Cold
August 15th, 2012, 19:52
این روزها امنیت وردپرس به یکی از موضوعات مهم و حیاتی برای همه ما وردپرسی ها تبدیل شده است، زیرا روزانه تعداد بسیارزیادی از این وبسایت ها هک می شوند و اگر قادر نباشیم امنیت وبسایت مان را تامین کنیم، شاید قربانی بعدی، خود ما باشیم! مطلبی که قصد داریم در این مقاله خدمتتان عرض کنیم چگونگی تامین امنیت وبسایت وردپرسی نسبت به خطر هک شدن است. اما قبل از این کار لازم دیدیم دلایل اصلی هک شدن این وبسایت ها را بیان کنیم:
دلایل هک شدن وبسایت های وردپرسی
استفاده از پوسته های خارجی Premium (ریپ شده) و یا قالب های فارسی دانلودی.
به نظر شما چرا یک نفر باید برای چنین پوسته هایی پول بپردازد و سپس آنها را در اختیار همه بگذارد؟! به این دلیل که این پوسته ها، ممکن است کد های مخربی در خود داشته باشند که قادر هستند وبسایت شما را هک و یا لینک خودشان را به صورت خودکار به وبسایت شما اضافه کنند. البته میدانم که این مورد در وب فارسی وجود ندارد اما سایتهای خارجی وجود دارند که قالبهای پولی اما دانلودی داشته و در دسترس عموم قرار دارد. بخصوص سایتهای چینی.
وقتی که هیچ کلید امنیتی برای Wp-config.php تعریف نشده باشد. (راه های زیادی وجود دارد که بتوان امنیت Wp-config.php را تامین کرد)
پسورد پایگاه داده تان هیچ یک از حروف الفبا یا اعداد یا کاراکترها را با هم ندانداشته باشد و در نتیجه قدرتمند نباشد!
فایلهای یک بار مصرف در فولدرهای اصلی وردپرس همچنان وجود دارد (مانند install.php)
دسترسی به فولدرها کاملا باز است.
و … (در نوشته ای مجزا به توضیح دلایل هک شدن خواهیم پرداخت).
نکته امنیتی شماره ۱
مسیر cpanel >> File Manger >> Root Folder را طی کنید و پس از یافتن فایل .htaccess کد زیر را به انتهای آن اضافه نمایید:
# protect wp-config.php
<files wp-config.php>
order allow,deny
deny from all
</files>
با انجام این عمل فایل wp-config.php از درخواست های بد و مخرب در امان می ماند.
نکته امنیتی شماره ۲
اگر می خواهید فایل wp-config.php خود را امن تر کنید آن را در سطوح بالاتر از فولدر اصلی (root folder) قرار دهید. این عمل برای سایت هایی که ترافیک بالایی دارند، مناسب است. انجام این عمل روشی طولانی دارد؛ ما قصد داریم در اینجا تنها ایده ای ار آن را مطرح کنیم. شما می بایست فایل wp-config.php را دانلود کرده، نام جدیدی برای آن در نظر بگیرید و سپس آن در یک سطح بالا، مثلا قبل از public_html و یا فولدر www ، آپلود کنید. شما باید یک فولدر در سی پنل خود ایجاد کنید و سپس آن فایل را در آنجا قرار دهید و بعد یک wp-config.php دیگر بسازید و wp-config.php قدیمی را در آن قرار دهید. انجام این عملیات دانش بیشتری نیاز دارد که البته بازدید کنندگان این سایت همگی اساتید ما و افراد اهل فن هستند.
نکته امنیتی شماره ۳
یک راه مناسب دیگر برای افزایش امنیت وبسایت تان و تحت کنترل داشتن همه چیز استفاده از افزونه WordPress Security Scan (http://wordpress.org/extend/plugins/wp-security-scan/) و WordPress Firewall (http://wpfarsi.com/493/%D8%A7%D9%81%D8%B2%D9%88%D9%86%D9%87-%D9%81%D8%A7%DB%8C%D8%B1%D9%88%D8%A7%D9%84-%D8%A8%D8%B1%D8%A7%DB%8C-%D9%88%D8%B1%D8%AF%D9%BE%D8%B1%D8%B3.html) می باشد.
نکته امنیتی شماره ۴
کدهای زیر، کلید های امنیتی فایل wp-config.php شما به صورت پیش فرض هستند:
define('AUTH_KEY', 'put your unique phrase here'); define('SECURE_AUTH_KEY', 'put your unique phrase here'); define('LOGGED_IN_KEY', 'put your unique phrase here'); define('NONCE_KEY', 'put your unique phrase here');
قسمت کلید امنیتی فیل wp-config.php را با کد های زیر جایگزین کنید.
define('AUTH_KEY', 'er?FL$*CdU.&TYHk,Hcfi9>gSGcSsANk|`kAnZ@/_e)ivSjMfOI` n`jV!SXjTL0');
define('SECURE_AUTH_KEY', 'S<{R{~de5V*IJ~NBadu~o;dzj9U%gu|P:2[0Vx7l0o5E?ifpZ{`4FBbNJ`)EZy j');
define('LOGGED_IN_KEY', 'O+k=tgBcR{-H>qaj=82u$ =bt2w&pO-7G$-U[Ept_eq$@yL[n+4%Vr7)?IU%?+g%');
define('NONCE_KEY', 'p*=(=H~m3cEkPwCxMM$s.+ApJgRLagzo;FsT5t(mN!;fLDOx<+JF(++--!&T/_Bh');
نکته امنیتی شماره ۵
نسخه وردپرسی که از آن استفاده می کنید را به روز نگاه دارید. و همچنین از آخرین تغییرات و دستاوردها در این زمینه با خبر باشید.
شما همچنین قادر خواهید بود با نصب دو افزونه WordPress Exploit Scanner (http://wordpress.org/extend/plugins/exploit-scanner/) و TAC (http://wordpress.org/extend/plugins/tac/) از بی خطر بودن بودن کدهای پوسته و هسته وردپرس مطمئن شوید.
دلایل هک شدن وبسایت های وردپرسی
استفاده از پوسته های خارجی Premium (ریپ شده) و یا قالب های فارسی دانلودی.
به نظر شما چرا یک نفر باید برای چنین پوسته هایی پول بپردازد و سپس آنها را در اختیار همه بگذارد؟! به این دلیل که این پوسته ها، ممکن است کد های مخربی در خود داشته باشند که قادر هستند وبسایت شما را هک و یا لینک خودشان را به صورت خودکار به وبسایت شما اضافه کنند. البته میدانم که این مورد در وب فارسی وجود ندارد اما سایتهای خارجی وجود دارند که قالبهای پولی اما دانلودی داشته و در دسترس عموم قرار دارد. بخصوص سایتهای چینی.
وقتی که هیچ کلید امنیتی برای Wp-config.php تعریف نشده باشد. (راه های زیادی وجود دارد که بتوان امنیت Wp-config.php را تامین کرد)
پسورد پایگاه داده تان هیچ یک از حروف الفبا یا اعداد یا کاراکترها را با هم ندانداشته باشد و در نتیجه قدرتمند نباشد!
فایلهای یک بار مصرف در فولدرهای اصلی وردپرس همچنان وجود دارد (مانند install.php)
دسترسی به فولدرها کاملا باز است.
و … (در نوشته ای مجزا به توضیح دلایل هک شدن خواهیم پرداخت).
نکته امنیتی شماره ۱
مسیر cpanel >> File Manger >> Root Folder را طی کنید و پس از یافتن فایل .htaccess کد زیر را به انتهای آن اضافه نمایید:
# protect wp-config.php
<files wp-config.php>
order allow,deny
deny from all
</files>
با انجام این عمل فایل wp-config.php از درخواست های بد و مخرب در امان می ماند.
نکته امنیتی شماره ۲
اگر می خواهید فایل wp-config.php خود را امن تر کنید آن را در سطوح بالاتر از فولدر اصلی (root folder) قرار دهید. این عمل برای سایت هایی که ترافیک بالایی دارند، مناسب است. انجام این عمل روشی طولانی دارد؛ ما قصد داریم در اینجا تنها ایده ای ار آن را مطرح کنیم. شما می بایست فایل wp-config.php را دانلود کرده، نام جدیدی برای آن در نظر بگیرید و سپس آن در یک سطح بالا، مثلا قبل از public_html و یا فولدر www ، آپلود کنید. شما باید یک فولدر در سی پنل خود ایجاد کنید و سپس آن فایل را در آنجا قرار دهید و بعد یک wp-config.php دیگر بسازید و wp-config.php قدیمی را در آن قرار دهید. انجام این عملیات دانش بیشتری نیاز دارد که البته بازدید کنندگان این سایت همگی اساتید ما و افراد اهل فن هستند.
نکته امنیتی شماره ۳
یک راه مناسب دیگر برای افزایش امنیت وبسایت تان و تحت کنترل داشتن همه چیز استفاده از افزونه WordPress Security Scan (http://wordpress.org/extend/plugins/wp-security-scan/) و WordPress Firewall (http://wpfarsi.com/493/%D8%A7%D9%81%D8%B2%D9%88%D9%86%D9%87-%D9%81%D8%A7%DB%8C%D8%B1%D9%88%D8%A7%D9%84-%D8%A8%D8%B1%D8%A7%DB%8C-%D9%88%D8%B1%D8%AF%D9%BE%D8%B1%D8%B3.html) می باشد.
نکته امنیتی شماره ۴
کدهای زیر، کلید های امنیتی فایل wp-config.php شما به صورت پیش فرض هستند:
define('AUTH_KEY', 'put your unique phrase here'); define('SECURE_AUTH_KEY', 'put your unique phrase here'); define('LOGGED_IN_KEY', 'put your unique phrase here'); define('NONCE_KEY', 'put your unique phrase here');
قسمت کلید امنیتی فیل wp-config.php را با کد های زیر جایگزین کنید.
define('AUTH_KEY', 'er?FL$*CdU.&TYHk,Hcfi9>gSGcSsANk|`kAnZ@/_e)ivSjMfOI` n`jV!SXjTL0');
define('SECURE_AUTH_KEY', 'S<{R{~de5V*IJ~NBadu~o;dzj9U%gu|P:2[0Vx7l0o5E?ifpZ{`4FBbNJ`)EZy j');
define('LOGGED_IN_KEY', 'O+k=tgBcR{-H>qaj=82u$ =bt2w&pO-7G$-U[Ept_eq$@yL[n+4%Vr7)?IU%?+g%');
define('NONCE_KEY', 'p*=(=H~m3cEkPwCxMM$s.+ApJgRLagzo;FsT5t(mN!;fLDOx<+JF(++--!&T/_Bh');
نکته امنیتی شماره ۵
نسخه وردپرسی که از آن استفاده می کنید را به روز نگاه دارید. و همچنین از آخرین تغییرات و دستاوردها در این زمینه با خبر باشید.
شما همچنین قادر خواهید بود با نصب دو افزونه WordPress Exploit Scanner (http://wordpress.org/extend/plugins/exploit-scanner/) و TAC (http://wordpress.org/extend/plugins/tac/) از بی خطر بودن بودن کدهای پوسته و هسته وردپرس مطمئن شوید.