| حی و حاضر در خدمت شما هستیم
صفحه اصلی » » ای وردپرسی عزیز، مراقب باش هک نشوی!
مقاله وردپرسی

ای وردپرسی عزیز، مراقب باش هک نشوی!

این روزها امنیت وردپرس به یکی از موضوعات مهم و حیاتی برای همه ما وردپرسی ها تبدیل شده است، زیرا روزانه تعداد بسیارزیادی از این وبسایت ها هک می شوند و اگر قادر نباشیم امنیت وبسایت مان را تامین کنیم، شاید قربانی بعدی، خود ما باشیم! مطلبی که قصد داریم در این مقاله خدمتتان عرض کنیم چگونگی تامین امنیت وبسایت وردپرسی نسبت به خطر هک شدن است. اما قبل از این کار لازم دیدیم دلایل اصلی هک شدن این وبسایت ها را بیان کنیم:

دلایل هک شدن وبسایت های وردپرسی

  • استفاده از پوسته های خارجی Premium (ریپ شده) و یا قالب های فارسی دانلودی.
    به نظر شما چرا یک نفر باید برای چنین پوسته هایی پول  بپردازد و سپس آنها را در اختیار همه بگذارد؟! به این دلیل که این پوسته ها، ممکن است کد های مخربی در خود داشته باشند که قادر هستند وبسایت شما را هک و یا لینک خودشان را به صورت خودکار به وبسایت شما اضافه کنند. البته میدانم که این مورد در وب فارسی وجود ندارد اما سایتهای خارجی وجود دارند که قالبهای پولی اما دانلودی داشته و در دسترس عموم قرار دارد. بخصوص سایتهای چینی.
  • وقتی که هیچ کلید امنیتی برای Wp-config.php تعریف نشده باشد. (راه های زیادی وجود دارد که بتوان امنیت Wp-config.php را تامین کرد)
  • پسورد پایگاه داده تان هیچ یک از حروف الفبا یا اعداد یا کاراکترها را با هم ندانداشته باشد و در نتیجه قدرتمند نباشد!
  • فایلهای یک بار مصرف در فولدرهای اصلی وردپرس همچنان وجود دارد (مانند install.php)
  • دسترسی به فولدرها کاملا باز است.
  • و … (در نوشته ای مجزا به توضیح دلایل هک شدن خواهیم پرداخت).


نکته امنیتی شماره ۱

مسیر cpanel >> File Manger >> Root Folder را طی کنید و پس از یافتن فایل .htaccess کد زیر را به انتهای آن اضافه نمایید:

# protect wp-config.php
<files wp-config.php>
order allow,deny
deny from all
</files>

با انجام این عمل فایل wp-config.php از درخواست های بد و مخرب در امان می ماند.

نکته امنیتی شماره ۲

اگر می خواهید فایل wp-config.php خود را امن تر کنید آن را در سطوح بالاتر از فولدر اصلی (root folder) قرار دهید. این عمل برای سایت هایی که ترافیک بالایی دارند، مناسب است. انجام این عمل روشی طولانی دارد؛ ما قصد داریم در اینجا تنها ایده ای ار آن را مطرح کنیم. شما می بایست فایل wp-config.php را دانلود کرده، نام جدیدی برای آن در نظر بگیرید و سپس آن در یک سطح بالا، مثلا قبل از public_html و یا فولدر www ، آپلود کنید. شما باید یک فولدر در سی پنل خود ایجاد کنید و سپس آن فایل را در آنجا قرار دهید و بعد یک wp-config.php دیگر بسازید و wp-config.php قدیمی را در آن قرار دهید. انجام این عملیات دانش بیشتری نیاز دارد که البته بازدید کنندگان این سایت همگی اساتید ما و افراد اهل فن هستند.

نکته امنیتی شماره ۳

یک راه مناسب دیگر برای افزایش امنیت وبسایت تان و تحت کنترل داشتن همه چیز استفاده از افزونه WordPress Security Scan و WordPress Firewall می باشد.

نکته امنیتی شماره ۴

کدهای زیر، کلید های امنیتی فایل wp-config.php شما به صورت پیش فرض هستند:

قسمت کلید امنیتی فیل wp-config.php را با کد های زیر جایگزین کنید.

نکته امنیتی شماره ۵

نسخه وردپرسی که از آن استفاده می کنید را به روز نگاه دارید. و همچنین از آخرین تغییرات و دستاوردها در این زمینه با خبر باشید.

شما همچنین قادر خواهید بود با نصب دو افزونه WordPress Exploit Scanner و TAC از بی خطر بودن بودن کدهای پوسته و هسته وردپرس مطمئن شوید.

امیدواریم از این مطلب بهره کافی را برده باشید. توصیه های ایمنی وردپرسی را جدی بگیرید.

وردپرس با طعم فارسی

 

(امتیازی ثبت نشده است)
برچسب ها
اشتراک گذاری

۳۱ دیدگاه

شما نیز می توانید در تبادل نظرها شرکت کنید، دیدگاهی بنویسید یا به دیدگاه دیگران پاسخ دهید.
این کار در توسعه وردپرس کمک شایانی خواهد کرد. برای نوشتن دیدگاه اینجا را کلیک کنید

  1. vahed در تاریخ ۶ مرداد ۱۳۹۱:

    سلام خب الان ما از کجا بدانیم که این کدی که شما میگید برای ما خطر ایجاد نکنه ؟

    • وردپرس با طعم فارسی در تاریخ ۶ مرداد ۱۳۹۱:

      سلام. معمولا کدهای خاصی ایجاد خطر میکنه. ضمن اینکه باید منبع شما معتبر باشه. مثلا اگر شما از این سایت مطمئنید می تونید اعتماد کنید اما اگر نیستید هرگز خطر نکنید.

  2. علي در تاریخ ۶ مرداد ۱۳۹۱:

    خیلی ممنون داداش با این مطلبت خیلی حال دادی .

  3. شایان در تاریخ ۶ مرداد ۱۳۹۱:

    مرسی گزینه های جالب و خوبی بود برای امنیت ..

  4. امین در تاریخ ۶ مرداد ۱۳۹۱:

    ممنون
    چند تا نکته
    ۱٫استفاده از قالب هایی که به نوعی دزدی هستن برای ماها عملن تنها راه ممکنه! آنتی ویروس هاست کمکی نمیکنه؟
    ۲٫کاش لیستی از کل فایل های موقت رو بدین. میشه همشون رو پاک کرد؟
    ۳٫اعمال محدودیت برای فایل کانفیگ مشکلی در کار با وردپرس و نصب پوسته ها و غیره ایجاد نمیکنه؟
    ۴٫فایل کانفیگ رو میشه تنها با موو کردن به یک سطح بالاتر برد. بدون هیچ دردسری
    ۵٫اون کد در حال حاضر ۶ بخش هست و بهتر بود لینک دریافتش رو برای خواننده ها میذاشتین تا یه کد رو برای همه

  5. منتظر در تاریخ ۶ مرداد ۱۳۹۱:

    سلام
    خیلی ممنون. یاد آوری این مطالب برای دوستان خیلی مفید هست.
    فقط بی زحمت این مطلب رو کامل تر کن 😀 هنوز خیلی جای کار داره.
    با تشکر

  6. hector در تاریخ ۶ مرداد ۱۳۹۱:

    ممنون داداش بابت مطلب باحال و ب در بخورت

  7. a3aish در تاریخ ۶ مرداد ۱۳۹۱:

    ممنون افزونه اسکنر رو نصب کردم کد رو فایل های کانفیگ و htss اضافه کردم.ولی درباهر اون کاری که گفتی باید جابه جا کنی اسم عوض کنی هیچ ی نفهمیم

    • وردپرس با طعم فارسی در تاریخ ۶ مرداد ۱۳۹۱:

      سعی میکنیم توی مرحله بعدی نکات امنیتی، اینو هم بگنجونیم.

  8. علی در تاریخ ۶ مرداد ۱۳۹۱:

    سلام
    همه نکات عالی بود
    فقط نکته ۴ مورد داشت . اینکه باید کد رو از این لینک برداشت
    http://api.wordpress.org/secret-key/1.1/

    • وردپرس با طعم فارسی در تاریخ ۶ مرداد ۱۳۹۱:

      ممنونم علی آقا. خدا خیرت بده.

  9. حامد سپهر در تاریخ ۶ مرداد ۱۳۹۱:

    برای مورد دوم ما که اهل فن نیستیم چیکار باید بکنیم؟

  10. hadi در تاریخ ۶ مرداد ۱۳۹۱:

    واقعا ممنون

  11. محمد حسین در تاریخ ۶ مرداد ۱۳۹۱:

    سلام
    در مورد شماره ۴:
    وقتی مثلا برای AUTH_KEY مقداری تعریف نکردیم،اگر با کدی که شما دادین جایگزین کنیم،مشکلی پیش نمیاد؟

    ممنون و متشکر

  12. Akbar در تاریخ ۷ مرداد ۱۳۹۱:

    تشکر فراوان

  13. ایلیا در تاریخ ۷ مرداد ۱۳۹۱:

    برای دریافت کی به این آدرس مراجعه کنید :
    https://api.wordpress.org/secret-key/1.1/salt/

    +salt key
    پیروز باشید

  14. محسن در تاریخ ۷ مرداد ۱۳۹۱:

    بسیار عالی و کاربردی بود.
    نکته‌ای که اشاره کردید در مورد قالبهای پرمیومی که به صورت ریپ شده برای دانلود گذاشته‌اند، جدی و مهم است.
    تجربه ضربه خوردن بابت این موضوع را داشته‌ام.
    جای خالی مطالب اینچنینی احساس می‌شود.
    امیدوارم در آینده در این رابطه مطالب بیشتری کار کنید.
    موفق باشید.

  15. محسن شایان در تاریخ ۷ مرداد ۱۳۹۱:

    پسورد روی پوشه wp-admin هم کار خوبیه

  16. امین در تاریخ ۷ مرداد ۱۳۹۱:

    مطلب پیش پا افتاده ای بود. افزونه ی wp better security فوق العاده ترین افزونه برای برقراری امنیت در وردپرس هست. به همه پیشنهادش میکنم.

  17. حمید در تاریخ ۷ مرداد ۱۳۹۱:

    سلام
    نطرتون در مورد افزونه امنیتی
    Better WP Security
    چیست؟

  18. محمود در تاریخ ۷ مرداد ۱۳۹۱:

    باسلام و تشکر از مطلب خوبتان
    وقتی من کدهای امنیتی را در فایل wp-config قرار میدهم دیگر امکان ورود به پنل مدیریت در وردپرس را ندارم علت چیست ؟

  19. javad در تاریخ ۸ مرداد ۱۳۹۱:

    ممنون داداش خیلی مردی ،دمت گرم

  20. طراحی سایت آنلاینر در تاریخ ۹ مرداد ۱۳۹۱:

    خلاصه، مختصر و مفید بود …
    البته اشاره به این موارد هم میتونست خوب باشه:
    مخفی کردن نسخه ی وردپرس
    تغییر پیشوند پیشفرض جداول
    استفاده از لقب برای نویسندگان …

  21. vahed در تاریخ ۹ مرداد ۱۳۹۱:

    سلام نه من منظور بدی نداشتم . فقط گفتم اگه سایتی باشه که ما کد هارو در اونجا امتحان کنیم خیلی خوب میشد . همین .

    • وردپرس با طعم فارسی در تاریخ ۱۰ مرداد ۱۳۹۱:

      میدونم دوست خوبم. اینها رو باید به صورت لوکال تست کنید و سپس وقتی خاطرجمع شدید آنلاین کنید.

  22. وهاب سید چورته در تاریخ ۱۰ مرداد ۱۳۹۱:

    سلام دوست جدید من
    مختصر و مفید توضیح داده شده بود و تقریبا بسیار کامل و جامع بود
    اما بهتر بود به نکات زیر هم اشاره میشد :
    تغییر پریمیشن فایل wp-config به ۴۰۰ یا ۴۴۴ برای کاربرانی ک امکام مخفی سازی فایل رو ندارند
    پسورد گذاشتن بر روی فایل wp-admin
    افزونه wp better security ک امین جان نیز اشاره کردند بسیار مفید هست و میشه پوشه ها رو تغییر نام داد و خیلی کارهای دیگر ک شاید بحث در مورد این افزونه به صفحات زیادی کشیده بشه
    استفاده نکردن از نام های کاربری ادمین
    و…
    اما در مورد قالب های ریپ شده این در همه موارد صدق نمیکنه و شخصا دها قالب رو ترجمه و ریپ و منتشر کردم و حتی فکر قرار دادن شل و… به ذهنم نرسید
    شاید بهتر بود اینگونه بگوییم : قالب های وبسایت خود را از جاهایی امن و مورد اعتماد دانلود کنید و از وبسایت های نا آشنا و… استفاده نکنید و…
    من به تازگی با وب شما آشنا شدم و مطمئنا از این پس یکی از دنبال کنندگان همیشگی شما خواهم بود
    با تشکر از وب سایت خوبتان
    زنده باشید و سربلند
    یا حق

    • وردپرس با طعم فارسی در تاریخ ۱۰ مرداد ۱۳۹۱:

      سلام
      در مورد امنیت وردپرس، عرض کردم که انشاالله به زودی یک نوشته کامل در این زمینه منتشر خواهد شد. از تذکر شما سپاسگزاریم.
      در مورد اون متن هم، ۱۰۰% حق با شماست. ممنونم.
      اینکه به این وب سایت و مطالب آن توجه دارید، باعث افتخار است.

  23. Lili در تاریخ ۱۳ مرداد ۱۳۹۱:

    یکی دیگه از مهمتریناش گذاشتن پسورد دوم رو wp-admin از طریق پنل هاسته

    ممنون از مطالبتون ،من که به شخصه استفاده کردم !

  24. vahidd در تاریخ ۲۳ مرداد ۱۳۹۱:

    سلام
    میتونید توضیح بدید کلید امنیتی چیست؟ و به چه کاری میاد؟

  25. بارز دیتا در تاریخ ۲۱ بهمن ۱۳۹۲:

    عالی بود

  26. ققنوس فان در تاریخ ۲۰ مهر ۱۳۹۳:

    مرسی عالی بود

پاسخ دهید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *