ای وردپرسی عزیز، مراقب باش هک نشوی!
این روزها امنیت وردپرس به یکی از موضوعات مهم و حیاتی برای همه ما وردپرسی ها تبدیل شده است، زیرا روزانه تعداد بسیارزیادی از این وبسایت ها هک می شوند و اگر قادر نباشیم امنیت وبسایت مان را تامین کنیم، شاید قربانی بعدی، خود ما باشیم! مطلبی که قصد داریم در این مقاله خدمتتان عرض کنیم چگونگی تامین امنیت وبسایت وردپرسی نسبت به خطر هک شدن است. اما قبل از این کار لازم دیدیم دلایل اصلی هک شدن این وبسایت ها را بیان کنیم:
دلایل هک شدن وبسایت های وردپرسی
- استفاده از پوسته های خارجی Premium (ریپ شده) و یا قالب های فارسی دانلودی.
به نظر شما چرا یک نفر باید برای چنین پوسته هایی پول بپردازد و سپس آنها را در اختیار همه بگذارد؟! به این دلیل که این پوسته ها، ممکن است کد های مخربی در خود داشته باشند که قادر هستند وبسایت شما را هک و یا لینک خودشان را به صورت خودکار به وبسایت شما اضافه کنند. البته میدانم که این مورد در وب فارسی وجود ندارد اما سایتهای خارجی وجود دارند که قالبهای پولی اما دانلودی داشته و در دسترس عموم قرار دارد. بخصوص سایتهای چینی. - وقتی که هیچ کلید امنیتی برای Wp-config.php تعریف نشده باشد. (راه های زیادی وجود دارد که بتوان امنیت Wp-config.php را تامین کرد)
- پسورد پایگاه داده تان هیچ یک از حروف الفبا یا اعداد یا کاراکترها را با هم ندانداشته باشد و در نتیجه قدرتمند نباشد!
- فایلهای یک بار مصرف در فولدرهای اصلی وردپرس همچنان وجود دارد (مانند install.php)
- دسترسی به فولدرها کاملا باز است.
- و … (در نوشته ای مجزا به توضیح دلایل هک شدن خواهیم پرداخت).
نکته امنیتی شماره ۱
مسیر cpanel >> File Manger >> Root Folder را طی کنید و پس از یافتن فایل .htaccess کد زیر را به انتهای آن اضافه نمایید:
با انجام این عمل فایل wp-config.php از درخواست های بد و مخرب در امان می ماند.
نکته امنیتی شماره ۲
اگر می خواهید فایل wp-config.php خود را امن تر کنید آن را در سطوح بالاتر از فولدر اصلی (root folder) قرار دهید. این عمل برای سایت هایی که ترافیک بالایی دارند، مناسب است. انجام این عمل روشی طولانی دارد؛ ما قصد داریم در اینجا تنها ایده ای ار آن را مطرح کنیم. شما می بایست فایل wp-config.php را دانلود کرده، نام جدیدی برای آن در نظر بگیرید و سپس آن در یک سطح بالا، مثلا قبل از public_html و یا فولدر www ، آپلود کنید. شما باید یک فولدر در سی پنل خود ایجاد کنید و سپس آن فایل را در آنجا قرار دهید و بعد یک wp-config.php دیگر بسازید و wp-config.php قدیمی را در آن قرار دهید. انجام این عملیات دانش بیشتری نیاز دارد که البته بازدید کنندگان این سایت همگی اساتید ما و افراد اهل فن هستند.
نکته امنیتی شماره ۳
یک راه مناسب دیگر برای افزایش امنیت وبسایت تان و تحت کنترل داشتن همه چیز استفاده از افزونه WordPress Security Scan و WordPress Firewall می باشد.
نکته امنیتی شماره ۴
کدهای زیر، کلید های امنیتی فایل wp-config.php شما به صورت پیش فرض هستند:
|
1 |
define('AUTH_KEY', 'put your unique phrase here'); define('SECURE_AUTH_KEY', 'put your unique phrase here'); define('LOGGED_IN_KEY', 'put your unique phrase here'); define('NONCE_KEY', 'put your unique phrase here'); |
قسمت کلید امنیتی فیل wp-config.php را با کد های زیر جایگزین کنید.
|
1 2 3 4 |
define('AUTH_KEY', 'er?FL$*CdU.&TYHk,Hcfi9>gSGcSsANk|`kAnZ@/_e)ivSjMfOI` n`jV!SXjTL0'); define('SECURE_AUTH_KEY', 'S<{R{~de5V*IJ~NBadu~o;dzj9U%gu|P:2[0Vx7l0o5E?ifpZ{`4FBbNJ`)EZy j'); define('LOGGED_IN_KEY', 'O+k=tgBcR{-H>qaj=82u$ =bt2w&pO-7G$-U[Ept_eq$@yL[n+4%Vr7)?IU%?+g%'); define('NONCE_KEY', 'p*=(=H~m3cEkPwCxMM$s.+ApJgRLagzo;FsT5t(mN!;fLDOx<+JF(++--!&T/_Bh'); |
نکته امنیتی شماره ۵
نسخه وردپرسی که از آن استفاده می کنید را به روز نگاه دارید. و همچنین از آخرین تغییرات و دستاوردها در این زمینه با خبر باشید.
شما همچنین قادر خواهید بود با نصب دو افزونه WordPress Exploit Scanner و TAC از بی خطر بودن بودن کدهای پوسته و هسته وردپرس مطمئن شوید.
امیدواریم از این مطلب بهره کافی را برده باشید. توصیه های ایمنی وردپرسی را جدی بگیرید.
وردپرس با طعم فارسی
سلام خب الان ما از کجا بدانیم که این کدی که شما میگید برای ما خطر ایجاد نکنه ؟
سلام. معمولا کدهای خاصی ایجاد خطر میکنه. ضمن اینکه باید منبع شما معتبر باشه. مثلا اگر شما از این سایت مطمئنید می تونید اعتماد کنید اما اگر نیستید هرگز خطر نکنید.
خیلی ممنون داداش با این مطلبت خیلی حال دادی .
مرسی گزینه های جالب و خوبی بود برای امنیت ..
ممنون
چند تا نکته
۱٫استفاده از قالب هایی که به نوعی دزدی هستن برای ماها عملن تنها راه ممکنه! آنتی ویروس هاست کمکی نمیکنه؟
۲٫کاش لیستی از کل فایل های موقت رو بدین. میشه همشون رو پاک کرد؟
۳٫اعمال محدودیت برای فایل کانفیگ مشکلی در کار با وردپرس و نصب پوسته ها و غیره ایجاد نمیکنه؟
۴٫فایل کانفیگ رو میشه تنها با موو کردن به یک سطح بالاتر برد. بدون هیچ دردسری
۵٫اون کد در حال حاضر ۶ بخش هست و بهتر بود لینک دریافتش رو برای خواننده ها میذاشتین تا یه کد رو برای همه
سلام
خیلی ممنون. یاد آوری این مطالب برای دوستان خیلی مفید هست.
فقط بی زحمت این مطلب رو کامل تر کن 😀 هنوز خیلی جای کار داره.
با تشکر
ممنون داداش بابت مطلب باحال و ب در بخورت
ممنون افزونه اسکنر رو نصب کردم کد رو فایل های کانفیگ و htss اضافه کردم.ولی درباهر اون کاری که گفتی باید جابه جا کنی اسم عوض کنی هیچ ی نفهمیم
سعی میکنیم توی مرحله بعدی نکات امنیتی، اینو هم بگنجونیم.
سلام
همه نکات عالی بود
فقط نکته ۴ مورد داشت . اینکه باید کد رو از این لینک برداشت
http://api.wordpress.org/secret-key/1.1/
ممنونم علی آقا. خدا خیرت بده.
برای مورد دوم ما که اهل فن نیستیم چیکار باید بکنیم؟
واقعا ممنون
سلام
در مورد شماره ۴:
وقتی مثلا برای AUTH_KEY مقداری تعریف نکردیم،اگر با کدی که شما دادین جایگزین کنیم،مشکلی پیش نمیاد؟
ممنون و متشکر
تشکر فراوان
برای دریافت کی به این آدرس مراجعه کنید :
https://api.wordpress.org/secret-key/1.1/salt/
—
+salt key
پیروز باشید
بسیار عالی و کاربردی بود.
نکتهای که اشاره کردید در مورد قالبهای پرمیومی که به صورت ریپ شده برای دانلود گذاشتهاند، جدی و مهم است.
تجربه ضربه خوردن بابت این موضوع را داشتهام.
جای خالی مطالب اینچنینی احساس میشود.
امیدوارم در آینده در این رابطه مطالب بیشتری کار کنید.
موفق باشید.
پسورد روی پوشه wp-admin هم کار خوبیه
مطلب پیش پا افتاده ای بود. افزونه ی wp better security فوق العاده ترین افزونه برای برقراری امنیت در وردپرس هست. به همه پیشنهادش میکنم.
سلام
نطرتون در مورد افزونه امنیتی
Better WP Security
چیست؟
باسلام و تشکر از مطلب خوبتان
وقتی من کدهای امنیتی را در فایل wp-config قرار میدهم دیگر امکان ورود به پنل مدیریت در وردپرس را ندارم علت چیست ؟
ممنون داداش خیلی مردی ،دمت گرم
خلاصه، مختصر و مفید بود …
البته اشاره به این موارد هم میتونست خوب باشه:
مخفی کردن نسخه ی وردپرس
تغییر پیشوند پیشفرض جداول
استفاده از لقب برای نویسندگان …
سلام نه من منظور بدی نداشتم . فقط گفتم اگه سایتی باشه که ما کد هارو در اونجا امتحان کنیم خیلی خوب میشد . همین .
میدونم دوست خوبم. اینها رو باید به صورت لوکال تست کنید و سپس وقتی خاطرجمع شدید آنلاین کنید.
سلام دوست جدید من
مختصر و مفید توضیح داده شده بود و تقریبا بسیار کامل و جامع بود
اما بهتر بود به نکات زیر هم اشاره میشد :
تغییر پریمیشن فایل wp-config به ۴۰۰ یا ۴۴۴ برای کاربرانی ک امکام مخفی سازی فایل رو ندارند
پسورد گذاشتن بر روی فایل wp-admin
افزونه wp better security ک امین جان نیز اشاره کردند بسیار مفید هست و میشه پوشه ها رو تغییر نام داد و خیلی کارهای دیگر ک شاید بحث در مورد این افزونه به صفحات زیادی کشیده بشه
استفاده نکردن از نام های کاربری ادمین
و…
اما در مورد قالب های ریپ شده این در همه موارد صدق نمیکنه و شخصا دها قالب رو ترجمه و ریپ و منتشر کردم و حتی فکر قرار دادن شل و… به ذهنم نرسید
شاید بهتر بود اینگونه بگوییم : قالب های وبسایت خود را از جاهایی امن و مورد اعتماد دانلود کنید و از وبسایت های نا آشنا و… استفاده نکنید و…
من به تازگی با وب شما آشنا شدم و مطمئنا از این پس یکی از دنبال کنندگان همیشگی شما خواهم بود
با تشکر از وب سایت خوبتان
زنده باشید و سربلند
یا حق
سلام
در مورد امنیت وردپرس، عرض کردم که انشاالله به زودی یک نوشته کامل در این زمینه منتشر خواهد شد. از تذکر شما سپاسگزاریم.
در مورد اون متن هم، ۱۰۰% حق با شماست. ممنونم.
اینکه به این وب سایت و مطالب آن توجه دارید، باعث افتخار است.
یکی دیگه از مهمتریناش گذاشتن پسورد دوم رو wp-admin از طریق پنل هاسته
ممنون از مطالبتون ،من که به شخصه استفاده کردم !
سلام
میتونید توضیح بدید کلید امنیتی چیست؟ و به چه کاری میاد؟
عالی بود
مرسی عالی بود