]
توضیح کد:
سایت هایی که عکس های شم ارو کپی کرده باشن،بجای دیدن عکس مربوطه در مطلبشون،یه صفحه ی خالی میبینن! این کاریه که به طور خلاصه این کد انجام داد!
منبع:
چگونه مطالب وبلاگمان را از دزدان مطالب ایمن کنیم؟
۷-نام کاربری پیشفرض(admin) را عوض کنید!
خوب یه هکر درست و حسابی که مسلما یه فرهنگ پسورد هم داره،خیلی راحت و تو چند ساع میتونه پسورد های زیادی رو با یوزر نیمdmin تست کنه و بالاخره پسورد رو گیر میاره! حالا فک کنین که اگه نام کاربری admin نباشه،چه بلایی سر طرف میاد؟! تعداد احتمال های هر پسور و سوزرنیم بسیار بالا میره در حدی که هکش خیلی سخت تر میشه!
راه حل:
خیلی ساده!کافیه که ای نکد رو به SQL query اعمال کنین تا سوزرنیم اصلی عوض بشه!(این کار با پلاگین هم امکان پذیره! که به عهده ی خودتونه پیدا و استفاه ازش!) فقط یادتون نره که یوزر نیم انتخابی رو با یوزر نیم پیشفرض کهتو کد دادم عوض کنین!
کد:
UPDATE wp_users SET user_login = 'Your New Username' WHERE user_login = 'Admin';
توضیح کد:
کاملا واضحه که چیکار کردیم!یوزر نیم ها توی دیتابیس ذخیره میشن و برای تعویضشون باید دیتابیس ویرایس بشه!
منبع:
۱۳ کد کوری کارا که دوست داشتین میدونستین!
۸-امکان دیدن فایل ها رو از بین ببرین!
به یه وبلاگ وردپرس برین! و خوب کد wp-includes رو به اخرش اضافه کنین! چی میبینین؟ اکثر وب هاست ها،امکان دیدن فایل ها رو باز گذاشتن که یه هکر خوب!میتونه سه سوته وبلاگ شما رو به اعماق جهنم بفرسته!
راه حل:
مثل ۷ راه حل بالا،کافیه که کد زیر رو اضافه کنین و حالش رو ببرین!(باید به .htaccess اضافش کنین!)
کد:
Options -Indexes
توضیحی برای کد نیست!
منبع:
۱۸ راه حل و پلاگینی که وردپرس شما رو ایمن میکنن!
خواهشا نرین پسوردتون رو بدین به رفقا و بعدش اونا بیان هکتون کنن و بعدش بیاد بگین اقا راه حل هات جواب نداد و هک شدیم!یادتون باشه که اکثرا به دلیل کم کاری و حواس پرتی مدیر وبلاگ هاست که هک میشن!!! پسوردتون رو تحت هیچ شرایطی به هر کسی ندین و خوب مواظب وبلاگ و وب سیاتتون باشین!