امنیت وردپرس ؟؟؟

این تاپیک 19 پاسخ و 5 مشارکت کننده دارد . آخرین آپدیت توسط :  بهرام ،‏ 2 سال و 5 ماه پیش .

این تاپیک تاکنون 2401 بازدید داشته است .

نویسنده پست
چهار شنبه ، 18 ژوئن 2014     11:22 ق.ظ #


کیانوش

Subscriber
4 پست1 تاپیک

با سلام خدمت تمامی کاربران سایت بزرگ سون لرن

من میخوام امنیت وردپرسمو بالا ببرم که امنیتش مثله سایت سون لرن بشه ... آیا کسی میتونه کمکم کنه ؟

یا خودش امنیت سایتمو بالا ببره یا آموزش های جماع و کاملی را در اختیارم قرار بده

 

با تشکر ....

1  تشکر
چهار شنبه ، 18 ژوئن 2014     11:38 ق.ظ #


کیانوش

Subscriber
4 پست1 تاپیک

آیا کسی نیست کمکم کنه :( ؟؟

1  تشکر
چهار شنبه ، 18 ژوئن 2014     1:05 ب.ظ #


طراحی سایت

Subscriber
28 پست3 تاپیک

با سلام یکی از مهم ترین راهکار ها , برای بالا بردن امنیت وردپرس که خود وب سایت رسمی وردپرس هم پیشنهاد کرده است پسورد گذاشتن بر روی فایل Wp-Admin.php است .

 

موفق و پیروز باشید

1  تشکر
چهار شنبه ، 18 ژوئن 2014     3:17 ب.ظ #


کیانوش

Subscriber
4 پست1 تاپیک

سلام برخی از این کارارو کردم دوست عزیز

رمز گذاری رو فایل wp-admin

اضافه کردن برخی از کد ها به include و wp-config و functions و ...

ولی میخوام یه جوری باشه مثله دانلود ها یا سون لرن هک نشه :(

 

کسی میتونه کمکم کنه ؟

1  تشکر
چهار شنبه ، 18 ژوئن 2014     4:37 ب.ظ #


طراحی سایت

Subscriber
28 پست3 تاپیک

[quote=27733]سلام برخی از این کارارو کردم دوست عزیز رمز گذاری رو فایل wp-admin اضافه کردن برخی از کد ها به include و wp-config و functions و ... ولی میخوام یه جوری باشه مثله دانلود ها یا سون لرن هک نشه کسی میتونه کمکم کنه ؟ [/quote]

سلام دوست عزیز , حرفتون کاملا غیر منطقی است , به هیج وجه امکان تضمین 100 درصدی امنیت یک وب سایت وجود نداره , بزرگ ترین وب سایت های ایران و جهان هم مثل :

yahoo.com
alexa.com
stackoverflow.com و همه سایت‌های مرتبط با آن

صفحه اصلی بانک سامان (sb24.com)
شاپرک (shaparak.ir) شبکه الکترونیکی پرداخت کارت شاپرک
سرویس ایمیل ملی شرکت پست mail.post.ir
مرکز ملی ثبت دامنه .ir در nic.ir
مرکز آپای شریف (cert.sharif.edu)
باشگاه خبرنگران صداوسیما yjc.ir
ایمیل دانشگاه تهران utservm.ut.ac.ir
ایمیل دانشگاه امیرکبیر webmail.aut.ac.ir
همراه اول (mci.ir)
خبرگزاری ictna.ir
خبرگزاری jahannews.com
سایت barnamenevis.org
سامانه دفاتر پیشخوان دولت dpd.ir
معاونت آموزشی وزارت علوم emsrt.ir (و wiki.emsrt.ir)
راهنمای جامع صنعت فناوری اطلاعات ictkey.ir
شبکه مجازی ایرانیان (hammihan.com)
بیمه معلم (bimegar.ir)
پایگاه خبری صراط (seratnews.ir)
میهمن میل (mihanmail.ir)
ایمیل ملی ایرانی وطن میل (vatanmail.ir)
میل سرا mailsara.ir
بانک رفاه refah-bank.ir
اینترنت بانک بانک رفاه (rb24.ir)
ایمیل همراه اول mail.mci.ir
فروشگاه اینترنتی سروش مدیا (soroush.tv)
کافه بازار (cafebazaar.ir)
سیبچه sibche.ir
فروشگاه اینترنتی فینال (final.ir)
سایت قطره (ghatreh.com)
شبکه اجتماعی هم‌میهن (hammihan.com)
زومیت (zoomit.ir)
شرکت آسیاتک (asiatech.ir)
صراط نیوز (seratnews.ir)
ممتاز نیوز (momtaznews.com)
بازی عصر پادشاهان (kingsera.ir)
درگاه خرید اینترنتی بلیط اتوبوس (payaneh.ir)
تلوبیون (telewebion.com)
تهران کالا (tehrankala.com)
سایت عقیق (aghigh.ir)
روزنامه کیهان (kayhan.ir)
سایت مسابقه امنیت سایبری اسیس (ctf.asis.io)

 حتی سایت دانلودها و ...

 

توسط خونریزی هک شدند , پس این نشانه این است هیچ وقت امکان تضمین 100 درصدی یک وب سایت وجود ندارد

 

 

موفق و پیروز باشید

2  تشکر
چهار شنبه ، 18 ژوئن 2014     11:30 ب.ظ #


رضا نصرالهی

Subscriber
201 پست8 تاپیک

سلام

این مطلب رو بخون

http://www.3zar.ir/?p=14921

اگه باز هم راضیت نکرد تو همین سایت یه پک هست خیلی بدر می خوره از اون هم دیدن کن.(البته یه هفته  هست مدیر سایتش سرش شلوغه سوال داشتی همین جا بپرس)

0  تشکر
پنجشنبه ، 19 ژوئن 2014     5:15 ب.ظ #


کیانوش

Subscriber
4 پست1 تاپیک

خب اینو میدونم که 100 درصد امنیت بالا نمیره .... ولی دوست عزیز امنیت از لحاظ دیداس ( ddos ) رو میخوام کسی بهم کامل یاد بده یا انجام بده
و بتونه امنیت سایت رو مانند سایت سون لرن طوری کنه که تقریبا هک نشه 😡

0  تشکر
پنجشنبه ، 19 ژوئن 2014     5:23 ب.ظ #


حسین محمدی

Subscriber
482 پست60 تاپیک

در مبحث امنیت در وردپرس بحث خیلی زیاده

مهمترین کاری که باید انجام بدید به شرح زیر هست:

حتما پیشوند جدولهاتون رو تغییر بدید و یک پیشوند بی معنی و غیرقابل حدس قرار بدید.
توی یکی از مقاله ها استاد آوند اشاره داشتند که ورژن وردپرس رو از توی متاتگ ها حذف کنید  که این کار با قرار دادن کد زیر در فایل functions.php امکان پذیره و حتی با استفاده از افزونه acunetix میتونید ورژن وردپرس رو از همه ی کاربر ها مخفی کنید علاوه بر اینکه این افزونه پیشنهاد های بسیار بهتری برای امنیت هم داره.

نام کاربری رو از admin به یک نام دیگر تغییر دهید و از نام نمایشی در وردپرس استفاده کنید و در ضمن کادر پیغام خطای ورود به وردپرس رو تغییر بدید با کد زیر که اون رو در فایل functions.php پوسته ی خودتون قرار میدید.

یه نکته دیگه هم خیلی مهمه به روز بودن افزونه ها و پوسته ها هست که به این نکته خیلی باید اهمیت داده بشه ضمن اینکه شما باید حواستون باشه که نسخه جدید پلاگین یا پوسته با ورژن وردپرستون سازگار باشه.
یه نکته دیگه جلوگیری از Directory Listening هست که به طور پیش فرض توی وب سرور ها فعاله یعنی مثلا یه کاربر با وارد کردن آدرس میتونه همه ی فایلهای اون دایرکتوری رو ببینه که این خیلی ضعف مهمی محسوب میشه و با استفاده از کد htaccess زیر میتونید از اینکار جلوگیری کنید

میتونید مسیر فایل wp-content رو تغییر بدید با استفاده از فایل wp-settings.php تغییر بدید با استفاده از ثوابت WP_CONTENT_FOLDERNAME و WP_CONTENT_DIR و... و درنهایت هم باید در wp-config.php یه تغییراتی انجام بدید.
محافظت از پوشه ی wp-admin و فایل wp-config.php که جای خود داره و با استفاده از cpanel  و بخش password protect directories میتونید روی پوشه ها و فایلهاتون پسورد بذارید.
روبات های brute force های زیادی برای صفحه wp-login نوشته شده که حمله ی brute force انجام میدن افزونه wp-limit-login-attemps کاربری رو که چند بار ورود ناموفق داشته رو بلاک میکنه که توسط ip این کار انجام میگیره و خیلی افزونه خوبی هم هست ولی یه مشکل اینه که روبات های brute force از ip های مختلفی استفاده میکنند تا حمله ی موفقی داشته باشند برای همین دو راهکار وجود داره:

استفاده از افزونه فوق العاده better-wp-security که اسم جدیدش شده ithemes security و این افزونه با استفاده از راهکارهایی امنیت وردپرس رو افزایش میده یکی از همین راهکارها جلوگیری از brute force است که از هر ip ای مثلا 10 لاگین ناموفق وجود داشت کلا صفحه wp-login بسته میشه و بجای فرم ورود یه error توی صفخه لاگین مینویسه و جالبتر اینه که به مدیر سایت با ایمیل تک تک جزئیات رو میفرسته .
استفاده از افزونه captcha هست که این افزونه خیلی خوب عمل میکنه...من یه روبات brute force وردپرس پیدا کردم و افزونه captcha رو روی صفحه لاگین فعال کردم و در لیست پسورد هایی که به برنامه دادم پسور اصلی رو هم نوشته بودم(دوستانی که در زمینه هک مطالعاتی داشتند می دونند منظورم چیه) و آدرس صفحه لاگین رو به روبات دادم شروع به حمله کرد وقتی به پسورد اصلی رسید باز ارور نوشت که این پسورد به همراه پسوردهای قبلی اشتباه هستند یعنی افزونه captcha کارش رو درست انجام داده ولی ناگفته نمونه که برای این روش هم راه دور زدن وجود داره.

داشتن backup از سایت و افزونه ها و دیتابیس هم که اهمیتش نزد شما آشکاره و نیازی به توضیح نداره.wp-db-backup در زمینه backup از دیتابیس خوب عمل کرده و علاوه بر backup دوره ای با مدت زمان معین میتونه backup رو به ایمیل شما ارسال کنه یا در هاست ذخیره کنه...

از کلیدهای امنیتی وردپرس استفاده کنید به این نشانی مراجعه کنید و کلیدها رو کپی کرده و در فایل wp-config.php قرار بدید (جای secret key های قبلی قرار بدید...)
اگه صفحه لاگین رو با پروتکل httpsهمراه کنید....دیگه فبها....
یه نکته دیگه اینه که ویرایش فایل های پوسته رو از طریق کنترل پنل وردپرس غیرفعال کنید زیرا ممکنه هکر مشخصات ادمین رو پیدا کنه و اولین کار برای اثبات هکس اینه که صفحه رو دیفیس کنه یعنی ظاهر صفحه رو تغییر بده برای اینکار شما باید این کد رو توی wp-config قرار بدید...

Wordfence Security رو از دست ندید بیشتر سایت های وردپرس از طریق آپلود شل هک میشن(دوستانی که مفاهیم هک رو میدونن متوجه میشن منظورم چیه) شل یه فایله که روی هر پوشه ای از طریق باگ های xss یا lfi یا rfi و.. آپلود میشه و امکان دسترسی به همه فایلها و پوشه ها و... رو فراهم میکنه البته امکانات دیگه ای هم داره...ولی مهمترینش اینه...این افزونه سایت شما رو برای وجود شل یا Liz0zoM اسکن میکنه مثلا شل های R57 و C99 رو تشخیص میده
اجازه ی آپلود هر فایلی رو به وردپرس ندید مثلا خود وردپرس آپلود swf رو به خاطر مسائل امنیتی محدود کرده که با یه فیلتر میشه این محدودیت رو برداشت.

موفق باشید.

2  تشکر
پنجشنبه ، 19 ژوئن 2014     5:30 ب.ظ #


حسین محمدی

Subscriber
482 پست60 تاپیک

[quote=27779]خب اینو میدونم که 100 درصد امنیت بالا نمیره .... ولی دوست عزیز امنیت از لحاظ دیداس ( ddos ) رو میخوام کسی بهم کامل یاد بده یا انجام بده
و بتونه امنیت سایت رو مانند سایت سون لرن طوری کنه که تقریبا هک نشه [/quote]

ddos رو کامل نمیتونید بوسیله خود هاست برطرف کنید مگر اینکه ip کاربران خارجی رو ببندید که این روش هم جلوی معدود حملاتی رو میگیره من جدیدا علاقه مند به هک شدم یه نرم اقزار ddos به نام loic رو دانلود کردم و با متد udp و پورت 53 (طبق گفته یکی از دوستان که گفتن خیلی خطرناکه) به یه سایتی که توی یه سرویس هاستینگ رایگان ساخته بودم حمله کردم تقریبا پس از مدتی به طور کلا نابود شد و suspend شد...به نظرم اگه حمله ی ddos براتون خیلی مهمه یا روی سایتتون حمله ای انجام شده  از Cloud Protection استفاده کنید که هزینه اش هم مناسبه...

موفق باشید.

1  تشکر
جمعه ، 20 ژوئن 2014     4:04 ب.ظ #


بهرام

Subscriber
263 پست84 تاپیک

[quote=27781]میتونید مسیر فایل wp-content رو تغییر بدید با استفاده از فایل wp-settings.php تغییر بدید با استفاده از ثوابت WP_CONTENT_FOLDERNAME و WP_CONTENT_DIR و... و درنهایت هم باید در wp-config.php یه تغییراتی انجام بدید.

محافظت از پوشه ی wp-admin و فایل wp-config.php که جای خود داره و با استفاده از cpanel و بخش password protect directories میتونید روی پوشه ها و فایلهاتون پسورد بذارید. [/quote]

ممنون حسین جان واقعا مفید و عالی بود. فقط میشه در مورد این دوتا بیشتر توضیح بدی. اولی رو که کلا نشد انجام بدم (یعنی متوجه نشدم که چه جوری)دومی هم سی پنل فقط رو پوشه قفل میذاره واسه فیا کانفیگ چه جوری پس بذاریم؟

0  تشکر
پست 1 تا 10 (از مجموع 20 پست)

برای پاسخ دادن به این تاپیک باید وارد سایت شوید .