0

چگونه امنیت وردپرس را افزایش دهیم!

 
samsam
samsam
کاربر طلایی1
تاریخ عضویت : بهمن 1387 
تعداد پست ها : 50672
محل سکونت : یزد

چگونه امنیت وردپرس را افزایش دهیم!

 

 

1x1.trans چگونه امنیت وردپرس را افزایش دهیم!تقریبا یک ماهی می‌شود که از حمله هکرها به WordPress می‌گذرد. شرکت web Hosting بیان کرد که این مشکل به دلیل قدیمی بودن ورژن WordPress بوده است. شرکت همچنین بیان کرد هیچ پسوردی دزدیده نشده فقط هسته سرور دچار تداخل شده است. حال اگر از کاربرانی هستید که به امنیت اینترنتی خود اهمیت می‌دهید چندین راه برای افزایش امنیت به شما پیشنهاد می‌شود که به آنها نگاهی می‌آندازیم.

۱ ) ورود از طریق ایمیل

وقتی برای اولین بار وردپرس را نصب می‌کنید، اولین کاربر admin بعنوان پیش فرض تعیین می‌شود. برای افزایش امنیت این کاربر را پاک کنید و یک کاربر جدید بسازید و یا اینکه خود را از Admin به نقش administrator تغییر بدهید. اگر این امکان هم برای شما ممکن نمی‌باشد می توانید از افزونه ایمیل وردپرس استفاده کنید. که با اضافه کردن این افزونه می‌توانید به جای نام کاربری از ایمیل برای وارد شدن استفاده کنید.

۲ ) ورژن وردپرس خود را از دیگران مخفی نگه دارید

سایت وردپرس دارای شماره ورژن می‌باشد و اگر هکر بفهمد که ورژن وردپرس شما از تاریخ گذشته است می‌تواند از نقطه ضعف‌های موجود در ورژن شما استفاده کند و اقدام به حمله کند.

۳ ) اجازه ندهید کسی در مسیر وردپرس شما چیزی بنویسید

وارد وردپرس لینوکس خود شوید و برای دیدن لیست مسیرهای باز دستور زیر را در ترمینال وارد کنید:

find . -type d -perm -o=w

همچنین برای تعیین اجازه مدیر به فایل‌های امنیتی دو دستور زیر را وارد کنید:

find /your/wordpress/folder/ -type d -exec chmod 755 {} \;
find /your/wordpress/folder/ -type f -exec chmod 644 {} \;

4 ) اسم tables Prefix وردپرس خود را عوض کنید

اگر وردپرس را با تنظیمات پیش فرض نصب کرده اید اسم Tableهای شما wp_post یا wp_user می‌باشد. منظور از Prefix همان wp_ اول می‌باشد. شما با افزونه تغییر Prefix می‌توانید آنها را تغییر دهید.

۵ ) جلوگیری از کاربران برای جستجو در مسیرها

این بسیار مهم است که دستور زیر را در htaccess. وردپرس واقع در مسیر Root خود اضافه کنید:

Options -Indexes

با اضافه کردن این دستور کاربران خارج از مدیر نمی‌توانند به این فایل دسترسی داشته باشند و html و یا php از آخر آدرس وب شما حذف می‌شود.

۶ ) کلید های امنیتی وردپرس را به روز کنید

به اینجا مراجعه کنید تا بتوانید شش کلید امنیتی برای وردپرس خود تهیه کنید. از مسیر وردپرس خود wp-config.php را باز کنید و کلید جدید را جایگزین قبلی کنید.

۷ ) پیام های اخطار وردپرس را بایگانی کنید

پیام‌های خطا بعضی مواقع می‌توانند کمک بزرگی به شما در داده‌های مخرب کند. در صورت مشاهده هر نوع خطایی می‌توانید به این لینک مراجعه کنید تا بدانید مشکل از کجاست. برای بایگانی پیام‌های خطا فایل wp-config.php را باز کرده و دستور زیر را اضافه کنید و در نظر داشته باشید که مسیر پیام‌های خطا /path/to/error.log می‌باشد:

define('WP_DEBUG', true);
if (WP_DEBUG) {
 define('WP_DEBUG_DISPLAY', false);
 @ini_set('log_errors', 'On');
 @ini_set('display_errors', 'Off');
 @ini_set('error_log', '/path/to/error.log');
}

9 ) پسورد گزاری بر روی پوشه های مدیر

همیشه این یک ایده خوبی می‌باشد که بر روی پوشه‌هایی که مدیر بر آن رسیدگی دارد پسورد تعیین شود. از این رو اگر کاربری بخواهد بدن اجازه وارد بخشی شود با پسرد مواجه می‌شود. از طرف دیگر اگر کسی پسورد هم داشته باشد باید برای وارد شدن پسورد را دوبار وارد کند.

۱۰ ) ردگیری فعالیت‌های کاربران بر روی سرور

شما می‌توانید با استفاده از دستور last -i لیست تمام کاربران وارد شده به وردپرس خود بعلاوه IP آنها را مشاهده کنید. اگر IP مشکوکی در لیست مشاهده کردید بدانید وقت آن رسیده که پسورد خود را عوض کنید. اگر به دنبال فعالیت‌ها دوره ای کاربران هستید می‌توانید از دستور زیر برای مشاهده آن استفاده کنید:

last -if /var/log/wtmp.1 | grep USERNAME | awk '{print $3}' | sort | uniq -c

وردپرس خود را با افزنه تحت نظر داشته باشید

منبع WordPress.org  دارای چندین افزونه امنیتی خودب می‌باشد که به شما کمک می‌کند وردپرس خود را در طی سپری شدن زمان تحت نظر داشته باشید.

۱ ) Exploit Scanner این افزونه در سریع ترین زمان ممکن وردپرس شما را اسکن می‌کند و در صورت مشاهده کد، لینک یا فایل مشکوک آن را به شما گزارش می‌دهد.

۲ )WordFence Security  این یک افزونه امنیتی بسیارقوی است که پیشنهاد می‌شود حتما از آن استفاده کنید. این افزونه فایل‌های موجود در هسته وردپرس را با فایل‌های پیش فرض هسته مقایسه می‌کند و اگر تغییر کرده باشد تغییرات را به شما گزارش و در صورت نیاز مشکل را حل می‌کند.

۳ ) WordPress Sentinel یکی دیگر از افزونه‌هایی امنیتی همانند WordFence Security می‌باشد اما این افزونه به این صورت کار می‌کند که می‌آید هسته وردپرس را تحت نظر می‌گیرد و در صورتی که فایلی به آن اضافه شود آن را برای شما گزارش می‌دهد.

۴ ) WP Notifier اگر زیاد به وردپرس وارد نمی‌شوید این افزونه مخصوص شما می‌باشد. این افزونه در صورتی که به روز رسانی جدید صورت بگیرد در طی یک ایمیل خبر را به دست شما می‌رساند.

۵ ) VIP Scanner افزونه اصلی این برنامه تم وردپرس شما را برای مشاهده خطا اسکن می‌کند. همچنین اگر کد تبلیغاتی به تم تزریق شده باشد آن را حذف خواهد کرد.

شما می‌توانید از دستور زیر در لینوکس برای مشاهده تغییرات سه روز قبل وردپرس استفاده کنید:

find . -type f -mtime -3 | grep -v "/Maildir/" | grep -v "/logs/"

صفحه ورودی وردپرس خود را امن کنید

۱ ) Password Protect with .htaccess این فایل حاوی اطلاعاتی مهمی از جمله نام کاربری و رمز عبور می‌باشد که پیشنهاد می شود برای آن پسورد تعیین کنید.

۲ ) Google Authenticator این افزونه معتبر دو مرحله تایید برای ورود به وردپرس تعیین می‌کند. مرحله اول پسورد وردپرس شماست و مرحله دوم کد امنیتی است که از طریق جی میل به شما ارسال می شود.

۳ ) Login Dongle این افزونه به صفحه ورودی شما سوال امنیتی اضافه می‌کند که کاربر باید آن را از قبلا تعیین کرده باشد. سوالی همانند: نام فرزند اول شما چیست؟

 

سه شنبه 31 مرداد 1391  1:39 AM
تشکرات از این پست
دسترسی سریع به انجمن ها