واضح آرشیو وب فارسی:سایت ریسک: 11 نکته مهم برای افزایش امنیت Wordpress thE_Knight 01 اسفند 1389, 01:11سلام دوستان، امیدوارم که در حال سپری کردن ساعات خوشی باشید. -=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=- بعد از اینکه شما وقت و سرمایه ی خود را برای را اندازی یک بلاگِ با سیستم وردپرس صرف میکنید، وقت آن است که از آن محافظت کرده و ّسایت خود را در برابر افرادی چون نفوذگران، سود جویان و لامر ها ( :دی) امن سازید. وردپرس (Wordpress) یکی از برترین سیستم های مدیریت محتوای بلاگ میباشد و به صورت کدباز (Open Source ) در اختیار عموم قرار دارد. این بدین معناست که نفوذگران نیز میتوانند این سیستم را به راحتی تهیه و مورد آنالیز قرار دهند و آسیب پذیری های موجود را کشف کنند و از آن آسیب پذیری ها برای نفوذ به وردپرس شما نیز استفاده کنند. از سوی دیگر وردپرس دارای سیستم نصب پلاگین میباشد، به این معنا که شما میتوانید پلاگین های ساخته ی خود یا پلاگین های آماده را روی وردپرس خود نصب نمایید که در ادامه من تعدادی از پلاگین های پر کاربرد آن را برایتان نام میبرم. ========================================== »» نکات امنیتی 1. لیست پوشه ها و فایل ها نباید برای عموم قابل روءیت باشند.این که محتویات و لیست پوشه های سایت شما برای عموم قابل مشاهده و پیمایش باشد یک مشکل اساسی به حساب می آید. اگر آسیب پذیری وجود داشته باشد که از یک پلاگین بخصوص ریشه میگرد این لیست شدن پوشه ها به نفوذگر کمک میکند تا در کار خود راحت تر باشند. برای جلوگیری از لیست شدن کد زیر را درون فایل .htaccess خود قرار دهید. Options All -Indexes 2. توضیحات نسخه ی وردپرس را از متا تگ ها بردارید. اکثر قالب های وردپرس به طور پیش قرض نسخه ی فعلی وردپرس شما را نمایش میدهند که این اطلاعات نباید دست هر کسی بیافتد. این تگ درون فایل Header.php میباشد که نسخه ی وردپرس شما را نمایش میدهد، بهتر است آن را حذف کنید. <meta content="WordPress <?php bloginfo(�version�); ? />" name="generator" /> 3. به روز باشید. سعی کنید همیشه پلاگین، قالب و خود وردپرس را چک کنید تا به روز باشند. 4. به صورت هفتگی با ماهانه از سایت و از دیتابیس خود نسخه ی پشتیبان بگیرید (Backup) این امری مهم است که از اطلاعات خود نسخه ی پشتیبان تهیه کنید چه جداول دیتابیس، چه فایل ها. WordPress Database Backup plugin ( 2Fwp-db-backup%2F) این پلاگین از جدول های اصلی و مهم دیتابیس شما در وردپرس به صورت خودکار نسخه ی پشتیبان میگیرد. 5. از پروتکل FTP کمتر استفاده کنید. اگر فردی اطلاعات لاگ (Log) ارتباط ftp شما را داشته باشد (که بدون رمز نگاری میباشد) میتواند فایل ها و اطلاعات شما را در سایتتان مدیریت کرده و یا خرابکاری های بیشتری انجام دهد، سعی کنید که ارتباط FTP را کمتر انجام داده یا به جای آن از پروتکل هایی مانند SSH استفاده نمایند که در آن تمام اطلاعات به صورت رمزنگاری شده رد و بدل میشوند. 6. دسترسی به فایل wp-config.php را محدودتر کنید. این فایل شامل اطلاعات مهمی هم چون کلمه عبور و نام کاربری دیتابیس میباشد، پس از آن کمی بیشتر محافظت کنید. کد زیر باعث میشود تا دسترسی به فایل wp-config.php محدودتر شود و در صورتی که فردی از طریق مشکلات دیگر سایت ها به سرور وارد شده باشد، تا حدودی دسترسی به این فایل را سخت تر میکند. این کد را درون فایل htaccess. خود که در پوشه ی اصلی محل نصب وردپرس خود میباشد، اضافه کنید. <FilesMatch ^wp-config.php$>deny from all</FilesMatch> 7. پوشه های ورد پرس را برای موتور های جستجو محدود کنید. لزومی ندارد که تمام پوشه های ورد پرس ( که نام آنها با -wp شروع میشوند) برای موتور های جستجو قابل دسترس باشند. با فایل robots.txt آنها را محدود کنید ( این فایل را نیز در پوشه ی اصلی وردپرس قرار دهید) کافیست کد زیر را درون این فایل وارد کنید. Disallow: /wp-* 8. پوشه ی WP-Admin را محدود کنید اگر شما IP ثابت دارید، میتوانید پوشه ی WP-Amin را فقط برای همان IP قابل دسترس کنید، یعنی اگر فرد دیگری حتی با داشتن کلمه ی عبور و نام کاربری شما بخواهد به پوشه ی WP-Admin (که صفحه ی مدیریت وردپرس میباشد) وارد شود، با پیغام خطا مواجه میشود و نمیتواند به وردپرس شما دسترسی پیدا کند، مگر با IP خود شما. برای ایجاد محدودیت دسترسی برای IP های مشخص میتوانید یک فایل htaccess. دیگر درون پوشه ی WP-Admin بسازید و دستورات زیر را وارد آن کنید. order deny,allow deny from all allow from xx.xx.xx.xx allow from xx.xx.xxx.xxشماره ی IP های مورد نظر خود را به جای xx.xx.xx.xx قرار دهید. 9. از کلمه عبور ساده استفاده نکنید.کلمه ی عبوری را انتخا کنید که به سادگی قابل پیش بینی نباشند که با یک مهندسی اجتماعی ساده بشود آنها را پیدا کرد. این مقاله برای انتخاب کلمه عبور کمک شایانی میکند ( به زبان انگلیسی میباشد ) () 10. حذف پیشوند جدول های دیتابیس به طور پیش فرض نام تمامی جداول وردپرس پیشوند wp دارند. شما میتوانید به راحتی آنها را تغییر دهید تا برای حدس زدن مشکل باشد. برای این کار یک پلاگین کاربردی وجود دارد که میتوانید در لینک زیر توضیحات بیشتر را مشاهده کنید WP-Security-Scan ( lugins%2Fwp-security-scan%2F) 11. حساب کاربری Admin را استفاده نکنید ( بهتر است که به کل آن را حذف کنید) وقتی که شما وردپرس را نصب میکنید به طور پیش فرض یک حساب کاربری با دسترسی تمام و کمال با نام Admin ساخته میشود، برای جلوگیری از اینکه نفوذگر بتواند آن را حدس بزند یا آن را Brute Force کند، توصیه میشود مه این حساب کاربری را حذف کنید. یا دسترسی های آن را محدود کنید. حتی میتوانید نام آن را با استفاده ار پلاگین زیر تغییر دهید. Change Username Plugin ( lugins%2Fwpvn-username-changer%2F) =¤=¤=¤=¤=¤=¤=¤=¤=¤=¤=¤=¤=¤=¤=¤=¤=� � منبع: تیم امنیتی سپهر () سایت ما را در گوگل محبوب کنید با کلیک روی دکمه ای که در سمت چپ این منو با عنوان +1 قرار داده شده شما به این سایت مهر تأیید میزنید و به دوستانتان در صفحه جستجوی گوگل دیدن این سایت را پیشنهاد میکنید که این امر خود باعث افزایش رتبه سایت در گوگل میشود
این صفحه را در گوگل محبوب کنید
[ارسال شده از: سایت ریسک]
[مشاهده در: www.ri3k.eu]
[تعداد بازديد از اين مطلب: 179]