دیجی اسکریپت

افزایش امنیت وردپرس Archives | دیجی اسکریپت

جلوگیری از Brute Force Login در وردپرس برای امنیت بیشتر

جلوگیری از Brute Force Login در وردپرس

جلوگیری از Brute Force Login در وردپرس

هکرها برای ورود به سایت تلاش زیادی می کنند و رمزهای متفاوتی را امتحان می‌کنند، گاهی اوقات به طور تصادفی یکی از آنها رمز وردپرس شما است و می توانند به راحتی وارد سایت شما شوند و اطلاعات‌تان را نابود کنند. برای جلوگیری از این کار می توانید امنیت سایت‌تان را بالا ببرید. با افزونه Brute Force Login Protection می توانید وب سایت خود را در مقابل حملات ورود به سیستم با استفاده از فایل .htaccess محافظت کنید. پس از محدودیت مشخص شده از تلاش ورود به سیستم در یک زمان مشخص، آدرس IP هکر مسدود خواهد شد.

نحوه کار با افزونه Brute Force Login Protection

برای شروع کار با افزونه آن را نصب و راه اندازی کنید. پس از فعال سازی افرونه، گزینه جدیدی به نام Brute Force Login Protection در منو تنظیمات وردپرس اضافه می‌شود. وارد بخش تنظیمات افزونه شوید. حال سه متاباکس را مشاهده می کنید. هر یک را به صورت کامل توضیح می دهیم.

تنظیمات افزونه

Allowed login attempts before blocking IP: در این قسمت می­توان تعداد دفعات تلاش برای ورود به پنل مدیریت وردپرس را قبل از مسدود کردن IP را مشخص کرد.
Minutes before resetting login attempts countدر این قسمت شمارش معکوس قبل از بازنشانی ورود به سیستم را تعیین کنید.
Delay in seconds when a login attempt has failed: در این قسمت مشخص کنید کاربر پس از چند بار ورود به سیستم مسدود شود.
Inform user about remaining login attempts on login page: با فعال کردن این گزینه زمان باقی مانده برای تلاش به صفحه ورود به سیستم را به کاربر نمایش می دهید.

Send email to administrator when an IP has been blockedبا فعال کردن این گزینه زمانی که یک IP مسدود می شود به مدیر اطلاع رسانی می شود.

Message to show to blocked users: در این قسمت می توانید پیام دلخواه خود را برای کاربران مسدود شده بنویسید.
.htaccess file locationدر این قسمت محل فایل .htaccess مشخص شده است.

Blocked IPs: در این قسمت می توانید آی پی آدرس هایی که قصد دارید مسدود شوند را وارد نمایید.

Whitelisted IPs: در این قسمت می‌ توانید آی پی آدرس کاربران مورد اعتماد خود را وارد نمایید.

پس از اتمام تغییرات خود تنظیمات را ذخیره کنید. و سایت خود را از شر هکرها و بد افزارها در امان نگه دارید.

موفق و پیروز باشید.

راستی! برای دریافت مطالب وردپرسی در کانال تلگرام میهن وردپرس عضو شوید.



لینک منبع مطلب

۵ تهدید امنیتی در وردپرس و راه حل آنها

دیگر همه می‌دانند وردپرس به علت دسترسی راحت به پنل مدیریت و متن باز (open source) بودنش محبوب تمام جهان شده است. موضوع مهمی که در این سیستم وجود دارد، تیم قدرتمندی است که با دقت به بررسی باگ‌های امنیتی می‌پردازند تا مشکلات را در هر نسخه از وردپرس برطرف کنند. اما هکرها همیشه منتظر هستند تا شکافی را بیابند و دست به کار شوند. حال این شکاف می‌تواند در هسته وردپرس باشد، در قالب یا افزونه‌ای که استفاده می‌کنید یا هر آنچه به وردپرس مربوط است.

 

در این مطلب ۵ تهدید امنیتی در وردپرس را شناسایی کردیم که به احتمال خیلی زیاد می‌تواند باعث هک شدن و از بین رفتن وبسایت شما شود. این ۵ مورد را با هم بررسی می‌کنیم و راه حل آن را ارائه می‌دهیم.

۵ تهدید امنیتی در وردپرس و راه حل آنها

 

تهدید امنیتی در وردپرس

اینکه چگونه بتوان تعدادی تهدید امنیتی در وردپرس را یافت و راه حل آن را نیز پیدا کرد کار ساده‌ای نیست اما به کمک توسعه دهندگان و افراد حرفه‌ای امکان‌پذیر می‌شود.
در انتهای این مقاله انتظار می‌رود این ۵ تهدید امنیتی در وردپرس را در وبسایت خود یافته و چنانچه این مشکلات را دارید حتما آن را رفع کرده باشید.

 

۱- مشخص است که از وردپرس و از چه نسخه‌ای استفاده می‌کنید

۵ تهدید امنیتی در وردپرس و راه حل آنها

نسخه وردپرس با کمک یک خط کد ایجاد شده و تعیین می‌کند وبسایت شما در حال استفاده از کدامین نسخه است و این موضوع قابل مشاهده توسط سایر افراد است حتی با توجه به قالبی که از آن استفاده می‌کنید شاید در تمامی برگه‌ها و صفحات مشهود باشد و این خود یک تهدید امنیتی در وردپرس محسوب می‌شود.

 

اصلا نیازی نیست که دیگران بدانند وبسایت شما با وردپرس ایجاد شده و اینکه دارای چه نسخه‌ای است. این اطلاعات فقط برای خودتان لازم است و بس! اگر شخصی روحیه شیطنت داشته باشد حتما با دانستن این موارد می‌تواند آسیب جدی به هسته وردپرس، افزونه‌ها و قالب وردپرستان وارد کند.

 

چگونه این مشکل را حل کنیم؟

برای حل این مشکل اگر توسعه دهنده باشید می‌توانید با کمی جستجو در بین کدهای هسته وردپرس آن را پنهان کنید اما اگر توسعه دهنده نیستید نگران نباشید. وردپرس برای این منظور افزونه‌هایی دارد که به کمک آن‌ها می‌توانید به راحتی این مسئله را حل کنید. برای این منظور قبلا تدابیری اندیشیده بودیم که می‌توانید نتایج آن را در مطلب ” پنهان کردن وردپرس” مطالعه کنید.

 

۲- هر شخصی می‌داند آدرس ورودی به پیشخوان وردپرس wp-admin است

۵ تهدید امنیتی در وردپرس و راه حل آنها

آدرس پیش‌فرض وردپرس برای ورود به پیشخوان با نامک wp-admin است. تقریبا هر کسی که تا حدی با وردپرس آشناست این موضوع را می‌داند بنابراین تا اینجا کار بسیار ساده است و برای افراد مخرب تنها حدس زدن و کشف کردن نام کاربری و رمز عبور باقی می‌ماند.

 

چگونه این مشکل را حل کنیم؟

باید کاری کنیم که افراد و ربات‌ها امکان دسترسی به این صفحه را به هیچ وجه نداشته باشند. برای این منظور و جلوگیری از این  تهدید امنیتی در وردپرس دو روش پیش پای ماست.

  • ۱- به صورت دستی یا با کمک افزونه‌ها نام و موقعیت صفحه ورود را تغییر دهیم.
  • ۲- دسترسی‌ها را با کمک آدرس‌های آی‌پی محدود کنیم.

برای این منظور می‌توان از افزونه‌های حرفه‌ای Sucuri، Wordfence و… استفاده کرد.

 

۳- وردپرس دارای پیش‌فرصی در نام جداول پایگاه داده است که همه از آن مطلع هستند

۵ تهدید امنیتی در وردپرس و راه حل آنها

وردپرس دارای یک پیشوند WP در تمامی جداول خود است که یک استاندارد برای آن محسوب می‌شود و اما یک تهدید امنیتی در وردپرس! اگر این جداول را به حال خود بگذارید دسترسی به آن‌ها را برای افراد، امکان‌پذیر کرده‌اید.

 

چگونه این مشکل را حل کنیم؟

به راحتی می‌توان این مسئله را حل کرد. این پیشوند‌ها را با کمک یک افزونه مانند Sucuri می‌توان تغییر داد. قبل از انجام هر کاری از پایگاه داده نسخه پشتیبان تهیه کنید و سپس اقدامات خود را انجام دهید.

 

۴- امکان ویرایش قالب و افزونه در پیشخوان وردپرس وجود دارد

۵ تهدید امنیتی در وردپرس و راه حل آنها

وقتی امکان ویرایش قالب و افزونه‌های شما فراهم باشد، با ورود هر فردی باید احساس خطر کنید زیرا ممکن است آسیبی به وبسایتتان وارد سازد. به راحتی می‌توانند با وارد کردن کدهایی اقدام به آلوده کردن وبسایتتان کنند.

 

چگونه این مشکل را حل کنیم؟

برای حل این تهدید امنیتی در وردپرس، قطعه کد زیر را در فایل wp-config.php وارد کنید:

define( 'DISALLOW_FILE_EDIT', true );

۵- امکان تلاش‌های پیاپی برای ورود به وردپرس امکان‌پذیر است

۵ تهدید امنیتی در وردپرس و راه حل آنها

به صورت پیش‌فرض در وردپرس امکان وارد کردن نام کاربری و رمز عبور به تعداد نامحدود وجود دارد. یعنی اگر شما پسورد خود را فراموش کرده باشید، بارها می‌توانید پسوردهای متعددی را تست کنید. شاید به نظر شما بهترین امکان باشد اما یک تهدید امنیتی در وردپرس محسوب می‌شود که باید از آن پرهیز کرد.

 

چگونه این مشکل را حل کنیم؟

برای این منظور می‌توانید از افزونه‌های وردپرسی مانند افزونه WP Limit Login Attempts کمک بگیرید. با کمک این مدت افزونه‌ها می‌توانید تعداد امتحان کردن ورود کاربران را محدود کنید.

جمع‌بندی

حملات سایبری روز به روز در حال پیشرفت و رشد هستند و کل اینترنت را در برگرفته‌اند. فرقی ندارد یک وبسایت کوچک یا بزرگ هستید، اگر کسی در کمین سایت شما باشد می‌تواند آن را از پای درآورد.
با اقدامات ساده‌ای که امروز گفتیم می‌توانید خیلی از مسائل را حل کنید و تهدید امنیتی در وردپرس را به حداقل برسانید.

 

سوالات رایج

  • آیا با همین ۵ روش می‌توان امنیت وبسایت وردپرسی را تضمین کرد؟
    این ۵ روش موارد بنیادی موجود در وردپرس است که پرداختن به آن‌ها ضروری است اما روش‌های دیگری برای قوی‌تر کردن امنیت وبسایت را نباید نادیده گرفت و هر لحظه باید بررسی کرد.
  • چه روش‌های دیگری برای حفظ ایمنی وردپرس ضروری است؟
    تمامی روش‌های حفظ امنیت در وردپرس را طی مقالات قبلی توضیح دادیم و پیشنهاد می‌کنم حتما آن‌ها را مطالعه کنید.

نوشته ۵ تهدید امنیتی در وردپرس و راه حل آنها اولین بار در بیست اسکریپت. پدیدار شد.



لینک منبع مطلب

افزونه افزایش امنیت و احراز هویت دو مرحله ای وردپرس ۵sec Google Authenticator

۵sec Google Authenticator نام افزونه کاربردی وردپرس می‌باشد که با استفاده از آن می‌توانید ورود به مدیریت وردپرس خود را به صورت دو مرحله ایجاد کرده و امنیت آن را به صورت چشمگیری افزایش دهید. این افزونه با استفاده از حفاظت دو مرحله ، عملا از ورود هکرها و افراد غیرمجاز جلوگیری خواهد کرد. حتی در صورت به دست آوردن رمز عبور مدیریت ، هکرها به دلیل عدم دسترسی به تلفن همراه نمی توانند از مرحله دوم عبور کرده و به مدیریت دسترسی پیدا کنند.

 

افزونه افزایش امنیت و احراز هویت دو مرحله ای وردپرس 5sec Google Authenticator

 

احراز هویت دو مرحله ای ۵sec Google Authenticator به صورت کاملا حرفه ای از حملات brute-force جلوگیری خواهد کرد. Brute Force (بروت فورس) یکی از انواع حملات هکر ها برای بدست آوردن رمز های عبور است. در این روش هکر با کمک نرم افزار های مخصوص سعی می کند تمام عبارت های ممکن را بررسی کند. آشنایی با حملات brute force برای همه مدیران سایت‌ها و کاربران اینترنتی که دارای پنل مدیریت اینترنتی یا نام کاربری و رمز عبور در یک سایت خاص هستند لازم و ضروری است، چراکه با شناخت این نوع حمله و راهکار‌ های مقابله با آن گامی بلند در جهت ارتقای امنیت سایبری برداشته شده و میزان کمتری از سایت‌ها توسط این روش خطرناک مورد نفوذ قرار می‌گیرند.

 

افزونه افزایش امنیت و احراز هویت دو مرحله ای وردپرس 5sec Google Authenticator

 

در پایان افزونه ۵sec Google Authenticator به شما این امکان را می‌دهد تا تنها خودتان که به تلفن خود دسترسی دارید بتوانید به مدیریت وردپرس دسترسی پیدا کرده و فعالیت های خود را انجام دهید. در صورت هرگونه مفقودی و یا عدم دسترسی به تلفن همراه این افزونه لینک مخفی را در اختیارتان قرار خواهد داد که با استفاده از آن می‌توانید بدون نیاز به مرحله دوم حفاظت ، وارد مدیریت وبسایت خود شوید.

 

برخی از امکانات افزونه افزایش امنیت و احراز هویت دو مرحله ای وردپرس ۵sec Google Authenticator :

  • افزایش امنیت با حفاظت دو مرحله ای از ورود
  • در صورت به دست آوردن رمز عبور نیز نمی توانند وردپرس را هک کنند
  • بدون تلفن همراه کسی نمی توانند وارد مدیریت شود
  • امکان فعال و یا غیرفعال کردن حفاظت دو مرحله برای هر کاربر
  • قابلیت خارج شدن از سیستم برای اطمینان از استفاده نکردن دیگران
  • قابلیت حفاظت از حملات brute-force با گزینه های مختلف
  • لیست سفارشی IP برای حملات brute-force
  • ایجاد لینک مخفی برای زمانی که تلفن همراه از بین می رود
  • ترجمه به زبان دلخواه
  • امکان استفاده آسان در وردپرس
  • مستندات دقیق و کمک در هر مرحله
  • و امکانات دیگر…

نوشته افزونه افزایش امنیت و احراز هویت دو مرحله ای وردپرس ۵sec Google Authenticator اولین بار در بیست اسکریپت. پدیدار شد.



لینک منبع مطلب

افزونه وردپرس بررسی فایل های مخرب Sucuri Security

Sucuri Security نام یک افزونه رایگان برای وردپرس می باشد که با استفاده از آن می توانید وب سایت وردپرسی امن تری داشته باشید. بی شک Sucuri Security برترین افزونه امنیتی موجود برای وردپرس به شمار می‌رود. افزونه بر پایه اسکنر یک ویروس‌یاب ایجاد شده و خدمات آن به صورت رایگان عرضه شده‌اند. دقت Sucuri Security در بررسی بخش‌های مختلف سایت به مراتب بیشتر از دو افزونه قبل است و پس از فعالسازی آن می‌توانید با خیال راحت از وب‌سایتی بدون مشکل لذت ببرید.علاوه‌بر این نسخه پولی این افزونه جهت استفاده وبمستران در دسترس است. عملکرد این نسخه به صورتی هوشمند بوده و از دسترسی هر شخصی به سایت شما با بلاک کردن آی پی‌های بیگانه، جلوگیری خواهد کرد. بجز این موارد، هشدارهای گوناگونی جهت اطلاع رسانی رویدادها به مدیر سایت در آن تعبیه شده که از بروز آسیب‌های احتمالی جلوگیری خواهد کرد.

 

افزایش امنیت وردپرس

همانطور که همه ی شما عزیزان کم و بیش میدانید راه های مختلفی برای افزایش امنیت وردپرس وجود دارد. روش هایی مانند:

  • انتخاب یک سرور میزبان (ServerHost) معتبر، ایمن وشناخته شده
  • محدود کردن تعداد دفعات وارد کردن نام کاربری و رمز عبور در پنل
  • انتخاب یک رمز عبور قوی و منحصر به فرد، که خط مقدم حمله های مجازی است.
  • آپدیت یا به روز رسانی همیشگی و منظم وردپرس
  • آپدیت و به روز رسانی قالب استفاده شده و همچنین تمامی پلاگین های نصب شده که مطابق با سایت وردپرسی شماست
  • و…

اما افزونه های بسیاری نیز در مخزن وردپرس وجود دارند که میتوانند تاثیر مثبتی در روند افزایش امنیت سایت داشته باشند.

 

افزونه Sucuri Scanner وردپرس

این افزونه وردپرس بیش از ۳۰۰٫۰۰۰ نصب موفق و فعال در مخزن وردپرس داشته است. میتوانید در انتهای همین نوشته، افزونه Sucuri Scanner وردپرس را بصورت رایگان دانلود کنید

افزونه وردپرس بررسی فایل های مخرب Sucuri Security

این پلاگین وردپرس در راستای برقراری امنیت در وردپرس دارای مجموعه ابزارهای امنیتی فوق العاده ای است که شامل نظارت یا همان مانیتورینگ، تشخیص نرم افزارهای مخرب، ممیزی ورود به سیستم و سخت شدن امنیت می باشد.

 

پس از دانلود، نصب و فعالسازی افزونه  Sucuri Scanner وردپرس، پیغامی جهت ساخت و دریافت API KEY دریافت خواهید کرد که در ابتدای پیشخوان وردپرسی شما نمایان شده و مانند تصویر زیر است:

 

افزونه وردپرس بررسی فایل های مخرب Sucuri Security

 

با کلیک بر روی دکمه ی ” Generate API Key” می توانید آن را به مرجع مورد نظر متصل کرده و فعال نمایید تا امکان برقراری امنیت در وردپرسفراهم شود.

با زدن دکمه ی گفته شده پنجره پاپ آپی مشابه تصویر زیر نمایان می شود که شما می توانید اطلاعات مربوط به ایمیل و دی ان اس سایت خود را مشاهده کنید. حال روی دکمه ی انتهایی و آبی رنگ “Proceed” کلیک کنید تا عملیات فعال سازی شروع شود. پس از انجام این کار افزونه فعال شده و به داشبورد مربوط به آن منتقل خواهید شد.

 

افزونه وردپرس بررسی فایل های مخرب Sucuri Security

 

Sucuri security

افزونه وردپرس بررسی فایل های مخرب Sucuri Security

همانطور که ملاحظه می کنید که این افزونه دارای بخش های متعددی است و در واقع می توان گفت به طور کامل به تمامی بخش ها سرک می کشد و امکان برقراری امنیت در وردپرس را به صورت کامل بر عهده دارد. حال اگر مایل باشید بخش های این افزونه را مورد بررسی قرار می دهیم.

 

  • Dashboard
    در این قسمت که داشبورد و پیشخوان افزونه محسوب می شود تمامی اتفاقات، ارورها و… را می توانید مشاهده کنید. تمامی موارد را با تاریخ، آدرس آی پی، یوزرنیم و پیام خطا نمایش داده می شود.
  • Malware Scan
    در این بخش شما قادر به اسکن کردن کل وبسایت خود خواهید بود. با اینکار می توانید مشکلات و ارورهای موجود در وبسایت خود را یافته و آنها را حل کنید. یک اسکن کامل وبسایت باعث برقراری امنیت در وردپرس می شود.
  • Firewall
    این قسمت همانطور که از نامش پیداست فایروال افزونه می باشد یعنی دیوار آتش! این بخش نقش محافظت از سایت را برعهده دارد و از یه قسمت تشکیل شده که هر کدام مشخص هستند و فعالیت ویژه ی خود را در برقراری امنیت در وردپرس انجام می دهند. اگر دقت کنید متوجه می شوید که روند کار این بخش دقیقا مشابه کامپیوتر خودتان است.
  • Hardening
    این بخش مختص بروز رسانی ها و ست کردن دسترسی ها می باشد که می توانید مبتنی بر نیاز و خواسته ی خود آن ها را فعال یا غیر فعال نمایید.
  • Post Hack
    در این قسمت تعدادی کلید های امنیتی موجودند که شما می توانید از آنها استفاده کنید. فقط برای استفاده از اینها باید اطلاعات کافی داشته باشید که چگونه و در کدام بخش استفاده شوند.
  • Last logins
    در این بخش آخرین ورود ها توسط کاریران را نمایش می دهد. البته به همراه اطلاعات دقیق و کامل مانند نام کاربری؛ تاریخ ورود، شماره آی پی و…
    همچنین می توانید ورود مدیران و کاربران بلاک شده و … را نیز مشاهده کنید.
  • Settings
    در بخش تنظیمات افزونه تب های مختلفی وجود دارند که مربوط به اقدامات قبلی هستند. شما می توانید تمامی موارد گفته شده را از این بخش ابتدا تنظیم کرده و سپس روی آنها کارهای مورد نظر خود را صورت دهید.
  • Site info
    تمامی اطلاعات مربوط به وبسایت شما، ارور لاگ های موجود، فایل های در دسترس، جداول موجود و … در اینجا به نمایش در می آید و شما می توانید از کل سایت خود باخبر شوید.

موفق باشید

نوشته افزونه وردپرس بررسی فایل های مخرب Sucuri Security اولین بار در بیست اسکریپت. پدیدار شد.



لینک منبع مطلب

افزونه امنیتی iThemes Security Pro وردپرس

امروزه در میان مدیران وبسایت های مبحث امنیت نقش و اهمیت بسیار زیادی دارد که یکی از دغدغه های مدیران وبسایت ها به شمار می‌آید. سیستم مدیریت محتوا وردپرس دارای امنیت بسیار خوب و قدرتمندی می‌باشد ولی باز هم نمی‌توان امنیت صد درصد آن را تضمین کرد. در ادامه ما شما را با افزونه قدرتمندی آشنا خواهیم کرد که امنیت وبسایت شما را در حد قابل قبولی افزایش خواهد داد و به شما کمک خواهد کرد تا کسب کار خود را در برابر حملات هکرها حفظ کنید.

iThemes Security Pro نام افزونه کاربردی و تجاری وردپرس می‌باشد که توسط آن قادر هستید تا امنیت سایت وردپرسی خود را افزایش دهید. با استفاده از این افزونه می‌توانید یک لایه امنیتی به وبسایت خود اضافه کرده و سایت خود را از حملات هکرها حفظ کنید.

با استفاده از افزونه iThemes Security Pro شما می‌توانید صفحه ورود و مدیریت وردپرس خود را پنهان کنید و به افراد متفرقه این اجازه را ندهید تا از آدرس این صفحات آگاهی پیدا کنند. همچنین می‌توانید کاربران خاطی را به راحتی توسط افزونه سکوریتی پرو مسدود کنید.

همچنین افزونه iThemes Security Pro اشکالات و حفره های امنیتی وبسایت شما را برطرف خواهد کرد و از امکان نفوذ بدافزارها به سایت شما جلوگیری خواهد کرد. در ادامه با قابلیت های کلیدی این افزونه آَشنا خواهید شد.

افزونه امنیتی iThemes Security Pro وردپرس

قابلیت های افزونه امنیتی iThemes Security Pro وردپرس نسخه ۴٫۸٫۶

تشخیص تغییر فایل
تشخیص و یافت کردن ۴۰۴
اجرای رمز عبور قدرتمند
مسدود کردن کاربران خاطی
دارای حالت دور
پنهان کردن ورود و مدیریت
امکان پشتیبانی از بانک اطلاعاتی
دارای اعلان ایمیلی
مقایسه فایل های به صورت آنلاین
دارای کد امنیتی Google reCAPTCHA
بازرسی امنیتی کاربران
ایجاد رمزهای عبور قدرتمند
دارای اسکن بدافزارها

نوشته افزونه امنیتی iThemes Security Pro وردپرس اولین بار در دلکد – دانلود اسکریپت. پدیدار شد.



لینک منبع مطلب

جلوگیری از جمع آوری نام کاربری وردپرس توسط هکرها یا Enumeration

جلوگیری از جمع آوری نام کاربری وردپرس توسط هکرها با Stop User Enumeration

جلوگیری از جمع آوری نام کاربری وردپرس توسط هکرها

در این آموزش، در ابتدا اول شما را با عبارت Enumeration آشنا میکنم. فرآیند استخراج نام کاربری، نام سیستم ها، منابع شبکه و سرویس ها از یک سیستم را Enumeration گویند. در مرحله Enumeration هکر کانکشن های فعال به سیستم برقرار میکند و درخواست های مستقیم برای بدست اوردن اطلاعات بیشتر درباره هدف ارسال میکند.

به طور کلی این فرایند نام های کاربری و میزبان، سرویس های شبکه، جزئیات SNMP و اطلاعات را جمع آوری میکنند. روشهای بسیاری مانند SMTP Enumeration، DNS Enumeration وجود دارد که هکرها میتواند سیستم و یا شبکه هدف را Enumerate کند.

حال نوبت معرفی افزونه امنیتی Stop User Enumeration است که می توانید مانع شوید هکرها نام های کاربری وردپرس شما را اسکن یا شمارش کنند. شمارش کاربر یک نوع حمله است که هکرها میتوانند وبسایت شما را شناسایی و نام کاربری تان را کشف کنند.

این افزونه، کمک می کند این حملات مسدود شوند و حتی اجازه می دهد تا وارد این حملات شوید و حملات بیشتر را در آینده مسدود کنید.

اگر شما روی یک سرور VPS یا سرور اختصاصی هستید، به عنوان حمله IP وارد شده است، شما می توانید از fail2ban برای جلوگیری از حمله به طور مستقیم در فایروال سرور خود، یک راه بسیار قدرتمند برای صاحبان VPS برای جلوگیری از حملات خشونت آمیز به عنوان حملات DDoS استفاده کنید.

نحوه کار با افزونه Stop User Enumeration

مانند همیشه افزونه را نصب و فعالسازی کنید، پس از فعالسازی افزونه منو جدیدی به نام  Stop User Enumeration به بخش تنظیمات پنل مدیریت وردپرس اضافه می شود.

وارد صفحه افزونه شوید، در تب Settings سه گزینه وجود دارد:

گزینه اول مربوط به فراخوانی API می باشد. در وردپرس همه میتوانند کاربران را با فراخوانی API پیدا کنند. با فعال کردن این گزینه، فراخوانی محدود میشود تنها به کاربرانی که وارد شده اند.

گزینه دوم را در صورتی فعال کنید که از fail2ban در VPS خود استفاده می کنید.

با فعال کردن گزینه سوم، این افزونه از jQuery برای حذف هر عدد از نام نویسنده دیدگاه استفاده میکند ، به این دلیل است که حمله(Enumeration )، اعداد را کنترل و بررسی می کند.

سه گزینه را فعال و روی دکمه ذخیره تغییرات کلیک کنید.

پکیج آموزش افزایش امنیت سایت

موفق و پیروز باشید.

راستی! برای دریافت مطالب وردپرسی در کانال تلگرام میهن وردپرس عضو شوید.



لینک منبع مطلب

مشکل امنیتی وردپرس در تمام نسخه ها! حل کنید مشکل را

مشکل امنیتی وردپرس در تمام نسخه ها

۲۹ درصد از سایت های دنیا مشکل امنیت دارند!

طبق گفته ی متخصصان وردپرس، این پلت فرم ۲۹% از وبسایت های اینترنتی جهان را میزبانی می کند. منظور این مقاله٬ ایجاد هر وبسایت وردپرس بصورت آنلاین هست و کاری با وردپرس های نصب شده در لوکال هاست سازمان ها و سیستم های شخصی نداریم! حالا یک مشکل امنیتی بوجود آمده. این مشکل از طریق Denial of Service صورت می پذیرد. Denial of Service به این معنی وارد کردن تقاضاهای زیادی به سرور هست و امروز بحث این نیست که چگونه وبسایت وردپرس خود را از هک شدن دور کنیم و امنیت را بالا ببریم.

به دلیل overload شدن یا حجم زیاد پردازش کننده عملیات سرور در یک بازه زمانی به صورت پی در پی توسط رایانه های مختلف حالا بصورت خواسته یا ناخواسته٬ سرور سایت شما ممکن است با مشکل مواجه شود. چون حجم اطلاعات زیاد هست در واقع میزان لود سرور سایت شما افزایش پیدا کرده و اصطلاحا می گوییم سرور Down شده.

توجه داشته باشید که ورود به مسائل امنیتی وبسایت ها غیر قانونی بوده و در صورتی که مدیر وبسایت این اجازه را به شما دهد می توانید وارد مسائل امنیتی یک سایت شوید. در واقع این کار (هک یا اعمال فشار روی یک سایت) با انگیزه های متفاوت توسط گروهی از افراد صورت می پذیرد. اهداف این دسته از گروه ها ممکن است متفاوت باشد مثلاً برای از سر راه برداشتن رقیبان در وبسایت های مختلف. در هر صورت بهتر است برای جلوگیری از این حمله ها راه های پیشگیری را بدانید.

هنگامی که یک سایت با پلت فرم وردپرس ساخته می شود٬ آدرس اینترنتی زیر یک ملاک هست برای لود فایل های مورد نیاز پنل مدیریت سایت های وردپرسی: این ادرس در تمام سایت های وردپرس وجود دارد.

https://siteshoma.com/wp-admin/load-scripts.php?c=1&load=jquery-ui-core

فایل load-scripts.php یک پارامتر به نام load [] دریافت می کند، مقدار پارامتر jquery-ui-core است. در پاسخ درخواست “JQuery UI Core” JS module را دریافت می کنیم. مانند تصویر زیر:

فایل load وردپرس

حالا این مشکل امنیتی وردپرس چی هست؟

از این url می توان نتیجه گرفت که احتمالا این ادرس برای ایجاد فایل و خروجی برخی از ماژول های js است. علاوه بر این پارامتر [] یک آرایه است.که امکان ارائه مقادیر متعدد و قادر به دریافت ماژول های js می باشد. همانطور که وردپرس یک منبع باز است و باز بینی کدها و بررسی این ویژگی ها آسان هست. از این ویژگی می‌توان برای صرفه جویی برای مقدار درخواست ارسال شده از سرویس گیرنده در هنگام بارگذاری فایل های JS یا CSS استفاده کرد.

بنابراین هنگامی که مرورگر نیاز به بارگذاری چند فایل JS / CSS دارد، از کد اسکریپت (php) برای JS استفاده می شود. برای سریعتر کارکردن پنل مدیریت وردپرس بهتر هست همه فایل های js و سی اس اس توسط این فایل بصورت همزمان اجرا شود پس ایجاد این فایل در وردپرس چندان هم بی‌خود و بی جهت نبوده.

حالا مشکل اینجاست که این مقدار می تواند حدود ۱۸۱ متغیر را در خود جای دهد! لیست متغیر ها:

eutil,common,wp-a11y,sack,quicktag,colorpicker,editor,wp-fullscreen-stu,wp-ajax-response,wp-api-request,wp-pointer,autosave,heartbeat,wp-auth-check,wp-lists,prototype,scriptaculous-root,scriptaculous-builder,scriptaculous-dragdrop,scriptaculous-effects,scriptaculous-slider,scriptaculous-sound,scriptaculous-controls,scriptaculous,cropper,jquery,jquery-core,jquery-migrate,jquery-ui-core,jquery-effects-core,jquery-effects-blind,jquery-effects-bounce,jquery-effects-clip,jquery-effects-drop,jquery-effects-explode,jquery-effects-fade,jquery-effects-fold,jquery-effects-highlight,jquery-effects-puff,jquery-effects-pulsate,jquery-effects-scale,jquery-effects-shake,jquery-effects-size,jquery-effects-slide,jquery-effects-transfer,jquery-ui-accordion,jquery-ui-autocomplete,jquery-ui-button,jquery-ui-datepicker,jquery-ui-dialog,jquery-ui-draggable,jquery-ui-droppable,jquery-ui-menu,jquery-ui-mouse,jquery-ui-position,jquery-ui-progressbar,jquery-ui-resizable,jquery-ui-selectable,jquery-ui-selectmenu,jquery-ui-slider,jquery-ui-sortable,jquery-ui-spinner,jquery-ui-tabs,jquery-ui-tooltip,jquery-ui-widget,jquery-form,jquery-color,schedule,jquery-query,jquery-serialize-object,jquery-hotkeys,jquery-table-hotkeys,jquery-touch-punch,suggest,imagesloaded,masonry,jquery-masonry,thickbox,jcrop,swfobject,moxiejs,plupload,plupload-handlers,wp-plupload,swfupload,swfupload-all,swfupload-handlers,comment-repl,json2,underscore,backbone,wp-util,wp-sanitize,wp-backbone,revisions,imgareaselect,mediaelement,mediaelement-core,mediaelement-migrat,mediaelement-vimeo,wp-mediaelement,wp-codemirror,csslint,jshint,esprima,jsonlint,htmlhint,htmlhint-kses,code-editor,wp-theme-plugin-editor,wp-playlist,zxcvbn-async,password-strength-meter,user-profile,language-chooser,user-suggest,admin-ba,wplink,wpdialogs,word-coun,media-upload,hoverIntent,customize-base,customize-loader,customize-preview,customize-models,customize-views,customize-controls,customize-selective-refresh,customize-widgets,customize-preview-widgets,customize-nav-menus,customize-preview-nav-menus,wp-custom-header,accordion,shortcode,media-models,wp-embe,media-views,media-editor,media-audiovideo,mce-view,wp-api,admin-tags,admin-comments,xfn,postbox,tags-box,tags-suggest,post,editor-expand,link,comment,admin-gallery,admin-widgets,media-widgets,media-audio-widget,media-image-widget,media-gallery-widget,media-video-widget,text-widgets,custom-html-widgets,theme,inline-edit-post,inline-edit-tax,plugin-install,updates,farbtastic,iris,wp-color-picker,dashboard,list-revision,media-grid,media,image-edit,set-post-thumbnail,nav-menu,custom-header,custom-background,media-gallery,svg-painter

اگر هنوز هم به عمق فاجعه پی نبرده اید٬ فیلم آموزشی رو ببینید تا متوجه این موضوع بشید.

پس یک هکر نه چندان حرفه ای هم می تواند با چندبار reload کردن صفحه سایت شما را زیر فشار Dos قرار دهید و سایتتان را Down کند. به همین راحتی!

حالا چطور مشکل را حل کنیم؟

اگر سرور سایت دست شماست و دسترسی مستقیم به سرور سایتتان دارید. فیلم آموزشی بالای صفحه را ببینید و به راحتی مشکلتان را حل کنید.

این هم کدی که در فیلم آموزشی به فایل reza.sh اضافه کردم:

و نحوه کار با این کدها و قراردادن آن در سایتتان را در فیلم ببینید.

اگر هاست اشتراکی دارید کافیست نسخه وردپرسی که انتهای همین پست برای دانلود قرار دادم را نصب کنید. آموزش آپدیت دستی وردپرس را هم ببینید.

آموزش افزایش امنیت سایت

موفق و پیروز و سربلند و متخصص امنیت وردپرس باشید 😀



لینک منبع مطلب

افزونه امنیتی مخفی سازی وردپرس با Hide My WP نسخه ۵٫۵٫۶

وردپرس با وجود آنکه سیستم بسیار قدرتمند و محبوبی است ، اما گاهی مورد نفوذ برخی افراد قرار می گیرد که این امری ناخوشایند است . یکی از مشکلاتی که وبمستران وردپرسی با آن همراه هستند ، فهمیدن استفاده آنها از وردپرس توسط هکران و سایر کاربران می باشد . در این مطلب قصد داریم به شما افزونه ای را معرفی کنیم که توسط آن قادر به مخفی سازی بخش هایی از وروپرس که کاربران را قادر به فهمیدن استفاده شما از وردپرس می سازد ،خواهید بود .

 

Hide My WP نام یک افزونه فوق العاده در زمینه تغییر و مخفی سازی وردپرس می باشد. این افزونه کاربردی قادر است تمامی اطلاعاتی که نمایانگر استفاده شما از سیستم وردپرس می باشد را از دید کاربران مخفی کند. این افزونه تمامی لینک های مطالب ، برگه ها ، فایل های آپلود شده ، لینک فایل های CSS و Javascript قالب ها و… را به آدرس دلخواه تغییر دهد. به قابلیت های کلی این افزونه اشاره می کنیم

 

افزونه امنیتی مخفی سازی وردپرس با Hide My WP نسخه 5.5.6

 

برخی از امکانات افزونه مخفی سازی وردپرس Hide My WP :

  • تغییر دایرکتوری تم وردپرس، حذف اطلاعات موضوع از شیوه، جایگزین کلاس های پیش فرض WP و در نهایت آن را کوچک کردن!
  • تغییر دایرکتوری پلاگین ها و هش نام پلاگین ها
  • تغییر بارگذاری لینک آپلود-شامل پوشه، wp-includes لینک آزاکس و غیره
  • تغییر لینک نمایش وردپرس
  • تغییر پیوند همیشگی نویسنده (و یا غیر فعال کردن آن!)
  • تغییر و یا غیر فعال کردن فید
  • مخفی کردن همه فایل های وردپرس و دیگر فایل ها!
  • غیر فعال کردن آرشیو وردپرس، دسته ها، برچسب ها، صفحات، پست، و غیره
  • به راحتی هر یک از عبارات جایگزین را در فایل خروجی HTML سایت خود بگذارید!
  • اطلاع دادن به شما درباره سایت وردپرس خودتان (همراه با جزئیات بازدید کننده مانند IP، عامل کاربر، ارجاع و حتی نام کاربری!)
  • فشرده سازی خروجی HTML و حذف نظرات در کد منبع
  • حذف متا اطلاعات وردپرس از هدر و خوراک
  • تغییر ایمیل پیش فرض وردپرس
  • صفحه سفارشی ۴۰۴!
  • حذف کلاس های منو های غیر ضروری
  • پاک کردن کلاس های بادی
  • و..

نوشته افزونه امنیتی مخفی سازی وردپرس با Hide My WP نسخه ۵٫۵٫۶ اولین بار در بیست اسکریپت. پدیدار شد.



لینک منبع مطلب

بهبود امنیت وردپرس با WP Hide & Security Enhancer

بهبود امنیت وردپرس با WP Hide & Security Enhancer

امروزه چون بسیاری از سایت ها با وردپرس اجرا می شوند، یکی از مهم ترین نکات، افزایش امنیت وردپرس می باشد. با افزونه ای که امروز معرفی میکنم میتوانید مسیر فایل های اصلی وردپرس، صفحه ورود به وردپرس، تم ها و افزونه ها را تغییر دهید. این یک پیشرفت عظیم در مورد امنیت وردپرس است، یک از بهترین و کاربردی ترین افزونه های امنیتی می باشد.

در این صورت کسی متوجه نخوهد شد شما از سیستم مدیریت محتوای وردپرس استفاده می کنید. با این افزونه میتوان یک روش ساده برای پاک کردن HTML با حذف تمامی اثر انگشت وردپرس ارائه دهید.

امکانات افزونه WP Hide & Security Enhancer

  • سفارش کردن آدرس پنل مدیریت وردپرس
  • مسدود کردن آدرس پیش فرض ادمین وردپرس
  • مسدود کردن دسترسی مستقیم به پوشه های وردپرس
  • تغییر نام فایل wp-login.php
  • مسدود کردن آدرس پیش فرض ورود به سیستم wp-login.php
  • مسدود کردن آدرس های آپلود پیش فرض وردپرس
  • حذف نسخه وردپرس
  • غیرفعال کردن شکلک ها و کدهای ضروری جاوا اسکریپت
  • حذف متا wlwmanifest
  • مسدود کردن پوشه پیش فرض  wp-content

نحوه کار با افزونه WP Hide & Security Enhancer

در ابتدا افزونه را دانلود و نصب کنید. پس ار فعال سازی افزونه منو جدیدی به نام WP Hide به پیشخوان وردپرس اضافه می شود.

روی زیر منو rewrite کلیک کنید. در این صفحه میتوانید مسیرهای پیشفرض فایل ها و پوشه های theme ،wp-content، wp-includes ،plugins ،uploads ،comments، را تغییر دهید. با این کار از دید کاربران سیستم مدیریت محتوای خود را مخفی میکنید و آنها نمیتوانند بفهمند شما با وردپرس سایت خود را راه اندازی کرده اید.

در تب plugins میتوانید مسیر تک تک افزونه ها را تغییر دهید. روی هر کدام از تب ها بروید و مسیر جدید را در کادر نوشته و در پایین صفحه گزینه YES را انتخاب و روی دکمه save کلیک کنید.

سپس در زیر منو general/ html میتوانید نسخه قالب و وردپرس را حذف کنید. روی تب های موجود کلیک کنید و در صورت دلخواه آنها را فعال نمایید.

در مرحله آخر، وارد زیر منو admin شوید و نام wp-admin و wp-login.php را تغییر دهید. میتوان آدرس ورود به پنل مدیریت وردپرس را تغییر داد.

موفق و پیروز باشید.

راستی! برای دریافت مطالب وردپرسی در کانال تلگرام میهن وردپرس عضو شوید.



لینک منبع مطلب

افزونه WP Defender Pro افزایش امنیت وردپرس نسخه ۱٫۷٫۵

WP Defender Pro نام افزونه کاربردی وردپرس می‌باشد که به شما این امکان را می‌دهد تا بتوانید، امنیت وبسایت وردپرسی خود را افزایش داده و از این طریق از نفوذ هکرها جلوگیری کنید. این افزونه با دارا بودن سیستم اسکن و ارائه گزارش قسمت های آسیب پذیر وبسایت شما ، به شما این امکان را می‌دهد تا نقاط ظعف امنیت وبسایت خود را پیدا کنید.

همچنین افزونه WP Defender Pro پس از اسکن و ارائه گزارش ها ، به شما توصیه امنیتی خوبی را ارائه می‌دهد تا با برطرف کردن آنها ، از خرابکاری و نفوذ هکرها جلوگیری کنید. این افزونه با دارا بودن سیستم لیست سیاه و قفل کردن IP افراد خرابکار از وبسایت شما محافظت کرده و امکان ورود این افراد را به وبسایت شما، نخواهد داد.

یکی از روش های تشخیص افزونه WP Defender Pro ، تغییر در کدهای پوسته ها و افزونه های وبسایت شما می‌باشد که پس از آن با اسکن این فایل ها از سلامت آنها اطمینان حاصل می‌کند. در ادامه این پست می‌توانید ویژگی های بیشتر افزونه دیفندر پرو را مطالعه کنید.

قابلیت های افزونه WP Defender Pro افزایش امنیت وردپرس نسخه ۱٫۷٫۵

قفل کردن IP افراد
دارای سیستم لیست سیاه
دارای لیست سفید (یک استثناء در جهت فعالیت مدیران)
دارای تایید اعتبار و اهراز هویت
اسکن خودکار فایل ها
دارای کدهای امنیتی برای تایید افراد
دارای سیستم گزارش اعلانات، از طریق ایمیل
دارای توصیه های امنیتی کاربردی و مفید
دارای سیستم قفل خودکار و دستی
امکان تعمیر و بازیابی فایل های تغییر یافته
دارای سیستم پشتیبان گیری خودکار

نوشته افزونه WP Defender Pro افزایش امنیت وردپرس نسخه ۱٫۷٫۵ اولین بار در دلکد – دانلود اسکریپت. پدیدار شد.



لینک منبع مطلب

صفحه 1 از 2
12 بعدی