یک سوال در مورد امنیت سایت وردپرسی [بایگانی] - انجمن تخصصی وب هاستینگ ایران

PDA

توجه ! این یک نسخه آرشیو شده میباشد و در این حالت شما عکسی را مشاهده نمیکنید برای مشاهده کامل متن و عکسها بر روی لینک مقابل کلیک کنید : یک سوال در مورد امنیت سایت وردپرسی

upnull50

July 12th, 2016, 12:10

سلام دوستان

برای افزایش امنیت سایت آیا تغییر آدرس wp-login را توصیه می کنید؟به نظرتون چقدر توی امنیت سایت تاثیر داره؟ تاثیرش در حدی هست که wp-ligin را تغییر بدم؟

T.Toosi

July 12th, 2016, 12:13

سلام، بله بی تاثیر نیست میشود جلوی brute force attack را گرفت.

OmidX

July 12th, 2016, 12:32

سلام دوستان

برای افزایش امنیت سایت آیا تغییر آدرس wp-login را توصیه می کنید؟به نظرتون چقدر توی امنیت سایت تاثیر داره؟ تاثیرش در حدی هست که wp-ligin را تغییر بدم؟

بله ، حتما تغییر بدید ، هم wp-login.php و هم wp-admin .

a.e

July 12th, 2016, 13:31

با سلام و عرض ادب

علاوه بر تغییر آدرس ورود به ادمین ، پیشنهاد میشود امکان "بازیابی رمز عبور" را نیز غیرفعال نمایید.

OmidX

July 12th, 2016, 13:41

با سلام و عرض ادب

علاوه بر تغییر آدرس ورود به ادمین ، پیشنهاد میشود امکان "بازیابی رمز عبور" را نیز غیرفعال نمایید.

برای این موضوع در وردپرس نسخه ۲ یادمه باید wp-login.php ویرایش میشد ، شما متد بهتری سراغ دارید ؟

البته با استفاده از فانکشن های پوسته میشه هاید کرد ، ولی disable کلی نمیشه.

T.Toosi

July 12th, 2016, 13:49

با هوک allow_password_reset غیرفعال کنید.

OmidX

July 12th, 2016, 14:02

با هوک allow_password_reset غیرفعال کنید.

قبلا ب این صورت هاید میشد ، الان رو نسخه های جدید نمیشه :

function disable_password_reset() {
return false;
}
add_filter ( 'allow_password_reset', 'disable_password_reset' );

a.e

July 12th, 2016, 14:26

قبلا ب این صورت هاید میشد ، الان رو نسخه های جدید نمیشه :

function disable_password_reset() {
return false;
}
add_filter ( 'allow_password_reset', 'disable_password_reset' );

با استفاده از همین کد که فرمودید این قسمت غیرفعال میشود؛ به صورتی که پس از وارد کردن ایمیل یا شناسه کاربری با پیغام " این شناسه اجازه‌ی بازسازی کلمه عبور را ندارد " مواجه خواهید شد.

T.Toosi

July 12th, 2016, 14:36

قبلا ب این صورت هاید میشد ، الان رو نسخه های جدید نمیشه :

function disable_password_reset() {
return false;
}
add_filter ( 'allow_password_reset', 'disable_password_reset' );

wp-login.php را یک نگاه کردم، کل عملیات ریست پسورد کامل به صورت inline در خود فایل نوشته شده است، یعنی اگر آدرس عوض شود کسی قادر به query زدن برای ریست نیست مگر اینکه آدرس را بداند.

saeed.spore

July 12th, 2016, 14:39

سلام دوستان

برای افزایش امنیت سایت آیا تغییر آدرس wp-login را توصیه می کنید؟به نظرتون چقدر توی امنیت سایت تاثیر داره؟ تاثیرش در حدی هست که wp-ligin را تغییر بدم؟

ببینید خوب میشه ولی بهترین کار پسورد گذاری روی فولدر ادمین و استفاده نکردن از پلاگین های دارای رموت عکس البته بعضی از افزونه ها اینطوری هستند

jahromweb

July 12th, 2016, 14:43

سلام
مهندس یه نگاهی به مقاله ی زیر هم بکنید تنها راه بروت فروس wp-login.php نیست:
https://blog.sucuri.net/2015/10/brute-force-amplification-attacks-against-wordpress-xmlrpc.html
برای تغییر ادرس پنل ادمین هم به شما پیشنهاد میدم از افزونه ی زیر استفاده کنید و دست به فایل ها نزنید تا برای اپدیت و .... هم مشکل ایجادنشود:
https://wordpress.org/plugins/protect-wp-admin/
روز خوش

Riko

July 12th, 2016, 14:46

wp-login.php را یک نگاه کردم، کل عملیات ریست پسورد کامل به صورت inline در خود فایل نوشته شده است، یعنی اگر آدرس عوض شود کسی قادر به query زدن برای ریست نیست مگر اینکه آدرس را بداند.

ینی ميشه غیرفعالش کرد بعد رمز يادمون رفت آدرس مشخصی داره برای بازیابی؟

T.Toosi

July 12th, 2016, 20:09

ینی ميشه غیرفعالش کرد بعد رمز يادمون رفت آدرس مشخصی داره برای بازیابی؟

شما کلا به wp-login.php برای ورود به سایت نیاز دارید و عملیات ریست پسورد، ارسال ایمیل و .. هم در همین فایل نوشته شده است یعنی اگر میخواهید کلا غیرفعال کنید باید چند خط پاک کنید یا در این فایل یک switch وجود دارد که یک case آن resetpass هست، این case را کامنت کنید کلا ریست پسورد غیرفعال میشود. اما بهترین و آسانترین راه عوض کردن آدرس هست.

case 'resetpass' :
case 'rp' :

اگر به آدرس دیفالت wp-login احتیاج دارید و فقط میخواهید قادر به عملیات ریست پسورد نباشند ابتدا هوکی که در صفحه اول اشاره شده امتحان کنید و راه دیگر آن است که ابتدا form html ریست پسورد داخل wp-login.php را پاک کنید سپس در function قالب خود اضافه کنید :

add_filter( 'lostpassword_url', 'wdm_lostpassword_url', 10, 0 );
function wdm_lostpassword_url() {
return site_url('/dfg4556dfgfdgfd65695269625959?action=lostpassword' );
}

MrProgrammer

July 12th, 2016, 20:21

تغییر دادن صفحه ورود راه مناسبیه اما راه حل قعطی نیست ، با توجه به اینکه بعضی از سایت ها هم برای ورود کاربرانشون نمیتونن صفحه ورود رو تغییر یا پنهان کنن

بهترین راه برای جلوگیری از حملات به صفحه ورود استفاده از افزونه Limit Login Attempts است که جلوی حملات بروت فورس رو میگیره ، اگر یک آی پی چند بار رمز اشتباهی رو برای ورود ارسال بکنه این افزونه اون آی پی رو بلاک میکنه

افزودن کپچا هم میتونه در افزایش امنیت موثر باشه

negarnovin

July 12th, 2016, 21:14

سلام دوستان

برای افزایش امنیت سایت آیا تغییر آدرس wp-login را توصیه می کنید؟به نظرتون چقدر توی امنیت سایت تاثیر داره؟ تاثیرش در حدی هست که wp-ligin را تغییر بدم؟

سلام من چند وقت پیش یه پستی دادم درباره بالا بردن امنیت وردپرس ملاحظه کنید شاید مفید باشه براتون

http://www.webhostingtalk.ir/showthread.php?t=169421&highlight=