امنیت در وردپرس

**DeltaGostar** · March 31st, 2012, 10:00

دوستان مطالب به درد بخور از تیم محبوب آجاکس سکوریتی برایتان در اینجا میزاریم

امن کردن وردپرس برای تمام کاربرانی که از این سیستم استفاده میکنند بسیار توصیه میشود. یکی از راههای امن کردن وردپرس استفاده از برخی افزونه های امنیتی نظیر WP Security Scan و WP Firewall میباشد. این افزونه ها را میتوانید از سایت وردپرس دانلود کرده و بر روی وردپرس خود نصب کنید.

بعد از اینکه افزونه نصب و فعال شد، میتوانید آن را از طریق بخش امنیت واقع در مدیریت وردپرس تنظیم کنید.
WP Security Scan موارد امنیتی زیر را تحت پوشش قرار میدهد:

نسخه وردپرس شما را چک میکند و چنانچه نسخه وردپرس شما قدیمی شده باشد به شما اطلاع میدهد که وردپرس خود را به روز رسانی کنید.
به شما این امکان را میدهد که پیشوند جداول دیتابیس وردپرس را تغییر داده و چیزی غیر از _wp را جایگزین آن کنید. این مورد بسیار حائز اهمیت میباشد و از هک شدن دیتابیس (SQL Injection) تا حد زیادی جلوگیری میکند. (توصیه میشود که قبل از انجام این مرحله، از دیتابیس خود بک آپ تهیه کنید).
نسخه وردپرس شما را از دید بازدید کنندگان مخفی میکند.
غیرفعال کردن نمایش خطاهای دیتابیس و در نتیجه جلوگیری از لو رفتن اطلاعات
حذف WP ID Meta tag از هسته وردپرس
اخطار در صورت وجود یک حساب کاربری مدیر پیشفرض
اخطار در صورت عدم وجود فایل htaccess. در پوشه wp-admin

همچنین این پلاگین، سطوح دسترسی دایرکتوری های وردپرس را بررسی میکند تا از حملات و نفوذ غیرمجاز جلوگیری شود. این افزونه همچنین دارای قابلیت ساختن پسورد نیز میباشد و با استفاده از آن میتوانید پسوردهای قدرتمند ایجاد نمایید.
افزونه WP Firewall درخواست های SQL مشکوک و همچنین ترافیک های مشکوک را مسدود و بلوکه میکند. در صورت مشاهده یک حمله، وردپرس میتواند حمله کننده را به یک صفحه 404 پیش ساخته برده و یا او را به صفحه اصلی وبلاگ برگرداند. همچنین این افزونه میتواند یک اخطار از طریق ایمیل در هنگام بروز حمله برای شما ارسال نماید.
یک کلمه عبور قدرتمند همیشه تا حد زیادی از هک شدن وبلاگ و یا وب سایت شما جلوگیری میکند. یک پسورد قدرتمند حداقل باید دارای 8 کاراکتر بوده و شامل لغات و کلمات موجود در لغت نامه و نیز شامل نام کاربری شما نباشد. یک پسورد خوب و قوی باید دارای ترکیبی از حروف بزرگ، حروف کوچک، اعداد و نشانه ها باشد. این مورد نه تنها شامل کلمات عبور، بلکه شامل نام کاربری و نام دیتابیس شما نیز میشود.
نکات اضافی درباره امنیت وردپرس :

همیشه وردپرس، قالبها و افزونه های آن را به روز رسانی کنید. در صورت عدم توجه به این مساله، سایت شما مورد حمله هکرها واقع شده و به سادگی هک خواهد شد.
دسترسی به بخش مدیریت وردپرس را محدود کنید و سعی کنید به کسی غیر از خودتان اجازه ورود به بخش مدیریت را ندهید. همچنین بهتر است امکان ثبت نام کاربر جدید را غیرفعال کنید.
چنانچه سایت شما تجاری است از SSL برای ارتقا سطح امنیت وب سایت خود استفاده کنید.

منبع

**~~MEDAD~~** · March 31st, 2012, 12:19

مهمترینش دسترسی مناسب فایل config هست

**mhasani95** · March 31st, 2012, 16:06

بله . دوستمون درست میگه !
مهمترین آسیب پذیری وردپرس الان wp-config.php هست ! شما دسترسی رو براش روی 400 بذارید . اگر هاستینگتون پشتیبانی نکرد و اسکریپت به مشکل خورد بذارش روی 600
بعد یک فولدر بیارش عقب . یعنی اینکه اگر الان
/home/user/public_html/wp-config.php هست شما میتونی خیلی راحت بیاریش توی
/home/user/wp-config.php
یعنی از public_html خارجش کنی ! هیچ مشکلی هم برای وردپست بوجود نمیاد ! این موضوع رو خیلی ها نمیدونن ! اما کاربردیه

**AriyaDownload** · March 31st, 2012, 16:12

نوشته اصلی توسط mhasani95

بله . دوستمون درست میگه !
مهمترین آسیب پذیری وردپرس الان wp-config.php هست ! شما دسترسی رو براش روی 400 بذارید . اگر هاستینگتون پشتیبانی نکرد و اسکریپت به مشکل خورد بذارش روی 600
بعد یک فولدر بیارش عقب . یعنی اینکه اگر الان
/home/user/public_html/wp-config.php هست شما میتونی خیلی راحت بیاریش توی
/home/user/wp-config.php
یعنی از public_html خارجش کنی ! هیچ مشکلی هم برای وردپست بوجود نمیاد ! این موضوع رو خیلی ها نمیدونن ! اما کاربردیه

واقعا این با جابه جایی مشکلی پیش نمی یاد؟؟؟
در لود سایت تاثیری نمی ذاره؟؟؟
امکانش هست در مورد سطح دسترسی بیشتر توضیح بدید؟
ممنون

**mhasani95** · March 31st, 2012, 16:19

بله . قطعا مشکلی پیش نمیاد ! یعنی شما فایل wp-config.php رو یک فولدر عقب برگردونید .
خود وردپرس اعلام کرده این موضوع رو . قطعا مشکلی پیش نمیاد
در مورد سطح دسترسی هم بگم که ، هکر با استفاده از تکنیک های مختلف مثل symlink و ... میتونه فایل wp-config شما رو بخونه . داخل دیتابیس بشه و توی اون یه ادمین بسازه .
با ادمین وارد بشه و یکی از فایل های سیستمی وردپرس رو با ویرایشگر خود وردپرس ویرایش کنه و کد مخرب بریزه ! مثل شل
بعد شل رو اجرا کنه و سایت رو دیفیس کنه
البته اگر PHP CGI باشید این مشکل شل گرفتن ایجاد نمیشه ! اکثر هاستینگ ها بخاطر رضایت مشتریاشون الان php cli میزنن که باعث میشه خیلی راحت تر شل گرفت
حالا بجز همه اینا اگر هاستینگ شما لایت اسپید باشه یا نسخه های خاص آپاچی ، میشه یه جورایی بای پس کرد و فایل php رو کدهاشو دید ! پس بازم دیتابیس میوفته بیرون و میشه به اون کاننکت شد و یوزر پسورد ادمین رو زد !
در کل خیلی هوای wp-config رو داشته باشید

**sajad2745** · March 31st, 2012, 17:00

دسترسی فایل Config.php از .htaccess هم قابل ویرایشه! فعلا که مهمتر پیشوند جداوله وردپرسه که موقع نصب باید یه چیز دیگه باشه!

**DeltaGostar** · March 31st, 2012, 17:21

من از مدیران زحمت کش این گروه و این تالار تشکر میکنم که واقعا از پست های اضافه و کاربرات متخلف که باعث برهم زدن موضوع اصلی و درج جملات و کلمات بی ربط فقط جهت افزایش پست دست به این کار بی شرمانه میزنن تشکر میکنم

**sajad2745** · March 31st, 2012, 19:53

نوشته اصلی توسط DeltaGostar

من از مدیران زحمت کش این گروه و این تالار تشکر میکنم که واقعا از پست های اضافه و کاربرات متخلف که باعث برهم زدن موضوع اصلی و درج جملات و کلمات بی ربط فقط جهت افزایش پست دست به این کار بی شرمانه میزنن تشکر میکنم

متخلف کیه جناب؟
شما که داری کپی پیست میکنی یا دوستان که دارن بحث جدی میکنن؟

بله . قطعا مشکلی پیش نمیاد ! یعنی شما فایل wp-config.php رو یک فولدر عقب برگردونید .

فکر نمیکنم به همین سادگی ها باشه و مشکلی پیش نیاد!

**DeltaGostar** · March 31st, 2012, 21:00

نوشته اصلی توسط sajad2745

متخلف کیه جناب؟
شما که داری کپی پیست میکنی یا دوستان که دارن بحث جدی میکنن؟

فکر نمیکنم به همین سادگی ها باشه و مشکلی پیش نیاد!

منم فکر نمیکنم که از تالار یا همون فرم خودم پست بسیار مفیدی رو توی یه تاپیک دیگر که امثال شما عضو و کاربرش هستی بزارم
کپی پست باشه مگر باید با چه تکنولوژی مطلب رو از یه جای دیگر بیارم جای دیگر؟ باید بکسول بکنم ؟‌ یا اول با شما مشورت کنم دوست عزیز اینجا مدیر داره و به اصطلاح خودت مچ گیری کردی سخت در اشتباه بودی منبع این مطلب خودم هستم

**RezaFH** · March 31st, 2012, 21:10

ضمن تشکر از استارتر تاپیک، یک آموزش کوتاه رو بنده در مورد امن کردن wp-config.php اینجا بنویسم.

1- امن کردن خود فایل بوسیله htaccess :
برای این کار کافیه کد زیر رو در فایل htaccess کپی کنید

کد:

<Files wp-config.php>
order allow,deny
deny from all
</Files>

2- انتقال فایل wp-config.php به یک دایرکتوری دیگر:
برای این کار هم نیاز هست که فایل wp-config رو ضمن عوض کردن نام فایل، به یک دایرکتوری دیگر انتقال دهید و پس از آن، یک فایل wp-config.php با محتوای آدرس فایل جدید بصورت زیر ایجاد کنید

کد:

<?php
include(‘/home/usr/wht/new-file.php’);
?>

موضوع: امنیت در وردپرس

ابزارهای موضوع

نحوه نمایش موضوع

امنیت در وردپرس

تعداد تشکر ها ازDeltaGostar به دلیل پست مفید

پاسخ : امنیت در وردپرس

تعداد تشکر ها از MEDAD به دلیل پست مفید

پاسخ : امنیت در وردپرس

تعداد تشکر ها ازmhasani95 به دلیل پست مفید

پاسخ : امنیت در وردپرس

پاسخ : امنیت در وردپرس

تعداد تشکر ها از mhasani95 به دلیل پست مفید

پاسخ : امنیت در وردپرس

پاسخ : امنیت در وردپرس

پاسخ : امنیت در وردپرس

پاسخ : امنیت در وردپرس

پاسخ : امنیت در وردپرس

تعداد تشکر ها ازRezaFH به دلیل پست مفید

اطلاعات موضوع

کاربرانی که در حال مشاهده این موضوع هستند

مجوز های ارسال و ویرایش