PDA

توجه ! این یک نسخه آرشیو شده میباشد و در این حالت شما عکسی را مشاهده نمیکنید برای مشاهده کامل متن و عکسها بر روی لینک مقابل کلیک کنید : امنیت در وردپرس


DeltaGostar
March 31st, 2012, 10:00
دوستان مطالب به درد بخور از تیم محبوب آجاکس سکوریتی برایتان در اینجا میزاریم

امن کردن وردپرس برای تمام کاربرانی که از این سیستم استفاده میکنند بسیار توصیه میشود. یکی از راههای امن کردن وردپرس استفاده از برخی افزونه های امنیتی نظیر WP Security Scan و WP Firewall میباشد. این افزونه ها را میتوانید از سایت وردپرس دانلود کرده و بر روی وردپرس خود نصب کنید.


http://www.ajaxtm.com/wp-content/uploads/2012/02/wordpress-security-plugins.jpg (http://www.ajaxtm.com/wp-content/uploads/2012/02/wordpress-security-plugins.jpg) بعد از اینکه افزونه نصب و فعال شد، میتوانید آن را از طریق بخش امنیت واقع در مدیریت وردپرس تنظیم کنید.
WP Security Scan موارد امنیتی زیر را تحت پوشش قرار میدهد:


نسخه وردپرس شما را چک میکند و چنانچه نسخه وردپرس شما قدیمی شده باشد به شما اطلاع میدهد که وردپرس خود را به روز رسانی کنید.
به شما این امکان را میدهد که پیشوند جداول دیتابیس وردپرس را تغییر داده و چیزی غیر از _wp را جایگزین آن کنید. این مورد بسیار حائز اهمیت میباشد و از هک شدن دیتابیس (SQL Injection) تا حد زیادی جلوگیری میکند. (توصیه میشود که قبل از انجام این مرحله، از دیتابیس خود بک آپ تهیه کنید).
نسخه وردپرس شما را از دید بازدید کنندگان مخفی میکند.
غیرفعال کردن نمایش خطاهای دیتابیس و در نتیجه جلوگیری از لو رفتن اطلاعات
حذف WP ID Meta tag از هسته وردپرس
اخطار در صورت وجود یک حساب کاربری مدیر پیشفرض
اخطار در صورت عدم وجود فایل htaccess. در پوشه wp-admin


همچنین این پلاگین، سطوح دسترسی دایرکتوری های وردپرس را بررسی میکند تا از حملات و نفوذ غیرمجاز جلوگیری شود. این افزونه همچنین دارای قابلیت ساختن پسورد نیز میباشد و با استفاده از آن میتوانید پسوردهای قدرتمند ایجاد نمایید.
افزونه WP Firewall درخواست های SQL مشکوک و همچنین ترافیک های مشکوک را مسدود و بلوکه میکند. در صورت مشاهده یک حمله، وردپرس میتواند حمله کننده را به یک صفحه 404 پیش ساخته برده و یا او را به صفحه اصلی وبلاگ برگرداند. همچنین این افزونه میتواند یک اخطار از طریق ایمیل در هنگام بروز حمله برای شما ارسال نماید.
یک کلمه عبور قدرتمند همیشه تا حد زیادی از هک شدن وبلاگ و یا وب سایت شما جلوگیری میکند. یک پسورد قدرتمند حداقل باید دارای 8 کاراکتر بوده و شامل لغات و کلمات موجود در لغت نامه و نیز شامل نام کاربری شما نباشد. یک پسورد خوب و قوی باید دارای ترکیبی از حروف بزرگ، حروف کوچک، اعداد و نشانه ها باشد. این مورد نه تنها شامل کلمات عبور، بلکه شامل نام کاربری و نام دیتابیس شما نیز میشود.
نکات اضافی درباره امنیت وردپرس :


همیشه وردپرس، قالبها و افزونه های آن را به روز رسانی کنید. در صورت عدم توجه به این مساله، سایت شما مورد حمله هکرها واقع شده و به سادگی هک خواهد شد.
دسترسی به بخش مدیریت وردپرس را محدود کنید و سعی کنید به کسی غیر از خودتان اجازه ورود به بخش مدیریت را ندهید. همچنین بهتر است امکان ثبت نام کاربر جدید را غیرفعال کنید.
چنانچه سایت شما تجاری است از SSL برای ارتقا سطح امنیت وب سایت خود استفاده کنید.

منبع (http://www.ajaxtm.com/?p=26)
MEDAD
March 31st, 2012, 12:19
مهمترینش دسترسی مناسب فایل config هست
mhasani95
March 31st, 2012, 16:06
بله . دوستمون درست میگه !
مهمترین آسیب پذیری وردپرس الان wp-config.php هست ! شما دسترسی رو براش روی 400 بذارید . اگر هاستینگتون پشتیبانی نکرد و اسکریپت به مشکل خورد بذارش روی 600
بعد یک فولدر بیارش عقب . یعنی اینکه اگر الان
/home/user/public_html/wp-config.php هست شما میتونی خیلی راحت بیاریش توی
/home/user/wp-config.php
یعنی از public_html خارجش کنی ! هیچ مشکلی هم برای وردپست بوجود نمیاد ! این موضوع رو خیلی ها نمیدونن ! اما کاربردیه
AriyaDownload
March 31st, 2012, 16:12
بله . دوستمون درست میگه !
مهمترین آسیب پذیری وردپرس الان wp-config.php هست ! شما دسترسی رو براش روی 400 بذارید . اگر هاستینگتون پشتیبانی نکرد و اسکریپت به مشکل خورد بذارش روی 600
بعد یک فولدر بیارش عقب . یعنی اینکه اگر الان
/home/user/public_html/wp-config.php هست شما میتونی خیلی راحت بیاریش توی
/home/user/wp-config.php
یعنی از public_html خارجش کنی ! هیچ مشکلی هم برای وردپست بوجود نمیاد ! این موضوع رو خیلی ها نمیدونن ! اما کاربردیه

واقعا این با جابه جایی مشکلی پیش نمی یاد؟؟؟
در لود سایت تاثیری نمی ذاره؟؟؟
امکانش هست در مورد سطح دسترسی بیشتر توضیح بدید؟
ممنون :53:
mhasani95
March 31st, 2012, 16:19
بله . قطعا مشکلی پیش نمیاد ! یعنی شما فایل wp-config.php رو یک فولدر عقب برگردونید .
خود وردپرس اعلام کرده این موضوع رو . قطعا مشکلی پیش نمیاد
در مورد سطح دسترسی هم بگم که ، هکر با استفاده از تکنیک های مختلف مثل symlink و ... میتونه فایل wp-config شما رو بخونه . داخل دیتابیس بشه و توی اون یه ادمین بسازه .
با ادمین وارد بشه و یکی از فایل های سیستمی وردپرس رو با ویرایشگر خود وردپرس ویرایش کنه و کد مخرب بریزه ! مثل شل
بعد شل رو اجرا کنه و سایت رو دیفیس کنه
البته اگر PHP CGI باشید این مشکل شل گرفتن ایجاد نمیشه ! اکثر هاستینگ ها بخاطر رضایت مشتریاشون الان php cli میزنن که باعث میشه خیلی راحت تر شل گرفت
حالا بجز همه اینا اگر هاستینگ شما لایت اسپید باشه یا نسخه های خاص آپاچی ، میشه یه جورایی بای پس کرد و فایل php رو کدهاشو دید ! پس بازم دیتابیس میوفته بیرون و میشه به اون کاننکت شد و یوزر پسورد ادمین رو زد !
در کل خیلی هوای wp-config رو داشته باشید
sajad2745
March 31st, 2012, 17:00
دسترسی فایل Config.php از .htaccess هم قابل ویرایشه! فعلا که مهمتر پیشوند جداوله وردپرسه که موقع نصب باید یه چیز دیگه باشه!
DeltaGostar
March 31st, 2012, 17:21
من از مدیران زحمت کش این گروه و این تالار تشکر میکنم که واقعا از پست های اضافه و کاربرات متخلف که باعث برهم زدن موضوع اصلی و درج جملات و کلمات بی ربط فقط جهت افزایش پست دست به این کار بی شرمانه میزنن تشکر میکنم
sajad2745
March 31st, 2012, 19:53
من از مدیران زحمت کش این گروه و این تالار تشکر میکنم که واقعا از پست های اضافه و کاربرات متخلف که باعث برهم زدن موضوع اصلی و درج جملات و کلمات بی ربط فقط جهت افزایش پست دست به این کار بی شرمانه میزنن تشکر میکنم

متخلف کیه جناب؟
شما که داری کپی پیست میکنی یا دوستان که دارن بحث جدی میکنن؟

بله . قطعا مشکلی پیش نمیاد ! یعنی شما فایل wp-config.php رو یک فولدر عقب برگردونید .

فکر نمیکنم به همین سادگی ها باشه و مشکلی پیش نیاد!
DeltaGostar
March 31st, 2012, 21:00
متخلف کیه جناب؟
شما که داری کپی پیست میکنی یا دوستان که دارن بحث جدی میکنن؟


فکر نمیکنم به همین سادگی ها باشه و مشکلی پیش نیاد!

منم فکر نمیکنم که از تالار یا همون فرم خودم پست بسیار مفیدی رو توی یه تاپیک دیگر که امثال شما عضو و کاربرش هستی بزارم
کپی پست باشه مگر باید با چه تکنولوژی مطلب رو از یه جای دیگر بیارم جای دیگر؟ باید بکسول بکنم ؟‌ یا اول با شما مشورت کنم دوست عزیز اینجا مدیر داره و به اصطلاح خودت مچ گیری کردی سخت در اشتباه بودی منبع این مطلب خودم هستم :)
RezaFH
March 31st, 2012, 21:10
ضمن تشکر از استارتر تاپیک، یک آموزش کوتاه رو بنده در مورد امن کردن wp-config.php اینجا بنویسم.

1- امن کردن خود فایل بوسیله htaccess :
برای این کار کافیه کد زیر رو در فایل htaccess کپی کنید

<Files wp-config.php>
order allow,deny
deny from all
</Files>

2- انتقال فایل wp-config.php به یک دایرکتوری دیگر:
برای این کار هم نیاز هست که فایل wp-config رو ضمن عوض کردن نام فایل، به یک دایرکتوری دیگر انتقال دهید و پس از آن، یک فایل wp-config.php با محتوای آدرس فایل جدید بصورت زیر ایجاد کنید

<?php
include(‘/home/usr/wht/new-file.php’);
?>
AmirHosein
March 31st, 2012, 21:56
منم فکر نمیکنم که از تالار یا همون فرم خودم پست بسیار مفیدی رو توی یه تاپیک دیگر که امثال شما عضو و کاربرش هستی بزارم
کپی پست باشه مگر باید با چه تکنولوژی مطلب رو از یه جای دیگر بیارم جای دیگر؟ باید بکسول بکنم ؟‌ یا اول با شما مشورت کنم دوست عزیز اینجا مدیر داره و به اصطلاح خودت مچ گیری کردی سخت در اشتباه بودی منبع این مطلب خودم هستم :)
مطالبی که ذکر کردید قبلا در انجمن در موردش خود من بحث کرده بودم :)
و هزارن بار هم کپی شده :)
ولی برای یاداوری خوب بود :)
fara_server
March 31st, 2012, 22:29
اگر به دنبال امنیت بخشی واقعی هستید همیشه یک سرچ توی گوگل عزیزمون میتونه شما رو به بهترین راهها برسونه ، اینجا رو هم نگاه کنید بد نیست : step to secure wordpress - Google Search (http://www.google.com/search?q=step+to+secure+wordpress&ie=utf-8&oe=utf-8&aq=t&rls=org.mozilla:en-US:official&client=firefox-a)