من این تاپیک رو زدم تا تمام راه های افزایش امنیت ورپرس رو توی این قسمت قرار بدید
لطفا هر راهی واسه بالا بردن امنیت وردپرس میدونید رو به همراه آموزش کامل بزارید

مهمترین آنها....

حتی آخرین ورژن هم مشکلات امنیتی داره

حتی آخرین ورژن هم مشکلات امنیتی داره

درسته، ولی معمولا باگ های آن یا کمتر است یا علنی نشده!

درسته، ولی معمولا باگ های آن یا کمتر است یا علنی نشده!

احتمال هک شدن کمتر میشه ولی بازم هنوز مشکل امتیتی داره

منم میدونم که مشکل امنیتی داره.اما من این تاپیک رو زدم تا راه حل رو بگید
لطفا بگید چطوری این مشکلات رو رفع کنم
چطوری پوشه مدیریت رو قفل کنم؟
چطوری صفحه ارور 404 رو فعال کنم؟
چطوری نسخه وردپرس رو مخفی کنم؟
و...

منم میدونم که مشکل امنیتی داره.اما من این تاپیک رو زدم تا راه حل رو بگید
لطفا بگید چطوری این مشکلات رو رفع کنم
چطوری پوشه مدیریت رو قفل کنم؟
چطوری صفحه ارور 404 رو فعال کنم؟
چطوری نسخه وردپرس رو مخفی کنم؟
و...

هیچ راه حلی نداره
تنها راهش نصب افزونه ی wordpress firewall که اون هم باپس میشه
راهی که میتونه خیلی کارساز باشه باید از امنیت سمت سرور تامیین بشه

باگ جدید ورد پرس و راه حل ان (http://www.sarv-it.com/portal/knowledgebase/2/-------.html)

من میدونم راه داره.اما نمیدونم راهش چیه
لطفا اسپم نزنید و کم کم بررسی میکنیم
باگ جدید ورد پرس و راه حل ان - مرکز آموزش کاربران - شرکت سروآی تی (http://www.sarv-it.com/portal/knowledgebase/2/-------.html)
چطوری بک آپ بگیرم؟؟؟
چطوری پوشه رو قفل کنم؟
لطفا اینجا رو بهم یاد بدید

پسورد روی پوشه ی wp-admin هم گذاشتن فایده ای نداره چون اون هم بای پس میشه
زمانی که سرور ناامن بود حتی پسورد هم گذاشته بودیم و هکش کردند
بیشترین راه مقابله استفاده از mod_security و جدیدترین rule ها از سمت سرور هستش یعنی لایه ی اپلیکیشن بالاتر چون خود وردپرس کلا سوراخه!

چطوری بک آپ بگیرم؟؟؟
اموزش بکاب گیری در cpanel - مرکز آموزش کاربران - شرکت سروآی تی (http://www.sarv-it.com/portal/knowledgebase/5/----cpanel.html)


چطوری پوشه رو قفل کنم؟
اموزش پسورد گذاری روی یگ فولدر خاص در cpanel - مرکز آموزش کاربران - شرکت سروآی تی (http://www.sarv-it.com/portal/knowledgebase/6/--------cpanel.html)

پسورد روی پوشه ی wp-admin هم گذاشتن فایده ای نداره چون اون هم بای پس میشه
زمانی که سرور ناامن بود حتی پسورد هم گذاشته بودیم و هکش کردند
بیشترین راه مقابله استفاده از mod_security و جدیدترین rule ها از سمت سرور هستش یعنی لایه ی اپلیکیشن بالاتر چون خود وردپرس کلا سوراخه!

پس من چیکار کنم؟
لطفا بگید
من اکثر باگ های وردپرس رو میشناسم اما نمیتونم اونا رو درست کنم
من دونه دونه باگ ها رو میگم شما هم آموزش اونا رو برام بزارید
اول در مورد پوشه wp-admin . شما میگید من چیکار کنم؟بهترین راه حل رو بگید

من بک آپ گرفتم.اگه بخوام بک آپ ر.و برگردونم چیکار کنم؟
آموزش قفل کردن پوشه که برام گذاشتید کامل نیست.اصلا معلوم نیست چیه.یه آموزش کامل بزارید

این نوع حفره های امنیتی در این لایه ی اپلیکیشن که خود وردپرس درش هست نمیشه جلوشو گرفت
باید لایه ی قبلی مثلا mod_security که یک پراکسی قبل کامپایل شدن توسط وب سوررو مثلا آپاچی هست که احاطه ی کامل به تمام درخواست ها داره باید انجام بشه یعنی سرور باید امن بشه
راه حل دیگر اینه که کلا چیزی مثل وردپرس از اول خودتون بنویسید تا حداقل اگر کدتون مشکل امنیتی هم داشته باشه کسی از سورستون مطلع نباشه

این نوع حفره های امنیتی در این لایه ی اپلیکیشن که خود وردپرس درش هست نمیشه جلوشو گرفت
باید لایه ی قبلی مثلا mod_security که یک پراکسی قبل کامپایل شدن توسط وب سوررو مثلا آپاچی هست که احاطه ی کامل به تمام درخواست ها داره باید انجام بشه یعنی سرور باید امن بشه
راه حل دیگر اینه که کلا چیزی مثل وردپرس از اول خودتون بنویسید تا حداقل اگر کدتون مشکل امنیتی هم داشته باشه کسی از سورستون مطلع نباشه

خوب شما بگید سایت من چندتا ضعف امنیتی داره
و بگید امنیت سرور چطوره
بلیان | balyan | بزرگترین سایت بسیج ایران در سراسر جهان (http://www.balyan.ir)

لطفا کمک کنید
wp-admin رو چطوری قفل کنم و بک آپ رو چطوری برگردونم؟

لطفا کمک کنید
wp-admin رو چطوری قفل کنم و بک آپ رو چطوری برگردونم؟
سلام
عزیز اینجا یه سر بزن توضیح داده
آموزش تصویری گذاشتن رمز عبور بر روی پوشه wp-admin وردپرس (http://mandegarweb.com/wordpress/wordpress-security/%D8%A2%D9%85%D9%88%D8%B2%D8%B4-%DA%AF%D8%B0%D8%A7%D8%B4%D8%AA%D9%86-%D9%BE%D8%B3%D9%88%D8%B1%D8%AF-%D8%A8%D8%B1-%D8%B1%D9%88%DB%8C-wp-admin/)

4- سطوح دسترسی (premissions) را به درستی تنظیم کنید

هیچ گاه و تحت هیچ شرایطی بر روی هاست های اشتراکی ، پرمیشن هیچ پوشه ای را بر روی 777 قرار ندهید چون افراد دیگری که بر روی همان هاست هستند می توانند فایل هایی را به آن پوشه آپلود و اجرا کنند. برای پوشه ها در نهایت از می توانید از پرمیشن 755 استفاده کنید و برای فایل ها نیز از پرمیشن 644 استفاده کنید.

8-دسترسی به پوشه ی wp-content را محدود کنید.
این پوشه محل نگه داری فایلهای قالب ها-زبان ها و پلاگین ها است.همچنین در این پوشه فایلهایی ممکن است برای دانلود قرار بگیرد.عکس های آپلود شده هم در جزئیات همین پست قرار می گیرد.
بهتر است اجازه ندهید نفوذ گران به فایلهای مثل php در این پوشه که مهم هستند دسترسی داشته باشند.
برای این کار وارد پوشه ی wp-content می شویم.خوب در این پوشه یک .htaccess وجود داره که خوب باز می کنیم این فایل را.بعد دستور زیر را وارد می کنیم >
کد PHP:

Order Allow,Deny
Deny from all
<files ?.(jpg|gif|rar|jpge|mp3|zip|png|js|css)$? ~>
Allow from all
</files>


بعد هم فایل را ذخیره می کنیم.
حالا ببینیم این دستور اچ تی اکسس چی میگه:
این دستور می گوید به هر فایلی بجز اینهایی که در این لیست وجود داردند اجازه ی دسترسی نده.
من خودم فایل های zip,rar,mp3 و jpge را اضافه کردم.ولی ممکن است شما به دسترسی فایل های بیشتری برای کاربرانتون نیاز دارید.خوب در لیست اضافه کنید.
هر فایلی هم که تو این لیست نباشه دسترسی نداره.

9-از پروتوکل های امن تر استفاده کنید.

در قوانین tcp/ip پروتوکل های متفاوتی تعریف شده است که می تونیم نام ببریم از http,https و ftp
این امر مشخصی است که تقریبا تمام سایت ها از پروتوکل http استفاده می کنند.اما یک پروتوکل رمز نگاری شده امن تر وجود دارد به نام https.می توانید در شبکه های بی سیم و محلی امنیت را بسیار افزایش دهید.ابتدا باید با میزبانی هاست خود صحبت کنید تا این قابلیت به دامین شما داده شود.بعد از این مرحله فایل config.php را باز می کنیم و در آن این دستور را جایگذاری می کنیم
کد PHP:

define('FORCE_SSL_ADMIN', true);


این دستور چی میگه:
از این پس هنگام زدن دومین مورد نظر توسط هر کاربری از پروتوکل https برای برقراری ارتباط استفاده شود.


مطلب قرمز رنگ بالا یکی از باگ های وردپرسه که توی سایت آشیانه بود.من که چیزی نفهمیدم.لطفا برام توضیح بدید

www.site.com/wp-includes
اگه به این صفحه برید همه چیز رو توی هاست میبینید.چطوری میشه این صفحه رو مخفی کرد؟ (با ارور 404)

با محدود کردن ایپی امنیت کاملی داشته باشین
در حالت پیشفرض هرکسی می تواند صفحه لاگین وردپرس را مشاهده کند و یا به پوشه مدیر سایت دسترسی بیابد. بنا براین بهتر است برای امنیت بیشتر در برار حملاتی همچون Bruteforce دسترسی به موارد ذکر شود به مدیر سایت محدود شود.
برای اینکار از یک فایل htaccess در پوشه wp-admin استفاده می کنیم.
یک فایل با نام htaccess. در پوشه wp-admin بسازید و محتویات زیر را در داخل آن قرار دهید :



1
2
3
4
5
6
7
8

</p>
<p>order deny,allow<br />
deny from all<br />
# 1st ip<br />
allow from XX.XX.XXX.XXX<br />
# 2nd ip<br />
allow from XX.XX.XXX.XXX</p>
<p>






به جای XX.XX.XXX.XXX آدرس IP هایی که اجازه دیدن صفحه را دارند قرار دهید. همچنین می توانید به تعداد IP ها بیافزایید.در اینجا ۲ عدد IP اضافه شده است.
در صورتی که شخصی اجازه بازدید صفحه را نداشته باشد خطای ۴۰۴ برای او به نمایش در می آید.
دقت داشته باشید آدرس هایی را وارد کنید که آدرس هایی که وارد می کنید توسط شما قابل دسترسی باشد.:71:

با محدود کردن ایپی امنیت کاملی داشته باشین
در حالت پیشفرض هرکسی می تواند صفحه لاگین وردپرس را مشاهده کند و یا به پوشه مدیر سایت دسترسی بیابد. بنا براین بهتر است برای امنیت بیشتر در برار حملاتی همچون Bruteforce دسترسی به موارد ذکر شود به مدیر سایت محدود شود.
برای اینکار از یک فایل htaccess در پوشه wp-admin استفاده می کنیم.
یک فایل با نام htaccess. در پوشه wp-admin بسازید و محتویات زیر را در داخل آن قرار دهید :



1
2
3
4
5
6
7
8
</p>
<p>order deny,allow<br />
deny from all<br />
# 1st ip<br />
allow from XX.XX.XXX.XXX<br />
# 2nd ip<br />
allow from XX.XX.XXX.XXX</p>
<p>





به جای XX.XX.XXX.XXX آدرس IP هایی که اجازه دیدن صفحه را دارند قرار دهید. همچنین می توانید به تعداد IP ها بیافزایید.در اینجا ۲ عدد IP اضافه شده است.
در صورتی که شخصی اجازه بازدید صفحه را نداشته باشد خطای ۴۰۴ برای او به نمایش در می آید.
دقت داشته باشید آدرس هایی را وارد کنید که آدرس هایی که وارد می کنید توسط شما قابل دسترسی باشد.:71:

این کار خطرناکه.ممکنه آی پی ما تغییر کنه.سیستم بسوزه و...• اون وقت دیگه سایت واسه همیشه از دست میره

دوست عزیز اصلا خطرناک نیست . آی پی ما تغییر میکنه نه کل آی پی فقط رقم آخرش تغییر میکنه و اگه سیستم ما بسوزه ربطب به این نداره ما دسترسی به هاست رو داریم و میریم توی هاست این کدش رو مجددا تنظیم میکنیم یا هم حذفش میکنیم
موفق باشید.

موضوع این هست که هکر نیاز به دسترسی اولیه به ادمین رو نداره و از حفره های امنیتی فایل های مخرب را آپلود می کنه و تمام این تنظیمات از قبیل پسورد گذاشتن روی فولدر و محدود کردن آی پی رو تغییر میده
خیلی دنیا قشنگ میشد اگر با این چیز ها امنیت ایجاد میشد ولی من واقعیت ها را می گویم

من آن چه شرط بلاغ است با تو می گویم / تو خواه از سخنم پند گیر خو

من میخوام اگه کسی به آدرس زیر بره به صفحه اصلی منتقل بشه
http://www.balyan.ir/wp-content/
چیکار کنم؟

موضوع این هست که هکر نیاز به دسترسی اولیه به ادمین رو نداره و از حفره های امنیتی فایل های مخرب را آپلود می کنه و تمام این تنظیمات از قبیل پسورد گذاشتن روی فولدر و محدود کردن آی پی رو تغییر میده
خیلی دنیا قشنگ میشد اگر با این چیز ها امنیت ایجاد میشد ولی من واقعیت ها را می گویم

من آن چه شرط بلاغ است با تو می گویم / تو خواه از سخنم پند گیر خو

پس شما میگید چیکار کنم؟
امنیت رو بالا نبرم؟

موضوع این هست که هکر نیاز به دسترسی اولیه به ادمین رو نداره و از حفره های امنیتی فایل های مخرب را آپلود می کنه و تمام این تنظیمات از قبیل پسورد گذاشتن روی فولدر و محدود کردن آی پی رو تغییر میده
خیلی دنیا قشنگ میشد اگر با این چیز ها امنیت ایجاد میشد ولی من واقعیت ها را می گویم

من آن چه شرط بلاغ است با تو می گویم / تو خواه از سخنم پند گیر خو

عزیز شما هیچ چیزی چیدا نمیکنید امنیتش 100% باشه
هدف از ایجاد این تاپیک اینه که ببینیم چجوری میتونیم به 100% نزدیک کنیم ، نه اینکه 100% کنیم.
هدف اینه که سایتمون زنگ تفریح نشه برای هکر ها . لااقل بتونیم کاری کنیم که یه نفر که 2 روزه اومده adsl خریده هکمون نکنه.
سایت های بزرگی مثل همین downloadha دارن از این سیستم استفاده میکنن و میبینید به خوبی هم داره جواب میده.
به جای این همه موج منفی اگر آموزشی دارید ارائه بدید.

هیچ سایتی امنیتش 100 درصد نیست
حتی گوگل و فیس.پوک
من میخوام توی این تاپیک تمام باگ ها و ضعف های امنیتی رو به کمک همدیگه شناسایی کنیم و آموزش بالا بردن وردپرس رو بزاریم
البته اگه دوستان بیشتر همکاری کنن و بیشتر به سوالات پاسخ دهند

با سلام ،
آموزش کاملیو ارائه میدم - البته از دید اساتید گل شاگردیم ... به هر حال
شما پوشه ادمینو تغییر نام بدید + روی فولدر پسورد بذارید
فایل کانفیگو کد و دسترسی شو روی 400 بذارید
ورژن وردپرستون رو همیشه آپدیت کنید
پلاگین ها و .. همیشه آپدیت کنید چراکه بیشتر مواقع دلیل نفوذ پلاگین های قدیمی هستند
جاهایی که میشه تکست وارد کردو چک کنید تا کد تزریق نشه و ..
در پناه حق ؛

عزیز شما هیچ چیزی چیدا نمیکنید امنیتش 100% باشه
هدف از ایجاد این تاپیک اینه که ببینیم چجوری میتونیم به 100% نزدیک کنیم ، نه اینکه 100% کنیم.
هدف اینه که سایتمون زنگ تفریح نشه برای هکر ها . لااقل بتونیم کاری کنیم که یه نفر که 2 روزه اومده adsl خریده هکمون نکنه.
سایت های بزرگی مثل همین downloadha دارن از این سیستم استفاده میکنن و میبینید به خوبی هم داره جواب میده.
به جای این همه موج منفی اگر آموزشی دارید ارائه بدید.

اگر متن من رو کامل بخونید متوجه میشید
این کارها که می خواید بکنید خیلی راحت بای پس می شوند
راه چاره اش را هم گفتم سمت سرور جلوش گرفته بشه که هر هاستینگی نمیاد هزینه کنه همه ی request ها رو آنالیز کنه چون هم RAM میکشه و هم CPU و نمیتونن اونقدر که میخوان سایت هاست کنند
یک سری باگ ها هست که بعضی گروه های هک مثل DZ میان همینطور بات میزارند تا وردپرس پیدا کنند و هک کنند و تا صبر کنید آپدیت وردرس بیاد کل وردپرستون هک شده
پس باید سمت سرور virtual patch بشه
حرف های من کاملا واضح هست
واقعا ببخشید که این حقیقت تلخ رو میگم ولی بهتر از اینه این سری کارها رو بکنید بعد خوشحال باشید فکر کنید کار های امنیتی کردید بعد یدفعه با حقیقت روبه رو بشید و با هک شدن سایتتون مواجه بشید
امنیت بله 100% نیست و حتی واژه ی Zero day vulnrabality را حتی یک نفر از یک گروه امنیتی میگه واقعا نمیشه گفت جلوگیریش هست چرا که با اصل واژش تنافض هست ولی راه کار های جلوگیری را میشه افزایش داد ولی نه اینکه توهم زد

شما فکر کند سایت روی امن ترین سرور دنیا قرار داره.حالا فرض کنید میخواید امنیت وردپرس رو بالا ببرید
حالا بگید چیکار کنیم تا وردپرس حک نشه؟

سلام
دوستان یه سوال.
اینجا کسی میدونه اصلا سایت دانلودها که داره از سیستم مدیریت محتوای وردپرس استفاده میکنه چکار کرده که وقتی میزنی wp-admin و... اجازه نمیده و مهمتر اینکه به صفحه ایندکس منتقلتون میکنه !
اگر میدونید بفرمایید تا امنیت بیشتر بشه و هم بنده و دوستان استفاده کنیم.
ممنون از همه

سلام
دوستان یه سوال.
اینجا کسی میدونه اصلا سایت دانلودها که داره از سیستم مدیریت محتوای وردپرس استفاده میکنه چکار کرده که وقتی میزنی wp-admin و... اجازه نمیده و مهمتر اینکه به صفحه ایندکس منتقلتون میکنه !
اگر میدونید بفرمایید تا امنیت بیشتر بشه و هم بنده و دوستان استفاده کنیم.
ممنون از همه
یک افزونه بود اسمش رو یادم نیست آدرس ادمین وردپرس رو عوض میکنه




شما فکر کند سایت روی امن ترین سرور دنیا قرار داره.حالا فرض کنید میخواید امنیت وردپرس رو بالا ببرید
حالا بگید چیکار کنیم تا وردپرس حک نشه؟


سرور امن خودش جلوی خیلی از آخرین حملات رو میگیره
اگر می خواید امنیت داشته باشید یک سیستم خودتون بنویسید

وقتی یک باگ امنیتی پیدا بشه در سیستمی مثل وردپرس ممکنه اصلا به ادمین وردپرس نیاز نباشه و هر جو شلی که طرف بخواد آپلود کنه
خود تیم وردپرس ممکنه حداقال 1 روز طول بکشه که patch و Update بدهند ولی سمت سرور میشه خیلی سریع بدون دست بردن به هسته virtual patch کرد
حالا حتی اگر هم بتونه نفوز کنه سرور جلوی آپلود و اجرا شدن شل رو باید بگیره یعنی تمام درخواست ها به وب سرور را آنالیز کنه
امنیت چیزیه که باید براش هزینه کرد

یک افزونه بود اسمش رو یادم نیست آدرس ادمین وردپرس رو عوض میکنه


میشه لطف کنید اسمشو گیر بیارید واسمون تا کارمون راه بیافته ؟

میشه لطف کنید اسمشو گیر بیارید واسمون تا کارمون راه بیافته ؟
با کمی کد php
WordPress › Support � How to change the admin url or wp-admin to secure login (http://wordpress.org/support/topic/how-to-change-the-admin-url-or-wp-admin-to-secure-login)
یا با .htaccess
Michi Kono � Blog Archive � Who Else Wants to Hide Their Wordpress Folder? (http://www.michikono.com/2007/02/12/who-else-wants-to-hide-their-wordpress-admin-folder/)