سلام دوستان
برای افزایش امنیت سایت آیا تغییر آدرس wp-login را توصیه می کنید؟به نظرتون چقدر توی امنیت سایت تاثیر داره؟ تاثیرش در حدی هست که wp-ligin را تغییر بدم؟
نمایش نسخه قابل چاپ
سلام دوستان
برای افزایش امنیت سایت آیا تغییر آدرس wp-login را توصیه می کنید؟به نظرتون چقدر توی امنیت سایت تاثیر داره؟ تاثیرش در حدی هست که wp-ligin را تغییر بدم؟
سلام، بله بی تاثیر نیست میشود جلوی brute force attack را گرفت.
بله ، حتما تغییر بدید ، هم wp-login.php و هم wp-admin .نقل قول:
نوشته اصلی توسط upnull50
با سلام و عرض ادب
علاوه بر تغییر آدرس ورود به ادمین ، پیشنهاد میشود امکان "بازیابی رمز عبور" را نیز غیرفعال نمایید.
برای این موضوع در وردپرس نسخه ۲ یادمه باید wp-login.php ویرایش میشد ، شما متد بهتری سراغ دارید ؟نقل قول:
نوشته اصلی توسط a.e
البته با استفاده از فانکشن های پوسته میشه هاید کرد ، ولی disable کلی نمیشه.
با هوک allow_password_reset غیرفعال کنید.
قبلا ب این صورت هاید میشد ، الان رو نسخه های جدید نمیشه :نقل قول:
نوشته اصلی توسط T.Toosi
کد PHP:function disable_password_reset() {
return false;
}
add_filter ( 'allow_password_reset', 'disable_password_reset' );
با استفاده از همین کد که فرمودید این قسمت غیرفعال میشود؛ به صورتی که پس از وارد کردن ایمیل یا شناسه کاربری با پیغام " این شناسه اجازهی بازسازی کلمه عبور را ندارد " مواجه خواهید شد.نقل قول:
نوشته اصلی توسط OmidX
wp-login.php را یک نگاه کردم، کل عملیات ریست پسورد کامل به صورت inline در خود فایل نوشته شده است، یعنی اگر آدرس عوض شود کسی قادر به query زدن برای ریست نیست مگر اینکه آدرس را بداند.نقل قول:
نوشته اصلی توسط OmidX
ببینید خوب میشه ولی بهترین کار پسورد گذاری روی فولدر ادمین و استفاده نکردن از پلاگین های دارای رموت عکس البته بعضی از افزونه ها اینطوری هستندنقل قول:
نوشته اصلی توسط upnull50
سلام
مهندس یه نگاهی به مقاله ی زیر هم بکنید تنها راه بروت فروس wp-login.php نیست:
https://blog.sucuri.net/2015/10/brut...ss-xmlrpc.html
برای تغییر ادرس پنل ادمین هم به شما پیشنهاد میدم از افزونه ی زیر استفاده کنید و دست به فایل ها نزنید تا برای اپدیت و .... هم مشکل ایجادنشود:
https://wordpress.org/plugins/protect-wp-admin/
روز خوش
ینی ميشه غیرفعالش کرد بعد رمز يادمون رفت آدرس مشخصی داره برای بازیابی؟نقل قول:
نوشته اصلی توسط T.Toosi
شما کلا به wp-login.php برای ورود به سایت نیاز دارید و عملیات ریست پسورد، ارسال ایمیل و .. هم در همین فایل نوشته شده است یعنی اگر میخواهید کلا غیرفعال کنید باید چند خط پاک کنید یا در این فایل یک switch وجود دارد که یک case آن resetpass هست، این case را کامنت کنید کلا ریست پسورد غیرفعال میشود. اما بهترین و آسانترین راه عوض کردن آدرس هست.نقل قول:
نوشته اصلی توسط Riko
اگر به آدرس دیفالت wp-login احتیاج دارید و فقط میخواهید قادر به عملیات ریست پسورد نباشند ابتدا هوکی که در صفحه اول اشاره شده امتحان کنید و راه دیگر آن است که ابتدا form html ریست پسورد داخل wp-login.php را پاک کنید سپس در function قالب خود اضافه کنید :کد:case 'resetpass' :
case 'rp' :
کد PHP:add_filter( 'lostpassword_url', 'wdm_lostpassword_url', 10, 0 );
function wdm_lostpassword_url() {
return site_url('/dfg4556dfgfdgfd65695269625959?action=lostpassword');
}
تغییر دادن صفحه ورود راه مناسبیه اما راه حل قعطی نیست ، با توجه به اینکه بعضی از سایت ها هم برای ورود کاربرانشون نمیتونن صفحه ورود رو تغییر یا پنهان کنن
بهترین راه برای جلوگیری از حملات به صفحه ورود استفاده از افزونه Limit Login Attempts است که جلوی حملات بروت فورس رو میگیره ، اگر یک آی پی چند بار رمز اشتباهی رو برای ورود ارسال بکنه این افزونه اون آی پی رو بلاک میکنه
افزودن کپچا هم میتونه در افزایش امنیت موثر باشه
سلام من چند وقت پیش یه پستی دادم درباره بالا بردن امنیت وردپرس ملاحظه کنید شاید مفید باشه براتوننقل قول:
نوشته اصلی توسط upnull50
http://www.webhostingtalk.ir/showthr...421&highlight=