وردپرس

امروزه روز  وردپرس یکی از مهمترین گزینه ها برای برپا کردن یک وبلاگ هست همین مهم بودن و گسترش باعث

شده هکرها ، اسپمرها به دنبال ضعف های این سیستم بگردن تا یا هک کنن و یا اسپم ارسال کنن خصوصآ من در مورد

حالتی میگم که این سیستم بلاگ نویسی بر روی هاست (هوست) شخصی نصب بشه ، در این چند ماهه اخیر هم

همین وبلاگ مورد هجوم انواع حملات از قبیل ارسال اسپم های حجیم تا تلاش برای دستیابی به صفحه مدیریت

به خودش دیده که البته حضرت والا هم بی کار نبوده و دست به شمشیر در حال مقابله با این افراد که به زمین

گرم بخورن بوده اما در ادامه راهکاری نیمه تخصصی ارائه میشه برای دوستان تا وردپرس هاشون رو امن تر

کنن چون که این سیستم کدباز (open-source) هست و هکرها هم راحت تر می تونن به ضعف ها پی ببرن

پس پیش به سوی امن تر کردن وردپرس …

1 – پوشه wp-admin رو امنش می کنیم :

مهم ترین پوشه و در اصل قلب وردپرس شما و لقمه چرب و نرمی برای هکرها همین پوشه هست . بهتر هست

فقط شما به این پوشه دسترسی داشته باشید پس کاری می کنیم که آی پی (IP) شما به این پوشه دسترسی داشته

باشه و بقیه نتونن برای این کار مراحل زیر رو طی می کنیم :

1-1 : به پوشه wp-admin میریم .

1-2 : یک فایل خالی با با نام htaccess.  ایجاد کنید.

1-3 : دستوارت زیر را در فایل کپی کنید :

order deny, allow
allow from 123.456.78
deny from all

اما شما باید به جای عدد قرمز آی پی خودتون رو بنویسید نمی دونید IP خودتون چند هست ، کاری نداره

این لینک رو باز کنید خودش براتون می نویسه که IP شما چنده !

تمام شد دیگه از این به بعد صفحه ادمین فقط با IP شما باز خواهد شد.

2 – نسخه (ورژن) وردپرس رو مخفی کنید :

ممکنه شما همواره وردپرس خودتون رو بروز نکنید و از نسخه های جدیدتر استفاده نکنید این یعنی اینکه هکرها

اگه بفهمن نسخه وردپرس شما چند هست بر حسب نقاط ضعفی که از اون نسخه پیدا کردن می تونن به شما حمله

کنن و جالب تر اینکه وردپرس در اقدامی انتحاری نسخه خودش رو در یک تگ META اعلام میکنه ! پس

ما بهتره این بخش رو حذف کنیم برای این کار به فایل پوسته وردپرس خودتون برید و فایل header.php

رو باز کنید و این تکه کد رو (اگه وجود داره) پاک کنید :

<meta name=”generator” content=”WordPress <?php bloginfo(‘version’); ?>” />

3 – از دیتابیس خودتون بک آپ بگیرید

حتمآ و حتمآ این کار رو خودتون انجام بدید درسته که شرکت های تامین کننده هاست (هوست) شما باید بک آپ

روزانه بگیرن ولی کار از محکم کاری عیب نمی کنه این بک آپ رو در قالب فایل های sql. بگیرید و در جای

مطمئن ذخیره کنید.

4 – وردپرس خودتون رو به روز کنید

نسخه های جدیدتر وردپرس امن تر و با امکانات بیشتری هستن سعی کنید بلادرنگ به نسخه های جدید مهاجرت

کنید تا خطر کمتری شما رو تهدید کنه معمولآ چنین کاری کمتر از ده دقیقه وقت نیاز داره پس پشت گوش نندازید !

5 – این فایل رو بزار توی گاو صندوق

فایل wp-config.php یکی از مهم ترین فایل های وردپرس هست از تنظیمات گرفته تا نام کاربری و کلمه عبور

دیتابیس در این فایل هست و خب کیک خوشمزه ای برای هکرها محسوب میشه بهترین نزاریم هیچ کسی بهش

دسترسی داشته باشه و از دید همه مخفی بکنیم این فایل رو برای این کار از کد زیر استفاده کنید :

<files wp-config.php>

Order deny,allow
deny from all

</files>

پیوست : تکه کدهای بالا و روش های گفته شده برای افرادی که وب سرور Apache دارند کار خواهد کرد البته

روش های جایگزینی هم برای دیگر وب سرورها هست ولی در کل اگر هاست شما لینوکس هست این روش ها

موثر هستند.


   میلی دالتون در تاریخ ۲۵ام تیر ۱۳۸۸ گفته:

آره واقعاً بدرد میخوره


   عشق ماشین در تاریخ ۲۵ام تیر ۱۳۸۸ گفته:

سلاااام
شرمنده ها ممکنه سوالم خیلی سوتی باشه. لطفا اگه سوتی بود نام و مشخصاتمو پاک کنید plz!!!!
ما که هر دفعه به اینترنت وصل می شیم ISP به ما یه آپ جدید نمی ده مگه؟؟؟؟
اگه با آی پی جدید بخایم کار کنیم که نمی شه!!!


   ندا.ح در تاریخ ۲۵ام تیر ۱۳۸۸ گفته:

برای مامبو هم میشه این کار رو کرد ؟ اونم داره فایل htaccess. رو ..


   حضرت والا مامبو جامبو در تاریخ ۲۵ام تیر ۱۳۸۸ گفته:

به عشق ماشین : نه اتفاقآ دقیقآ سوالتون درست هست ، در حالتی که فردی با دایل آپ به اینترنت متصل میشه
در هر بار وصل شدن یک IP جدید دریافت می کنه . روش گفته شده در شماره یک این مطلب تنها برای کسانی که
از ADSL استفاده می کنن جوابگو خواهد بود.ممنون از شما که این مطلب رو گفتید تا یک بار برای دوستان ایجاد
مشکل نکنه .


   حضرت والا مامبو جامبو در تاریخ ۲۵ام تیر ۱۳۸۸ گفته:

به ندا.ح : دقیقـآ برای مامبو هم میشه چون همونطور که می دونید فایل htaccess متعلق به آپاچی سرور
میشه و کلـآ هر سیستمی که از آپاچی استفاده می کنه این روش ها براش صادق هست حتی اگه کسی
به شکل دستی و به شکل سفارشی شده خودش با PHP برنامه ای رو تولید کرده.


   میلی دالتون در تاریخ ۲۵ام تیر ۱۳۸۸ گفته:

خوب نبود از ما هم یه شکر کنین که اولین نظر رو دادیم؟ راستی جریان آواتر هم خیلی باحال بود


   حضرت والا مامبو جامبو در تاریخ ۲۵ام تیر ۱۳۸۸ گفته:

به میلی دالتون : ما از شما هم تشکر می کنیم ، چقدر شما حضرت والا رو اذیت می کنی ! جریان آواتر که
جالب هست و جالب تر این آواتر ” قورباغه دیوانه ” شما هست ، قشنگه و روحیه بخش . موفق باشی .


   ایمان در تاریخ ۲۶ام تیر ۱۳۸۸ گفته:

حضرت والا قرار نشد توی کار من دخالت کنی ها! :)
(مطلب بالا شوخیی بیش نبود :) )
چندتا نکته هم اضافه بشه بد نیست.
الان داره مد می شه ملت به قول شما به زمین گرم خورده هکر به جای این که برند سایت را هک کنند می یاند و با استفاده از یک تروجانی،کوفتی(!)زهرماری(!)به کامپیوتر صاحب اصلی سایت رخنه می کنند.
پس دوستان عزیز هواسشون باشه که این روش به مراتب بی درد و خونریزی تر هست
هیچ کدوم از این روش ها(البته جز اولی)هم کار ساز نیست چون شما رمز عبورتون را در اختیار طرف مقابل قرار دادید
یه چیز دیگه هم هست
توی شهرستان ها یه طریقه adsl دهی راه افتاده که خودشون اسمش را گذاشتند multiuser که در اون هم آی پی شما تغییر می کنه و بدین ترتیب روش اول منسوخ می شه
برای تست این که آیا ای پی شما استاتیک هست یا دینامیک(می تونید از روش اول استفاده کنید یا نه) کافیه چند بار اینترنت را قطع کنید و دوباره وصل بشید و هر بار برید توی اون سایته که حضرت والا دادند!اگه هر بار آی پی فرق کرد نمی تونید استفاده کنید 😉
این را هم اضافه کنم کسایی که از سیستم های مدیریت محتوای دیگه استفاده می کنند اگه آدرس کنترل پنلشون را عوض کنند خیلی خیلی مؤثر خواهد بود
و………… که دیگه در قالب یک کامنت نمی شه گفتشون
========================
اما از این ها بگذریم:
حضرت والا اگه خدایی نکرده توی نبرد با این زمین گرم خورده ها شمشیرت شکست بگو ما اینجا شمشیر و تیرکمان زیاد داریم ها!
میایم کمکت =))
خدا نخواد اون روزی که این زمین گرم خورده ها بر حضرت والا پیروز بشند و به مرز های کشور(بخوانید : وبلاگ :) )ایشان دست درازی کنند!
آمیییییییییییییییییییییین



   حضرت والا مامبو جامبو در تاریخ ۲۶ام تیر ۱۳۸۸ گفته:

به Milad : تشکر برای لینک های که به این مطلب اضافه کردی و مطمئنآ همه ازش استفاده خواهند کرد .


   حضرت والا مامبو جامبو در تاریخ ۲۶ام تیر ۱۳۸۸ گفته:

به ایمان : ممنون بابت وقتی که گذاشتی و تجربه های خودن رو در اختیار دیگران گذاشتی در باره موضوع
ADSL هم درسته اکثر اوقات یک پولی هم می گیرن برای آی پی اختصاصی ولی تا جای که من چک کردم
اینجوری نیست که هر بار IP در همین حالت هم تغییر کنه بلکه چند نفر یک آی پی دارن که باز جمع محدودتری
هست.درباره اینکه اگه من شمشیرم شکست و اینا اصلآ نگران نباش در اون صورت از فنون رزمی استفاده
می کنم و بهشون یه آبجوکی می زنم که ناف شون بیاد وسط دو تا ابروهاشون :) . چاکریم چاکریم .


   میلی دالتون در تاریخ ۲۶ام تیر ۱۳۸۸ گفته:

بابا ایولا کمربند مشکی دان 8 تکواندو ((((استاد مامبو جامبو))))))


   میلی دالتون در تاریخ ۲۶ام تیر ۱۳۸۸ گفته:

با یه موم دولیا هم کارش تمومه


   حضرت والا مامبو جامبو در تاریخ ۲۶ام تیر ۱۳۸۸ گفته:

به میلی دالتون : این آبجوکی و موم دولیا مال این چینی مینی هاست ما خودمون یه فن قدیمی داریم
به نام ” کف گرگی ” و ” پنجه آتشین ” یکی دو تا از این ها میزنیم اگه به دیار باقی نرن دست کم
شش ماه گوشه خونه بستری میشن :) . تازه این چیزی نیست که ، نهایتش بخوایم فنون خارجی بزنیم
تکنیک ” قد قد ” بروسلی روشون اجرا می کنیم بیا وببین.


   میلی دالتون در تاریخ ۲۶ام تیر ۱۳۸۸ گفته:

آفرین فقط من تکنیک قدقد نمیدونم چی؟؟


   نيلوفر زاهدي i در تاریخ ۲۸ام تیر ۱۳۸۸ گفته:

با سلام معمولا جوجو ها قدقد ميكنن همين مث خروس همسايه ما كه ساعت 10 قوقولي ميكنه…..


   mam در تاریخ ۲۸ام تیر ۱۳۸۸ گفته:

به وب من بیا چون یک پیشنهاد خوب برات دارم
مطلب توش رو حتماً بخون


   بابک در تاریخ ۲۹ام تیر ۱۳۸۸ گفته:

ممنون رفیق. اتفاقآ من هم یه پست مشابه منتشر کرده ام.
http://zangoole.com/1387/10/30/15steps-to-maximum-wordpress-security/


   حضرت والا مامبو جامبو در تاریخ ۲۹ام تیر ۱۳۸۸ گفته:

به بابک : پست کامل و جامعی بود ، توصیه می کنم دوستان لینک مربوط به بابک خان رو حتمآ
مطالعه کنید.





  • امکانات
  • ایمیل خود را وارد کنید

    * با وارد کردن ایمیل خود مطالب جدید برای شما ایمیل می‌شود