آموزش تامین امنیت وردپرس و جلوگیری از هک وردپرس
یکی از دغدغههای مهم مدیران وردپرسی تامین امنیت وردپرس هست که نمیشه به سادگی از کنار این موضوع عبور کرد. وردپرس به دلیل محبوبیتی که در بین سیستمهای سایت ساز داره همواره در معرض هک و نفوذ قرار داره که استفاده از وردپرس در بسیاری از سایتها هم باعث بیشتر و بیشتر شدن موضوع هک سایت وردپرسی شده است. از اونجایی که بحث امنیت یک چیز نسبی هست و نمیشه گفت یک سیستم امنیت کامل داره بنابراین لازمه از تمامی راهکارهای موجود برای افزایش امنیت در وردپرس استفاده کنید.
در این مقاله از پایگاه دانش میزبانفا قصد دارم به معرفی راههای تامین امنیت وردپرس بپردازم که با استفاده کردن از این روشها میتونید امنیت سایت خودتون را افزایش داده و از هر گونه نفوذ و هک در سایت تا حد بسیار بالایی جلوگیری کنید. پس اگر شما هم در امنیت سایتتون دچار مشکل شدید و از سوی برخی افراد مورد حمله قرار میگیرید تا انتهای این مقاله با ما همراه باشید تا با فعال کردن و اضافه کردن روشهای امنیتی که در این مقاله با هم مرور میکنیم امنیت وردپرس را افزایش دهیم.
نحوه تامین امنیت وردپرس و جلوگیری از هک وردپرس
زمانی که یک سایت هک شده و مورد نفوذ قرار میگیره کلیه اطلاعات موجود در سایت مورد سرقت قرار خواهد گرفت. در بدترین شرایط برخی افراد بعد از نفوذ بدون اینکه چیزی متوجه بشید با قرار دادن کدهای مخرب در بخشهای مختلف سایت کاری میکنند که اطلاعات سایت شما را به صورت دائمی استخراج کنند. در ظاهر همه چیز در سایت شما به درستی کار میکنه و مشکلی نمیبینید اما اطلاعات مهم سایت شما و کاربرانی که در سایتتون هستند مدام در حال درز کردن به جایی هست.
پس از همین ابتدا که شروع به نصب وردپرس میکنید لازمه کلیه روشهای افزایش امنیت وردپرس را به کار ببندید و از هک سایت و نفوذ در وردپرس جلوگیری کنید. از طرفی هم تامین امنیت یک سایت صرفا محدود به سیستم مدیریت محتوا نبوده و به هاست و سرور شما هم بر میگرده که باید در سطح بالایی از نظر امنیتی قرار داشته باشد. بنابراین در قدم اول سعی کنید از هاستی استفاده کنید که امنیت بالایی داشته باشد. در مقالات بعدی به نحوه افزایش امنیت در هاست هم خواهم پرداخت.
1. بهروز رسانی مداوم وردپرس
مهم ترین مسئله در تامین امنیت سایتهای وردپرسی به روز بودن ورپرس و افزونهها و قالبهایی هست که ازشون استفاده میکنید. تیم وردپرس مدام در حال افزودن قابلیتهای جدید و رفع مشکلات و باگهای امنیتی این سیستم مدیریت محتوا است. پس وقتی وردپرس آپدیت میشود باید در اولین فرصت اقدام به آپدیت وردپرس بکنید. برای افزونهها و قالبهای استفاده شده هم باید به همین ترتیب عمل کرده و آنها را آپدیت کنید.
2. بکآپ گیری منظم وردپرس
بعد از هک شدن یک سایت وردپرسی معمولا کدهای مخرب در سایت قربانی تزریق میشه که در اکثر مواقع شاید متوجه این مسئله نشوید. از سوی دیگه نمیشه به بک آپ گیری که میزبان شما تهیه میکنه زیاد مطمئن بود. چرا که برای چندین میزبانی این مشکل پیش اومده که به دلیل گرفتن هاردهای سرور توسط پلیس آلمان بسیاری از سایتها به صورت کامل از صفحه اینترنت محو شدند و برای مشتریان هم هیچ توضیحی قابل هضم نبوده و کلی زحمت که برای رشد یک سایت داشتند به خاطر سهل انگاری در بک آپ گرفتن توسط مدیران سایتها به باد رفت.
پس سعی کنید همیشه خودتون هم از سایت نسخه بک آپ تهیه کنید تا اگر مشکلات این چنین رخ داد یا سایت هک شد بتونید از فایل بکآپ برای اطمینان از سالم بودن کلیه فایلها موجود در سایت به ادامه فعالیت بپردازید. بک آپ گیری از سایت همواره بهترین انتخاب برای رفع مشکلات ناخوشایند در سایت است. که میتونید با استفاده از مقاله آموزش تهیه نسخه پشتیبان از پایگاه داده وردپرس با نحوه بک آپ گیری از دیتابیس وردپرس و فایلهای آن آشنا شوید.
3. افزایش امنیت فایل wp-config.php
فایل wp-config.php یکی از مهمترین فایلهای هر سایت وردپرسی است که اطلاعات دیتابیس در این فایل قرار دارد. بنابراین در حفظ اطلاعات این فایل باید دقت کافی را داشته باشید و با استفاده از هر ترفندی که میدونید دسترسی به این فایل را محدود کنید تا کسی جز خود شما قادر به مشاهده این فایل نباشد. در مقاله آموزش مدیریت فایل کانفیگ وردپرس به تعدادی از راهکارهای که هم میتونید از خود این فایل محافظت کنید و هم اینکه سایر کارهای امنیتی را روی وردپرس پیاده سازی کنید پرداختم که پیشنهاد میکنم از این موارد استفاده کنید.
4. افزایش امنیت فایل htaccess.
یکی دیگه از فایلهای مهم در وردپرس htaccess. هست که با استفاده از اون میشه کارهای مختلفی را روی هر سایت اعمال کرد. این فایل با استفاده از دستوراتی که میتونه اجرا کنه در محافظت از فایلها و پوشههای وردپرس نقش بهسزایی را داره که میتونید با استفاده کردن از دستورات فایل htaccess. امنیت سایت را افزایش دهید.
برای افزایش امنیت در وردپرس با htaccess. هم میتونید از دستوراتی که در مقاله آموزش کار با htaccess. در وردپرس به اونها پرداختم استفاده کنید.
5. افزایش امنیت پوشه wp-admin
پوشه wp-admin هم یکی از مهمترین پوشههای وردپرس هست که همونطور که از اسم این پوشه مشخصه کارهای مربوط به مدیریت پیشخوان وردپرس را به عهده داره که با دسترسی به این پوشه میشه به راحتی با تزریق کدهایی در فایلهای موجود در این پوشه به صورت کلی پیشخوان وردپرس را به هم ریخت. برای افزایش امنیت این پوشه میتونید از کارهایی مثل رمزگذاری روی پوشه wp-admin در هاست سی پنل استفاده کنید.
6. استفاده از رمز عبور قوی و سطح دسترسی
سادهترین راه و شایعترین روش برای هک و نفوذ در سایتهای وردپرسی به دلیل استفاده از رمز عبور سست به وجود میاد. موضوع استفاده نکردن از رمز قوی صرفا محدود به وردپرس نیست و اگر پیگیر اخبار فناوری بوده باشید، هر ساله گزارشات بسیار زیادی مبنی بر هک ایمیل کاربران منتشر میشه که در اون از رمزهای سست و معمولی استفاده کرده بودند.
انتخاب سطح دسترسی درست برای کاربران هم یکی دیگه از نکاتی هست که باید بهش توجه داشته باشید. معمولا در سایتهای زیادی که به صورت تیمی عمل میکنند بیشتر اعضای تیم دارای نقش کاربری مدیرکل هستند که همین مسئله باعث میشه امنیت وردپرس در خطر قرار بگیره. باید این نکته را به خاطر داشته باشید که هیچ لزومی نداره شما که تیم تشکیل دادید حتما باید همه اعضا دارای نقش کاربری مدیر کل باشند، چرا که لو رفتن رمز یکی از کاربران باعث میشه تا کل سایت هک بشه. کافیه یکی از اعضا که مسئولیت کدنویسی و طراحی بخش سایت را داره این نقش کاربری را داشته باشه و بقیه اعضای تیم از نقشهایی مثل نویسنده و ویرایشگر استفاده کنند.
7. افزایش امنیت صفحه ورود به وردپرس
صفحه ورود در وردپرس یکی از صفحات مهمی هست که نگهداری از اون هم برای جلوگیری از هک سایت و هم برای جلوگیری از حملات DDOS بسیار مهم و کلیدی هست. بنابراین با به وجود اومدن روشهای امنیتی مثل قرار دادن سوال امنیتی، استفاده از ورود دو مرحلهای گوگل و… این روشها هم به وردپرس راه باز کردند که استفاده کردن ازشون میتونه حسابی سایت را ایمن بکنه و در ادامه به معرفی برخی از این روشها میپردازم.
تغییر آدرس صفحه ورود به وردپرس
وردپرس به صورت پیشفرض از آدرس wp-login.php برای صفحه ورود استفاده میکنه که با مراجعه کردن به آدرس wp-admin هم به صورت خودکار به این صفحه هدایت خواهید شد. بنابراین اگر شخصی نام کاربری و رمز شما را بدونه به راحتی میتونه وارد پیشخوان وردپرس شده و کارهایی را در اون انجام بده. برای همین میتونید این آدرس و آدرس wp-admin را تغییر داده و از آدرس دلخواه استفاده کنید که در مقاله آموزش تغییر آدرس ورود به پیشخوان یا مدیریت وردپرس و آموزش تغییر آدرس ورود به مدیریت وردپرس به معرفی افزونهای برای این کار پرداختم.
محدودیت در تعداد دفعات ورود به وردپرس
وردپرس به صورت پیشفرض هیچ محدودیتی برای تعداد دفعات تلاش برای ورود در سایت قرار نداده. اما راهکاری وجود داره که میتونید تعداد دفعات را در ورود به وردپرس محدود کنید به طوری که اگر بیش از تعداد دفعات مشخص شده شخصی در صدد ورود به سایت بود برای مدت مشخص شدهای دیگه حتی با رمز و نام کاربری درست هم قادر به ورود در وردپرس نباشند. که در مقاله آموزش محدود کردن تعداد دفعات ورود در وردپرس به این موضوع پرداختم.
محدودیت در ورود با ایمیل در وردپرس
از نسخه 3 به بعد وردپرس قابلیتی به این سیستم مدیریت محتوا اضافه شد که علاوه بر نام کاربری بتونید با ایمیلی که دارید هم در وردپرس وارد شوید. بنابراین از اونجایی که با ایمیل استفاده شده با بسیاری از افراد در ارتباط هستید پس امکان نفوذ در سایت به ندونستن نام کاربری فراهم خواهد بود. برای غیرفعال کردن این قابلیت وارد هاست خودتون شده و سپس به مسیر /public_html/wp-content/themes/ مراجعه کنید. حالا وارد پوشه قالبی که ازش استفاده میکنید شده و قطعه کد زیر را در فایل فانکشن(functions.php) قالب قرار داده و ذخیره کنید.
remove_filter( 'authenticate', 'wp_authenticate_email_password', 20 );
بعد از قرار دادن کد بالا دیگه امکان ورود با ایمیل در وردپرس را نخواهید داشت و فقط با استفاده از نام کاربری میتونید وارد وردپرس شوید.
استفاده از کپچا وردپرس
یکی از راههای حمله به وردپرس با استفاده از تلاش برای ورود در سایت یا ارسال دیدگاه اسپم صورت میگیره که حتما هم لزومی نداره فرد وارد سایت بشه و بلکه هدف از این کار اینکه که مدام درخواستی به سایت شما ارسال شده و CPU و منابع هاست شما درگیر میشه و در نهایت سایت از دسترس خارج خواهد شد. برای جلوگیری از این کار میتونید از کپچا وردپرس استفاده کنید. استفاده از کپچا میتونه از نظرات اسپم هم جلوگیری بکنه که با استفاده از مقاله آموزش ساخت کپچا در وردپرس میتونید این امکان را در وردپرس فراهم کنید.
ورود دو مرحلهای گوگل در وردپرس
تقریبا دو سالی هست که گوگل برنامه Google Authenticator را برای فراهم کردن قابلیت ورود دو مرحلهای فراهم کرده است. در این پروژه دیگه نیازی نیست که حتما کد تایید برای ورود به اکانت را از طریق SMS روی شماره دریافت کنید، بلکه میتونید برنامه مخصوص اندروید و IOS را روی گوشی خودتون نصب کرده و کدهایی که به صورت خودکار در این برنامه تولید میشه را برای کد ورود استفاده کنید. این سیستم محدود به محصولات گوگل نیست و با استفاده از این قابلیت میتونید امکان ورود دو مرحلهای گوگل در وردپرس را هم فراهم کنید.
افزودن سوال امنیتی در صفحه ورود وردپرس
یکی دیگه از راههای افزایش امنیت در وردپرس استفاده از قابلیت سوال و جواب امنیتی است. در این روش هر کاربر میتونه با مراجعه به صفحه شناسنامه یکی از سوالات امنیتی را انتخاب کرده و با تعیین جواب وقتی اقدام به ورود در سایت میکنه تا زمانی که جواب تعیین شده را وارد نکرده قادر به ورود در وردپرس نخواهد بود. برای استفاده از این قابلیت هم میتونید از مقاله آموزش افزودن پرسش و پاسخ امنیتی در وردپرس استفاده کنید.
غیرفعال کردن پیغام خطاهای وردپرس
وقتی نام کاربری یا رمز عبور اشتباهی در صفحه ورود وردپرس وارد کنید پیام “نام کاربری xxx اشتباه است و یا شناسه معتبر نیست” نمایش داده میشود. هکر با توجه به پیام نمایش داده شده تشخیص میده که کدوم یکی از اطلاعات ورود اشتباه هستند و در نهایت بعد از یافتن یکی از اطلاعات درست میتونه روی مورد بعدی تمرکز کرده و در زمان کوتاهتری اقدام به هک سایت بکند.
// Remove error message on login screen add_filter('login_errors', create_function('$a', 'return null;'));
برای غیرفعال کردن این قابلیت کد بالا را در فایل فانکشن(functions.php) قالب خودتون قرار داده و ذخیره کنید.
8. مخفی کردن نام کاربری وردپرس
در اکثر قالبهای وردپرس وقتی روی نام نویسنده یک نوشته کلیک کنید به صفحه نویسنده هدایت خواهید شد که در اون نام کاربری نویسنده درست همان چیزی است که در آدرس نمایش داده میشود. بنابراین اگر میبینید که نیازی به این قابلیت ندارید میتونید چنین امکانی را از قالب خودتون غیرفعال کنید یا اینکه با استفاده از روشهای موجود آدرس صفحه نویسنده را بر اساس آیدی نویسنده تعیین کنید که نام کاربری نویسندهها مشخص نشه که در مقالات بعدی به معرفی این راهکار خواهم پرداخت.
# BEGIN block author scans RewriteEngine On RewriteBase / RewriteCond %{QUERY_STRING} (author=\d+) [NC] RewriteRule .* - [F] # END block author scans
با قرار دادن کد بالا در فایل htaccess. هاست خودتون میتونید صفحات مربوط به نویسندهها را در وردپرس به صفحه اصلی ریدایرکت کنید.
9. تغییر پیشوند جداول وردپرس
در حالت پیشفرض، وردپرس از _wp بهعنوان پیشوند جداول در پایگاه داده وردپرس استفاده میکنه. حالا در صورتی که هنگام نصب وردپرس اقدام به تغییر دادن آن نکرده باشید امنیت سایت شما از بخش دیتابیس کاهش پیدا خواهد کرد که لازمه اقدام به تغییر پیشوند جداول بکنید. برای این منظور میتونید از مقالههای آموزش تغییر پیشوند جداول وردپرس و آموزش تغییر پیشوند جداول وردپرس استفاده کنید.
10. استفاده از SSL در وردپرس
استفاده از پروتکل امن HTTPS این امکان را به سایت شما میده که کلیه دادهها در محیطی امن رد و بدل شوند. بنابراین با استفاده از SSL در وردپرس میتونید امنیت سایت را در حالتهای مختلفی افزایش دهید. پیشنهاد میکنم حتما از SSL استفاده کرده و امنیت وردپرس را بیشتر کنید.
11. غیرفعال کردن مشاهده پوشههای هاست
یکی از نکاتی که کاربران کمتر بهش توجه میکنند و بر اساس کانفیگ هاست ممکنه این قابلیت در هاست غیرفعال نشده باشه مرور پوشه ها در سایت است. Directory browsing میتونه توسط هکرها مورد استفاده قرار گرفته و فایلهای موجود در هر پوشه به راحتی بررسی شده و با پیدا کردن راههای نفوذ به راحتی سایت شما هک شود. این مورد به هینجا محدود نمیشه و افراد میتونند با پیدا کردن پوشههای شما فایلهای موجود در هاست را هم مورد سرقت قرار دهند. بنابراین لازمه این قابلیت را غیرفعال کنید. برای این منظور کارهای زیر را طی کنید.
- وارد هاست خود شده و به مسیر public_html مراجعه کنید.
- در نهایت فایل را ذخیره کنید.
12. غیرفعال کردن ویرایشگر قالب و افزونه
یکی از قابلیتهای وردپرس استفاده از ویرایشگر کد در پیشخوان وردپرس هست که در منوهای نمایش و افزونهها قرار داره و با استفاده از این دو منو به ترتیب میتونید به کلیه فایلهای قالب وردپرس و افزونه وردپرس دسترسی داشته و آنها را ویرایش کنید. اگر شخصی بتونه وارد پیشخوان وردپرس بشه به راحتی میتونه با وارد کردن کدهای مخرب کارهای خراب کارانه در سایتتون ایجاد بکنه که برای غیرفعال کردن این قابلیت میتونید به ترتیب زیر عمل کنید.
- وارد هاست خود شده و به مسیر public_html مراجعه کنید.
- فایل wp-config.php را که در ریشه هاست قرار دارد را انتخاب کرده و به صفحه ویرایش فایل مراجعه کنید.
- حالا قطعه کد زیر را در بخش define این فایل قرار داده و ذخیره کنید.
// Disallow file edit define( 'DISALLOW_FILE_EDIT', true );
بعد از قرار دادن کد بالا امکان ویرایش فایلهای قالب و افزونه از طریق ویرایشگر پیشخوان وردپرس غیرفعال خواهد شد.
13. غیرفعال کردن اجرای فایل PHP در وردپرس
هاست به شما این اجازه میده تا هر فایلی را در هر جایی قرار داده و با دستورات PHP هر کاری که میخواهید در سایت انجام دهید. برخی دایرکتوریها هستند که اصلا نیازی به اجرای فایلهای PHP در اونها نخواهید داشت که مهمترین این بخش پوشه uploads وردپرس هست که فایلهای چند رسانهای مثل تصویر، ویدئو، صوت و… در این مسیر قرار میگیرد. بنابراین لازمه اجرای دستورات PHP را در این مسیر با استفاده از روش زیر غیرفعال کنید.
- وارد هاست خود شده و به مسیر public_html/wp-content/uploads مراجعه کنید.
- یک فایل با نام htaccess. بسازید و کدهای زیر را در آن قرار دهید.
<Files *.php> deny from all </Files>
بعد از قرار دادن کد بالا در فایل htaccess. که در این پوشه قرار داره به صورت کلی امکان اجرای PHP در این مسیر غیرفعال خواهد شد.
14. غیرفعال کردن XML-RPC
فایل XML-RPC وردپرس امکان مدیریت از راه دور را در وردپرس خواهد داد که از جمله این موارد میشه به امکان استفاده از برنامه اندروید، برنامه ویندوز وردپرس یا سرویسهایی مثل IFTTT اشاره کرد. با استفاده از تابع system.multicall هکر میتونه همزمان 20 درخواست را به سایت ارسال کرده و اقدام به پیدا کردن رمز ورود در وردپرس بکنه که علاوه بر این امکان حملات DDOS هم از این طریق فراهم هست. پس بهتره با استفاده از مقاله آموزش غیرفعال کردن XML-rpc اقدام به غیرفعال کردن این قابلیت در وردپرس بکنید.
15. بررسی فعالیت کاربران در وردپرس
یکی دیگه از راههای امنیت وردپرس این هست که رفتار کاربران سایت خودتون را زیر نظر بگیرید. این رفتار میتونه توسط سیستم آمار گیر سایت و یا افزونهها صورت بگیره که در صورت شناسایی و مشکوک شدن به کاربری کافیه اکانت وی را غیرفعال کرده و یا نقش کاربری وی را برای جلوگیری از کارهای خرابکارانه محدود کنید. برای این منظور هم میتونید از مقاله آموزش مدیریت و کنترل فعالیت کاربران در وردپرس استفاده کنید.
تغییر دورهای رمز کلیه کاربران در وردپرس
معمولا کاربرانی که در سایت ثبت نام میکنند هیچ اقدامی برای تغییر دورهای رمز عبور خودشون انجام نمیدهند. این مشکلات برای هر سایتی زیاد شاید مهم نباشه و به چشم نیاد، اما برای سایتهای فروشگاه فایل که از ووکامرس یا افزونههای دیگه استفاده میکنند خیلی مهم هست. پس خودتون باید دست به کار شده و در بازههای زمانی چند ماهه کاری کنید که کاربران خودشون اقدام به تغییر رمز در وردپرس بکنند. در مقاله آموزش تغییر رمز عبور تمام کاربران در وردپرس به این مورد پرداخ
16. استفاده از افزونه امنیت وردپرس
افزونههای امنیتی مختلفی برای وردپرس ساخته شدهاند که امکان فراهم کردن قابلیتهای امنیتی را در وردپرس به شما خواهند داد. یکی دیگه از افزونههای امنیتی در وردپرس افزونه امنیت وردپرس iThemes Security هست که امکاناتی مثل بک آپ گیری خودکار از دیتابیس وردپرس را به شما میده که هر زمان سایت مورد حمله قرار گرفته بود بتونید با استفاده از نسخه پشتیبان وردپرس مشکلات را برطرف کنید.
سلام چگونه می تونم برای پوشه ها در سی پنل رمز بزارم ؟مثلwp-admin
سلام، میتونید از آموزش نحوه قرار دادن رمز عبور بر روی پوشه ها در سی پنل استفاده کنید. این کار به صورت ویدئویی و تصویری توضیح داده شده.
باسلام.بک آپ که تهیه میکنم گاهی بصورت فایل زیپ(چند کتاب روی هم) دانلود میشه گاهی بصورت فایل متنی(یک برگ کنار فایل) علت چیه ؟کدام درسته؟
سلام، لطفا بیشتر توضیح بدین که چه کاری میخواین بکنید و مشکل چی هست، متوجه نشدم!
خیلی ممنون خیلی جامع و کامل بود.
سلام وقت بخیر با این 16 موردی که زحمت کشیدید و گفتید چند درصد امکان هک نشدن سایت هست؟چون قراره یک سایت راه اندازی کنم که قراره فایل هایی به فروش برسه که واقعا یک تیم حرفه ای برای تهیه شون زحمت کشیدن.که اگه به سرقت بره واقعا تمام زحمات به باد میره
و اگه راه کارهای دیگه ای هم هست دوستان به اشتراک بذارن خیلی لطف میکنن
سلام
ممنون از اینکه کامل توضیح دادید
سوالم اینه که خب همه ی این روش ها برای تامین امنیت سایت لازمه اما بنظرتون اگه همه ی این 16 مورد اعمال بشه ورد پرس سنگین نمیشه؟
سلام روزبخیر؛
این موارد لایه های امنیتی رو به وردپرس شما اضافه میکنن اما تضمین امنیت 100 درصدی نیستند چون مبحث امنیت بسیار گسترده هستش حتی در اتخاب قالب و افزونه و سالم بودن کدهاش هم باید مانور بدید. از طرفی تعدد افزونه ها هم خودش یه مبحث امنیتی هست و هرچه این تعداد کمترباشه بهتره.
سلام و احترام.تشکر بابت پست عالیتون
در مورد محدودیت در ورود با ایمیل در وردپرس ، کدی که فرمودینو در انتهای فایل فانکشن قرار دادم ولی اعمال نشدو هنوز هم امکان ورود با ایمیل وجود دارد!
در مورد تغییر آدرس صفحه ورود به وردپرس هم با افزونه به مشکل خوردم آیا راهی هست که با گذاشتن کد به صورت دستی اعمال شود؟ راهنمایی کنید.
لطفا پاسخ بدین …ممنونم
سلام و خسته نباشید بنده افزونه Wordfence Security رو سایت نصب کردم و تنظیماتش رو هم کامل کردم بعدا افزونه رو پاک کردم ونتونستم دوباره به پنل کاربری در سایت برم بکاپی که از سایت داشتم رو ریستور کردم مشکل حل شد و دوباره سیستم رو خاموش کردم الان میخوام وارد پنل مدیریتی سایت بشم باز وارد نمیشه و هیچ اروری هم نمیده و به صفحه اصلی سایت میره!!!!
سلام وقتتون بخیر؛
یعنی صفحه به صورت مداوم رفرش و به بخش دیگری ریدایرکت میشده؟
رفع مشکل رفرش و ریدایرکت شدن صفحه لاگین وردپرس
dmt grm dsh amozshi ke khodad toma. Mifroshno. Raygan dar ekhtiar melat mizarii
سلام سایتتون واقعا عااالیه همه چیز هست و به صورت کامل توضیح داده شده
سلام
ممنون از اطلاعات مفیدتون
سوالی که خیلی ذهنمو مشغول کرده اینه که افزونه ها و قالبهایی که از سایتهای معتبر ایرانی تهیه میکنیم آیا ممکنه به دلیل بحث لایسنس ، اورجینال نباشند و باعث مشکل امنیتی در سایت ما بشن؟
سلام روزبخیر؛
باید در انتخاب منبع خرید افزونه بسیار دقت داشته باشید احتمال وجود افزونه نامعنبر در فروشگاه های اینترنتی وجود داره بر همین اساس باید با دقت زیادی خرید انجام بدید.
سلام وقت بخیر.من کدی که که گفتید داخل فایل htaccess. استفاده کردم تا نام کاربری نویسنده نمایش داده نشه ولی هر کجای فایل htaccess. قرار میدم باز هم نمایش داده میشه.ممنون میشم راهنماییم کنید
مهندس سلام خیلی جامع و کامل بود. فقط لطفا بگید که با نصب و کانفیگ wordfence کدوم یکی از این موارد پوشش داده میشه و کدوما رو دستی انجام بدیم؟
سلام وقت بخیر.من کدی که که گفتید داخل فایل htaccess. استفاده کردم تا نام کاربری نویسنده نمایش داده نشه ولی هر کجای فایل htaccess. قرار میدم باز هم نمایش داده میشه.ممنون میشم راهنماییم کنید!!
مهندس سلام
با تشکر از مطالب خوبی که توی سایت share میکنید.
من یه سوالی داشتم
چطوری میتونم کاری کنم که قالبم توی inspect element توی بخش Sources دیده نشه؟
ممنون میشم اگه راهنمایی بفرمایید
سلام. من یه سایت وردپرسی دارم الان دیدم تو پوشه wp-content یک فولدر به نام mu-plugins و داخلش یک فایل با نام rms_unique_wp_mu_pl_fl_nm.php ایجاد شده. برنامه نویس نیستم لطفا کمک کنید. فایلش رو پیوست کردم.
من از چند نفر پرسیدم ولی جواب های متفاوتی گرفتم. یکی گفت مخربه، یکی گفت نگرانش نباش. تو سایت های خارجی هم گشتم نوشته بود افزونه های لازم الاجرا میاد تو این پوشه. اما کدهای داخلش لامصب یجوریه که انگار سایت رو دو دستی تقدیم هکره کردی.
اگر اطلاعی راجع بهش دارید، اینا سوالای منه.
آیا کد مخربه و یا یوزر و پسوورد رو ارسال میکنه ؟
آیا امکان داره مربوط به پلاگین ultimate member و قسمت بازیابی رمز عبور باشه؟
اگر کد مخربه، فقط با پاک کردن پوشه و تغییر یوز و پسوورد ادمین، مشکل حل میشه؟
(ضمنا اختلالی هم در سایت به وجود نیاورده)
خیلی ممنونم
سلام روزبخیر؛
نگران نباشید این یک دایرکتوری خاص برای نگهداری برخی افزونه ها هستش. با تغییر رمز لاگین مورد رفع نمیشه.
می تونید یک نسخه بکاپ از سایت و یک نسخه از این دایرکتوری تهیه و سپس پوشه mu-plugins رو حذف کنید. (دقت کنید با حذف افزونه هایی که در این پوشه قرار دارند، اون افزونه ها از پیشخوان هم غیرفعال و حذف میشن پس بهتره به پوشه pluginهاست منتقل بشن) به سایتتون مراجعه و بررسی کنید ایا اختلال یا مشکلی رخ داده یا خیر. اصولا مواردی که باید به صورت خودکار اجرا بشن در این دایرکتوری قرار می گیرن. که اگر نیازی به وجودشون نباشه باید حذف بشن.
همچنین میتونید راهنمای زیر رو مطالعه کنید تا از نگرانیتون کاسته بشه:
پوشه mu-plugins در وردپرس چیست
سلام من از افزونه دیجیتس استفاده میکنم آیا با وجود تایید موبایل آیا کد کپچا هم لازم هست ؟
توسعه دهنده افزونه هم به من گفتن که افزونه امنیتی باعث افت امینت سایت میشه – آیا این درسته ؟
سلام روزبخیر؛
در افزونه دیجیت قابلیت فعالسازی کپچا وجود داره و جزئی از امکانتش هست نیاز نیست افزونه مجزایی نصب کنید.
بله تعدد افزونه ها خودش میتونه مشکلات امنیتی رو در پی داشته باشه. هر چه تعداد افزونه ها کمتر باشه بهتره.
با سلام و احترام
تشکر بابت این مقاله کامل، جامع و ارزشمند
لطفا گزینه 11 را بیشتر توضیح دهید
با تشکر
سلام و احترام؛
در خصوص مورد 11 می تونید راهنمای زیر را مطالعه کنید.
آموزش نحوه غیرفعالسازی directory browsing وردپرس
اگر از سایتی توسط هکری کانفیگ ساخته شد (برنامه ای که میتونه ایمیل و پسوردهای زیادی را در سایت چک کند)باید چه اقدامی برای مقابله و از کار انداختن آن انجام داد؟
سلام روزبخیر؛
بهترین راهکار بررسی کدهای سایتتون هستش. آموزش زیر رو هم مطالعه کنید در صورت نیاز گاهی مجبوریم هسته وردپرس رو فرش کنیم.
از ابزارهای آنلاین برای بررسی صحت و سلامت کدهای سایت و قالبتون هم میتونید استفاده کنید.
افزونه هایی که بهشون مشکوک هستید رو غیرفعال کنید.
افزون نال استفاده نکنید. کدهای قالب رو کامل چک کنید.
از مشاورین امنیتی هم برای بررسی سایتتون کمک بگیری.
پاکسازی وب سایت هک شده بدون از دست رفتن اطلاعات
سلام. من کد محدودیت در ورود با ایمیل در وردپرس رو در functions.php قرار دادم. ولی کارنکرد و همچنان میتونم با ایمیل وارد بشم.
سلام روزبخیر؛
کد جدید در مقاله درج شد. قطعه کد زیر رو تست کنید:
سلام من کد “غیرفعال کردن پیغام خطاهای وردپرس” رو گذاشتم و کار میکنه. ولی وقتی رمز یا نام کاربری رو اشتباه میزنم. هیچ پیغام خطایی نشون داده نمیشه. من میخوام این پیغان خطا نشون داده بشه: نام کاربری یا ایمیل اشتباه است. چجوری اینکارو بکنم؟
سلام روزبخیر؛
قطعه کدی که درج کردید مانع نمایش پیغام خطا میشه.
خب میخوام مثلا پیغام خطای “اطلاعات وارد شده صحیح نیست” رو نشون بده. نه اینکه کلا هیچ پیغام خطایی نیاره
نصب افزونه wordfence و ithemes کنار هم مشکل ساز نمیشه؟
اگر مشکل ساز میشه کدوم رو پیشنهاد میکنید؟
سلام وقت بخیر؛
بهتر هست که افزونه هایی با عملکرد مشابه همزمان فعال نباشه.
طبق تجربه شخصی wordfence رو پیشنهاد میکنم.
سلام، اونجا که فرمودین آدرس wp-login رو تغییر بدیم برای جلوگیری از دیداس، خب بالاخره توی هر سایت یه قسمت داره نام نویسی و ورود که همیشه جلوی چشم کاربراس مثل “ورود / عضویت” که توی سایت خودتون، دیجیکالا و … وجود داره از اون طریق هم میشه وارد پنل مدیریت شد دیگه پس به چه صورته؟ این حرفم اصلا درسته و اگه آره از اون چطور میتونیم محافظت کنیم؟
با سلام دوست عزیز
منظور از تغییر مسیر، تغییر مسیر ورود به پیشخوان وردپرس است. بخش ورود/عضویت وب سایت ها به طور معمول یک صفحه مشخص هستند که با استفاده از افزونه های مختلفی مثل گرویتی فرم و… طراحی می شوند و با صفحه لاگین وردپرس تفاوت دارد. شما به منظور جلوگیری از هک شدن وب سایت خود یا مقابله با حملات دیداس می توانید آدرس صفحه لاگین پیشخوان وردپرس خود را به یک آدرس دلخواه تغییر دهید. بدین ترتیب فقط خودتان آدرس را دانسته و می توانید وارد صفحه مدیریت وب سایت خود شوید.
موفق و پیروز باشید
سلام امروز به یکباره داخل تمتمی فولدرها فایل .htaccess اضافه شد با محتوی
Order Allow,Deny
Deny from all
که اجازه دسترسی به پنل مدیریت و… را نمیداد
دوستان راهنمایی کنید چرا اینجوری شده و چیکار باید بکنم
سلام و احترام؛
از طریق فایل htaccess میتونید در خصوص محدود کردن دسترسی سایرین به فایل ها و محدود کردن آیپی اقدام کنید.
به عنوان مثال در قطعه کد زیر تنها ایپی 5.5.5.5 امکان مدیریت و مشاهده سایت رو خواهد داشت:
قطعه کدی که شما بهش اشاره کردید دسترسی تمامی افراد رو میبنده و باید حذفش کنید.
سلام خسته نباشید من یک سوالی داشتم برای افزایش امنیت من از کد;(define( ‘DISALLOW_UNFILTERED_HTML’, true برای فیلتر کردن htmlوjavascriptداخل پست ها و ابزارک ها استفاده می کنم ولی تاثیر نداره چون من داخل ادیتور پست ها و ابزارک ها html مینویسم مثلا از تگ h1 وقتی استفاده می کنم قشنگ متن منو بزرگ می کنه در حالی که باید با وجود این کد اصلا htmlعمل نکنه میشه در این باره راهنماییم کنید.
سلام و احترام؛
همین قطعه کد به فایل wp-config.php اضافه کنید و ببرسی روی تمام نقش ها تاثیرگذار خواهد بود؟
این محدودیت رو در تمام پست ها دارید؟
سلام یه افزونه ای آلوده به کد تبلیغات نوتیفیکیشن بود که حتی افزونه رو هم پاک کردم باز هم این تبلیغات نوتیفی میاد اکثر فایل های هاست رو هم چک کردم و بررسی کردم ولی نتونستم این کد مخرب رو پیدا کنم
باید چیکار کنم واقعا کلافم کرده؟
سلام و احترام؛
در این خصوص می توانید از طریق افزونه های امنیتی وضعیت کلی وبسایت خود را مرد ارزیابی قرار دهید بدین ترتیب موارد مشکوک اطلاع داده خواهد شد. همچنین می توانید سایت خود را از طریق ابزارهای آنلاین رایگان رصد نمایید در گام اخر نیز می توانید از یک مشاور امنیتی درخواست کنید تا کدهای وبسایت شما را بررسی و سایت را پاکسازی کنند چرا که ممکن است کدهایی به سایت تزریق شده باشد و شما از وجود انها بی اطلاع باشید.
شناسایی کدهای مخرب سایت
با سلام و درود وقت بخیر
ممنون بابت مطالب خوبتون.
متاسفانه متوجه شدم سایتم اخیرا مورد حمله قرار گرفته و یه سری صفحات هم ایندکس شده. من مجدد اقدام به نصب کردم و موارد امنیتی رو رعایت کردم.
میشه در مورد اون صفحات راهنماییم کنین که آیا راهکاری هست؟