آموزش طراحی وب

مدرسه مجازی ایرانیان

دسته بندی موضوعات
سفارش تبلیغات

پله‌ی دوم تا وردپرس ایمن

WORDPRESS2

سلامی دوباره خدمت دانشجویان عزیز؛

در جلسه اول از امنیت وردپرس با نکات ساده‌ اما مهم آشنا شدید ٬ در این قسمت کمی سطح آموزش را بالا می‌برم ! یعنی در این قسمت با شیوه‌های ایمن‌سازی وردپرس در حد متوسط آشنا می‌شوید !

در این قسمت آموزش می‌بینید که درها و پنجره‌های وردپرس را بر روی هکرها قفل کنید ! 

Lock-and-Chain-sml-252x300

۱. اطلاعات ورودی پیش‌فرض وردپرس را پاک کنید !

اطلاعات پیش‌فرض هر نرم‌افزار و سیستمی یک هدف ساده برای هکران است !

در وردپرس شما باید اطلاعات پیش‌فرض ورودی مدیریت را پاک کرده و جایگزین کنید . به این صورت که ابتدا یک نام کاربری تازه با دسترسی مدیریت ایجاد کنید و بعد با نام‌کاربری تازه‌ای که ایجاد کردید وارد شوید و نام‌کاربری Admin را پاک کنید .

در نگارش‌های تازه وردپرس هنگام نصب و راه‌اندازی از شما نام‌کاربری و رمز عبور پرسیده می‌شود که بهتر است نام‌کاربری به جز Admin انتخاب کنید .

۲. برای خود لقبی انتخاب کنید !

روبوت‌های خلافکار معمولا در کدهای نوشته‌های شما به دنبال برچسب نویسنده می‌گردند تا نام کاربری ورودی به سایت‌تان را بیابند. ( چرا که معمولا کاربران نام نمایشی خود را معمولا نام کاربری خود قرار می‌دهند ) این یک روش بسیار موثر برای شیوه‌ی Brute Force است.

در محیط مدیریت وردپرس به بخش شناسنامه‌ی خودتان یا کاربران‌تان بروید و یک لقب به نمایه‌ی اضافه کنید و سپس در قسمت نمایش عمومی نام  یک نام به غیر از نام‌کاربری انتخاب کنید !

۳. یک برنامه زمان‌بندی شده برای پشتیبان‌گیری‌هایتان آماده کنید.

پشتیبان‌گیری منظم خیلی بهتر از پشتیبان گیری الابختکی‌ست ! در این شک نکنید ! در زمینه پشتیبان گیری افزونه‌های بسیاری در مخزن وردپرس موجود است که با یک جست‌وجوی کوچک می‌توانید به آن‌ها دسترسی پیدا کنید !

۴.کلیدهای امنیتی وردپرس !

وردپرس برای رمزنگاری کوکی‌های ذخیره‌شده یک سری کلید‌های امنیتی در اختیار کاربران قرار می‌دهد که این کلیدها به امنیت اطلاعات وردپرس کمک می‌کنند. برای دریافت کلیدهای تصادفی کافی‌ست به آدرس  https://api.wordpress.org/secret-key/1.1/salt بروید ! و با هر بار رفرش برگه ٬ کلیدهای تازه دریافت کنید و آن ها در پرونده wp-config.php و در قسمت زیر قرار دهید !

 

۵. تغییر پیشوند پیش‌فرض دیتابیس وردپرس

این مورد بیشتر به کسانی توصیه می‌شود که می‌خواهند وردپرس را به تازگی نصب و راه‌اندازی کنند. برای کسانی که سایت آن‌ها مدتی‌ست ایجاد شده توصیه نمی‌شود ! چرا که یک حرکت اشتباه سایت را به فنا می‌دهد اما به هر حال آموزش تغییر پیش‌وند را در بخش مقالات قرار خواهم داد .

CropperCapture10

حال برای کسانی که می‌خواهند به تازگی وردپرس را راه‌اندازی کنند به یاد داشته باشند که در هنگام نصب جادویی ! ( نه به صورت دستی ) نام جداول وردپرس از آن‌ها سوال می‌شود ! که نام جداول وردپرس چه چیزی قرار گیرد ! در حالت دستی نیز هنگامی که اطلاعات دیتابیس را در wp-config.php وارد می‌کنید کدی مانند زیر مشاهده می‌کنید :

که wp_ نام پیش‌فرض جداول دیتابیس وردپرس می‌باشند که بهتر است به جای wp مقادیر دیگری قرار دهید !

۶. خورجین وردپرس را سبک کنید !

نه تنها برخی از پوسته‌ها و افزونه‌ها ایمن نیستند بلکه باعث کاهش سرعت سایت‌ شما نیز می‌شوند پس پوسته‌ی سایت را به‌روز نگه‌دارید و افزونه‌های غیرضروری را غیرفعال و پاک کنید ! در انتخاب افزونه‌ها نیز دقت کنید !

۷. پرونده wp-config را منتقل کنید !

توجه کنید که پرونده wp-config.php شامل تمامی اطلاعات حیاتی وردپرس است ! شما می‌توانید این پرونده را به دایرکتوری قبل منتقل کنید ! در این صورت دیگر از بسیاری حملات در امان می‌ماند ! همچنین عمل دیگری که می‌توان انجام داد این است که دسترسی این پرونده را به ۶۰۰ تغییر دهید !

CropperCapture14

۸. افزونه‌ای قدرتمند در زمینه امنیت !

استفاده از افزونه برای افزایش امنیت و یا حفاظت از بخشی از سایت ایده جالبی نیست ! اما افزونه Limit Login Attempts یک افزونه ضروری است ! چرا که از ورودهای غیرمجاز بیش از حد ( یعنی زمانی که کاربر بیش از حد رمزعبور اشتباه وارد کند )  و حملات Brute Froce جلوگیری می‌کند .

۹. دسترسی پرونده‌ها و پوشه‌ها را بررسی کنید !

دسترسی پرونده و پوشه‌ها بستگی به میزبان شما دارند ! در موارد کمی مشاهده شده که کاربر نیاز به تغییر دسترسی‌ها داشته باشد ! ( دسترسی پرونده‌ها اصولا باید بر روی ۶۴۴ یا ۶۴۰ و دسترسی پوشه‌ها باشد بر روی ۷۵۵ یا ۷۵۰ باشد ) ! هیچوقت ٬ هیچوقت ( تاکید بیشتر ) دسترسی چیزی را بر روی ۷۷۷ قرار ندهید چرا که با این‌کار هکرها را به میهمانی دعوت کرده‌اید ! )

۱۰. نگارش وردپرس خود را مخفی کنید !

اگر نگاهی به سورس پوسته‌ی خود در مرورگر انداخته باشید نگارش وردپرس سایت‌تان را مشاهده می‌کنید ! هرچند دانستن نگارش وردپرس کمک چندانی به هکر نمی‌کند اما خب ما که نمی‌خواهیم به هکرها کمک کنیم چه یک ذره چه دو ذره ! پس با افزودن کد زیر به پرونده functions.php پوسته‌ی خود نگارش وردپرس خود را از دید همگان مخفی می‌کنیم : ( این کد نگارش وردپرس را هم از خوراک و هم از سربرگ سورس پوسته پنهان می‌کند )

 

۱۱. فعال‌سازی ورود ایمن !

اگر سایت شما یک گواهی ssl دارد٬ می‌توانید با کدها زیر در بخش مدیریت یا فقط در بخش ورود آن را فعال کنید ! توجه داشته باشید که برای استفاده و فعال‌سازی این گزینه سایت شما باید در حالت https در دسترس باشد !

اگر می‌خواهید فقط بخش ورود ایمن (ssl) باشد کد زیر را به wp-config.php اضافه کنید :

اگر می‌خواهید تمام بخش‌های مدیریتی را ایمن‌سازی کنید از کد زیر در wp-config.php استفاده کنید :

 ۱۲. به ربات‌های جستجو اجازه فوضولی بیش از حد ندهید !

ربات‌های بی‌همه چیز (!) گوگل می‌توانند در تمام بخش‌ها و پوشه‌های سایت‌تان بخزند و فوضولی کنند و اطلاعات به‌دست آمده را در موتور جست‌وجوی گوگل ثبت کنند و به این صورت خیلی از نشانی‌هایی که نمی‌خواهید از طریق یک جست‌وجوی کوچک در دسترس هکرها قرار می‌گیرد ! اما چاره چیست ؟ بسیاری از روبات‌های جست‌وجو از قوانین تعریف شده در robots.txt سایت‌تان پیروی می‌کنند که شما می‌توانید از طریق این پرونده تعیین کنید که در کدام بخش‌ها بخزند و در کجاها نخزند ! برای شروع کافی‌ست که یک پرونده robots.txt (ساختار txt) در شاخه‌ی اصلی سایت ایجاد کنید و کدهای زیر را در آن قرار دهید :

۱۳. نام‌نویسی کاربر تازه را غیرفعال کنید !

اگر یک وب‌لاگ کوچک دارید و یا یک سایت تک‌نویسنده دارید این بخش را از طریق تنظیمات همگانی غیرفعال کنید !

۱۴. اجازه ویرایش پوسته و افزونه را ندهید !

با استفاده از کدهای زیر دسترسی کاربران را برای ویرایش پرونده‌ها ( پوسته/افزونه ) و به‌روزرسانی آن‌ها از طریق محیط مدیریت وردپرس را محدود کنید !

 

۱۵. قوانین ساده برای htaccess.

نخست تعریفی از این پرونده (ویکی‌پدیا) :

htaccess مخفف “HyperText Access” است که به فارسی می توان آن را به “دسترسی توسط ابرمتن” ترجمه کرد. در حالت عادی اگر بخواهید تغییراتی در وب سرور ایجاد کنید باید به فایل های تنظیمات وب سرور اصلی دسترسی داشته باشید، اما این فایل راه انجام بعضی کارها و تغییرات در وب سرور شما را بدون نیاز به فایل های اصلی ایجاد می کند. فایل htaccess توسط وب سرورهای Apache و Litespeed استفاده می شود.

سپس٬ کاربرد :

فایل htaccess یک فایل متن کوچک اما پر قدرت است که بسیاری از جنبه های نحوه نمایش صفحات وبرا کنترل می کند. مانند انتقال کاربر به آدرس دیگر(redirect)، فعال کردن فشرده سازی فایل ها توسط سرور(gzip)، باز نویسی آدرس ها(rewrite urls)، فعال سازی کش مرورگر(leverage browser cache) و بسیاری دیگر را تنها با اضافه کردن چند خط کد به این فایل کوچک می توان انجام داد.

خب٬ برای دسترسی به این پرونده باید به درگاه FTP سایت خود متصل شده و به شاخه اصلی سایت‌تان بروید ! آن را باز کرده و کد های زیر را قرار دهید :

در جلسه‌ی بعدی کدهای بیشتری در اختیارتان قرار خواهیم داد .

۱۶. تا می‌توانید پاک کنید !

وردپرس پس از راه‌اندازی شامل یک سری افزونه٬ پوسته و یک پرونده readme.html است که به صورت پیش‌فرض در وردپرس قرار گرفته اند ! سعی کنید این پوشه‌ها و پرونده‌ها را پاک کنید ! و تا می‌توانید پوشه‌های وردپرس را از پرونده‌های زاید پاک نگه دارید !
این هم از جلسه‌ی دوم امنیت وردپرس٬ با اعمال این تکنیک‌ها می‌توانید وردپرس خود را در حد متوسط ایمن‌ کنید ! اما نگران نباشید یک جلسه‌ی دیگر باقی‌ست تا وردپرس خود را تا ۹۹٪ ایمن‌ کنید !
حرفه‌ای‌ها هم فقط چند ساعت دیگر صبر کنند تا جلسه‌ی پیشرفته‌ی امنیت وردپرس منتشر شود !
نویسنده : دانیال حاتمی

<<

>>

اگر این آموزش برای شما مفید بود با دوستان خود به اشتراک بگذارید



سفارش تبلیغات

گردآوری و تالیف : میترا رحیمی

بنیانگذار و نوسنده در مدرسه مجازی ایرانیان و سردبیر ماهنامه طراحی وب همچنین مدرس و مسلط به برنامه نویسی سمت سرور با PHP MVC و برنامه نویسی سمت کلاینت با html 5 , css3 , jquery , مبانی سئو و سیستم مدیریت محتوای وردپرس

خوراک خوشمزه و علمی روزانه
با وارد کردن ایمیلتون در فیلد روبرو آموزش های جذاب و vip دریافت نمایید

آموزش های مرتبط با این مطلب

دیدگاه های مخاطبین

لطفا تنها دیدگاه خود را در رابطه با این مطلب ارسال نمایید، سوالات را از طریق سامانه پرسش و پاسخ مطرح نمایید. سوالات در دیدگاه ها تایید نخواهد شد.

  • فرهاد

    سلام
    در قسمت ۷ با انتقال (کات کردن) فایل کانفیق به فولدر قبلی مشکلی برای سایت به وجود نمی آید ؟
    در قسمت ۱۱ وقتی من سایتم رو با https وارد می کنم به http منتقل میشه چطوری می تونم فعال کنم ؟

  • محمد امین

    ۴.کلیدهای امنیتی وردپرس !
    اینو متوجه نشدم یعنی چی؟ و چکار میکنه
    میشه توضیح بدین

    • میترا رحیمی

      سلام دوست عزیز
      همونطور که در مقاله ، جناب حاتمی اشاره کردند، کلیدهای امنیتی برای رمزنگاری کوکی ها بکار میره و کدهایی که از آدرس مذکور دریافت می کنید یونیک و منحصر بفرد هستند و مختص شما ایجاد می شوند کدهارو دریافت و در کانفیگ خودتون جایگزین کنید.
      موفق و پاینده باشید.

وبلاگ مدرسه

مختصری درباره ما
مدرسه مجازی ایرانیان در زمینه آموزش علوم و فنون طراحی و برنامه نویسی صفحات وب اعم از آموزش زبان های برنامه نویسی و کدنویسی و همچنین آموزش طراحی گرافیک توسط نرم افزارهای گرافیکی پیکسلی و برداری فعالیت دارد .
ورود به وبلاگ

مدرسین مدرسه

  • حسین همت یار

    حسین همت یار

    مدرس ، طراح رابط کاربری وب و موبایل با 8 سال سابقه ی فعالیت حرفه ای

سوابق کامل

آخرین پرسش و پاسخ ها

آخرین پرسش و پاسخ ها
شما هم سوالی دارید ؟