دیجی اسکریپت

آموزش مدیریت فایل کانفیگ وردپرس
[ad_1]

کانفیگ وردپرس یا همون فایل wp-config.php یکی از اصلی ترین فایل‌های وردپرس هست که تنظیمات این سیستم مدیریت محتوا در این فایل ذخیره شده و وظیفه اتصال با پایگاه داده وردپرس را دارد. فایل wp-config.php وردپرس جزو فایل‌های اصلی از هسته وردپرس هستش که اطلاعات مهمی از پایگاه داده مثل نام پایگاه داده، نام کاربری پایگاه داده، رمز پایگاه داده وردپرس، پیشوند جداول وردپرس و… در اون ذخیره میشه که با استفاده از این فایل قادر خواهید بود تا ارتباط با پایگاه داده وردپرس را برقرار کرده و کنترل کاملی از سایت خود داشته باشید.

در این آموزش از بیست اسکریپت قصد دارم تا به معرفی فایل کانفیگ وردپرس بپردازم و سپس به معرفی کدهایی که با استفاده از آنها میتونید فایل wp-config.php را مدیریت کرده و از ترفند wp-config.php برای فعال یا غیرفعال کردن تنظیمات سایت وردپرسی خودتون استفاده کنید. پس اگر شما هم جزو کاربرانی هستید که به دنبال انواع ترفند وردپرس هستید تا انتهای این مقاله با ما همراه باشید.

کانفیگ وردپرس یا همان فایل wp-config.php چیست؟

فایل wp-config.php درواقع همون فایل تنظیمات وردپرس شماست که در هاست شما و در مسیر public_html که وردپرس را در این مسیر نصب کردید قابل مشاهده خواهد بود. با استفاده از این فایل میتونید بسیاری از کارها را در وردپرس مدیریت کنید. اگر با کدهایی که در فایل کانفیگ وردپرس میتوان از اونها استفاده کرد آشنایی داشته باشید میتونید بسیاری از قابلیت‌های وردپرس را تحت کنترل گرفته و سایت خودتون را امن‌تر و بهینه تر کنید. در ادامه به معرفی برخی از این کدهای کاربردی می‌پردازم تا با استفاده از اون سایت خودتون را از نظر امنیتی بهتر کرده و اقدام به بهینه سازی wp-config.php در وردپرس کنید.

تغییر مسیر فایل wp-config.php

همونطور که در بالا اشاره کردم فایل کانفیگ وردپرس درواقع همون فایل اصلی برای تنظیمات وردپرس هست که یکی از مهم‌ترین فایل‌های وردپرس هست و باید توجه ویژه‌ای در افزایش امنیت wp-config.php داشته باشید و از اطلاعاتی که درون این فایل قرار داره به خوبی محافظت کنید. یکی از راه‌هایی که باعث افزایش امنیت wp-config.php در وردپرس میشه اینه که مسیر قرارگیری فایل کانفیگ وردپرس را در هاست تغییر دهیم. به عبارت دیگه به جای اینکه فایل wp-config.php در روت هااست یا همون مسیر public_html قرار داشته باشه میتونیم اونو به مسیر دیگه و حتی در مسیر جدا از public_html مثل home هاست قرار بدیم. یکی از ویژگی‌های خوب وردپرس اینه که به هر مکان که این فایل را انتقال بدین قادره تا اونو شناسایی کرده و اطلاعات را ازش بگیره، اما ممکنه گاهی اوقات اینطور نباشه که میتونید به راحتی خودتون مسیر را برای وردپرس تعریف کنید. برای این منظور مراحل زیر را دنبال کنید.

• ابتدا وارد هاست خود شده و سپس روی گزینه File manager کلیک کنید تا به مسیر مدیریت فایل‌ها در هاست هدایت شوید.
• سپس وارد مسیر public_html شده و دنبال فایل wp-config.php بگردید.
• روی فایل راست کلیک کرده و گزینه Move را انتخاب کنید.
• مسیر مورد نظر برای انتقال فایل را انتخاب کنید و سپس فایل را انتقال دهید.
• با کلیک روی دکمه New File در هاست خود یک فایل جدید با نام wp-config.php در مسیر public_html بسازید و کدهای زیر را در آن قرار دهید.

define('ABSPATH', dirname(__FILE__) . '/');
require_once(ABSPATH . '../path/to/wp-config.php');

حالا همونطور که در کد بالا میبینید به جای ../path/to/wp-config.php مسیری که فایل اصلی wp-config.php را به اون منتقل کردید را وارد کرده و فایل را ذخیره کنید.

تغییر مکان قرار گیری پوشه wp-content

پوشه wp-content همون پوشه‌ای هست که فایل‌های مربوط به افزونه، قالب و تمام فایل‌هایی که در رسانه وردپرس آپلود می‌کنیم در این مسیر قرار می‌گیرند. دلایل مختلفی میتونه برای تغییر مسیر آپلود در وردپرس وجود داشته باشه که بیشتر ممکنه بخاطر امنیت باشه و بخواین که مسیر آپلود را یکم از دید سایرین مخفی کنید. به هر حال با هر هدفی که قصد این کار را دارید برای تغییر مسیر پوشه wp-content کافیه تا کدهای زیر را در مکان مناسبی از فایل wp-config.php قرار دهید.

define( 'WP_CONTENT_DIR', dirname( __FILE__ ) . 'path/to/wp-content' );
define( 'WP_CONTENT_URL', 'http://' . $_SERVER['HTTP_HOST'] . '/path/to/wp-content' );

همونطور که در قطعه کد بالا میبینید در خط اول که با عنوان WP_CONTENT_DIR میبینید مسیر مشخص شده بر اساس مسیری که فایل wp-config.php در اون قرار داره سنجیده میشه و به این معنی هست که برای تعیین مسیر باید بر اساس مسیری که فایل wp-config.php ٔر اون قرار داره اقدام به انتقال و تعریف مسیر کنید. WP_CONTENT_URL هم مربوط به آدرس هست که بر اساس تنظیمات دامنه در وردپرس مشخص میشه که میتونید اونو مستقیم وارد کنید یا اینکه مشابه کد بالا که گزینه بهتری هست ازش استفاده کنید.

تغییر مکان پوشه افزونه وردپرس

همونطور که در بالا هم اشاره شد افزونه‌های وردپرس هم در مسیر wp-content قرار میگیرند و شاید بخواهید تا این مسیر را هم در وردپرس خودتون تغییر بدین، برای این کار کافیه تا ابتدا پوشه plugins که در مسیر /public_html/wp-content/plugins/ قرار داره را به مسیر دلخواه خودتون منتقل کنید و سپس با تعریف کد زیر در فایل wp-config.php مسیری که پوشه افزونه‌ها را منتقل کردید را برای افزونه‌ها در این فایل مشخص کنید.

define( 'WP_PLUGIN_DIR', dirname(__FILE__) . '/path/to/plugins' );
define( 'WP_PLUGIN_URL', 'http://' . $_SERVER['HTTP_HOST'] . '/path/to/plugins' );

همونطور که در قطعه کد بالا میبینید در خط اول که با عنوان WP_CONTENT_DIR میبینید مسیر مشخص شده بر اساس مسیری که فایل wp-config.php در اون قرار داره سنجیده میشه و به این معنی هست که برای تعیین مسیر باید بر اساس مسیری که فایل wp-config.php ٔر اون قرار داره اقدام به انتقال و تعریف مسیر کنید. WP_CONTENT_URL هم مربوط به آدرس هست که بر اساس تنظیمات دامنه در وردپرس مشخص میشه که میتونید اونو مستقیم وارد کنید یا اینکه مشابه کد بالا که گزینه بهتری هست ازش استفاده کنید.

تغییر قالب پیشفرض وردپرس

همونطور که میدونید اگر برای قالب شما مشکلی پیش بیاد، به عنوان نمونه اشتباها پوشه قالب را از هاست خودتون حذف کرده باشید و یا اینکه در صورت استفاده از وردپرس شبکه همونطور که میدونید وقتی کاربری یک وبلاگ ایجاد میکنه قالب پیشفرض وردپرس براش انتخاب میشه که حالا شما دوست دارید برای قالب پیشفرض از یک قالب دیگه که خودتون طراحی کردید استفاده کنید. بنابراین این گزینه در این دو حالت به کمک شما میاد و میتونید یک قالب دلخواه را به عنوان قالب پیشفرض وردپرس انتخاب کنید. برای این منظور کافیه تا کد زیر را در فایل wp-config.php قرار داده و سپس برای انتخاب قالب پیشفرض در وردپرس نام پوشه قالب مد نظرتون را وارد کنید.

define('WP_DEFAULT_THEME', 'twentytwelve');

همونطور که در کد بالا میبینید به جای twentytwelve کافیه نام پوشه قالب دلخواه خودتون را وارد کنید.

غیرفعال کردن ویرایشگر پوسته و افزونه در پیشخوان وردپرس

یکی از مسائلی که ممکنه امنیت وردپرس را برای سایت شما تحت الشعاع قرار بده اینه که قابلیت ویرایشگر برای افزونه‌ها و قالب در پیشخوان وردپرس فعال باشه. همونطور که میدونید با مراجعه به منوهای نمایش> ویرایشگر و افزونه‌ها> ویرایشگر به راحتی قادر هستید تا به کلیه فایل‌های php، css و… برای قالب و افزونه وردپرس دسترسی داشته و اقدام به ویرایش آنها کنید. اما حالا این وضعیت را در حالی در نظر بگیرید که شخص دیگری هم به عنوان مدیر در پیشخوان وردپرس به این منوها دسترسی داره که به راحتی میتونه با وارد کردن و تزریق کدهایی از سایتتون سو استفاده بکنه. پس لازمه تا این قابلیت رو غیرفعال کرده و صرفا امکان ویرایش فایل‌های قالب و افزونه را از طریق FTP یا همون هاست دنبال کنید. برای این منظور کافیه قطعه کد زیر را در فایل wp-config.php قرار بدین تا منوی ویرایشگر برای پوسته وردپرس و افزونه وردپرس از پیشخوان وردپرس حذف بشه.

define('DISALLOW_FILE_EDIT', true);

حالا شاید پیش خودتون بگید خب وقتی کاربری دسترسی به امکان افزودن افزونه و قالب داره میتونه باز هم از این بابت مشکل ایجاد کنه و به راحتی با تعریف کدها در قالب یک افزونه اونها را در وردپرس تزریق کنه، برای این گزینه هم راهکاری وجود داره که شما میتونید امکان افزودن افزونه، افزودن قالب، به روز رسانی افزونه و آپدیت قالب را هم غیرفعال کنید. کافیه تا قطعه کد زیر را هم در زیر همین کد بالا قرار داده و ذخیره کنید.

define('DISALLOW_FILE_MODS', true);

بعد از قرار دادن این قطعه کد به‌روزرسانی و نصب افزونه و قالب از پیشخوان وردپرس غیرفعال شده و برای این کار میتونید به صورت دستی از طریق هاست یا FTP اقدام به نصب و به‌روزرسانی کنید.

استفاده از Akismet در وردپرس

در مقاله آموزش جلوگیری از ارسال نظرات اسپم در وردپرس به معرفی افزونه و ابزار اکیسمت پرداختم و مطمئنا از قبل هم با این افزونه و قابلیت‌های کلیدی اون آشنایی دارید. افزونه اکیسمت این امکان را براتون ایجاد میکنه تا از ارسال اسپم در سایت جلوگیری کنید، اما آیا میدونید که چطور میشه اقدام به نصب افزونه Akismet در وردپرس شبکه بکنید؟ خب در وردپرس شبکه این قابلیت طوری نیست که به کلیه سایت‌ها اعمال بشه و لازمه تا تک تک روی سایت‌ها افزونه اکیسمت را نصب کنید، اما با استفاده از یک قطعه کد ساده میتونید از اکیسمت در وردپرس شبکه استفاده کرده و از شر نظرات و کاربران اسپم خلاص شوید. برای این کار کافیه قطعه کد زیر را در مکان مناسبی از فایل wp-config.php قرار داده و اونو ذخیره کنید.

define('WPCOM_API_KEY','your-key');

اما دقت باشید که قبل از ذخیره فایل API پریافتی خودتون را از سایت اکیسمت به جای your-key وارد کرده و بعد ذخیره کنید.

غیرفعال کردن یا مدیریت رونوشت‌ها در وردپرس

یکی از قابلیت‌های خوب وردپرس اینه که به صورت پیشفرض در هر بازه زمانی مشخص که در حال کار بر روی یک نوشته هستید و تغییراتی را در نوشته اعمال می‌کنید از هر یک از این تغییرات که میتونه شامل ویرایش عنوان نوشته، محتوای نوشته، دسته‌بندی و برچسب نوشته و… باشه تغییرات را در قالب یک رونوشت یا پیش نویس ذخیره میکنه تا آخرین تغییرات ذخیره شده و در هر زمان که ادامه به ویرایش دادین ادامه تغییرات را اعمال کرده و در نهایت بعد از اینکه کلیه تغییرات روی یک نوشته اعمال شد اقدام به به‌روزرسانی و یا انتشار کنید. این قابلیت در وردپرس با عنوان رونوشت یا Revisions قرار داره، حالا اگر قصد ندارید تا از این قابلیت استفاده کنید و به صورت کلی رونوشت وردپرس را غیرفعال کنید کافیه کد زیر را در فایل wp-config.php قرار داده و ذخیره کنید.

define('WP_POST_REVISIONS', false);

اما اگر قصد دارید تا تعداد اونو کمتر کنید تا به عنوان مثال برای هر نوشته نهایتا ۸ رونوشت ذخیره بشه کافیه تا به جای کد بالا از کد زیر استفاده کنید تا تغییراتی که بعد از ۸ اعمال میشه دیگه در وردپرس به عنوان رونوشت ذخیره نشن.

define('WP_POST_REVISIONS', 8);

به جای عدد وارد شده میتونید از تعداد دلخواه خودتون هم استفاده کنید. همچنین در مقاله آموزش بهینه سازی دیتابیس وردپرس با مدیریت رونوشت‌ها به معرفی سایر کدها برای مدیریت رونوشت در وردپرس پرداختم که میتونید کنترل بهتری روی رونوشت‌های وردپرس خودتون داشته باشید.

استفاده از SSL در مدیریت و صفحه ورود وردپرس

اگر که اقدام به نصب SSL در وردپرس کردید لازمه بدونید که در هنگام نصب SSL ممکنه شما مراحل نصب و استفاده از SSL را در مدیریت و صفحه ورود وردپرس فعال نکرده باشید که همین امر باعث بشه تا صفحه ورود و پیشخوان وردپرس شما از اون امنیتی که میتونه با استفاده از SSL برخوردار بشه را نداشته باشد. بنابراین میتونید تا با استفاده از کد زیر امکان استفاده از SSL را در صفحه ورود وردپرس فراهم کنید.

define('FORCE_SSL_LOGIN', true);

همچنین اگر تمایل داشتید تا از SSL در پیشخوان وردپرس هم استفاده کنید میتونید کد زیر را در زیر همین کد بالایی قرار بدین.

define('FORCE_SSL_ADMIN', true);

در آموزش استفاده از SSL در وردپرس به بررسی سایر موارد الزامی برای مجهز کردن وردپرس به پروتکل امن https:// هم اشاره کردم که پیشنهاد می‌کنم حتما ازش استفاده کنید.

خطایابی وردپرس با Wp_debug کانفیگ وردپرس

یکی از راه‌های خطایابی در افزونه وردپرس یا قالب وردپرس با استفاده از قابلیت wp_debug صورت میگیره که وقتی این گزینه را فعال کنید خطاهایی که ممکنه در سایت شما وجود داشته باشه در بخش پیشخوان وردپرس یا بخش کاربری به همراه نوع خطا و مسیر دقیق خطا به شما نمایش داده میشه که با استفاده از دیباگ وردپرس میتونید اقدام به خطایابی در وردپرس بکنید. حالا هر زمان که با خطایی در وردپرس مواجه شدید کافیه تا wp_debug را فعال کرده و بعد از رفع خطا مجددا اونو غیرفعال کنید.

define('WP_DEBUG_DISPLAY', false);

اگر دیباگ وردپرس به صورت بالا در فایل wp-config.php ذخیره شده باشه مقدار false در کد بالا نشون دهنده غیرفعال بودن اونه و برای فعال کردن اون باید مقدار false را به true تغییر بدین تا کد شما به شکل زیر تغییر بکنه.

define('WP_DEBUG_DISPLAY', true);

امیدوارم این آموزش هم مورد توجه و پسند شما قرار گرفته باشه و با استفاده از اون تونسته باشید تا اقدام به مدیریت فایل کانفیگ وردپرس و استفاده از ترفندهای wp-config.php در وردپرس بکنید.

نوشته آموزش مدیریت فایل کانفیگ وردپرس اولین بار در بیست اسکریپت. پدیدار شد.

[ad_2]

لینک منبع مطلب

جلوگیری از اجرای فایل PHP در پوشه wp-content
[ad_1]

به طور پیش‌‌فرض وردپرس تعدادی از دایرکتوری‌‌ها را قابل نوشتن می‌کند تا شما و کاربران این امکان رو داشته باشید که در سایت خود قالب‌‌ها، پلاگین‌‌ها، تصاویر و ویدئو آپلود کنید. اما داستان فایل‌های PHP متفاوت هست. این فایل‌ها قابلیت ایجاد تغییر از راه دور روی سایت شما خواهند داشت و این فاجعه است! پس حتما از روش جلوگیری از اجرای فایل PHP در پوشه wp-content استفاده کنید.

این قابلیت ممکنه به ضرر ما باشد. اگر این امکان در دسترس هکرها قرار بگیرد می‌‌تونند روی سایت شما فایل‌‌های دسترسی از راه دور و یا نرم‌‌افزارهای مخربی آپلود کنند. این فایل‌‌های مخرب اغلب به‌‌عنوان فایل‌‌های اصلی وردپرس پنهان می‌‌شوند.

این فایل‌‌ها قالبا در زبان PHP نوشته شده و این قابلیت رو دارند که در پس‌‌زمینه اجرا شوند تا یک دسترسی همه جانبه و کامل به سایت وردپرسی شما داشته باشند.

درسته که این موضوع باعث ترس بسیاری از افراد شود اما یک راه حل بسیار آسان برای این مشکل وجود داره که با انجام آن می‌‌تونید مشکل رو برطرف کنید. این امکان برای شما وجود دارد که اجرای PHP را در دایرکتوری‌‌های خاصی که به آن را نیازی ندارید غیرفعال کنید. انجام چنین کاری باعث می‌‌شود که هر فایل PHP داخل آن دایرکتوری اجرا نخواهد شد.

در این مقاله ما به شما نحوه غیرفعال کردن اجرای PHP در WordPress با استفاده از فایل htaccess را نشان خواهیم داد.

جلوگیری از اجرای فایل PHP با استفاده از htaccess

معمولا فایل‌‌های htaccess در پوشه root بسیاری از سایت‌‌های وردپرسی موجود است. در واقع این فایل‌‌ها یک پیکربندی بسیار قدرتمند هستند که برای محافظت از رمز عبور پنل مدیریت، غیرفعال کردن مرورگر پوشه، سازگار کردن برای سئو با ساختار URL و بسیاری موارد دیگر.

به صورت پیش‌‌فرض فایل‌‌های .htaccess در پوشه root وب‌‌سایت وردپرسی شما وجود دارد اما شما قادرید از اون در دایرکتوری‌‌های داخلی وردپرس استفاده کنید.

برای اینکه بتونید از سایت خودتون در برابر backdoor محافظت کنید باید یک فایل .htaccess ایجاد کنید و و اون رو در wp-includes، plugins، uploads و themes سایت خود آپلود کنید.

برای این کار باید یک فایل خالی توسط ویرایشگر متن روی کامپیوتر خود ایجاد کنید و فایل را به‌‌عنوان .htaccess ذخیره کنید. پس از انجام این مراحل باید کد زیر را در آن فایل ذخیره کنید.

<Files *.php>
deny from all
</Files>

حالا باید فایل رو روی کامپیوتر خود ذخیره کنید.

بعد از طی کردن تمامی موارد بالا نیاز دارید که این فایل رو در پوشه‌‌های wp-includes و /wp-content/uploads/ که بر روی سرور هاست وردپرس شما آپلود کنید.

شما می‌‌تونید با استفاده از سرور گیرنده FTP یا از طریق برنامه مدیریت فایل یا داشبورد CPanel حساب کاربری خود این فایل‌‌ها را آپلود کنید.

وقتی‌‌که فایل .htaccess رو با کدهایی که بالا آورده شده اضافه کنید در واقع اجرای هر فایل PHP رو در این دایرکتوری متوقف می‌‌کنید.

استفاده از این ترفند .htaccess به شما کمک می کند در بالا بردن امنیت وردپرس خودتون رو بیشتر کنید. اما این موضوع برای سایت وردپرسی که هک شده باشد مناسب نیست و نمی‌‌تونه اونو تعمیر کنه.

هیچوقت فراموش نکنید که بک دور‌ها هوشمندانه جاسازی خواهند شد و می‌‌توانند از دید مستقیم پنهان شوند! پس همیشه از روش‌های افزایش امنیت وردپرس استفاده کنید.

نوشته جلوگیری از اجرای فایل PHP در پوشه wp-content اولین بار در بیست اسکریپت. پدیدار شد.

[ad_2]

لینک منبع مطلب

آموزش افزایش امنیت وردپرس در ۸ مرحله
[ad_1]

افزایش امنیت وردپرس مسئله‌ای است که به سادگی نمیتوان از کنار آن عبور کرد. با رشد بالا و محبوبیتی که وردپرس در طول این چند سال به خود گرفته است و از طرفی به دلیل متن باز و رایگان بودن باعث شده است تا همواره از روش‌های مختلف مورد حمله قرار گرفته و هکرها به دنبال این هستند که راهی برای نفوذ به وبسایت‌ها پیدا کنند. به همین دلیل بالا بردن امنیت وردپرس باعث می‌شود تا از صدمه دیدن به کسب و کار خود جلوگیری کنید.

در این آموزش به معرفی روش‌های مختلف افزایش امنیت وردپرس میپردازم که به کمک این روش‌های می توانید سایت خود را ایمن کنید. هر یک از روش های معرفی شده می‌تواند راه‌های مختلف نفوذ در وردپرس و هک وردپرس را محدود کرده و کار را برای هکر تا حدی که نتواند کاری انجام دهد دشوارتر کند.

آموزش افزایش امنیت وردپرس در ۸ مرحله

روش‌های معرفی شده در این مقاله به کمک افزونه و کدنویسی پیاده سازی می‌شوند. برخی از این روش‌ها با استفاده از هر دو قابلیت امکان پذیر است که به انتخاب خود می‌توانید از افزونه یا کدنویسی برای تامین امنیت وردپرس استفاده کنید.

استفاده از رمز عبور قوی

بعد از نسخه ۴ وردپرس قابلیتی در آن اضافه شد که انتخاب رمز شکل قوی‌تری به خود گرفت. در این نسخه انتخاب رمز بر عهده وردپرس قرار گرفت که از رمز عبور قوی متشکل از اعداد، کاکراکترهای خاص و حروف بزرگ و کوچک استفاده شده است. البته اینکه بخواهید از رمز دلخواه هم استفاده کنید فراهم است، اما پیشنهاد می‌شود از رمزی که وردپرس پیشنهاد می‌دهد استفاده کنید.

آپدیت مداوم وردپرس

در هر بار آپدیت وردپرس موارد امنیتی و قابلیت‌های جدیدی به آن اضافه می‌شود. افزونه‌ها و قالب‌های وردپرس نیز به همین شکل هستند که در هر بار آپدیت موارد امنیتی در آنها برطرف می‌شود. به عنوان نمونه در چند ماه گذشته افزونه داپلیکیتور که به عنوان یک افزونه پر استفاده برایساخت بسته‌های نصب آسان استفاده میشد، به دلیل عدم توجه افراد در غیرفعال سازی و حذف فایل‌های اضافی به دلیل وجود یک باگ باعث هک هزاران سایت وردپرسی شد.

بنابراین همواره باید تلاش کنید که از افزونه و قالب وردپرس به‌روز استفاده کنید. اگر هم می‌بینید که سازنده قالب دیگر پشتیبانی بابت آپدیت ارائه نمی‌کند در اولین فرصت ممکن قالب خود را تغییر دهید، چرا که هر چه دیرتر اقدام کنید ممکن است با یک باگ ساده کل سایت را نابود کنید.

بک آپ گیری همیشگی

در بیشتر موارد که سایت‌ها هک شده‌اند، به دلیل خرابی زیادی که به بار امده است امکان رفع مشکلات آن وجود ندارد. از طریفی مدت زمانی که برای رفع مشکلات طول میکشد زیاد شده و به همین دلیل با قرار دادن سایت در حالت تعمیر وردپرس روز به روز به سئو سایت شما آسیب زده میشود. بنابراین سریع‌ترین روش برای رفع مشکل هک وردپرس بازگردانی آخرین بک آپ است؛ البته منظور نسخه بک‌آپ سالم است.

پس سعی کنید به صورت مداوم و در بازه‌های زمانی هفتگی یا حتی روزانه از سایت خود نسخه پشتیبان تهیه کنید. اگر نگرانی بابت پهنای باند مصرفی اینترنت دارید می‌توانید این کار را با استفاده از VPS نیز انجام دهید. یا اینکه بک آپ گیری از دیتابیس وردپرس را به صورت روزانه و فایل‌ها را به صورت هفتگی انجام دهید.

افزایش امنیت صفحه ورود وردپرس

صفحه ورود وردپرس از مهم‌ترین صفحات یک سایت است که در بیشتر مواقع با ارسال درخواست ورود به سایت و حدس زدن نام کاربری و رمز عبور مورد حمله قرار می‌گیرد. این کار باعث می‌شود تا چندین نرم افزار به صورت مداوم برای ورود به سایت تلاش کنند، تعداد درخواست‌ها به حدی بالا می‌رود که در نهایت منجر به کاهش منابع هاست شده و سایت با اختلال مواجه می‌شود. در چنین شرایطی می توانید از روش‌های زیر استفاده کنید.

• تغییر آدرس صفحه ورود به وردپرس
• استفاده از قابلیت ورود دو مرحله‌ای در وردپرس
• استفاده از کپچا گوگل یا کپچا ریاضی وردپرس
• محدود کردن تعداد دفعات برای ورود به سایت و بلاک کردن آی‌پی
• بستن دسترسی به صفحه ورود و محدود کردن آن به یک آی‌پی خاص
• رمز گذاری روی پوشه wp-admin
• غیرفعال کردن پیغام خطا در صفحه ورود به وردپرس
• غیرفعال کردن ورود با ایمیل یا ورود با نام کاربری در وردپرس
• افزودن پرسش و پاسخ امنیتی برای صفحه ورود به وردپرس

برای هر یک از موارد فوق می‌توانید یک جستجوی ساده انجام داده و به کمک کد نویسی یا استفاده از افزونه هر یک از موارد فوق را پیاده سازی کنید.

استفاده از SSL

با استفاده از SSL می توان اطلاعاتی که بین کاربر و سایت رد و بدل می‌شود را کدگذاری کرد. به طوری که خواندن این اطلاعات تا زمانی که کلید خصوصی را نداشته باشید فراهم نیست. بنابراین استفاده از این روش در زمانی که کاربران در سایت عضو هستند و اطلاعات حساسی مثل رمز یا داده‌های شخصی را ارسال می‌کنند می‌تواند از مشکلات امنیتی جلوگیری کند.

تغییر پیشوند جداول وردپرس

اگر در هنگام نصب وردپرس پیشوند جداول را تغییر نداده و از همان حالت پیش فرض _wp استفاده می‌کنید بهتر است دست به کار شده و به کمک آموزش تغییر پیشوند جداول وردپرس اقدام به استفاده از پیشوند جدول دلخواه شوید. با استفاده از این روش می‌توان از درخواست‌های sql injection که به منظور دستکاری امنیتی دیتابیس مورد استفاده قرار می‌گیرد جلوگیری کرد.

غیرفعال کردن ویرایشگر قالب و افزونه

قابلیتی در منوی نمایش و افزونه‌ها با عنوان ویرایشگر وجود دارد که به کمک آن و بدون نیاز به اینکه وارد هاست شوید می‌توانید فایل افزونه‌ها و قالب را مشاهده کرده و کدهای ان را تغییر دهید. اگر دسترسی به نقش کاربری مدیر کل را برای فردی فراهم کنید یا اینکه رمز شما در اختیار فردی قرار گیرد، بدون اینکه متوجه شوید قادر است تا کدهایی را در فایل‌های وردپرس قرار داده و از سایت سوء استفاده کند.

// Disallow file edit
define( 'DISALLOW_FILE_EDIT', true );

برای غیرفعال کردن این قابلیت کافی است کد فوق را در فایل wp-config.php که در مسیر public_html قرار دارد ذخیره کنید.

غیرفعال کردن اجرای کدهای php

مطمئنا شما در هنگام استفاده از وردپرس نیازی به اجرای کدهای php نخواهید داشت. گاهی اوقات ممکن است که به دلیل داشتن دسترسی برخی افراد به وردپرس فایل‌های php در آن اپلود شود. از آنجایی که php زبان برنامه نویسی خود وردپرس است، با آپلود این فایل می‌توان هر کار مخربی را در وردپرس انجام داد. پس با قرار دادن کد زیر در فایل htaccess. هاست، از اجرای آنها جلوگیری کنید.

<Files *.php>
deny from all
</Files>

موفق باشید

نوشته آموزش افزایش امنیت وردپرس در ۸ مرحله اولین بار در بیست اسکریپت. پدیدار شد.

[ad_2]

لینک منبع مطلب

آموزش افزایش امنیت صفحه ورود وردپرس
[ad_1]

امنیت صفحه ورود وردپرس و به صورت کلی افزایش امنیت وردپرس یکی از مهم‌ترین دغدغه کاربرانی است که وردپرس را به عنوان سیستم مدیریت محتوای سایت خود انتخاب کرده‌اند. در حالت پیشفرض انتخابات زیادی برای اینکه شما بتونید امنیت صفحه ورود به وردپرس را افزایش دهید وجود نداره و بنابراین لازمه تا با استفاده از راهکارهایی مثل نصب افزونه امنیتی در وردپرس، استفاده از کدهای افزایش امنیت در وردپرس و کارهایی که میتونید برای افزایش امنیت سایت در هاست خودتون اعمال کنید را انجام داده و از همه این راهکارها استفاده کنید تا سایتی با امنیت بالا و مناسب داشته باشید تا به راحتی قابل نفوذ و سوءاستفاده دیگران قرار نگیرد.

در این آموزش از بیست اسکریپت قصد دارم تا به معرفی راهکارهایی برای افزایش امنیت صفحه ورود وردپرس بپردازم که با استفاده از این روشها میتونید صفحه ورود به مدیریت وردپرس را ایمن کنید تا از دسترس افرادی که قصد نفوذ در سایت دارند جلوگیری کنید. پس اگر امنیت وردپرس براتون مهمه تا انتهای این آموزش همراه ما باشید.

آموزش افزایش امنیت صفحه ورود وردپرس

در مقالات قبلی به معرفی راهکارهایی برای افزایش امنیت صفحه ورود وردپرس مثل استفاده از تایید دو مرحله‌ای گوگل در وردپرس، غیرفعال کردن دکمه فراموشی رمز عبور در وردپرس، تغییر آدرس ورود به پیشخوان وردپرس و… پرداختم. حالا در این آموزش قصد دارم به معرفی افزونه‌ای برای افزایش امنیت وردپرس بپردازم که با استفاده از اون میتونید تعداد دفعاتی که کاربران میتونند برای وارد کردن رمز عبور در سایت استفاده کنند را کاهش دهید. در حالت عادی وقتی کاربری نام کاربری خودش را وارد میکنه تا وارد سایت بشه میتونه تا به تعداد دفعات نامحدود و خیلی زیاد رمز را وارد کنه، حالا هرچقدر رمز اشتباه باشه مشکلی نیست و میتونه این کار را تا زمانی که به رمز صحیح برسه ادامه بده، اما با استفاده از افزونه‌ای که قصد معرفی اونو دارم میتونید تعداد دفعات ورود در وردپرس را محدود کنید تا اگر بیش از این تعداد مشخص شده کاربری سعی کرد تا در سایت وارد بشه دیگه حتی در صورت درست بودن رمز هم وردپرس اجازه ورود را به اون کاربر نده و تا زمانی که این محدودیت رفع نشده نتونه وارد سایت بشه.

افزونه‌ای که برای افزایش امنیت صفحه ورود وردپرس و کاهش تعداد دفعات ورود رمز در وردپرس قصد دارم بهتون معرفی کنم با نام Login LockDown در مخزن وردپرس به ثبت رسیده و تاکنون تونسته تا بیش از ۲۰۰٫۰۰۰ نصب فعال و کسب امتیاز ۴٫۶ را ازآن خودش بکنه که با استفاده از این افزونه میتونید امنیت صفحه ورود در وردپرس را افزایش دهید. با استفاده از این افزونه میتونید تعداد دفعاتی که هر کاربر میتونه تلاش کنه تا وارد سایت بشه را محدود کنید. برای استفاده از این افزونه روی دکمه زیر کلیک کنید و بعد از اینکه وارد صفحه افزونه در مخزن وردپرس شدید با استفاده از آموزش نحوه نصب و کار کردن با افزونه ها در وردپرس اقدام به نصب و فعال سازی این افزونه بکنید.

بعد از نصب و فعال سازی افزونه مشابه تصویر زیر منویی با عنوان Login LockDown در بخش تنظیمات وردپرس از پیشخوان سایت شما اضافه میشه، روی این منو کلیک کنید تا وارد صفحه تنظیمات افزونه شده و تعداد دفعات ورود در وردپرس را محدود کنید.

• Max Login Retries: تو این فیلد میتونید تعداد دفعاتی که یک کاربر میتونه برای ورود در وردپرس تلاش کنه را وارد کنید. به عنوان مثال وقتی شما تعداد دفعات برای ورود در وردپرس را روی ۵ بار تعیین کرده باشید یک کاربر میتونه تا ۵ بار برای ورود در وردپرس تلاشه کنه، حالا اگر در این تعداد پنج بار رمز و نام کاربری درست بود وارد پیشخوان وردپرس میشه اما در غیر اینصورت باید مدت زمانی که اکانت این کاربر قفل میشه بگذره و اکانتش آزاد بشه تا مجددا بتونه برای ورود در وردپرس تلاش کنه.
• Retry Time Period Restriction: با استفاده از این گزینه میتونید یک مدت زمانی را تعیین کنید تا بعد از اینکه کاربر تعداد دفعات مجاز برای ورود در وردپرس را زد در این مدت نتونه کاری بکنه و وارد اکانت بشه.
• Lockout Length: از این فیلد میتونید مدت زمانی که پس از وارد کردن رمز نادرست اکانت کاربر قفل میشه را تعیین کنید تا به این مدت اکانت قفل شده و قادر به ورود در وردپرس نباشد. بعد از اینکه این مدت زمان گذشت و اکانت آزاد شد مجددا کاربر میتونه برای ورود در وردپرس تلاش کنه.
• Lockout Invalid Usernames: به صورت پیشفرض اگر نام کاربری که وجود نداشته باشد توسط کاربر وارد شود این افزونه از ورود آن نیز جلوگیری خواهد کرد، در هر حال می توانید آن را فعال و یا غیرفعال نمایید.
• Lockout Invalid Usernames: با فعال کردن این گزینه نام‌های کاربری که در سایت وجود ندارند به صورت کلی قفل خواهند شد تا کاربر نتونه برای ورود در وردپرس هیچ تلاشی داشته باشد.
• Mask Login Errors: اگر که میخواهید خطاهای مربوط به ورود در وردپرس به کاربر نمایش داده بشه این گزینه را فعال کنید. این خطاها شامل نمایش خطا در نام کاربری و رمز عبور نادرست خواهند بود.
• Show Credit Link: با استفاده از این گزینه هم میتونید متن نمایش نام افزونه را در انتهای فرم ورود به وردپرس مخفی کرده یا اینکه بزارید نمایش داده شود.

حالا تنظیمات را ذخیره کرده و از پیشخوان وردپرس خارج بشید تا به عنوان یک هکر سعی کنید با وارد کردن رمزهای نادرست به تعداد دفعاتی که در افزونه تعیین کردید اکانت خودتون را قفل کنید. در این صورت مشابه تصویر زیر خواهید دید که خطای مربوطه نمایش داده شده و از تلاشی که برای ورود در سایت کردید نا امید خواهید شد .

نوشته آموزش افزایش امنیت صفحه ورود وردپرس اولین بار در بیست اسکریپت. پدیدار شد.

[ad_2]

لینک منبع مطلب

۳ خطر جدی که امنیت وردپرس را تهدید می‌کنند، کدامند؟
[ad_1]

همان طور که در اکثر مقالاتمان به آن اشاره کردیم، وردپرس یکی از محبوب‌ترین سیستم‌های مدیریت محتوا در جهان است. کاربرانی که از این سیستم مدیریت محتوا استفاده می‌کنند، بی‌شمارند و هر روز هم به تعداد آن‌ها افزوده می‌شود. این سیستم قابلیت‌ها و امکانات بسیاری را در اختیار کاربران قرار داده است که شما را از هرگونه برنامه اضافی بی‌نیاز می‌کند. اما جدای از این موارد، یکی از موضوعاتی که ممکن است بیشتر مورد بحث قرار بگیرد، امنیت وردپرس است. همان طور که می‌دانید امنیت در دنیای امروزی حرف اول را می‌زند و شما به عنوان یک وبمستر موظف هستید تا امنیت کاربران و مخاطبین خود و همچنین اطلاعاتی که در دیتابیس‌های شما موجود است را حفظ کنید. در این مطلب ۳ خطر جدی در وردپرس را با هم بررسی می‌کنیم تا بتوانید جلوی تهدید امنیت وردپرس را بگیرید.

خطر جدی در وردپرس

امنیت چیست؟ امنیت به مجموعه اقداماتی گفته می‌شود که جهت جلوگیری از سرقت اطلاعات (مهم‌ترین دیتای موجود در دنیای امروز) انجام می‌شود. سیستم مدیریت محتوای وردپرس، استراتژی‌های امنیتی بسیاری را برای جلوگیری از رخنه بدافزارها و هکرها در نظر گرفته است که این موارد همیشه در حال بروز رسانی هستند و باعث جلوگیری از تهدید امنیت وردپرس را می‌گیرند. اما باید قبول کنید که این سیستم نمی‌تواند تمام موارد امنیتی و تهدید کننده را پوشش دهد. این سیستم، پلاگین‌های بسیاری مانند افزونه iThemes security را جهت تامین امنیت وردپرس به صورت رایگان و پرمیوم در اختیار کاربران خود قرار داده است. که یکی از دلایل محبوبیت این سیستم طیف وسیع و گسترده پلاگین‌ها و قالب‌هاست. اما این ۳ مورد خطر جدی در وردپرس که اکثر اوقات به آن توجهی نمی‌شود و بیشترین مشکل را به همراه دارند، کدامند؟

۱- ضعف در امنیت Url

وردپرس توسط زبان برنامه نویسی معروف PHP طراحی و پیاده سازی شده است. همچنین با استفاده از ارسال Command یا همان دستوراتی که به URL شهرت دارند پایگاه داده‌ شما (MySQL) را از لحاظ رفتاری کنترل می‌کنند. اگر این مفاهیم کمی گیج کننده به نظر می‌رسند، اصلا نگران نباشید! شما برای حفظ امنیت وردپرس نیازی به داشتن دانش کدنویسی نخواهید داشت.

چیزی که شما باید بدانید این است که این قبیل سایت‌ها به یک نوع خاص از حمله که توسط هکرها صورت می‌گیرد، حساس و آسیب پذیر هستند. هکرها و افراد سودجو می‌توانند با ارسال پارامترهای مخرب(URL) به پایگاه داده شما، اطلاعات حساس و حائز اهمیت را فاش کنند، که به حملاتی به نام SQL Injection شهرت دارند. زمانی که این افراد یکبار به این اطلاعات دسترسی پیدا کنند می‌توانند کل محتوای وبسایت شما را با آنچه که می‌خواهند عوض کنند و ساختار کلی وبسایت را از بین ببرند. راهکاری که می‌توانید از این حمله، جلوگیری کنید چیست؟ شما باید ساختار فایل htaccess. را تغییر دهید.

اما htaccess. چیست؟ فایل htaccess ، یک فایل پیکربندی سرور آپاچی است که قادر است دسترسی به سایت و نحوه عملکرد آن را تحت کنترل داشته باشد. این فایل عموما بدون نام است و فقط با همین پسوند ذخیره می‌شوند که این امر باعث شده این فایل مخفی باشد و در صورت آپلود شدن آن از طریق FTP در دسترس قرار نگیرد. البته زمانی شما به این فایل دسترسی دارید که از وب سرور آپاچی استفاده کنید.

۲- قالب‌های رایگانی که حاوی کدهای مخرب هستند

یکی از بزرگترین مزیت‌های سیستم مدیریت محتوای وردپرس این است که این سیستم کاملا رایگان در اختیار شما قرار می‌گیرد که می‌توانید از پلاگین‌ها و قالب‌های رایگان آن نیز بهره‌مند شوید. متاسفانه همین موضوع باعث ایجاد فرصتی برای افراد شده تا قالب‌هایی را به صورت رایگان و حاوی لینک‌ها و کدهای مخرب در اختیار کاربران قرار دهند. به این صورت که با نصب این قالب‌ها بلافاصله آسیب‌های مخرب آن گریبان گیر وبسایت شما می‌شود. بدون شک بیشتر افراد به دلیل رایگان بودن یک برنامه(قالب/پلاگین) برای دانلود آن وسوسه می‌شوند، خود شما هم در همین موقعیت بوده‌اید.

اما برای اینکه خطر جدی در وردپرس را کم کنید، فقط و فقط از وبسایت‌های معتبر از جمله وبسایت رسمی وردپرس مواردی که به دنبالش هستید را دانلود کنید. این کار خطرات جانبی را به حداقل می‌رساند. البته اگر که به دانلود قالب‌های رایگان مشتاقید حتما قبل از نصب فایل قالب را اسکن کنید تا اگر حاوی بدافزار و فایل‌های مخرب بود آن را بر روی وردپرس نصب نکنید.

۳- صفحه و پروسه ورود در وردپرس

اگر همین حالا موارد تهدید امنیت وردپرس را در گوگل سرچ کنید، یکی از موارد مشابه‌ای که در اکثر نتایج شاهد آن خواهید بود صفحه ورود ناامن وردپرس است. این مورد یکی از ساده‌ترین راه‌ها جهت رخنه در وبسایت‌های وردپرسی است که اکثرا افراد سودجو از همین راه استفاده می‌کنند. همان طور که می‌دانید تمامی صفحات login مشابه به هم هستند و آدرس یکسانی دارند با این تفاوت که اطلاعاتی که در فیلد نام کاربری و پسورد قرار می‌گیرد متفاوت است.

این حمله که به حملات brute force شهرت دارد بدین صورت است که هکرها نام کاربردی و پسوردهای بی‌شماری را جایگزین می‌کنند تا اینکه بالاخره یکی از آن‌ها درست از آب درآید. البته نه به این معنی که خودشان به صورت دستی هزاران پسورد را امتحان کنند، بلکه این فرآیند توسط برنامه‌ی مخربی که نوشته‌اند، انجام می‌شود. برای جلوگیری از این کار کافی است به نصب یکی از پلاگین‌های طراحی شده توسط خود وردپرس اقدام کنید. برای مثال Limit Login Attempts یکی از همین موارد است. همچنین شما می‌توانید با هماهنگی با وبسایت یا شرکتی که هاست خود را از آن‌ها خریداری کرده‌اید ورودهای متعددی که از یک IP صورت می‌گیرند را بلاک کنید.(کاری که مشابه عملکرد پلاگین معرفی شده است)

تهدید امنیت وردپرس

مطمئنا وقتی سایتی را راه‌اندازی می‌کنید، دوست دارید پایدار باقی مانده و به فعالیت خود ادامه دهد. ولی اگر بیخیال باشید مطمئنا با خطر جدی در وردپرس مواجه می‌شوید. امنیت مسئله بسیار مهمی است که نباید از آن غافل شد. در این مقاله ۳ تهدید امنیت وردپرس را بررسی کردیم و به راه‌حل آن پرداختیم. شما می‌توانید با مطالعه و عمل به آن‌ها تا حد زیادی به محافظت از وبسایت خود کمک کنید و با این تفاسیر فضایی ایمن و بی‌خطر را تجربه کنید.

نوشته ۳ خطر جدی که امنیت وردپرس را تهدید می‌کنند، کدامند؟ اولین بار در بیست اسکریپت. پدیدار شد.

[ad_2]

لینک منبع مطلب

سطح دسترسی چیست؟ تغییر سطح دسترسی یا پرمیشن فایل‌ها در وردپرس
[ad_1]

سطح دسترسی چیست؟ تغییر سطح دسترسی یا پرمیشن فایل‌ها در وردپرس

۴ از ۱ رای

از آنجا که امنیت در لینوکس یک امر حیاتی هست، برای هر فایلی یک سطح دسترسی تنظیم شده. سطوح دسترسی یک فایل، به شما اجازه مشاهده، ویرایش یا نوشتن روی یک فایل را خواهند داد. همان ReadOnly که در ویندوز داشتیم و داریم. اما با کمی چاشنی امنیتی بیشتر!

وردپرس هم با PHP نوشته شده و طبیعتا بهترین سیستم‌عامل برای اجرای پی اچ پی، لینوکس هست. فرقی نمی‌کند کدام نسخه از لینوکس اما همه لینوکس‌ها برای هر فایل و پوشه‌ای سطح دسترسی تنظیم می‌کنند و این سطح دسترسی برای هر فایلی متفاوت هست. پس وردپرس برای اجرای برخی کارها نیاز دارد تا سطح دسترسی برخی از فایل‌ها را تنظیم کند.

در این مطلب می‌خوانید:

انواع سطوح دسترسی فایل‌ها

سطوح دسترسی مختلفی برای نمایش فایل‌ها داریم. وقتی می‌گوییم سطح دسترسی یک پوشه ۷۵۵ هست یعنی دسترسی پوشه به این شکل تنظیم شده:

۵	۵	۷
world	group	user
r+x	r+x	r+w+x
4+0+1	4+0+1	4+2+1

جدول زیر دارای ۳ حرف r و w و x هست که به شرح زیر تعریف می‌شود:

• Read به معنای خواندن فایل برابر با عدد ۴
• Write به معنای نوشتن روی فایل برابر با ۲
• eXecute به معنای خواندن، ویرایش ، نوشتن و حذف فایل یا پوشه برابر با ۱

چند مثال برای سطح دسترسی فایل‌ها

۰۴۷۷	-r–rwxrwx	owner has read only (4), other and group has rwx (7)
0677	-rw-rwxrwx	owner has rw only(6), other and group has rwx (7)
0444	-r–r–r–	all have read only (4)
0666	-rw-rw-rw-	all have rw only (6)
0400	-r——–	owner has read only(4), group and others have no permission(0)
0600	-rw——-	owner has rw only, group and others have no permission
0470	-r–rwx—	owner has read only, group has rwx, others have no permission
0407	-r—–rwx	owner has read only, other has rwx, group has no permission
0670	-rw-rwx—	owner has rw only, group has rwx, others have no permission
0607	-rw—-rwx	owner has rw only, group has no permission and others have rwx

سطح دسترسی مناسب وردپرس

هر سیستمی با استفاده از یک سطح دسترسی متفاوت، وردپرس را اجرا می‌کند. اما قصد دارم یک نمونه سطح دسترسی در وردپرس که در حالت استاندارد وب سرور اجرا می‌شود، به شما معرفی کنم. استانداردی که سرور با آپاچی راه اندازی شده و suexec روی هاست فعال باشد.

تمام فایل‌های شما باید توسط یوزر ftp قابل ویرایش، حذف و نوشتن باشد. در نتیجه همیشه باید یوزر  www یا apache یا nobody سطح دسترسی مورد نیاز را داشته باشد.

نکته: در برخی هاستینگ‌ها مقدار ۰۷۵۵ را بصورت ۷۵۵ و مقدار ۰۶۴۴ را بصورت ۶۴۴ تعریف می‌کنند.

سعی کنید سطح دسترسی فایل های سایت را به ۶۴۴ و پوشه ها را به ۷۵۵ تغییر دهید.

تمام فایل ها و زیر پوشه ها باید تنظیم شوند نه فقط پوشه اصلی. از آنجایی که شما قابلیت ویرایش دسته جمعی سطح دسترسی فایل‌ها و پوشه‌ها را ندارید، بهتر است از هاست مخصوص وردپرس استفاده کنید.

اگر نمی توانید هاست را تغییر دهید باید به هاست خود تیکت دهید تا این مورد را برای شما انجام دهند چون تعداد فایل ها و پوشه ها زیاد هست. لازم به ذکر است هاست شما باید از طریق ssh این کار را انجام دهد.

suexec چیست؟

suexec یک رویکرد تنظیم سرور هست که هر فایل را با استفاده از سطح دسترسی کاربر همان سایت اجرا می‌کند. در نتیجه بهترین حالت امنیتی برای سرور شما خواهد بود.

نکته: از suexec فقط در سایت‌هایی که هاستینگ اشتراکی دارند استفاده کنید. اگر سایت شما توسط سرور اختصاصی خودتان بصورت Single Site میزبانی می‌شود، نیازی به فعالسازی suexec نیست.

تغییر سطح دسترسی در وردپرس

اگر می‌خواهید سطح دسترسی فایل‌ها را تغییر دهید. از روش‌های مختلف می‌توانید اینکار را انجام دهید. روش‌های مختلفی از جمله کنترل پنل هاست شما، SSH و نرم افزار‌های اف تی پی مثل فایل زیلا

تغییر سطح دسترسی فایل‌ با استفاده از FTP

برای تغییر سطح دسترسی فایل با استفاده از اف تی پی ابتدا باید با یک کلاینت اف تی پی وارد فایل منیجر سایت‌تان شوید. با استفاده از آموزش فایل زیلا، وارد FTP سایتتان شوید. سپس فایل مورد نظر را پیدا کنید.

مطابق تصویر بالا، روی فایل راست کلیک کرده و گزینه File Permissions را کلیک کنید. سپس مقدار سطح دسترسی فایل را وارد کرده و کلید اینتر را بفشارید.

به همین راحتی 🙂 سطح دسترسی فایل تغییر کرد.

تغییر سطح دسترسی فایل در سی پنل

برای تغییر سطح دسترسی فایل ابتدا وارد سی پنل شوید.

به انتهای آدرس سایتتان یک /cpanel اضافه کنید. مثلا: mihanwp.com/cpanel

اگر با این آدرس به سی پنل وارد نشدید. از هاستینگ خود آدرس و اطلاعات ورود به سی پنل را دریافت کنید.

بعد از وارد شدن به سی‌پنل، روی گزینه File Manager کلیک کنید تا وارد مدیریت پوشه‌ها و فایل‌های سایتتان شوید.

حالا فایل یا پوشه مورد نظرتان را انتخاب کنید و روی آن راست کلیک کنید. سپس گزینه Change Permissions را کلیک کنید.

سپس سطح دسترسی مورد نظر خودتان را انتخاب کنید.

تبریک! شما موفق به تغییر سطح دسترسی یا پرمیشن فایل‌ها از طریق سی پنل شدید.

راستی! برای دریافت مطالب وردپرسی در کانال تلگرام میهن وردپرس عضو شوید.

[ad_2]

لینک منبع مطلب

حذف متا تگ ‌Generator از وردپرس برای امنیت بیشتر
[ad_1]

یکی از راه‌کار‌های هک کردن این سیستم این هست که هکر بتواند نسخه سیستم شما را مشاهده کند و بداند که آیا شما از آخرین نسخه سیستم استفاده می‌کنید یا خیر؟! به عنوان مثال نسخه ۴.۹ وردپرس دارای مشکل امنیتی هست و این مشکل در نسخه ۴.۹.۱ برطرف شده. حالا فرض کنید نیمه شب وردپرس آپدیت شده و شما تا فردا ظهر سایتتان را آپدیت نمی‌کنید! هکر می‌تواند به راحتی مشاهده کند که شما از نسخه ۴.۹ وردپرس استفاده می‌کنید و با استفاده از باگ امنیتی که نسخه ۴.۹ وردپرس داشته، سایت شما را هک کند. به همین راحتی!

در نتیجه با استفاده از یک اشتباه ساده‌ی آپدیت نکردن نسخه وردپرس، سایت شما هک خواهد شد. در هر صورت بهتر هست وردپرس را بصورت خودکار آپدیت کنید. اما اگر نمی‌خواهید آپدیت خودکار را فعال کنید، می‌توانید از دسترسی هکر به نسخه وردپرس خودتان جلوگیری کنید.

هکر چگونه متوجه می‌شود نسخه وردپرس ما چیست؟

به راحتی!  وردپرس یک متا تگ Generator به بخش Head وبسایت شما اضافه می‌کند که با راست کلیک روی صفحه و از منوی View Page Source می‌توانید این متا تگ را ببینید.

در نتیجه هکر هم می‌تواند این متا تگ را مشاهده کرده و متوجه شود که نسخه وردپرس شما ۵٫۰٫۳ هست! باگ امنیتی نسخه ۵.۰.۳ را پیدا کرده و سایت شما را هک می‌کند. البته اگر نسخه ۵.۰.۳ وردپرس باگ امنیتی داشته باشد.

حذف متا تگ ‌Generator از وردپرس

برای حذف متا تگ Generator کافیست یک خط کد به فایل توابع قالب سایتتان اضافه کنید. برای اینکار وارد پوشه قالب سایتتان شده و فایل functions.php را ویرایش کنید. خط زیر را به functions.php اضافه کنید تا متا تگ سازنده یا Generator از وردپرس شما حذف شود.

add_filter( 'the_generator', '__return_false' );

حالا سایتتان را رفرش کنید و Page Source را ببینید. به همین راحتی! شما یک قدم به امن کردن وردپرس نزدیک‌تر شدید.

نوشته حذف متا تگ ‌Generator از وردپرس برای امنیت بیشتر اولین بار در بیست اسکریپت. پدیدار شد.

[ad_2]

لینک منبع مطلب

چگونه کدهای مخرب وردپرس را پیدا کنیم؟
[ad_1]

بسیاری از کاربران از ما می‌­پرسند که آیا راهی برای بررسی و اسکن سایت وردپرسی‌­مان وجود دارد که از وجود کدهای مخرب وردپرس باخبر شویم؟ پاسخ مثبت است. ابزارهای حرفه‌ای و رایگان مختلفی برای بررسی کدهای مخرب احتمالی سایت وجود دارند. معمولا بدافزارها و کدهای مخرب از دید ما پنهان می‌­مانند، مگر اینکه به طور منظم، سایت خود را اسکن کنیم و از وجود آن‌ها با خبر شویم. در این مقاله با ما همراه باشید تا به شما آموزش دهیم چگونه به راحتی، سایت وردپرسی خود را نسبت به وجود بدافزار ها و کدهای مخرب اسکن و بررسی نمایید. با این کار یک قدم در تامین امنیت وردپرس، از بقیه جلوتر هستید.

کدهای مخرب وردپرس

چه زمانی باید سایت وردپرسی خود را اسکن کنیم؟
بهترین زمان برای اسکن در برابر کدهای مخرب وردپرس، همین الان است. بسیاری از کاربران تازه کار در ابتدای شروع کار خود با وردپرس، یک افزونه امنیتی که امنیت سایت را تامین کند، نصب نمی‌کنند؛ این بدین معنی است که کدهای مخرب می‌توانند تا مدت طولانی شناسایی نشوند و به یک‌باره امنیت سایت شما را تهدید کنند. بیشتر کاربران به این قضیه توجه ندارند؛ تا اینکه یکی از علائم هک شدن سایتشان را می‌بینند.

اگر حتی تا کنون هم سایت شما هک نشده یا مورد حمله قرار نگرفته است، استفاده از ابزار اسکن کدهای مخرب وردپرس می‌تواند در تامین امنیت سایت شما در آینده موثر باشد. به هر حال پیشگیری بهتر از درمان است. از همه مهم‌تر، شما می توانید با بهبود امنیت سایت خود، آن را نسبت به حملات هکرها محافظت کنید.
به این ترتیب، نگاهی به روش‌های اسکن سایت برای یافتن کدهای مخرب وردپرس می‌­اندازیم.

Sucuri

افزونه Sucuri، یکی از بهترین ها در امنیت وردپرس شناخته شده است. این افزونه در دو نسخه رایگان و پرمیوم ارائه می‌شود که نسخه رایگان هم امکانات خوبی در اختیارتان می‌گذارد. فقط کافیست این افزونه را دانلود کرده و نصب نمایید.

این افزونه، فایل‌های سایت شما را زیر نظر دارد و در صورت تغییر در آن‌ها، شما را مطلع می‌سازد. همچنین اسکن دقیقی‌از کدهای مخرب وردپرس که ممکن است در سایت وجود داشته باشند، به همراه iframe ها، لینک‌ها و فعالیت‌های مشکوک انجام می‌دهد.

در نسخه پرمیوم این افزونه، امکانات فوق العاده‌ای از جمله فایروال وجود دارد. همچنین اگر سایت شما مورد حمله قرار بگیرد، متخصصین Sucuri بدون هیچ هزینه اضافی، سایت شما را پاکسازی می‌کنند. این کار ممکن است برای هر شخصی ساده نباشد.

Wordfence

افزونه Wordfence یکی دیگر از افزونه‌های محبوب امنیت وردپرس محسوب می‌شود که به شما این امکان را می‌دهد تا به راحتی سایت وردپرسی خود را نسبت به وجود کدهای مخرب وردپرس، لینک‌های مخرب و الگوهای شناخته شده تخریب کننده؛ اسکن کنید.

این افزونه به صورت خودکار، اسکن امنیتی در پشت صحنه انجام می‌دهد. شما هم می‌توانید هر موقع که خواستید، آن را آغاز کنید. در صفحه اسکن، می‌توانید روند اسکن را در جعبه‌های زرد مشاهده کنید و پس از اتمام فرایند اسکن، نتیجه را ببینید.

در صورت پیدا کردن کدهای مشکوک و مخرب، بد افزار یا فایل‌های تخریب شده، شما را مطلع می‌سازد. همچنین خود افزونه راهکارهایی را برای حل مشکلات پیشنهاد می‌کند. همچنین این افزونه از فایروال پشتیبانی می‌کند که باعث جلوگیری از حملات Brute Force خواهد شد.

Anti-Malware Security

افزونه Anti-Malware Security یکی دیگر از افزونه‌های قدرتمند در حفظ امنیت وردپرس و تشخیص کدهای مخرب وردپرس است. این افزونه می‌تواند کدهای مخرب سایت وردپرسی شما را به همراه بد افزارها تشخیص دهد.

همچنین کدهای مشکوک، اسکریپت‌ها، حفره‌های امنیتی فایل htaccess. و فعالیت‌های مشکوک را در تمامی فایل‌ها و پوشه‌های سایت شناسایی می‌کند. ممکن است فرایند اسکن این افزونه به خاطر کامل و جامع بودنش کمی طول بکشد اما در نهایت امنیت وردپرس را به حد مطلوبی می‌رساند.

توسعه دهندگان این افزونه در تلاش‌اند تا روش‌های نفوذ جدید را شناسایی کرده و این افزونه را در نسخه‌های جدید پر بارتر و کامل‌تر ارائه کنند.
در نظر داشته باشید که این افزونه، ممکن است هشدارهای زیادی را به شما نشان دهد که کاذب هستند و شما باید با مقایسه فایل‌های سایت خود با فایل اصلی، تغییرات را متوجه شوید که کار سخت و طولانی خواهد بود. همچنین این افزونه شامل فایروال نیز می‌شود که نسبت به DNS Firewall، قدرت کمتری دارد.

چگونه بدافزارها یا کدهای مشکوک را از وردپرس پاک کنیم؟

اولین کاری که باید انجام دهید، تمامی رمزهای عبور وردپرس خود را تغییر دهید. این عمل شامل رمز عبور کاربران سایت، هاست، FTP یا  SSH و پایگاه داده (دیتابیس) می‌شود. با تغییر رمز عبور تمامی موارد ذکر شده، تضمین می‌شود که اگر یکی از این رمزهای عبور در معرض خطر بود و بقیه به آن دسترسی داشتند، از این به بعد نتوانند از آن‌ها استفاده کنند.

در قدم بعدی، باید یک نسخه پشتیبان کامل (Backup) از سایت خود بگیرید. این کار را می‌توانید با استفاده از افزونه‌های بک آپ یا به صورت دستی و استفاده از phpMyAdmin و FTP انجام دهید. با این کار اطمینان دارید که اگر اشکالی در روند پاکسازی سایت به وجود آمد، به راحتی نسخه پشتیبان را بازگردانی می‌کنید و نگران از دست دادن اطلاعات ارزشمند سایت خود نخواهید بود.

در قدم آخر، پیشنهاد می‌کنیم یک متخصص تامین امنیت وردپرس استخدام کنید تا سایت شما را همیشه در برابر کدهای مخرب وردپرس بررسی کند. دقت کنید که این متخصص می‌تواند به صورت غیر حضوری کارش را انجام دهد. مثل متخصصین Sucuri که با خرید دلاری بسته‌های امنیتی آن‌ها، همیشه امنیت سایت شما را تامین می‌کنند.

همچنین می توانید خودتان نیز دست به کار شوید و سایت خود را پاکسازی نمایید. البته ممکن است کاری سخت و وقت‌گیری باشد اما با کمی دقت امکان‌پذیر است.

نوشته چگونه کدهای مخرب وردپرس را پیدا کنیم؟ اولین بار در بیست اسکریپت. پدیدار شد.

[ad_2]

لینک منبع مطلب

محافظت از وردپرس با افزونه Secupress
[ad_1]

شاید اوایل راه‌اندازی سایتتان خیلی به فکر تامین امنیت آن نباشید؛ اما با گذر زمان و پیشرفت، قطعا امنیت از ارکان اصلی مدیریت وبسایت خواهد شد. چرا که زحمات چندین ساله شما و تیم‌تان ممکن است در کسری از ثانیه از بین برود! خطر همیشه در کمین است.

توسعه دهنده‌های وردپرس از سراسر جهان روی راهکارهای محافظت از وردپرس کار می‌کنند که آن هم مدیون متن باز بودن وردپرس هستند. حدود ۳۰ درصد وبسایت‌های موجود با وردپرس ساخته شده‌اند و امنیت آن قطعا برای هر کدام از این سایت‌ها حائز اهمیت است. با آموزش وردپرس امروز همراه ما باشید تا با یک روش عالی ایمنی سایت آشنا شوید.

محافظت از وردپرس

چند روز پیش یک افزونه حرفه‌ای برای تامین امنیت وردپرس iTheme Security معرفی کردیم که در دو نسخه رایگان و حرفه‌ای موجود است. امروز نیز می‌خواهیم یکی دیگر از افزونه‌های مطلوب امنیتی با عنوان Secupress را در محافظت از وردپرس بررسی کنیم. امیدوارم همان‌قدر که ما بر امنیت تاکید می‌کنیم، شما هم حواستان به آن باشد.

امنیت وردپرس با افزونه Secupress

افزونه Secupress را به لحاظ امکانات زیادی که دارد، می توان در دسته افزونه‌های امنیتی جهت محافظت از وردپرس جای داد. افزونه امنیتی Secupress برای تامین امنیت وردپرس راهکارهای جالبی ارائه می‌دهد. گرافیک جذاب این افزونه در کنار عملکرد خوبش، آن را جزو یکی از محبوب‌ترین افزونه‌های امنیتی وردپرس قرار داده. این افزونه با بیش از ۱۰۰۰۰ نصب فعال توانسته ۴٫۵ ستاره در مخزن وردپرس را از آن خود کند.

ویژگی‌های این افزونه

• دارای فایروال
• عدم اجازه دسترسی به سایت برای کاربرانی با موقعیت جغرافیایی خاص
• بلاک کردن IP های مشکوک
• تشخیص قالب‌ها و افزونه‌های آسیب‌پذیر
• ارائه گزارش امنیتی در قالب PDF
• بلاک کردن ربات‌های مخرب
• عدم اجازه دسترسی به خزنده‌های مخرب
• و …

این افزونه دارای دو نسخه رایگان و پرمیوم است که در نسخه پولی می‌توانید از قابلیت انجام خودکار وظیفه‌ها توسط خود افزونه استفاده کنید. نسخه رایگان هم امکانات خوبی را به همراه دارد.

نصب و راه‌اندازی افزونه Secupress

بسیار خوب! اگر موافق باشید افزونه را نصب کنیم. افزونه را از انتهای همین آموزش دریافت کرده و آن را در مسیر افزونه‌ها نصب و فعال نمایید.
پس از نصب و فعال شدن افزونه، بنری در بالای صفحه ظاهر می‌شود که مربوط به اسکن امنیتی سایت است. ما این کار را پس از پیکربندی افزونه انجام خواهیم داد. فعلا روی دکمه ضربدر روی بنر کلیک کنید.

در سمت راست پیشخوان وردپرس، منوی SecuPress اضافه خواهد شد که تنظیمات افزونه را می توان از این بخش تغییر داد و امکان محافظت از وردپرس را با همین گزینه‌ها فراهم کرد.

منوی افزونه شامل ۳ بخش است:

• Scanners: از این بخش می‌توانید سایت خود را از لحاظ امنیتی اسکن کرده و براساس رتبه امنیت سایتتان، درجه A تا D را دریافت کنید.
• Mosules: تنظیمات افزونه از این بخش در دسترس هستند.
• More Security: این گزینه برای خرید دلاری نسخه پولی این افزونه است که عملا برای ما کاربردی ندارد.

پیکربندی افزونه

برای پیکربندی افزونه روی گزینه Modules کلیک کنید. در صفحه باز شده سربرگ‌های مختلفی وجود دارند که به شرح هر کدام می‌پردازیم:

تذکر: دقت کنید که از ذکر بخش‌هایی که مخصوص نسخه پرمیوم هستند چشم پوشی شده است.

سربرگ Dashboard

سربرگ اول Dashboard است که عملا کار خاصی با اینجا نداریم؛ زیرا امکاناتی مثل خروجی گرفتن از تنظیمات افزونه و … در نسخه پرمیوم در دسترس هستند. اما در آخر صفحه می‌توانید در صورت نیاز، تنظیمات افزونه را به حالت اولیه برگردانید. در واقع امکان ریست کردن برایتان فراهم است.

سربرگ Users & Login

در این بخش می‌توانید انواع تنظیمات مربوط به ورود به سایت را مشاهده نمایید.

Login Control: در این بخش می‌توانید با تیک زدن گزینه اول تعیین کنید یک کاربر چند بار می‌تواند ورود ناموفق داشته باشد تا مسدود شود. این عدد به صورت پیش فرض روی ۱۰ بار تنظیم شده است. همچنین می‌توانید مدت زمانی که کاربر باید مسدود بماند نیز تغییر دهید که پیشنهاد می‌شود بین ۵ تا ۱۵ دقیقه را برای محافظت از وردپرس انتخاب کنید. در صورتی که گزینه دوم را هم تیک بزنید، افزونه کاربرانی را که قصد دارند با یوزنیم‌هایی که اصلا وجود ندارند به سایتتان وارد شوند، مسدود می‌کند.

Login Errors: با تیک زدن گزینه مربوطه، در صورتی که کاربر ورود ناموفق داشته باشد، جزئیات دلیل ناموفق بودن ورودش را دریافت نخواهد کرد. به عنوان مثال کاربری یوزنیم را درست وارد کرده و رمز عبورش را اشتباه وارد می‌کند؛ در صورتی که این گزینه غیر فعال باشد، پیام “رمز عبور برای این یوزنیم اشتباه است” نمایش داده خواهد شد؛ که در این حالت کاربر مطمئن است یوزرنیم درست وارد شده و فقط رمز عبور اشتباه است. اما در صورت فعال بودن گزینه مذکور، پیام “عملیات ورود با شکست مواجه شد” را نمایش می‌دهد. این گزینه زمانی کاربرد دارد که افرادی قصد حدس زدن یوزرنیم و پسورد کاربری خاص در سایت شما را دارند.

Use a Captcha for everyone: با تیک زدن گزینه مربوطه، در فرم‌های ورود، گزینه‌ای فعال می‌شود که کاربر باید علاوه بر وارد کردن یوزنیم و پسورد خود، گزینه امنیتی را نیز باید تیک بزند تا ثابت کند ربات نیست. این امر می‌تواند در افزایش امنیت ورود به سایت و محافظت از وردپرس تاثیر چشم گیری داشته باشد؛ اما ممکن است برای برخی کاربران خسته کننده باشد.

Password changement:  می‌توانید با تیک زدن این گزینه، کاربران را هنگام تعویض رمز عبور خود، محبور به وارد کردن رمز عبور قبلی‌شان کنید.

Usernames: با تیک زدن گزینه اول، هنگام ثبت نام کاربران، آن‌ها را محبور می‌کنید تا از یوزرنیم‌های معمول و کم ارزش مانند admin یا www و … استفاده نکنند و یوزرنیم یونیک خود را داشته باشند. گزینه دوم برای محدود کردن اسکریپت‌های مخرب برای پیدا کردن یوزنیم کاربران خاص است که به صورت author=1 یوزنیم‌های کاربران را اسکن می‌کنند.

Login Page: می‌توانید آدرس ورود ادمین سایت یا ورود کاربران را که به صورت پیشفرض wp-admin و wp-login است، تغییر دهید. این مورد می تواند در امنیت سایتتان کارآمد باشد.

سربرگ Plugins & Themes

در وردپرس می‌توان به صورت پیشفرض، قالب‌ها و افزونه‌های مختلف را از طریق منوی افزودن روی هاست آپلود کرد. با فعال کردن گزینه Disallow .zip Uploads، این قابلیت وردپرس غیر فعال خواهد شد. چرا که ممکن است قالب‌ها و افزونه‌های آپلود شده از این طریق دارای کدهای مخرب باشند. زمانی که این گزینه فعال باشد، فقط از طریق مخزن وردپرس و یا FTP می‌توانید قالب‌ها و افزونه‌های جدید را به سایت خود اضافه کنید. در نظر داشته باشید در صورتی که از قالب‌ها و افزونه‌های ایرانی استفاده می‌کنید، این ویژگی، کار را برای شما سخت‌تر خواهد کرد و مجبورید قالب‌ها و افزونه‌ها را از طریق هاست خود آپلود کنید. در کل این ویژگی برای محافظت از وردپرس خیلی پیشنهاد نمی‌شود.

دو گزینه Plugin installation و Theme installation مربوط به عدم فعال‌سازی هر قالب یا افزونه جدید است. به اینصورت که به شما (یا مدیران دیگر سایتتان) اجازه فعال سازی یا به طور کلی آپلود قالب یا افزونه جدید را نمی‌دهد. فرق این گزینه با بخش قبلی این است که می‌توان اجازه آپلود فایل‌های zip را محدود به نوع آن (قالب یا افزونه) کرد.

سربرگ WordPress Core

بخش‌های مختلف این سربرگ تنظیماتی را اعمال می‌کنند که از آن‌ها به عنوان “ترفندهای وردپرس” یاد می‌شود.

بخش Minor Updates: وردپرس به صورت خودکار، هنگامی که آپدیت‌های جزئی ارائه می‌شوند، خودش را آپدیت می‌کند. اما ممکن است یکی از افزونه‌های سایت شما اجازه این کار را ندهد. اما معمولا آپدیت‌های جزئی وردپرس مربوط به مسائل امنیتی هستند و به طور معمول اختلالی در افزونه‌های شما ایجاد نمی‌کنند. با فعال کردن این گزینه به وردپرس اجازه می‌دهید بدون در نظر گرفتن افزونه‌ها، آپدیت‌های جزئی مثل ۴٫۳٫۹ را به طور خودکار انجام دهد و گامی در محافظت از وردپرس بردارد.

بخش Major Updates: با فعال کردن این گزینه، وردپرس را مجبور می‌کنید آپدیت‌های کلی را مثل ۴٫۴ به صورت خودکار انجام دهد. توجه داشته باشید که فعال کردن این گزینه اجباری نیست اما از طرف سازنده برای محافظت از وردپرس پیشنهاد شده است.

بخش File edition: به صورت پیشفرض، مدیران سایت می‌توانند کدهای قالب و افزونه‌ها را از طریق ویرایشگر وردپرس و در فضای پیشخوان، تغییر دهند. از نظر افزونه امنیتی Secupress این قابلیت مطلوب نیست و باید غیر فعال شود. با تیک زدن این گزینه می‌توانید این قابلیت را غیر فعال کنید تا تغییر در کدها فقط از طریق هاست امکان‌پذیر باشد.

بخش Unfiltered Uploads: مدیران و نویسندگان سایت می‌توانند فایل‌های مختلفی را از طریق پرونده چند رسانه‌ای وردپرس روی سایتتان آپلود کنند. فعال کردن این گزینه فقط به فایل‌هایی با پسوند مجاز مثل pdf ، mp3 ، و… اجازه آپلود می‌دهد.

سربرگ Sensitive Data

در این سربرگ تنظیمات مختلفی وجود دارد که با استفاده از آن‌ها می‌توانید با محدود کردن برخی از داده‌های حساس، امنیت سایت وردپرسی‌تان را افزایش دهید.

بخش XML-RPC: فایل xml-rpc.php در وردپرس برای ایجاد ارتباط بین وردپرس و نرم افزارهای دیگر استفاده می‌شود. مانند اپلیکیشن‌های مدیریت سایت وردپرسی روی تلفن‌های همراه که اطلاعات را از طریق این فایل منتقل می‌کنند. این فایل راه نفوذی به سایت شما ایجاد می‌کند. در صورتی که از اپلیکیشن‌های مدیریت وردپرس روی گوشی خود استفاده نمی‌کنید یا اپلیکیشن خبری یا فروشگاهی به سایتتان متصل نیست، بهتر است با فعال کردن این گزینه، فایل مذکور را از دسترس خارج کنید و محافظت از وردپرس را امکان‌پذیر سازید.

بخش Blackhole: فعال کردن این گزینه، اطلاعاتی را در فایل robots.txt اضافه می‌کند که در صورت مشاهده رفتار مخرب ربات‌ها، IP آن‌ها را مسدود می‌کند.

بخش Directory Listing: گاهی اوقات با وارد کردن آدرس یک پوشه، محتویات آن به صورت لیست نمایش داده می‌شود. این اتفاق برای پوشه‌هایی می‌افتد که خودمان ایجاد کرده‌ایم. در آن به عنوان مثال آهنگ‌ها را آپلود کرده‌ایم. با وارد کردن آدرس پوشه اصلی، لیست تمام آهنگ‌ها به نمایش در می‌آید که از لحاظ امنیتی مناسب نیست و کاربر باید آدرس دقیق فایل را وارد کند تا به آن دسترسی داشته باشد. بعد از فعال کردن این گزینه، کاربر به جای مشاهده لیست فایل‌ها، با خطای ۴۰۳ مواجه می‌شود.

بخش PHP disclosure: زبان PHP به طور اشتباه اطلاعاتی از ماژول‌های نصب شده را افشا می‌کند که برای امنیت سایت چندان خوشایند نیست و با فعال کردن این گزینه می‌توانید از آن جلوگیری کرده و محافظت از وردپرس را امکان‌پذیر سازید.

بخش PHP version disclosure: در برخی از صفحات سایت روی بعضی از سرورها، ورژن PHP را که شما در حال استفاده از آن هستید نمایش می‌دهد که می‌تواند کمکی برای حمله به سایت شما باشد. با فعال کردن این گزینه، اطلاعات ورژن PHP نمایش داده نخواهد شد.

بخش WordPress version disclosure: اگر از صفحه سایت خود Inspect بگیرید، متوجه می‌شوید که شماره نسخه وردپرس شما را در جاهای مختلف نمایش می‌دهد که می‌تواند برای هکرها کمکی جهت حمله بهتر باشد. با فعال کردن این گزینه، تمامی اعداد مربوط به نسخه وردپرس از کدهای سایتتان حذف خواهد شد.

بخش Bad URL Access: دسترسی مستقیم به برخی از فایل‌های حساس وردپرس را محدود می‌کند که برای محافظت از وردپرس می‌توانید آن را فعال کنید.

بخش Protect readme files: فایل‌های readme.txt می‌توانند اطلاعات خوبی را به هکرها برای یک حمله محاسبه شده بدهند. با فعال کردن این گزینه آن‌ها را از دسترس هکرها خارج کنید.

سربرگ Firewall

در این سربرگ تنظیمات مختلفی برای بلاک کردن درخواست‌های مخرب و مشکوک وجود دارد.

بخش Bad Headers: در این بخش ۳ گزینه مختلف وجود دارد که به ترتیب برای محافظت از وردپرس از کاربران مخرب همانند ربات‌ها، درخواست‌های غیر مجاز و ربات‌های ناشناخته برای بررسی سئو وردپرس است.

بخش Malicious URLs: با تنظیمات این بخش می‌توانید، URL های مخرب را کنترل کنید یا جلوی دستکاری آن‌ها را بگیرید. گزینه اول این بخش برای بلاک کردن URL های مخرب است که ممکن است توسط افزونه‌ها یا کاربران سایتتان ایجاد شده باشد. گزینه دوم اسکنرهای SQLi را بلاک می‌کند و گزینه سوم هم افرادی را که دنبال فایل PHP خاص یا مخربی هستند، با صفحه ۴۰۴ رو به رو می‌کند و سپس آن‌ها را بلاک می‌کند. این تنظیمات، تخصصی هستند و شاید خیلی کارامد نباشند. اما با گذشت زمان در صورت نیاز می‌توانید آن‌ها را فعال کنید.

سربرگ Anti Spam

اسپم‌ها همیشه آزاردهنده هستند. ماژول آنتی اسپم افزونه Secupress امکانات خوبی برای مقابله با اسپم‌ها برای ما فراهم می‌کند. اسپم‌ها معمولا در بخش کامنت‌ها به چشم می‌خورند. مبارزه با آن‌ها از راهکارهای امنیتی مهم برای هر سایتی به شمار می‌آید. با فعال کردن این ماژول، تنظیمات آن نمایش داده خواهد شد.

در بخش Handling Spam تعیین می کنید که اسپم‌ها برای همیشه در دیتابیس ذخیره بمانند یا پس از ۳۰ روز حذف شوند. با فعال کردن بخش Shortcode Usage، اگر کاربری در ارسال دیدگاه در متن آن از شورت کدها استفاده کند، به عنوان اسپم شناخته خواهد شد.

Improve the WordPress comments blacklist این امکان را برای شما فراهم می کند تا از بیش از ۲۰۰۰۰ کلمه  از قبل آماده شده که به عنوان اسپم شناخته می‌شوند استفاده کنید. این کلمات در زبان‌های مختلف آماده شده‌اند که می‌تواند کار شما را راحت‌تر کند.

بخش آخر Pingbacks & Trackbacks است که در صورتی که از آن‌ها استفاده‌ای ندارید، برای امنیت بیشتر می‌توانید آن‌ها را با تیک زدن گزینه مربوطه غیرفعال کنید.

سربرگ Logs

در این سربرگ ۲ بخش مهم وجود دارد که به شرح آن‌ها می‌پردازیم:

بخش Actually Banned IPs: لیستی از IP های بلاک شده را نشان می‌دهد که در صورت تمایل می‌توانید آن‌ها را در صورت نیاز از این حالت خارج کنید. همچنین می‌توانید IP جدیدی را برای مسدود شدن به لیست اضافه کنید.

بخش IPs :Whitelist IP هایی که هرگز نباید مسدود شوند در این لیست قرار می‌گیرند. همانند IP مدیران سایت. این بخش تنها زمانی کاربرد دارد که شما از IP ثابت استفاده کنید.

با فعال کردن گزینه WordPress action logs، لیستی از فعالیت های روزمره وردپرس، همانند تغییرات پسورد و پروفایل کاربران، تغییرات ایمیل و … نمایش داده می‌شود. گزینه Error Pages Log 404 لیستی از صفحه‌های ۴۰۴ که برخی افراد مکرر با آن مواجه شده‌اند را به شما نمایش می‌دهد که ممکن است برخی ربات‌های مخرب برای پیدا کردن صفحاتی خاص در سایت شما با این صفحات رو به رو شده باشند.

سربرگ Alerts

در این ماژول فقط یکی از ویژگی‌ها در نسخه رایگان فعال است. در بخش Email Notifications، ایمیل خود را وارد کنید تا خلاصه رویدادهای امنیتی سایتتان برای شما ایمیل شود. اگر می‌خواهید گزارش‌ها به چند ایمیل مختلف ارسال شود، در هر خط یکی از ایمیل‌ها را وارد کنید.

سایر ماژول‌های این افزونه در نسخه پولی و حرفه‌ای آن در دسترس است.

اسکن امنیت وردپرس با Secupress

بسیار خوب! تا اینجا با ماژول های افزونه امنیت وردپرس Secupress  آشنا شدیم. حالا می‌خواهیم از اسکنر این افزونه برای اسکن امنیت وردپرس و محافظت از وردپرس استفاده کنیم. در منوی سمت راست وردپرس، در منوی افزونه Secupress، روی گزینه Scanners کلیک کنید.

در صفحه باز شده، ۴ مرحله اسکن امنیت را مشاهده می‌کنید. روی دکمه Scan My Website کلیک کنید تا فرایند اسکن شروع شود.

همانطور که مشاهده می کنید، اسکنر این افزونه تمامی موارد امنیتی را که قبلا معرفی کردیم، بررسی می‌کند. اگر پیغام BAD یا WARNING را کنار هر مورد دریافت کردید، با رفتن به منوی Modules افزونه، مورد را رفع کنید. همچنین افزونه به شما درجه‌ای را نشان می‌دهد که نشان‌دهنده میزان امنیت سایت شماست. وقتی این درجه به A تبدیل شد، یعنی امنیت سایت شما قابل قبول است. دقت کنید بعضی هشدارهای اسکنر با ماژول‌هایی رفع می‌شوند که در نسخه رایگان در دسترس نیستند و برای حل این مشکل باید نسخه حرفه‌ای را خریداری کنید.

با کلیک کردن روی گزینه Next Step، به مرحله دوم اسکن که Auto Fix است، می روید. این مرحله در نسخه حرفه‌ای در دسترس است و خطاهای صفحه قبل را به طور خودکار رفع می‌کند. اما در نسخه رایگان شما باید به صورت دستی ماژول‌های لازم را فعال نمایید. در مرحله سوم هم می‌توانید به صورت دستی از صحت فعال بودن ماژول‌ها اطمینان حاصل کنید و در مرحله آخر، نتیجه اسکن و لینک‌های ماژول‌ها و همچنین نتیجه محافظت از وردپرس را در اختیارتان قرار می‌دهد.

نتیجه گیری

اگر محافظت از وردپرس برایتان اهمیت دارد و به دنبال یک افزونه کاربردی، با گرافیک خوب و تنظیمات راحت هستید، می توانید از افزونه امنیت وردپرس Secupress استفاده کنید. این افزونه با ماژول‌های متعددی که در اختیار شما می‌گذارد، امنیت سایتتان را به درجه خوبی می‌رساند.

نوشته محافظت از وردپرس با افزونه Secupress اولین بار در بیست اسکریپت. پدیدار شد.

[ad_2]

لینک منبع مطلب

افزونه فوق امنیتی وردپرس Security Pro نسخه ۵٫۵٫۶
[ad_1]

افزونه iThemes Security Pro جزو افزونه هایی است که جای آن در هیچ سایت قدرت گرفته از وردپرسی نباید خالی باشد. حال اگر میخواهید چند قدم از دیگر جلو تر باشید و امنیت وبسایت خود را به شکل چشمگیری افزایش دهید، بهتر است از نسخه ی حرفه ای این افزونه یعنی iThemes Security Pro استفاده کنید. افزونه iThemes Security Pro علاوه بر دارا بودن امکانات نسخه ی رایگان خود، امکانات جدید و جالبی را به شما ارائه میکند که میتوانند در امن کردن سایت وردپرسی شما به شکل چشمگیری موثر باشند. در ادامه سعی میکنیم به امکانات بخش های مختلف افزونه iThemes Security Pro اشاره کنیم. با ما همراه باشید.

محافظت در برابر حملات Brute Force

با استفاده از تنظیمات مخصوص جلوگیری از حملات بروت فورس در افزونه iThemes Security pro میتوانید حداکثر دفعات تلاش ناموفق برای ورود به وردپرس را تعیین کنید. به این شک اگر کسی بخواهد با حدس زدن رمز به وردپرس لاگین کند، پس از رسیدن به حداکثر مجاز دفعات تلاش برای ورود، به صورت اتوماتیک بن شده و از دسترسی او به سایت جلوگیری خواهد شد.

تشخیص تغییر فایل ها

اگر کسی بتواند به نحوی به سایت شما نفوذ کند، یکی از اولین کارهاش تزریق کد مخرب به فایل های وردپرس شما خواهد بود. با ویژگی File change Detection در افزونه iThemes Security Pro میتوانید از طریق دریافت هشدار های ایمیلی از این مسئله آگاه شوید و در صورتی که وبسایت شما هک شده باشد، به سرعت اقدامات لازم را انجام دهید.

تشخیص خطای ۴۰۴

اگر یک ربات به دنبال تشخیص نقاط آسیب پذیر، وبسایت شما را اسکن کند، بدون شک به تعداد زیادی خطای ۴۰۴ برخورد خواهد کرد. با استفاده از ویژگی ۴۰۴ Detection شما میتوانید کاری کنید که در صورتی که شخصی در بازه ی زمانی مشخص، تعداد زیادی خطای ۴۰۴ دریافت کند، آدرس IP او به صورت اتوماتیک بن شده و از دسترسی او به سیستم جلوگیری شود.

اجبار استفاده از رمز قوی

یکی از موارد پایه ای که میتواند منجر به امن تر شدن سایت شما شود، استفاده از رمز های مناسب است. با استفاده از این ویژگی شما میتوانید کاربران سایت خود را مجبور به استفاده از رمز های قوی و مناسب کنید.

جلوگیری از دسترسی کاربران مشکوک

با استفاده از این ویژگی میتوانید با بن کردن آی پی افراد خرابکار، از دسترسی آنها به سیستم جلوگیری کند. افزونه iThemes Security Pro میتواند در صورتی که کاربری سعی در حدس زدن رمز برای ورود به سایت داشته باشد و یا دفعات خاصی با خطای ۴۰۴ مواجه شده باشد، به طور اتوماتیک از دسترسی او به سیستم جلوگیری کند. این افزونه همچنین به blacklist ربات ها نیز مجهز است و از این طریق میتواند جلوی دسترسی بات هایی که از قبل به عنوان خرابکار شناخته شده اند را بگیرد.

امکان قرارگیری در حالت Away Mode

اگر قرار است مدتی به ناحیه مدیریت وردپرس خود سر نزنید، با این ویژگی میتوانید امکان دسترسی به مدیریت وردپرس را برای ساعاتی خاص غیر فعال کنید تا شخص دیگری قادر به ورود به سیستم نباشد. مثلا اگر قصد دارید چند روزی به مسافرت بروید، این امکان میتواند گزینه ی مناسبی برای شما باشد.

تغییر آدرس مدیریت وردپرس

تغییر آدرس ورود به مدیریت وردپرس یکی از موارد امنیتی بسیار مهم است. وقتی آدرس ورود به ادمین وردپرس را تغییر میدهید، حدس زدن آن برای افراد خرابکار دشوار بوده و باعث میشود کسی نتواند با استفاده از اتک بروت فورس، رمز شما را پیدا کرده و وارد ناحیه مدیریت شود. چرا که شخص خرابکار در این حالت نمیداند از چه آدرسی میتواند به ناحیه مدیریت وردپرس دسترسی پیدا کند.

ایجاد بکاپ از دیتابیس

داشتن بکاپ های منظم از دیتابیس، همیشه باعث آسودگی خاطر است. اگر مرتبا از دیتابیس خود نسخه پشتیبان تهیه کنید، میتوانید مطمئن باشید که در صورت بروز مشکل، اطلاعات شما امن و قابل بازگردانی هستند. با استفاده از این امکان شما میتوانید بکاپ های دلخواه خود را تنظیم کرده و علاوه بر ذخیره ی آنها بر روی هاست، آنها را به صورت پیوست شده به ایمیل نیز دریافت کنید. برای ایجاد بکاپ های منظم، استفاده از افزونه BackupBuddy هم انتخاب بسیار مناسبی به شمار میرود.

ارسال هشدار های ایمیلی

هرگاه کسی بخاطر داشتن تعداد خاصی لاگین ناموفق به سیستم، بن شود و یا هرگاه فایلی در سایت شما تغییر کند، افزونه iThemes Security شما را از طریق ایمیل از این مسئله آگاه خواهد کرد.

تغییر کلید های امنیتی وردپرس

با استفاده از افزونه iThemes Security Pro میتوانید به سادگی کلید های امنیتی (salt) وردپرس را آپدیت کرده و از این طریق رده ی امنیت سایت خود را بالاتر ببرید.

مقایسه ی فایل ها به صورت آنلاین

قبلا هم اشاره کردیم که این افزونه به قابلیت تشخیص تغییر فایل ها مجهز است. اما امکانی که جدیدا به افزونه اضافه شده به iThemes Security Pro اجازه میدهد که فایل های هسته ی وردپرس را با فایل های موجود در wordpress.org مقایسه کند تا از این طریق مطمئن شود که تغییرات صورت گرفته در این فایلها مخرب نبوده و فایلهای هسته ی سایت شما با فایل های هسته ی رسمی وردپرس منطبق هستند.

بهره گیری از سرویس reCAPTCHA گوگل

با بهره گیری از این امکان میتوانید به بخش های مثل صفحه ورود وردپرس، ثبت نام کاربران و درج دیدگاه ها در وردپرس، امکان استفاهد از سرویس ریکپچای گوگل را اضافه نمایید. به این ترتیب از سوء استفاده ربات ها از این بخش ها جلوگیری به عمل خواهید آورد.

استفاده از لاگین دو مرحله ای Two Factor Authentication

لاگین دو مرحله ای یا Two Factor Authentication امکان بسیار مهم و جالبی است. با استفاده از این امکان لایه ی امنیتی جدیدی به سایت شما افزوده میشود. در صورت استفاده از Two Factor Authentication در زمان ورود به وردپرس لازم است که علاوه بر رمز عبور خود، کدی که بر روی موبایل خود دریافت میکنید را نیز به سیستم ارائه کنید. در این حالت حتی اگر کسی رمز شما را حدس هم بزند، به این جهت که نمیتواند کد امنیتی دوم را وارد سیستم کند، از ورود وی به وردپرس جلوگیری به عمل خواهد آمد.

بررسی امنیت کاربران در وردپرس

افراد سودجو و خرابکار، همیشه از طریق اکانت مدیر اصلی وارد وردپرس نمیشوند. داشتن یک حساب کاربری ناامن در وردپرس میتواند درهای وبسایت شما را به روی انواع خطرهای امنیتی باز کند. با استفاده از امکان بررسی امنیت کاربران در افزونه iThemes security pro شما میتوانید اکانت های کاربران را به دنبال نقاط نا امن بررسی کرده و از امنیت آنها اطمینان حاصل کنید.

این امکان میتواند به شما اعلام کند که کدام کاربران ورود دو مرحله ای را بر روی اکانت خود فعال نکرده اند و هر کاربر آخرین بار چه زمانی فعال بوده است. شما میتوانید به صورت آنی افرادی که وارد سیستم شده اند را مشاهده کرده و در صورت نیاز آنها را بلافاصله از سیستم بیرون بیاندازید تا مجبور شوند دوباره وارد سیستم شوند. شما میتوانید نقش کاربران را به صورت آنی تغییر دهید و اکانت هایی که بی کاربرد هستند یا در مدتی طولانی مورد استفاده قرار نگرفته اند را از سیستم حذف کنید.

اسکن سایت به دنبال بدافزار ها – Malware Scanning

افزونه iThemes Security Pro برای اسکن سایت از Sucuri SiteCheck استفاده میکند. شما میتوانید با این ابزار سایت خود را اسکن کنید و در صورتی که سایت شما به علت وجود Malware در بلک لیست قرار گرفته باشد، بلافاصله از این مسئله اطلاع پیدا کنید. این ابزار همچنین میتواند خطاهای احتمالی و آپدیت نبودن نرم افزار سایت را نیز به شما اعلام کند. همچنین در صورت نیاز امکان زمانبندی اسکن های روزانه نیز برای شما فراهم شده. در این حالت در صورت مشاهده مشکل، iThemes Security Pro میتواند شما را از طریق ارسال ایمیل از این امر باخبر کند.

در بالا به توضیح برخی امکانات اصلی افزونه iThemes Security Pro پرداختیم. اما امکانات این افزونه به همینجا ختم نمیشود. لیستی از امکانات کلی این افزونه به همراه امکانات اضافی آن نسبت به نسخه رایگان، برای شما درج شده.

امکانات افزونه امنیتی iThemes Security Pro :

ویژگی هایی که در زیر درج شده هم در نسخه ی رایگان و هم در نسخه ی حرفه ای افزونه موجودند.

• بررسی امنیت سایت تنها با یک کلیک
• بن کردن کاربران مخرب
• بن کردن IP ها یا agent های خاص و جلوگیری از دسترسی آنها به سایت
• تشخیص خطای ۴۰۴
• مخفی کردن آدرس ورود به ناحیه مدیریت وردپرس
• تغییر کلید های امنیتی وردپرس
• حالت Away
• ایجاد بکاپ از دیتابیس
• تشخیص تغییر فایل ها
• حذف اطلاعات سربرگ Windows Live Writer
• حذف اطلاعات سربرگ RSD
• حذف هشدار آپدیت از نقش های کاربری خاص در وردپرس
• غیر فعال کردن خطاهای ورود
• تغییر نام کاربری admin
• تغییر ID کاربری که دارای شناسه ۱ باشد
• تغییر پیشوند جداول وردپرس
• تغییر مسیر wp-content
• الزام استفاده از SSL برای نوشته ها، برگه ها و ناحیه مدیریت وردپرس
• غیر فعال کردن امکان ویرایش فایل در ناحیه مدیریت وردپرس
• کاهش کامنت های اسپم
• جلوگیری از حملات بروت فورس
• جلوگیری از حمله بروت فروس بر روی فایل XML-RPC
• لاگ های امنیتی
• ارسال ایمیل های نوتفیکیشن
• پیام قفل شدن دسترسی قابل سفارشی سازی
• الزام استفاده از رمز های دشوار
• بررسی سطح دسترسی فایل ها
• اسکن بدافزار

امکانات انحصاری افزونه iThemes Security Pro

امکاناتی که در زیر درج شده تنها در این نسخه یعنی نسخه ی حرفه ای افزونه (iThemes Security Pro) موجود هستند.

• ابزارک داشبورد وردپرس
• یکپارچه سازی با گوگل ریکپچا
• سیستم لاگین دو مرحله ای یا Two Factor Authentication
• امکان برون ریزی و درون ریزی تنظمیات
• امکان بررسی صحت فایل های هسته ی وردپرس به صورت آنلاین
• امکان زمانبندی اسکن Malware
• ثبت لاگ عملیات کاربران
• تغییر موقت نقش کاربر در بازه زمانی خاص
• یکپارچه سازی با WP-CLI
• پسورد های دارای تاریخ انقضا
• بررسی امنیت کاربران
• و..

نوشته افزونه فوق امنیتی وردپرس Security Pro نسخه ۵٫۵٫۶ اولین بار در دلکد – دانلود اسکریپت. پدیدار شد.

[ad_2]

لینک منبع مطلب