تبلیغات
::. Www.Asistant.iR |دانلود نرم افزار | آموزشی | Best Download | Download Center .::

آمار

بازدید امروز:
بازدید دیروز:
بازدید این ماه :
بازدید ماه قبل:
بازدید کل :


7 ترفند برای حفاظت وردپرس در مقابل هکر ها

تاریخ : دوشنبه 7 بهمن 1387 | ارسال شده توسط : مهرداد ترکمندی |

سیستم وردپرس از جمله سیستم هایی است که در حالت عادی از ثبات خوبی برخوردار است و نکات امنیتی همیشه در آن لحاظ می شود ولی به علت پر استفاده بودن این سیستم ، همیشه مورد توجه هکر هاست. مواردی در این مقاله ذکر می شود که با انجام آنها می توانید از وردپرس خود به شکل بهتری در مقابل هکر ها حفاظت کنید.
در ادامه هر مورد را یک به یک بررسی می کنیم:
1- نسخه وردپرسی را که از آن استفاده می کنید، مخفی کنید :
یکی از اشتباهات کاربران این است که نسخه وردپرس خود را در معرض دید قرار می دهند. در این حالت اگر شما نسخه وردپرس خود را به روز نکرده باشید در معرض خطر هستید چون هر کسی می تواند نسخه وردپرس شما را ببیند. به طرق مختلف می توان نسخه وردپرس را مخفی کرد. در حالت عادی نسخه ورد پرس در داخل کد HTML صفحه index قابل مشاهده است.

سیستم وردپرس از جمله سیستم هایی است که در حالت عادی از ثبات خوبی برخوردار است و نکات امنیتی همیشه در آن لحاظ می شود ولی به علت پر استفاده بودن این سیستم ، همیشه مورد توجه هکر هاست. مواردی در این مقاله ذکر می شود که با انجام آنها می توانید از وردپرس خود به شکل بهتری در مقابل هکر ها حفاظت کنید.
در ادامه هر مورد را یک به یک بررسی می کنیم:
1- نسخه وردپرسی را که از آن استفاده می کنید، مخفی کنید :
یکی از اشتباهات کاربران این است که نسخه وردپرس خود را در معرض دید قرار می دهند. در این حالت اگر شما نسخه وردپرس خود را به روز نکرده باشید در معرض خطر هستید چون هر کسی می تواند نسخه وردپرس شما را ببیند. به طرق مختلف می توان نسخه وردپرس را مخفی کرد. در حالت عادی نسخه ورد پرس در داخل کد HTML صفحه index قابل مشاهده است.

برای حذف این شماره باید حداکثر دو فایل را ویرایش کنید. مورد اول در داخل فایل header.php است که باید به دنبال این خط از کد بگردید:
کد PHP:
<meta name="generator" content="WordPress <?php bloginfo('version'); ?>" />
که باید این خط را به این شکل تغییر دهید :
کد PHP:
<meta name="generator" content="WordPress" /> 
بعضی از قالب ها این شماره نسخه در دو جا نمایش داده می شود. برای حذف شماره نسخه در مکان دوم باید این کد را به فایل function.php موجود در داخل پوشه theme اضافه کنید:
کد PHP:
<?php remove_action('wp_head''wp_generator'); ?>
از این طریق می توانید مطمئن باشید که شماره نسخه wordpress شما برای عموم قابل مشاهده نیست. احیانا اگر شماره نسخه وردپرس در قالب شما هم به نمایش در می آید ، می توانید با ویرایش آن بخش، شماره نسخه را حذف کنید.
مورد دیگری نیز پاک کردن فایل readme.html از روت است. متاسفانه اغلب کاربران آن فایل را در همان بخش باقی می گذارند در حالی که اصلا هیچ احتیاجی به قرار دادن این فایل بر روی سرور نیست. شما می توانید آدرس این فایل رو در نوار آدرس تایپ کنید، اگر این فایل بر روی سرور موجود باشد، برای شما نمایش داده خواهد شد و شما شماره نسخه کاربر را خواهید دید . به عنوان مثال:
[برای مشاهده لینک لطفا ثبت نام کنید . ]
به جای example نام سایت مورد نظر را قرار دهید. خواهید دید که بسیاری از کاربران ورد پرس این فایل را از روی سرور خود حذف نکرده اند !!

2- دایرکتوری هایی که صفحه index ندارند ، می توانند مشکل ساز شوند !
در حالت عادی برخی از پوشه های وردپرس حاوی فایل Index نیست و هر کس می تواند داخل آن پوشه ها را ببیند. یکی از این پوشه ها، پوشه plugin است. به این تصویر دقت کنید.

این تصویر دایرکتوری plugin یکی از دوستانیست که از ورد پرس استفاد می کند. به علت اینکه این صفحه حاوی فایل Index.html نیست ، هر کس میتواند محتوای آن را ببیند و از این طریق می تواند پلاگین هایی را که شما استفاده می کنید را دیده و نسخه آن را نیز ببیند. این یک ضعف امنیتی بزرگ است.
برای رفع این مشکل دو راه وجود دارد. راه حل ساده این است که یک فایل Index.html بسازید و داخل دایرکتوری پلاگین قرار دهید و شیوه دوم و اصولی تر این است که دستوری را به فایل htaccess. موجود در root اضافه کنید تا هر کس سعی کرد ، دایرکتوری هایی را که صفحه index ندارند را ببیند، به صفحه پیغام خطای 404 هدایت شود. برای این کار باید این خط را به آخر فایل htaccess. خود اضافه کنید
کد PHP:
# Prevents directory listing
Options -Indexes 
بعد از اضافه شدن این دستور دیگر کسی نمی تواند محتوای دایرکتوری هایی که ایندکس ندارند را ببیند. به عنوان مثال می توانید دایرکتوری پلاگین همین وبلاگ در آدرس [برای مشاهده لینک لطفا ثبت نام کنید . ] را چک کنید.
3- نسخه وردپرس را همیشه به روز نگه دارید
سعی کنید همیشه نسخه وردپرس ، پلاگین ها و قالب های خود را به روز نگه دارید. اگر از نسخه 2.6 استفاده می کنید، به روز کردن پلاگین ها برای شما به سادگی امکان پذیر خواهد بود و به روز رسانی خودکار وردپرس نیز از نسخه بعدی به وردپرس اضافه خواهد شد ولی در حال حاضر نیز می توانید با نصب [برای مشاهده لینک لطفا ثبت نام کنید . ] می توانید این قابلیت را در اختیار داشته باشید.
4- سطوح دسترسی (premissions) را به درستی تنظیم کنید
هیچ گاه و تحت هیچ شرایطی بر روی هاست های اشتراکی ، پرمیشن هیچ پوشه ای را بر روی 777 قرار ندهید چون افراد دیگری که بر روی همان هاست هستند می توانند فایل هایی را به آن پوشه آپلود و اجرا کنند. برای پوشه ها در نهایت از می توانید از پرمیشن 755 استفاده کنید و برای فایل ها نیز از پرمیشن 644 استفاده کنید.
5- دسترسی به پوشه wp-admin را محدود کنید
اگر دسترسی ها را به این پوشه محدود کنید ، به میزان زیادی امنیت سیستم خود را افزایش داده اید. این پوشه را به دو شکل می توان محدود کرد. شیوه اول محدود کردن دسترسی به این پوشه با استفاده از فایل htaccess. و آدرس IP است. این شیوه فقط زمانی کاربرد دارد که شما از IP Static استفاده می کنید. بیشتر کاربران ایرانی از ip های داینامیک استفاده می کنند و این شیوه برای آنها مناسب نیست ولی اگر احیانا کسانی باشند که از آی پی استاتیک استفاده می کنند، کافیست که داخل پوشه wp-admin یک فایل htaccess. بسازند و این تکه کد را داخل آن قرار دهند:
کد PHP:
order deny,allow
deny from all
# allow my home IP address
allow from XX.XX.XXX.XXX
# allow my work IP address
allow from XX.XX.XXX.XXX 
به جای X ها باید آدرس آی پی خود را قرار دهند. می توانید به تعداد دلخواه به آدرس آی پی اضافه کنید و تنها همین آدرس ها می توانند به آن پوشه دسترسی داشته باشند و باقی افرادی که سعی داشته باشند وارد دایرکتوری wp-admin شوند، به صفحه پیغام خطای 404 هدایت می شوند.
افرادی که از آدرس های IP داینامیک استفاده می کنند می توانند پوشه wp-admin را پسورد گذاری کنند. با استفاده از قابلیت موجود در داخل CPanel هاست خود می توانید این کار را به راحتی انجام دهید.
توجه: شخصا موفق نشدم که پوشه wp-admin را بر روی یکی از سرور هایی که از آن استفاده میکنم ، پسورد گذاری کنم. به نظر میرسد تحت شرایط خاص و در صورت فعال بودن rewrite rule های مربوط به پیوند های یکتا ( permalinks ) این قابلیت به درستی کار نمی کند و شما در هر حالت به صفحه 404 هدایت می شوید. این مورد را در فورم پشتیبانی وردپرس سوال کردم ام. در صورت به نتیجه رسیدن ، راه حل را در همین بخش قرار خواهم داد.
6- پسورد های خود را مطمئن و طولانی انتخاب کنید
یکی از دلایل اینکه سایت ها به راحتی هک می شوند استفاده از کلمات عبور ساده و قابل حدس است. برای جلوگیری از هک شدن همیشه سعی کنید که پسورد های طولانی که مخلوطی از حروف ، اعداد و نشانه هاست را انتخاب کنید. همچنین می توانید با نصب پلاگین هایی همچون [برای مشاهده لینک لطفا ثبت نام کنید . ] جلوی افرادی را که سعی دارند با امتحان پسورد های مختلف وارد بخش ادمین سایت شما شوند را بگیرید. این پلاگین آدرس های IP را ثبت می کند و اگر کاربری با یک آدرس آی پی تعداد دفعات خاصی ، پسورد را اشتباه وارد کند برای دقایق مشخصی دیگر به او اجازه وارد کردن کلمه عبور را نخواهد داد.
همچنین سعی کنید که username وارد شدن به بخش ادمین را که به شکل پیش فرض admin است را تعویض کنید. در حالت پیش فرض این یوزنیم admin است و نیمی از زحمت هکر برای وارد شدن به بخش ادمین را کم کرده است. حتما این کلمه را تغییر دهید.
[شیوه تغییر کلمه عبور admin را فراموش کرده بودم که بنویسم. ممنون از دوستان که در کامنت ها این نکته را یادآوری کردند]
برای تغییر کلمه عبور admin می توانید از phpmyadmin موجود بر روی هاست خود استفاده کنید ولی اگر تا به حال با این برنامه کار نکرده اید می توانید از پلاگین [برای مشاهده لینک لطفا ثبت نام کنید . ] استفاده کنید. بعد از نصب این پلاگین و فعال کردنش ، به بخش کاربران مراجعت کنید، در این بخش گزینه change username به لینک های بالای همان بخش اضافه شده است. دقت کنید که بعد از تغییر کلمه عبور حتما باید یکبار logout کرده و دوباره login کنید.
7- جلوی ایندکس شدن احتمالی محتوای پوشه های wp رو بگیرید
موتور های جستجو می توانند محتوای پوشه های مختلف را جستجو کنند و بسیاری از حفره های موجود در سایت ها با استفاده از همین صفحات ایندکس شده در گوگل توسط هکر ها کشف می شوند. با اضافه کردن این یک خط به فایل robots.txt خود جلوی ایندکس شدن پوشه های wp را بگیرید
Disallow: /wp-
اگر در حال حاضر هیچ فایل robots.txt ای روی سرور خود ندارید، می توانید از این دستورات را در داخل یک فایل با نام robots و پسوند txt ذخیره کنید و بر روی root سرور خود قرار دهید
کد PHP:
User-agent: *
# disallow all files in these WordPress directories
Disallow: /wp-content/
Disallow: /wp-admin/
Disallow: /wp-includes/
Disallow: /wp-
# disallow all files in these directories
Disallow: /tag/
Disallow: /cgi-bin/
# disallow robots from parsing individual post feeds and trackbacks
Disallow: /feed/
Disallow: /trackback/
Disallow: */trackback*
# disallow any files that are stats related
Disallow: /stats*
Disallow: /about/legal-notice/
Disallow: /about/copyright-policy/
Disallow: /about/terms-and-conditions/
Disallow: /tag
Disallow
: /docs*
Disallow: /manual*
Disallow: /category/uncategorized*
# disallow files ending with the following extensions
User-agentGooglebot
Disallow
/*.php$
Disallow: /*.js$
Disallow: /*.inc$
Disallow: /*.css$
Disallow: /*.gz$
Disallow: /*.cgi$
Disallow: /*.wmv$
Disallow: /*.php*
Disallow: /*.gz$
Allow: /wp-content/uploads/
#disallow WayBack archiving site
User-agent: ia_archiver
Disallow: / 
این فایل حتی سایت شما را برای موتور های جستجو نیز بهینه می کند و اجازه ایندکس شدن محتوای بدون استفاده سایت شما را به موتور های جستجو نمی دهد.
البته شیوه های دیگری نیز برای حفاظت بیشتر در دسترس است که احتیاج به کمی دانش فنی دارد. به عنوان مثال می توانید prefix تیبل های بانک اطلاعاتی وردپرس خود را تغییر دهید که البته این کار با نسبت پلاگین نیز امکان پذیر است. افرادی که با SQL injection قصد هک کردن سایت را داشته باشند اگر prefix دقیق را ندادند، کاری نمی توانند انجام دهند از این رو تغییر prefixدهد.


موضوعات

آموزش هک- سایت (2)

آموزش هک- بلاگ (1)

آموزش هک- آیدی (2)

آموزش هک- سیستم عامل (2)

نرم افزار - هک (1)

آموزش نرم افزار- هک (1)

هک- مقدماتی (2)

هک- حرفه ای (1)

دانلود- نرم افزار های کمیاب (5)

دانلود- نرم افزار های کم حجم (4)

دانلود- نرم افزار های حجیم (3)

دانلود- نرم افزار های کاربردی (7)

دانلود- بازی های فلش (1)

دانلود- بازی های اکشن (1)

دانلود- بازی های فکری (2)

دانلود- بازی های کم حجم (2)

دانلود- بازی های حادثه ای (2)

دانلود- بازی های جذاب (3)

کد- تقلب بازی ها (2)

کرک- بازی ها (1)

دانلود- فیلم های هالیوودی (2)

دانلود- فیلم های بالیوودی (1)

دانلود- فیلم های ایرانی (4)

دانلود- فیلم های خارجی (3)

دانلود- کتابهای الکترونیک (1)

كدهای جاوا (7)

قالب- بلاگفا (1)

قالب- میهن بلاگ (6)

قالب سایر سرویس دهنده ها (1)

قالب- لینك باكس (3)

قالب-فروشی (2)

آموزش- وبلاگ نویسی (14)

ابزار- وبلاگ نویسی (17)

آموزش- html (4)

تم- موبایل (4)

بازی- موبایل (7)

نرم افزار- موبایل (4)

كلیپ و آهنگ موبایل (7)

معرفی- انواع گوشی (9)

عکس- مدل لباس مردانه (1)

عکس-مدل لباس زنانه (4)

عکس- مدل لباس بچه گانه (1)

عکس- هنرمندان ایرانی (3)

عکس- هنرمندان خارجی (3)

عکس- بالیوودی (3)

عکس- هالیوودی (13)

عکس- ورزشكاران ایرانی (1)

عکس- ورزشكاران خارجی (1)

عكس- جذاب و دیدنی (9)

موزیك- ایرانی (10)

موزیك- خارجی (1)

دعوت نامه- پرشین گیگ (2)

دعوت نامه- پارس اسپیس (2)

دعوت نامه- جی میل (2)

اخبار وبسایت (5)

اخبار دنیای كامپیوتر (5)

مطالب جذاب و خواندنی (28)

تبلیغات رایگان (3)

تبلیغات متنی (1)

تبلیغات گرافیكی (1)

جوک و اس ام اس (12)

ابزار - فتوشاپ (2)

جالب و دیدنی (12)

ترفند- ریجستری (4)

اخبار ورزشی (3)

ترفند- یاهو (7)

اخبار (13)

ترفند- موبایل (10)

ترفند کاربردی (2)

آموزش- فتوشاپ (6)

آموزش- فلش (2)

آموزش- اینترنت (8)

آموزش- كورل (1)

آموزش- اوتوكد (1)

آموزش- مایا (1)

آموزش - 3dsmax (3)

آموزش- برنامه نویسی (2)

آموزش- پریمیر (2)

آموزش- فرانت پیج (2)

آموزش- دریمویور (1)

آموزش- پی اچ پی (3)

آموزش- فری هند (1)

آموزش- كاربردی (9)

ابزار - فلش (2)

ترفند- ویندوز (8)

ابزار - ویندوز (19)

ابزار - اینترنت (16)

ابزار - 3dsmax (1)

ابزار - پریمیر (1)

ابزار - فشرده سازی (1)

ابزار - مولتی مدیا (7)

ابزار - یاهو (8)

ابزار - گرافیکی (11)

ترفند اینترنت (2)

ابزار - دانلود (2)

ابزار - کاربردی (24)