آموزش اسکریپت و وردپرس

بایگانی‌های امنیت وردپرس - فرساد گشت

امام حسین (ع) : بخشنده ترین مردم کسی است که در هنگام قدرت می بخشد.
سه شنبه ۳۱ اردیبهشت ۱۳۹۸

حذف منوی ویرایشگر از پیشخوان وردپرس

دسته بندی : مقالات آموزشی تاریخ : جمعه ۶ اردیبهشت ۱۳۹۸


با سلام خدمت دوستان عزیز وردپرسی!

یکی از بخش‌های مهم وردپرس که باید از آن محافظت کرد بخش ویرایشگر وردپرس می‌باشد که با استفاده از ان می‌توان به کدهای قالب و افزونه‌های سایت از پیشخوان دسترسی داشت. در نگاه اول شاید این بخش برای شما مناسب باشد، اما کاربرانی که دارای نقش کاربری مدیرکل می‌باشند و یا اینکه به هر دلیلی به این بخش بتوانند دسترسی داشته باشند می‌توانند کارهای خراب کارانه بر روی آن انجام دهند.

در این آموزش از ایکس اسکریپت قصد دارم تا به معرفی قطعه کدی بپردازم که با استفاده از آن قادر خواهید بود تا منوی ویرایشگر را از بخش نمایش و افزونه‌ها حذف کنید تا امکان دسترسی و دستکاری کدهای قالب و افزونه‌های سایت در پیشخوان وردپرس امکان پذیر نباشد.

حذف منوی ویرایشگر از پیشخوان وردپرس

حذف منوی ویرایشگر

حذف منوی ویرایشگر از پیشخوان وردپرس

برای شروع کار ابتدا وارد ویرایشگر قالب خود شده و کدهای زیر را در مکان مناسبی از فایل فانکشن قالب خود قرار دهید.

function remove_editor_menu() 
remove_action(‘admin_menu’, ‘_add_themes_utility_last’, ۱۰۱);

add_action(‘_admin_menu’, ‘remove_editor_menu’, ۱);

دقت داشته باشید تا قبل از هرگونه ایجاد تغییر در فایل فانکشن خود یک نسخه کپی از ان داشته باشید تا در صورت بروز خطا بتوانید مشکل را سریعا برطرف کنید.

حال به قسمت پیشخوان وردپرس خود که مراجعه کنید خواهید دید که منوی ویرایش قالب و یا افزونه از ان حذف شده است.

شاد باشید…

The post حذف منوی ویرایشگر از پیشخوان وردپرس در سایت فراگشت برای شما عزیزان آماده شده است.

محدود کردن دسترسی به وردپرس از طریق ip

دسته بندی : مقالات آموزشی تاریخ : دوشنبه ۲ اردیبهشت ۱۳۹۸


محدود کردن دسترسی به وردپرس از طریق ip یکی از بهترین راهکارهای افزایش امنیت در وردپرس می‌باشد که با استفاده از آن قادر خواهید بود تا امکان دسترسی به وردپرس را صرفا برای یک رنج آی‌پی خاص و یا چند آی‌پی محدود نمایید. با استفاده از محدود کردن دسترسی به وردپرس با آی‌پی قادر خواهید بود تا برای آی‌پی مورد نظر دسترسی را قرار داده و برای سایر آی‌پی ها دسترسی را بلاک کنید.

در این مقاله از ایکس اسکریپت قصد دارم تا به معرفی قطعه کدی بپردازم که با استفاده از آن قادر به ایجاد محدودیت در دسترسی به سایت از طریق آی پی کاربر خواهید بود، به این روش می‌توانید از حملات brute force تا حد قابل قبولی جلوگیری کنید.افزایش امنیت وردپرس

حملات Brute Force چیست؟!

این نوع حملات یکی از روش های معمول هکران برای ورود در سایت می‌باشد که عمدتا توسط نرم‌افزارهایی صورت گرفته و در آن بر اساس حدس و گمان رمز‌های متعددی وارد می‌شود تا در نهایت به رمز صحیح برسند. هرچه رمز طولانی‌تر و متشکل از اعداد، حروف و کاراکترهای خاص باشد این زمان برای حدس زدن رمز و حتی میزان موفقیت بهبود خواهد یافت.

محدود کردن دسترسی به وردپرس از طریق ip

 

برای محدود کردن دسترسی به وردپرس از طریق آی پی ابتدا در مرورگر خود عبارت ip را وارد کنید تا در اولین نتیجه آی پی خود را مشاده کنید. پس از اینکه آی پی خود را پیدا کردید آن را کپی کرده و وارد هاست خود شده و به صورت زیر آن را در خط نهایی به جای آی پی وارد شده در فایل htaccess. قرار دهید.

Order deny,allow
Deny from all
Allow from ۹۵.۲۸۸.۴۹.۳۵

حال همانطور که در ابتدای خط مشاهده می‌کنید به این معنی است که امکان دسترسی مجاز و غیر مجاز فراهم باشد، سپس در خط دوم کلیه آی‌پی های موجود برای دسترسی به وردپرس بررسی شده و در نهایت آی پی که در خط سوم را وارد کرده‌اید را بررسی و امکان دسترسی را صرفا به این آی پی خواهد داد.

اما از آنجایی که ممکن است آی پی شما در دو حالت ایستا و پویا باشد با تغییر آی‌پی ممکن است تا دسترسی از شما سلب شود، برای این منظور اگر آی پی شما پویا بوده و مدام در حال تغییر است لازم است تا بخشی از آی پی مشترک خود را به صورت زیر قرار دهید.

Order deny,allow
Deny from all
Allow from ۹۵.۲۸۸

حال در این صورت آی پی مشترک شما شناسایی شده و امکان دسترسی برای چنین آی پی مجاز خواهد بود و برای آی پی های غیر مجاز صفحه forbidden به کاربر نمایش داده خواهد شد.

The post محدود کردن دسترسی به وردپرس از طریق ip در سایت فراگشت برای شما عزیزان آماده شده است.

افزایش امنیت وردپرس در ۱۳ مرحله

دسته بندی : مقالات آموزشی تاریخ : یکشنبه ۱ اردیبهشت ۱۳۹۸


افزایش امنیت وردپرس مهم‌ترین و اصلی‌ترین دغدغه برای هر وبمستر می‌باشد و اگر به درستی رعایت نشود باعث خدمات جبران ناپذیر و خسارت زیادی به وبسایت شده و هکران قادر خواهند بود تا از سایت شما سواستفاده کنند. این سوال همواره برای کاربران و وبمستران وردپرسی وجود دارد که چگونه میزان افزایش امنیت وردپرس را بیشتر و بیشتر کنیم؟!

در این مقاله از ایکس اسکریپت قصد دارم به بررسی مواردی برای افزایش امنیت وردپرس بپردازم که در آن به ذکر ۱۳ مورد از راهکارهای مهم در امنیت وردپرس اشاره خواهم کرد.

افزایش امنیت وردپرس

افزایش امنیت وردپرس در ۱۳ مرحله

مسئله امنیت صرفا به وردپرس محدود نبوده و حتی اگر از CMSهای رایگان و حتی اختصاصی برای مدیریت وبسایت خود استفاده می‌کنید همواره باید در جهت افزایش امنیت آن بهترین راهکارهای پیش‌رو را در دست گرفته و از آنها استفاده کنید.

برخی بر این باورند که با استفاده از نرم‌افزارهای مدیریت محتوای وب همچون وردپرس دیگر لزومی ندارد تا بر روی امنیت آن فکر کنند و به دلیل همین تفکر اشتباه در کمال ناباوری می‌بینیم که روزانه وبسایت‌های وردپرسی به هر طریق مورد حمله و هک قرار می‌گیرند. البته این به این معنی نسیت که امنیت وردپرس مناسب نباشد.

۱- انتخاب هاستینگ معتبر

مهمترین مسئله برای امنیت وردپرس این است که یک میزبان مطمئن برای خود انتخاب کنید که دارای اعتبار و سابقه درخشانی بوده و علاوه بر کیفیت خدماتی که ارائه می‌دهد سرور خود را به خوبی کانفیگ کرده و از تمامی موارد موجود برای ارتقا امنیت وبسایت شما استفاده کرده باشد. پیشنهاد ما به شما این است که از هاست مخصوص وردپرس استفاده نمایید.

متاسفانه کاربرانی هستند که صرفا از دید اقتصادی اقدام به خرید هاست کرده و به دلیل انتخاب هاستینگ‌های نامعتبر سایت خود را به همراه کلیه اطلاعات با ماه‌ها تلاش و علاقه‌ای که برای مدیریت سایت خود به خرج داده‌اند را یک شبه به باد فنا می‌دهند.

۲- بررسی و انتخاب صحیح افزونه‌های وردپرس

همواره و بارها و بارها در مقالات مختلف و سایت‌های گوناگون گفته شده است که هیچ‌گاه افزونه‌هایی را که به آنها اعتمادی ندارید را نصب نکرده و از آن استفاده نکنید.

همیشه باید سعی کنید افزونه‌هایی که استفاده می‌کنید در مخزن وردپرس به ثبت رسیده باشند و از استفاده افزونه‌هایی که سایت‌های مختلف به جای لینک دادن به صفحه مخرن وردپرس آن را در سایت خود آپلود کرده‌اند دوری کنید.

۳- امنیت پوسته‌های وردپرس را بررسی کنید

متاسفانه پوسته‌های رایگان وردپرس که در سایت‌های دیگر معرفی و استفاده می‌شوند دارای کدهای مخربی هستند بنابراین اگر قصد دارید تا از پوسته‌ای استفاده کنید سعی کنید آن را خریداری کنید. و اگر هم توان خرید یک پوسته را ندارید پوسته‌های رایگان را از هرجایی دانلود و نصب نکنید.

مخزن وردپرس یکی از بهترین مکانهای موجود برای استفاده از پوسته‌های وردپرس است که می‌توانید یکی از آنها را انتخاب کرده و در صورتی که فارسی سازی نشده‌اند با کمی وقت آن را فارسی سازی کنید.

۴- همواره از آخرین نسخه وردپرس استفاده کنید

از زمان اولین انتشار وردپرس این سیستم مدیریت محتوا مدام در حال به‌روزرسانی بوده و توسعه‌دهندگان آن هر بار مشکلات امنیتی را برطرف کرده و با کشف حفره‌های امنیتی هسته وردپرس و حتی افزونه‌ها امنیت آن را بیشتر و بیشتر می‌کنند.

از ابتدای انتشار وردپرس نیز همواره مشکلات امنیتی ریز و درشتی برطرف شده‌اند که در صورت کشف آن توسط هکرها مطمئنا سایت‌های بسیاری ممکن بود تا هک شوند.

۵- استفاده از رمز عبور قوی

طبق بررسی‌های انجام گرفته برای کرک کردن و هک رمز در هر جایی میانگین کاربرانی که صرفا از رمزهایی با حروف کوچک استفاده کرده و ارقام آنها ۶ رقم بوده است به طور میانگین در مدت زمان ۱۰ دقیقه شناسایی شده است.

بنابراین رمز که شما استفاده می‌کنید باید شامل اعداد، حروف بزرگ و کوچک، کاراکترها و سیمبل‌ها و حتی کاراکتر فاصله باشد تا به راحتی شناسایی نشود.

۶- رمز خود را مرتبا عوض کنید

هر رمزی قابل شناسایی خواهد بود فقط کافی است تا بهترین روش برای شناسایی آن را پیدا کرده و زمان مناسب را برای پیدا کردن رمز گذاشت. بنابراین حتی اگر از رمز طولانی با انواع کاراکترهای موجود استفاده کنید لازم است تا در بازه‌های زمانی مختلفی رمز عبور خود را تغییر دهید.

به صورت میانگین پیشنهاد می‌شود تا در هر بازه زمانی مشخصی به صورت مرتب رمز خود را عوض کنید تا امکان هک سایت وجود نداشته باشد.

۷- از نقش کاربری صحیح استفاده کنید

متاسفانه بسیاری از کاربران هستند که نقش کاربری مناسبی را انتخاب نمی‌کنند. اگر کاربری وظیفه دارد تا صرفا برای شما اقدام به ارسال نوشته کند و از طرفی برای انتشار مطالب نیز لازم به تایید آنها باشد نیازی به داشتن دسترسی با نویسنده نیست و شما می‌تواند نقش کاربری وی را بر روی مشارکت‌کننده انتخاب کند.

در مقابل نیز کاربرانی هستند که برای رفع مشکلات سایت رمز و اطلاعات اکانت مدیریت خود را در اختیار سایرین قرار می‌دهند. اگر قصد دارید تا دسترسی به بخشی را به کاربران بدهید حتما از مقاله تغییر سطح دسترسی در وردپرس استفاده کنید.

۸- از یک متخصص استفاده کنید

وردپرس نیز مانند هر سیستم مدیریت محتوایی برای مدیریت نیازمند دانش‌های فنی در زمینه برنامه نویسی می‌باشد که هر کسی در این زمینه دارای دانش کافی نمی‌باشد.

بنابراین اگر در زمینه کدنویسی وردپرس دانش کافی را ندارید سایت خود را در بازه‌های زمانی مشخصی به یک متخصص بسپارید تا کلیه موارد امنیتی آن را مورد بررسی قرار داده و آنها را رفع کند.

۹- از سیستم خود مطمئن شوید

هکران همیشه لازم نیست تا با استفاده از حملات پی در پی سایت شما را مورد حمله قرار دهند. بلکه آنها می‌توانند به راحتی با استفاده از یک ویروس ساده اطلاعات شما را به دست بیاورند.

علاوه بر آن سیستم کامپیوتری و دستگاه‌های مختلفی که از آن استفاده می‌کنید می‌باشد که باید دارای امنیت کافی باشد، در بروزرسانی اخیر وردپرس قابلیتی به آن اضافه شده است که در صفحه ویرایش شناسنامه قادر خواهید بود تا با کلیک بر روی یک دکمه در صورتی که از سیستم‌های دیگر وارد سایت شده و در حال لاگین باقی هستید از انها خارج شوید.

۱۰- تغییر پیشوند پایگاه داده وردپرس

راه اندازی یک وب سایت وردپرسی کار راحتی است، اما این راحتی می تواند موجب سقوط هم شود. به هنگام راه اندازی وردپرس یکی از اطلاعاتی که پرسیده می شود، پیشوند برای جدول های پایگاه داده است که البته لزومی ندارد که خودتان آن را ویرایش کنید، چراکه وردپرس آن را به صورت پیشفرض خودش تکمیل می کند.

خیلی‌ها این مرحله را نادیده گرفته و از همان پیشوند پیشفرض اقدام به نصب وردپرس می‌کنند که کار شناسایی جدول‌های پایگاه داده را برای هکر آسان می‌کند. تغییر پیشوند البته جلوی هکر را نخواهد گرفت اما جلوی حمله‌های نرم‌افزاری را می‌تواند بگیرد.

پس بهتر است که پیشوندی به جزء مقدار پیشفرض را استفاده کنید.

۱۱- استفاده از گواهینامه SSL

اگر در سایت خود داده‌هایی را از کاربران دریافت می‌کنید و در مقابل نیز داده‌هایی را برای آنها ارسال می‌کنید، حتما گواهی SSL تهیه کنید.

با تهیه SSL پروتکل وب سایت از HTTP به HTTPS که امن‌تر است تغییر پیدا خواهد کرد و دیگر شنود اطلاعات غیرممکن خواهد شد. همچنین در نظر داشته باشید که مرورگرهای معروفی مانند گوگل کروم و موزیلا فایرفاکس نیز در نسخه های جدید وب سایت های بدون SSL را ناامن نشان می‌دهند!

۱۲- بررسی دسترسی برای آپلود فایل

ماهیت برخی از وب سایت‌ها به گونه‌ای است که بازدیدکنندگان بتوانند فایل‌هایی را در سایت آپلود کنند. در چنین شرایطی در اگر یک شخص هکر فایل مخرب را بتواند آپلود کند، امنیت سایت با خطر جدی مواجه خواهد بود. به همین دلیل در انجام این کار بسیار محتاط باشید و در صورت امکان از یک شخص متخصص کمک بگیرید تا راه کارهای مقابله با فایل های مخرب را پیاده سازی کند.

البته اگر یک وب سایت عادی دارید، بهتر است که اصلا چنین دسترسی به بازدید کنندگان داده نشود.

۱۳- رمزگذاری پوشه wp-admin

پوشه مربوط به مدیریت وردپرس wp-admin است. بر روی این پوشه یک رمز عبور از طریق پنل هاست قرار دهید تا امنیت سایت را در مقابل نفوذهای احتمالی افزایش دهید.

در این حالت اگر شخصی بخواهد وارد قسمت مدیریت وردپرس شود در مرحله اول باید یوزر و رمزی که برای پوشه قرار داده اید را رد کند و سپس فرم لاگین وردپرس نمایش داده شود.

The post افزایش امنیت وردپرس در ۱۳ مرحله در سایت فراگشت برای شما عزیزان آماده شده است.

جلوگیری از جمع آوری نام کاربری وردپرس توسط هکرها

دسته بندی : مقالات آموزشی تاریخ : دوشنبه ۲۶ فروردین ۱۳۹۸


جلوگیری از جمع آوری نام کاربری وردپرس توسط هکرها

در این آموزش، در ابتدا اول شما را با عبارت Enumeration آشنا میکنم. فرآیند استخراج نام کاربری، نام سیستم ها، منابع شبکه و سرویس ها از یک سیستم را Enumeration گویند. در مرحله Enumeration هکر کانکشن های فعال به سیستم برقرار میکند و درخواست های مستقیم برای بدست اوردن اطلاعات بیشتر درباره هدف ارسال میکند.جلوگیری از جمع آوری نام کاربری

به طور کلی این فرایند نام های کاربری و میزبان، سرویس های شبکه، جزئیات SNMP و اطلاعات را جمع آوری میکنند. روشهای بسیاری مانند SMTP Enumeration، DNS Enumeration وجود دارد که هکرها میتواند سیستم و یا شبکه هدف را Enumerate کند.

حال نوبت معرفی افزونه امنیتی Stop User Enumeration است که می توانید مانع شوید هکرها نام های کاربری وردپرس شما را اسکن یا شمارش کنند. شمارش کاربر یک نوع حمله است که هکرها میتوانند وبسایت شما را شناسایی و نام کاربری تان را کشف کنند.

این افزونه، کمک می کند این حملات مسدود شوند و حتی اجازه می دهد تا وارد این حملات شوید و حملات بیشتر را در آینده مسدود کنید.

اگر شما روی یک سرور VPS یا سرور اختصاصی هستید، به عنوان حمله IP وارد شده است، شما می توانید از fail2ban برای جلوگیری از حمله به طور مستقیم در فایروال سرور خود، یک راه بسیار قدرتمند برای صاحبان VPS برای جلوگیری از حملات خشونت آمیز به عنوان حملات DDoS استفاده کنید.

نحوه کار با افزونه Stop User Enumeration

مانند همیشه افزونه را نصب و فعالسازی کنید، پس از فعالسازی افزونه منو جدیدی به نام  Stop User Enumeration به بخش تنظیمات پنل مدیریت وردپرس اضافه می شود.

 

وارد صفحه افزونه شوید، در تب Settings سه گزینه وجود دارد:

گزینه اول مربوط به فراخوانی API می باشد. در وردپرس همه میتوانند کاربران را با فراخوانی API پیدا کنند. با فعال کردن این گزینه، فراخوانی محدود میشود تنها به کاربرانی که وارد شده اند.

گزینه دوم را در صورتی فعال کنید که از fail2ban در VPS خود استفاده می کنید.

با فعال کردن گزینه سوم، این افزونه از jQuery برای حذف هر عدد از نام نویسنده دیدگاه استفاده میکند ، به این دلیل است که حمله(Enumeration )، اعداد را کنترل و بررسی می کند.

سه گزینه را فعال و روی دکمه ذخیره تغییرات کلیک کنید.

موفق و پیروز باشید.

The post جلوگیری از جمع آوری نام کاربری وردپرس توسط هکرها در سایت فراگشت برای شما عزیزان آماده شده است.

دسترسی به پیشخوان وردپرس فقط توسط مدیر

دسته بندی : مقالات آموزشی تاریخ : یکشنبه ۲۵ فروردین ۱۳۹۸


امنیت پیشخوان وردپرس

دسترسی به پیشخوان وردپرس فقط توسط مدیر

دسترسی به پنل مدیریتی وب سایت و یا همان پیشخوان وردپرس توسط دیگر کاربران یک موضوع نه چندان خوشایند و غیر حرفه ای است، برای این که از اینکار جلوگیری بکنیم و فقط به مدیران وب سایت اجازه دسترسی کامل بدهیم از کد های PHP زیر در توابع خود استفاده می کنیم. لازم به ذکر است که از این کد ها در انتهای توابع استفاده کنید تا در عملیات تابع اختلال ایجاد نشود.

توضیح کد:

این قطعه کد در هنگام ورود به سیستم چک می کند که کاربری که در وردپرس لاگین کرده چه نقشی دارد، اگر مدیر باشد به پنل مدیریتی وردپرس هدایت می شود در غیر این صورت به صفحه اصلی سایت فرستاده خواهد شد. توجه کنید که توابع استفاده شده در وردپرس موجود می باشد.

<?php
	add_action ( 'init' , 'blockusers_mw_init');
	
	function blockusers_mw_init()
	
		if (is_user_logged_in())
		
			$user_info = get_userdata($userid);
			$user_role = implode(',' , $user_info->roles);
			
			if($user_role != 'administrator')
			
				wp_redirect(home_url());
				exit;
			
		
	
?>

اگر کمی با کد نویسی و زبان PHP آشنا باشید می توانید این کد را ویرایش کرده و به اهداف دلخواه خود دستیابی داشته باشید، مثلا به نویسنده ها هم امکان دسترسی به پیشخوان وردپرس بدهید.

موفق باشید.

The post دسترسی به پیشخوان وردپرس فقط توسط مدیر در سایت فراگشت برای شما عزیزان آماده شده است.

حذف پیام بروزرسانی وردپرس از پیشخوان سایت شما

دسته بندی : مقالات آموزشی تاریخ : یکشنبه ۲۵ فروردین ۱۳۹۸


پیام بروزرسانی وردپرس

شاید به هر دلیلی بخواهید از به‌روزرسانی های وردپرس استفاده نکنید. کسی چه می‌داند؟ شاید قالب یا افزونه‌های شما از نسخه جدید وردپرس پشتیبانی نمی‌کنند.

شما می‌توانید وردپرس را اگر مایل هستید اپدیت نکنید. ما هم مثل همیشه شما را حمایت خواهیم کرد. فقط خودتان مسئول امنیت سایتتان باشید!

اما از بحث امنیت و گیر دادن به آپدیت بودن همیشگی وردپرس که بگذریم. اگر به هر دلیلی نخواهید وردپرس شما آپدیت شود، باید ابتدا بروزرسانی های وردپرس را غیر فعال کنید. پس با استفاده از روش‌های مختلفی که قبلا در سایت بصورت کامل آموزش داده‌ایم و با یک سرچ ساده می‌توانید پیدا کنید، بروزرسانی‌های سایت وردپرسی خود را غیر فعال نمایید.

اما اگر نمی‌خواهید از این روش‌ها استفاده کنید، یک پیام به‌روزرسانی وردپرس بالای مدیریت سایت شما سبز می‌شود که موقع انتشار آپدیت های جدید وردپرس بسیار آزاردهنده خواهد بود.

پیام بروزرسانی وردپرس
پیام بروزرسانی وردپرس در پیشخوان

اگر دوست دارید این پیام را حذف کنید با این مقاله همراه باشید.

حذف پیام بروزرسانی وردپرس

برای حذف پیام به‌روزرسانی می‌توانید از افزونه WP Notification Center استفاده کنید. اما می‌خواهیم مثل همیشه بدون نیاز به افزونه این کار را انجام دهیم. پس کافی ست وارد مدیریت فایل پنل هاستینگ خود شده و پوشه قالب سایتتان را از مسیر wp-content/themes پیدا کنید. سپس فایل فانکشن یا همان functions.php را بازکرده و کد زیر را بعد از <?php ابتدای آن وارد کنید:

if (!current_user_can('edit_users')) 
  add_action( 'init', create_function( '$mihanwpremoveupdate', "remove_action( 'init', 'wp_version_check' );" ), 2 );
  add_filter( 'pre_option_update_core', create_function( '$mihanwpremoveupdate', "return null;" ) );

کد بالا با استفاده از فیلتر pre_option_update_core برای همیشه پیام بروزرسانی شما را از بالای پنل حذف خواهد کرد.

موفق باشید 🙂

The post حذف پیام بروزرسانی وردپرس از پیشخوان سایت شما در سایت فراگشت برای شما عزیزان آماده شده است.

آموزش افزایش امنیت فایل wp-config در وردپرس

دسته بندی : مقالات آموزشی تاریخ : چهارشنبه ۷ فروردین ۱۳۹۸


درود بر شما؛
در میان فایل های ریشه ای سیستم مدیریت محتوای وردپرس فایلی وجود دارد با نام wp-config که نقش بسیار مهمی در وب سایت شما ایفا میکند. در این آموزش در مورد امنیت فایل wp-config در وردپرس صحبت میکنیم. در انتهای این آموزش باید بدانید که چطور میتوانید در وردپرس از فایل wp-config محافظت کنید و آن را در جایگاه درست خود قرار دهید!

 افزایش امنیت فایل wp-config در وردپرس

امنیت فایل wp-config در وردپرس

فایل wp-config در هاست شما دارای اطلاعاتی بسیار ارزشمند است که میتواند در صورت افشای آن ها وب سایت شما را از بین ببرد. این اطلاعات عبارتند از اطلاعات دیتابیس سایت و تمامی دستوراتی که برای وب سایت خود وارد کرده اید. شما برای حفظ امنیت فایل wp-config در وردپرس چند روش میتوانید پیاده سازی کنید که یک به یک توضیح داده خواهد شد:

در ابتدا یک تذکر بسیار مهم باید مد نظر قرار گیرد و آن هم این که قبل از شروع کار حتما از اطلاعات هاست و سایت خود نسخه پشتیبان تهیه کنید

 ۱٫ راهکار اول : باید مکان اصلی فایل wp-config در هاست وب سایت خود را تغییر دهید.

مکان فایل wp-config در هاست شما در آدرس home/user/public_html/wp-config.php است این تغییر جایگاه باعث افزایش امنیت فایل wp-config در وردپرس خواهد شد. برای تغییر در جایگاه آن ابتدا باید وارد بخش مدیریت هاست شوید و سپس فایل wp-config را در آدرس داده شده بیابید و پس از یافتن باید همانند تصویر زیر روی این فایل کلیک راست کنید و گزینه move را انتخاب کنید. در جعبه دیالوگ باز شده باید آدرس قرار داده شده را که در جعبه دیالوگ آمده تا / ابتدایی پاک کنید و پس از انجام این کار فایل را انتقال دهید.

وقتی شما در هنگام انتقال این فایل در دیالوگ move همه آدرس را تا رسیدن به / حذف میکنید این کار بدین معنیست که شما میخواهید فایل مورد نظر خود را به یک پوشه بالاتر از public_html انتقال دهید. در واقع این فایل را به یک پوشه Non-public هدایت می کنید. همچنین، اگر در سایت خود در فولدر public_html فایل wp-config-sample.php را مشاهده می کنید، آن را نیز حذف کنید.

البته نکته بسیار مهم و اساسی این است که این راهکار گفته شده فقط برای دامین اصلی استفاده میشود و در ساب دامین ها کاربرد ندارد.

۲٫ راهکار دوم : امنیت فایل wp-config با استفاده از htaccess

روش دوم برای امنیت فایل wp-config در وردپرس، کمی دشوار تر و پیچیده تر از روش اول است ولی میتواند بسیار مفید باشد. در روش دوم شما باید ابتدا فایل htaccess را در هاست خود پیدا کنید که در برخی از سرویس دهنده های هاست این فایل پنهان است که میتوانید از بخش تنظیمات مدیریت هاست خود آن را غیر فعال کنید. پس از یافتن آن باید کد زیر را در انتهای این فایل اضافه کنید:

<files wp-config.php>
order allow,deny
deny from all
</files>

البته باید بسیار مراقب این موضوع باشید که در صورت جای‌گذاری اشتباه کد، ممکن است سایت شما از دسترس خارج شود.

خب در انتها بهتر است باز هم تاکیدی بر دریافت نسخه پشتیبان از وب سایت در هنگام ایجاد این تغییرات داشته باشم چون ممکن است در هنگام تغییرات مشکلاتی برای وب سایت شما ایجاد شود. در صورتی که هنگام انجام موارد فوق به مشکلاتی برخوردید آن را در بخش نظرات مطرح نمائید تا مشکل شما حل شود.

روز های بهاریتون زیبا

The post آموزش افزایش امنیت فایل wp-config در وردپرس در سایت فراگشت برای شما عزیزان آماده شده است.


تقریبا اولین گامی که برای کار کردن با وبسایت خود بر می‌داریم، ورود به پنل مدیریت وبسایتمان است. شاید به نظر یک اتفاق ساده باشد اما می‌دانید همین بخش ورود خیلی مسئله مهمی است و باید مواظب آن بود؟
امنیت بخش ورود در وردپرس باید رعایت شود و همچنین افزایش یابد. این بخش مورد علاقه هکرهاست و چون بیشتر کاربران وردپرسیبه آن توجه نمی‌کنند به راحتی می‌توان به وبسایت نفوذ کرد.
اما ما می‌خواهیم بدون کمک افزونه‌ها و طی دو مرحله ساده امنیت این بخش را تامین کرده و افزایش دهیم. اگر موافقید با ما همراه شوید.

امنیت بخش ورود در وردپرس

امنیت بخش ورود در وردپرس

برای افزایش امنیت بخش ورود در وردپرس افزونه‌های متعددی روی کار آمده‌اند اما اگر بنا به هر دلیلی راضی به استفاده از آن‌ها نیستید ما دو روش را برایتان در نظر گرفتیم که هم جالب و هم کاربردی است:

  1. امنیت پوشه admin
  2. حفاظت از صفحه ورود

امنیت پوشه Admin

روش کلیدی و ساده برای حفظ امنیت بخش ورود در وردپرس، ایمنی بخشیدن به ناحیه مدیریت است. برای این منظور کافیست کد ساده‌ای را به فایل htaccess. اضافه کنید. این عملیات دایرکتوری wp-admin را تحت حفاظت قرار می‌دهد.

اگر هنوز فایل htaccess. ندارید، می‌توانید یک نمونه معمولی آن را در پوشه wp-admin بسازید. سپس قطعه کد زیر را در آن وارد کنید :

۱
۲
۳
۴
۵
۶
۷
۸
۹
۱۰
۱۱
۱۲
۱۳
# SECURE WP-ADMIN
<FilesMatch ".*">
# Apache < 2.3
<IfModule !mod_authz_core.c>
Order Deny,Allow
Deny from all
Allow from 123.456.789.000
</IfModule>
# Apache >= 2.3
<IfModule mod_authz_core.c>
Require ip 123.123.123.000
</IfModule>
</FilesMatch>

در قسمتی که از شما آدرس IP خواسته، باید IP خود را در اینترنت وارد کنید. اگر نمی‌دانید چطور آن را بیابید در گوگل عبارت “what is my IP Address” را وارد کنید تا آن را به شما بگوید.

حفاظت از صفحه ورود

امنیت بخش ورود در وردپرس

حال می‌خواهیم امنیت صفحه ورود را بررسی کرده و تامین کنیم. برای افزایش امنیت بخش ورود در وردپرس فایل htaccess. موجود در روت هاست را بیابید و کد زیر را در آن وارد کنید:

۱
۲
۳
۴
۵
۶
۷
۸
۹
۱۰
۱۱
۱۲
۱۳
# SECURE LOGIN PAGE
<Files wp-login.php>
# Apache < 2.3
<IfModule !mod_authz_core.c>
Order Deny,Allow
Deny from all
Allow from 123.123.123.000
</IfModule>
# Apache >= 2.3
<IfModule mod_authz_core.c>
Require ip 123.123.123.000
</IfModule>
</Files>

این قطعه کد به صورت کامل امنیت بخش ورود در وردپرس را تامین می‌کند و دیگر هکرها از این طریق برای وبسایتتان تهدیدی ایجاد نمی‌کنند. از این پس هم فقط IPهای مجاز اجازه ورود به وبسایت را دارند. پس از لاگین شدن می‌توانید این اعتبار را دریافت کنید.

به همین راحتی 🙂

The post چگونه بدون کمک افزونه، امنیت بخش ورود در وردپرس را افزایش دهیم؟ در سایت فراگشت برای شما عزیزان آماده شده است.



دسته بندی

مطالب محبوب
بک لینک ها