thE_Knight
Member
سلام دوستان، امیدوارم که در حال سپری کردن ساعات خوشی باشید.
-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-
بعد از اینکه شما وقت و سرمایه ی خود را برای را اندازی یک بلاگِ با سیستم وردپرس صرف میکنید، وقت آن است که از آن محافظت کرده و ّسایت خود را در برابر افرادی چون نفوذگران، سود جویان و لامر ها ( :دی) امن سازید.
وردپرس (Wordpress) یکی از برترین سیستم های مدیریت محتوای بلاگ میباشد و به صورت کدباز (Open Source ) در اختیار عموم قرار دارد.
این بدین معناست که نفوذگران نیز میتوانند این سیستم را به راحتی تهیه و مورد آنالیز قرار دهند و آسیب پذیری های موجود را کشف کنند و از آن آسیب پذیری ها برای نفوذ به وردپرس شما نیز استفاده کنند.
از سوی دیگر وردپرس دارای سیستم نصب پلاگین میباشد، به این معنا که شما میتوانید پلاگین های ساخته ی خود یا پلاگین های آماده را روی وردپرس خود نصب نمایید که در ادامه من تعدادی از پلاگین های پر کاربرد آن را برایتان نام میبرم.
==========================================
»» نکات امنیتی
1. لیست پوشه ها و فایل ها نباید برای عموم قابل روءیت باشند.
وقتی که شما وردپرس را نصب میکنید به طور پیش فرض یک حساب کاربری با دسترسی تمام و کمال با نام Admin ساخته میشود، برای جلوگیری از اینکه نفوذگر بتواند آن را حدس بزند یا آن را Brute Force کند، توصیه میشود مه این حساب کاربری را حذف کنید. یا دسترسی های آن را محدود کنید.
حتی میتوانید نام آن را با استفاده ار پلاگین زیر تغییر دهید.
Change Username Plugin
=¤=¤=¤=¤=¤=¤=¤=¤=¤=¤=¤=¤=¤=¤=¤=¤=¤
-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-
بعد از اینکه شما وقت و سرمایه ی خود را برای را اندازی یک بلاگِ با سیستم وردپرس صرف میکنید، وقت آن است که از آن محافظت کرده و ّسایت خود را در برابر افرادی چون نفوذگران، سود جویان و لامر ها ( :دی) امن سازید.
وردپرس (Wordpress) یکی از برترین سیستم های مدیریت محتوای بلاگ میباشد و به صورت کدباز (Open Source ) در اختیار عموم قرار دارد.
این بدین معناست که نفوذگران نیز میتوانند این سیستم را به راحتی تهیه و مورد آنالیز قرار دهند و آسیب پذیری های موجود را کشف کنند و از آن آسیب پذیری ها برای نفوذ به وردپرس شما نیز استفاده کنند.
از سوی دیگر وردپرس دارای سیستم نصب پلاگین میباشد، به این معنا که شما میتوانید پلاگین های ساخته ی خود یا پلاگین های آماده را روی وردپرس خود نصب نمایید که در ادامه من تعدادی از پلاگین های پر کاربرد آن را برایتان نام میبرم.
==========================================
»» نکات امنیتی
1. لیست پوشه ها و فایل ها نباید برای عموم قابل روءیت باشند.
این که محتویات و لیست پوشه های سایت شما برای عموم قابل مشاهده و پیمایش باشد یک مشکل اساسی به حساب می آید. اگر آسیب پذیری وجود داشته باشد که از یک پلاگین بخصوص ریشه میگرد این لیست شدن پوشه ها به نفوذگر کمک میکند تا در کار خود راحت تر باشند.
برای جلوگیری از لیست شدن کد زیر را درون فایل .htaccess خود قرار دهید.
2. توضیحات نسخه ی وردپرس را از متا تگ ها بردارید.برای جلوگیری از لیست شدن کد زیر را درون فایل .htaccess خود قرار دهید.
کد:
[COLOR=magenta]Options All -Indexes[/COLOR]
اکثر قالب های وردپرس به طور پیش قرض نسخه ی فعلی وردپرس شما را نمایش میدهند که این اطلاعات نباید دست هر کسی بیافتد.
این تگ درون فایل Header.php میباشد که نسخه ی وردپرس شما را نمایش میدهد، بهتر است آن را حذف کنید.
3. به روز باشید.این تگ درون فایل Header.php میباشد که نسخه ی وردپرس شما را نمایش میدهد، بهتر است آن را حذف کنید.
کد:
[COLOR=magenta]<meta content="WordPress <?php bloginfo(�version�); ? />" name="generator" />[/COLOR]سعی کنید همیشه پلاگین، قالب و خود وردپرس را چک کنید تا به روز باشند.
4. به صورت هفتگی با ماهانه از سایت و از دیتابیس خود نسخه ی پشتیبان بگیرید (Backup)
این امری مهم است که از اطلاعات خود نسخه ی پشتیبان تهیه کنید چه جداول دیتابیس، چه فایل ها.
WordPress Database Backup plugin این پلاگین از جدول های اصلی و مهم دیتابیس شما در وردپرس به صورت خودکار نسخه ی پشتیبان میگیرد.
5. از پروتکل FTP کمتر استفاده کنید.WordPress Database Backup plugin این پلاگین از جدول های اصلی و مهم دیتابیس شما در وردپرس به صورت خودکار نسخه ی پشتیبان میگیرد.
اگر فردی اطلاعات لاگ (Log) ارتباط ftp شما را داشته باشد (که بدون رمز نگاری میباشد) میتواند فایل ها و اطلاعات شما را در سایتتان مدیریت کرده و یا خرابکاری های بیشتری انجام دهد، سعی کنید که ارتباط FTP را کمتر انجام داده یا به جای آن از پروتکل هایی مانند SSH استفاده نمایند که در آن تمام اطلاعات به صورت رمزنگاری شده رد و بدل میشوند.
6. دسترسی به فایل wp-config.php را محدودتر کنید.
این فایل شامل اطلاعات مهمی هم چون کلمه عبور و نام کاربری دیتابیس میباشد، پس از آن کمی بیشتر محافظت کنید.
کد زیر باعث میشود تا دسترسی به فایل wp-config.php محدودتر شود و در صورتی که فردی از طریق مشکلات دیگر سایت ها به سرور وارد شده باشد، تا حدودی دسترسی به این فایل را سخت تر میکند.
این کد را درون فایل htaccess. خود که در پوشه ی اصلی محل نصب وردپرس خود میباشد، اضافه کنید.
7. پوشه های ورد پرس را برای موتور های جستجو محدود کنید.کد زیر باعث میشود تا دسترسی به فایل wp-config.php محدودتر شود و در صورتی که فردی از طریق مشکلات دیگر سایت ها به سرور وارد شده باشد، تا حدودی دسترسی به این فایل را سخت تر میکند.
این کد را درون فایل htaccess. خود که در پوشه ی اصلی محل نصب وردپرس خود میباشد، اضافه کنید.
<FilesMatch ^wp-config.php$>deny from all</FilesMatch>
لزومی ندارد که تمام پوشه های ورد پرس ( که نام آنها با -wp شروع میشوند) برای موتور های جستجو قابل دسترس باشند.
با فایل robots.txt آنها را محدود کنید ( این فایل را نیز در پوشه ی اصلی وردپرس قرار دهید)
کافیست کد زیر را درون این فایل وارد کنید.
8. پوشه ی WP-Admin را محدود کنیدبا فایل robots.txt آنها را محدود کنید ( این فایل را نیز در پوشه ی اصلی وردپرس قرار دهید)
کافیست کد زیر را درون این فایل وارد کنید.
کد:
[COLOR=magenta]Disallow: /wp-*[/COLOR]اگر شما IP ثابت دارید، میتوانید پوشه ی WP-Amin را فقط برای همان IP قابل دسترس کنید، یعنی اگر فرد دیگری حتی با داشتن کلمه ی عبور و نام کاربری شما بخواهد به پوشه ی WP-Admin (که صفحه ی مدیریت وردپرس میباشد) وارد شود، با پیغام خطا مواجه میشود و نمیتواند به وردپرس شما دسترسی پیدا کند، مگر با IP خود شما.
برای ایجاد محدودیت دسترسی برای IP های مشخص میتوانید یک فایل htaccess. دیگر درون پوشه ی WP-Admin بسازید و دستورات زیر را وارد آن کنید.
9. از کلمه عبور ساده استفاده نکنید.برای ایجاد محدودیت دسترسی برای IP های مشخص میتوانید یک فایل htaccess. دیگر درون پوشه ی WP-Admin بسازید و دستورات زیر را وارد آن کنید.
کد:
[COLOR=magenta]order deny,allow
deny from all
allow from xx.xx.xx.xx
allow from xx.xx.xxx.xx[/COLOR]شماره ی IP های مورد نظر خود را به جای xx.xx.xx.xx قرار دهید.
کلمه ی عبوری را انتخا کنید که به سادگی قابل پیش بینی نباشند که با یک مهندسی اجتماعی ساده بشود آنها را پیدا کرد.
این مقاله برای انتخاب کلمه عبور کمک شایانی میکند ( به زبان انگلیسی میباشد )
10. حذف پیشوند جدول های دیتابیساین مقاله برای انتخاب کلمه عبور کمک شایانی میکند ( به زبان انگلیسی میباشد )
به طور پیش فرض نام تمامی جداول وردپرس پیشوند wp دارند.
شما میتوانید به راحتی آنها را تغییر دهید تا برای حدس زدن مشکل باشد.
برای این کار یک پلاگین کاربردی وجود دارد که میتوانید در لینک زیر توضیحات بیشتر را مشاهده کنید
WP-Security-Scan
11. حساب کاربری Admin را استفاده نکنید ( بهتر است که به کل آن را حذف کنید)شما میتوانید به راحتی آنها را تغییر دهید تا برای حدس زدن مشکل باشد.
برای این کار یک پلاگین کاربردی وجود دارد که میتوانید در لینک زیر توضیحات بیشتر را مشاهده کنید
WP-Security-Scan
وقتی که شما وردپرس را نصب میکنید به طور پیش فرض یک حساب کاربری با دسترسی تمام و کمال با نام Admin ساخته میشود، برای جلوگیری از اینکه نفوذگر بتواند آن را حدس بزند یا آن را Brute Force کند، توصیه میشود مه این حساب کاربری را حذف کنید. یا دسترسی های آن را محدود کنید.
حتی میتوانید نام آن را با استفاده ار پلاگین زیر تغییر دهید.
Change Username Plugin
=¤=¤=¤=¤=¤=¤=¤=¤=¤=¤=¤=¤=¤=¤=¤=¤=¤
