تاپیک جامع افزایش امنیت وردپرس

نقل قول:

---

نوشته اصلی توسط silver9024

با محدود کردن ایپی امنیت کاملی داشته باشین
در حالت پیشفرض هرکسی می تواند صفحه لاگین وردپرس را مشاهده کند و یا به پوشه مدیر سایت دسترسی بیابد. بنا براین بهتر است برای امنیت بیشتر در برار حملاتی همچون Bruteforce دسترسی به موارد ذکر شود به مدیر سایت محدود شود.
برای اینکار از یک فایل htaccess در پوشه wp-admin استفاده می کنیم.
یک فایل با نام htaccess. در پوشه wp-admin بسازید و محتویات زیر را در داخل آن قرار دهید :

1 2 3 4 5 6 7 8

</p> <p>order deny,allow<br /> deny from all<br /> # 1st ip<br /> allow from XX.XX.XXX.XXX<br /> # 2nd ip<br /> allow from XX.XX.XXX.XXX</p> <p>

به جای XX.XX.XXX.XXX آدرس IP هایی که اجازه دیدن صفحه را دارند قرار دهید. همچنین می توانید به تعداد IP ها بیافزایید.در اینجا ۲ عدد IP اضافه شده است.
در صورتی که شخصی اجازه بازدید صفحه را نداشته باشد خطای ۴۰۴ برای او به نمایش در می آید.
دقت داشته باشید آدرس هایی را وارد کنید که آدرس هایی که وارد می کنید توسط شما قابل دسترسی باشد.:71:

---

این کار خطرناکه.ممکنه آی پی ما تغییر کنه.سیستم بسوزه و...• اون وقت دیگه سایت واسه همیشه از دست میره

دوست عزیز اصلا خطرناک نیست . آی پی ما تغییر میکنه نه کل آی پی فقط رقم آخرش تغییر میکنه و اگه سیستم ما بسوزه ربطب به این نداره ما دسترسی به هاست رو داریم و میریم توی هاست این کدش رو مجددا تنظیم میکنیم یا هم حذفش میکنیم
موفق باشید.

موضوع این هست که هکر نیاز به دسترسی اولیه به ادمین رو نداره و از حفره های امنیتی فایل های مخرب را آپلود می کنه و تمام این تنظیمات از قبیل پسورد گذاشتن روی فولدر و محدود کردن آی پی رو تغییر میده
خیلی دنیا قشنگ میشد اگر با این چیز ها امنیت ایجاد میشد ولی من واقعیت ها را می گویم

من آن چه شرط بلاغ است با تو می گویم / تو خواه از سخنم پند گیر خو

من میخوام اگه کسی به آدرس زیر بره به صفحه اصلی منتقل بشه
http://www.balyan.ir/wp-content/
چیکار کنم؟

نقل قول:

---

نوشته اصلی توسط Woshka

موضوع این هست که هکر نیاز به دسترسی اولیه به ادمین رو نداره و از حفره های امنیتی فایل های مخرب را آپلود می کنه و تمام این تنظیمات از قبیل پسورد گذاشتن روی فولدر و محدود کردن آی پی رو تغییر میده
خیلی دنیا قشنگ میشد اگر با این چیز ها امنیت ایجاد میشد ولی من واقعیت ها را می گویم

من آن چه شرط بلاغ است با تو می گویم / تو خواه از سخنم پند گیر خو

---

پس شما میگید چیکار کنم؟
امنیت رو بالا نبرم؟

نقل قول:

---

نوشته اصلی توسط Woshka

موضوع این هست که هکر نیاز به دسترسی اولیه به ادمین رو نداره و از حفره های امنیتی فایل های مخرب را آپلود می کنه و تمام این تنظیمات از قبیل پسورد گذاشتن روی فولدر و محدود کردن آی پی رو تغییر میده
خیلی دنیا قشنگ میشد اگر با این چیز ها امنیت ایجاد میشد ولی من واقعیت ها را می گویم

من آن چه شرط بلاغ است با تو می گویم / تو خواه از سخنم پند گیر خو

---

عزیز شما هیچ چیزی چیدا نمیکنید امنیتش 100% باشه
هدف از ایجاد این تاپیک اینه که ببینیم چجوری میتونیم به 100% نزدیک کنیم ، نه اینکه 100% کنیم.
هدف اینه که سایتمون زنگ تفریح نشه برای هکر ها . لااقل بتونیم کاری کنیم که یه نفر که 2 روزه اومده adsl خریده هکمون نکنه.
سایت های بزرگی مثل همین downloadha دارن از این سیستم استفاده میکنن و میبینید به خوبی هم داره جواب میده.
به جای این همه موج منفی اگر آموزشی دارید ارائه بدید.

هیچ سایتی امنیتش 100 درصد نیست
حتی گوگل و فیس.پوک
من میخوام توی این تاپیک تمام باگ ها و ضعف های امنیتی رو به کمک همدیگه شناسایی کنیم و آموزش بالا بردن وردپرس رو بزاریم
البته اگه دوستان بیشتر همکاری کنن و بیشتر به سوالات پاسخ دهند

با سلام ،
آموزش کاملیو ارائه میدم - البته از دید اساتید گل شاگردیم ... به هر حال
شما پوشه ادمینو تغییر نام بدید + روی فولدر پسورد بذارید
فایل کانفیگو کد و دسترسی شو روی 400 بذارید
ورژن وردپرستون رو همیشه آپدیت کنید
پلاگین ها و .. همیشه آپدیت کنید چراکه بیشتر مواقع دلیل نفوذ پلاگین های قدیمی هستند
جاهایی که میشه تکست وارد کردو چک کنید تا کد تزریق نشه و ..
در پناه حق ؛

نقل قول:

---

نوشته اصلی توسط reza*

عزیز شما هیچ چیزی چیدا نمیکنید امنیتش 100% باشه
هدف از ایجاد این تاپیک اینه که ببینیم چجوری میتونیم به 100% نزدیک کنیم ، نه اینکه 100% کنیم.
هدف اینه که سایتمون زنگ تفریح نشه برای هکر ها . لااقل بتونیم کاری کنیم که یه نفر که 2 روزه اومده adsl خریده هکمون نکنه.
سایت های بزرگی مثل همین downloadha دارن از این سیستم استفاده میکنن و میبینید به خوبی هم داره جواب میده.
به جای این همه موج منفی اگر آموزشی دارید ارائه بدید.

---

اگر متن من رو کامل بخونید متوجه میشید
این کارها که می خواید بکنید خیلی راحت بای پس می شوند
راه چاره اش را هم گفتم سمت سرور جلوش گرفته بشه که هر هاستینگی نمیاد هزینه کنه همه ی request ها رو آنالیز کنه چون هم RAM میکشه و هم CPU و نمیتونن اونقدر که میخوان سایت هاست کنند
یک سری باگ ها هست که بعضی گروه های هک مثل DZ میان همینطور بات میزارند تا وردپرس پیدا کنند و هک کنند و تا صبر کنید آپدیت وردرس بیاد کل وردپرستون هک شده
پس باید سمت سرور virtual patch بشه
حرف های من کاملا واضح هست
واقعا ببخشید که این حقیقت تلخ رو میگم ولی بهتر از اینه این سری کارها رو بکنید بعد خوشحال باشید فکر کنید کار های امنیتی کردید بعد یدفعه با حقیقت روبه رو بشید و با هک شدن سایتتون مواجه بشید
امنیت بله 100% نیست و حتی واژه ی Zero day vulnrabality را حتی یک نفر از یک گروه امنیتی میگه واقعا نمیشه گفت جلوگیریش هست چرا که با اصل واژش تنافض هست ولی راه کار های جلوگیری را میشه افزایش داد ولی نه اینکه توهم زد

شما فکر کند سایت روی امن ترین سرور دنیا قرار داره.حالا فرض کنید میخواید امنیت وردپرس رو بالا ببرید
حالا بگید چیکار کنیم تا وردپرس حک نشه؟