تاپیک جامع افزایش امنیت وردپرس

[سیدرضا بازیار]

پسورد روی پوشه ی wp-admin هم گذاشتن فایده ای نداره چون اون هم بای پس میشه
زمانی که سرور ناامن بود حتی پسورد هم گذاشته بودیم و هکش کردند
بیشترین راه مقابله استفاده از mod_security و جدیدترین rule ها از سمت سرور هستش یعنی لایه ی اپلیکیشن بالاتر چون خود وردپرس کلا سوراخه!

پس من چیکار کنم؟
لطفا بگید
من اکثر باگ های وردپرس رو میشناسم اما نمیتونم اونا رو درست کنم
من دونه دونه باگ ها رو میگم شما هم آموزش اونا رو برام بزارید
اول در مورد پوشه wp-admin . شما میگید من چیکار کنم؟بهترین راه حل رو بگید

[Mihan-Server]

با سلام ،
آموزش کاملیو ارائه میدم - البته از دید اساتید گل شاگردیم ... به هر حال
شما پوشه ادمینو تغییر نام بدید + روی فولدر پسورد بذارید
فایل کانفیگو کد و دسترسی شو روی 400 بذارید
ورژن وردپرستون رو همیشه آپدیت کنید
پلاگین ها و .. همیشه آپدیت کنید چراکه بیشتر مواقع دلیل نفوذ پلاگین های قدیمی هستند
جاهایی که میشه تکست وارد کردو چک کنید تا کد تزریق نشه و ..
در پناه حق ؛

[sarwhost]

چطوری بک آپ بگیرم؟؟؟

اموزش بکاب گیری در cpanel - مرکز آموزش کاربران - شرکت سروآی تی

چطوری پوشه رو قفل کنم؟

اموزش پسورد گذاری روی یگ فولدر خاص در cpanel - مرکز آموزش کاربران - شرکت سروآی تی

[سیدرضا بازیار]

من بک آپ گرفتم.اگه بخوام بک آپ ر.و برگردونم چیکار کنم؟
آموزش قفل کردن پوشه که برام گذاشتید کامل نیست.اصلا معلوم نیست چیه.یه آموزش کامل بزارید

[Woshka]

این نوع حفره های امنیتی در این لایه ی اپلیکیشن که خود وردپرس درش هست نمیشه جلوشو گرفت
باید لایه ی قبلی مثلا mod_security که یک پراکسی قبل کامپایل شدن توسط وب سوررو مثلا آپاچی هست که احاطه ی کامل به تمام درخواست ها داره باید انجام بشه یعنی سرور باید امن بشه
راه حل دیگر اینه که کلا چیزی مثل وردپرس از اول خودتون بنویسید تا حداقل اگر کدتون مشکل امنیتی هم داشته باشه کسی از سورستون مطلع نباشه

[سیدرضا بازیار]

این نوع حفره های امنیتی در این لایه ی اپلیکیشن که خود وردپرس درش هست نمیشه جلوشو گرفت
باید لایه ی قبلی مثلا mod_security که یک پراکسی قبل کامپایل شدن توسط وب سوررو مثلا آپاچی هست که احاطه ی کامل به تمام درخواست ها داره باید انجام بشه یعنی سرور باید امن بشه
راه حل دیگر اینه که کلا چیزی مثل وردپرس از اول خودتون بنویسید تا حداقل اگر کدتون مشکل امنیتی هم داشته باشه کسی از سورستون مطلع نباشه

خوب شما بگید سایت من چندتا ضعف امنیتی داره
و بگید امنیت سرور چطوره
بلیان | balyan | بزرگترین سایت بسیج ایران در سراسر جهان

[سیدرضا بازیار]

لطفا کمک کنید
wp-admin رو چطوری قفل کنم و بک آپ رو چطوری برگردونم؟

[hassan5099]

لطفا کمک کنید
wp-admin رو چطوری قفل کنم و بک آپ رو چطوری برگردونم؟

سلام
عزیز اینجا یه سر بزن توضیح داده
آموزش تصویری گذاشتن رمز عبور بر روی پوشه wp-admin وردپرس

[سیدرضا بازیار]

4- سطوح دسترسی (premissions) را به درستی تنظیم کنید

هیچ گاه و تحت هیچ شرایطی بر روی هاست های اشتراکی ، پرمیشن هیچ پوشه ای را بر روی 777 قرار ندهید چون افراد دیگری که بر روی همان هاست هستند می توانند فایل هایی را به آن پوشه آپلود و اجرا کنند. برای پوشه ها در نهایت از می توانید از پرمیشن 755 استفاده کنید و برای فایل ها نیز از پرمیشن 644 استفاده کنید.

8-دسترسی به پوشه ی wp-content را محدود کنید.
این پوشه محل نگه داری فایلهای قالب ها-زبان ها و پلاگین ها است.همچنین در این پوشه فایلهایی ممکن است برای دانلود قرار بگیرد.عکس های آپلود شده هم در جزئیات همین پست قرار می گیرد.
بهتر است اجازه ندهید نفوذ گران به فایلهای مثل php در این پوشه که مهم هستند دسترسی داشته باشند.
برای این کار وارد پوشه ی wp-content می شویم.خوب در این پوشه یک .htaccess وجود داره که خوب باز می کنیم این فایل را.بعد دستور زیر را وارد می کنیم >
کد PHP:

Order Allow,Deny
Deny from all
<files ?.(jpg|gif|rar|jpge|mp3|zip|png|js|css)$? ~>
Allow from all
</files>

بعد هم فایل را ذخیره می کنیم.
حالا ببینیم این دستور اچ تی اکسس چی میگه:
این دستور می گوید به هر فایلی بجز اینهایی که در این لیست وجود داردند اجازه ی دسترسی نده.
من خودم فایل های zip,rar,mp3 و jpge را اضافه کردم.ولی ممکن است شما به دسترسی فایل های بیشتری برای کاربرانتون نیاز دارید.خوب در لیست اضافه کنید.
هر فایلی هم که تو این لیست نباشه دسترسی نداره.

9-از پروتوکل های امن تر استفاده کنید.

در قوانین tcp/ip پروتوکل های متفاوتی تعریف شده است که می تونیم نام ببریم از http,https و ftp
این امر مشخصی است که تقریبا تمام سایت ها از پروتوکل http استفاده می کنند.اما یک پروتوکل رمز نگاری شده امن تر وجود دارد به نام https.می توانید در شبکه های بی سیم و محلی امنیت را بسیار افزایش دهید.ابتدا باید با میزبانی هاست خود صحبت کنید تا این قابلیت به دامین شما داده شود.بعد از این مرحله فایل config.php را باز می کنیم و در آن این دستور را جایگذاری می کنیم
کد PHP:

define('FORCE_SSL_ADMIN', true);

این دستور چی میگه:
از این پس هنگام زدن دومین مورد نظر توسط هر کاربری از پروتوکل https برای برقراری ارتباط استفاده شود.


مطلب قرمز رنگ بالا یکی از باگ های وردپرسه که توی سایت آشیانه بود.من که چیزی نفهمیدم.لطفا برام توضیح بدید

[سیدرضا بازیار]

www.site.com/wp-includes
اگه به این صفحه برید همه چیز رو توی هاست میبینید.چطوری میشه این صفحه رو مخفی کرد؟ (با ارور 404)