سه ترفند سیستمی برای امنیت وردپرس
دراین جلسه از دوره آموزش امنیت وردپرس قصد داریم 3 مورد از ترفندهای سیستمی که با انجام آن میتوانید تا حد زیادی از هک شدن وبسایت خود محافظت کنید را خدمت شما آموزش دهیم.
اگر از ابتدای آموزش امنیت وبسایت وردپرسی با ما همراه بوده اید، میدانید که ما در این دوره، از افزونه قدرتمند iThemes Security که از بهترین پلاگین های امنیتی وردپرس است استفاده میکنیم . تاکنون چندین ماژول آن را برای افزایش امنیت و جلوگیری از هک و ورود هکرها و ربات های خرابکار با هم مرور کرده ایم.
دانلود نسخه اورجینال افزونه امنیتی iThemes Security
در این درس هم با فعال کردن ماژول System Tweaks و فقط با تیک زدن چند گزینه، امنیت وبسایتمان را بیشتر خواهیم کرد.
عدم اجازه دسترسی به فایل ها
منظور از سطح دسترسی به معنی میزان دسترسی کاربران و بازدیدکنندگان سایت به فایل ها و فولدرهای هاست است. بعضی از فایل های وردپرس به قدری اهمیت دارند که میبایست با هر ترفندی از آنها محافظت کنید . مانع دسترسی دیگران شوید. با این کار مطمئن خواهید شد که هکرها با وارد کردن کدهای مخرب در این فایل ها به سایتتان آسیب نمیزنند.
عدم اجازه مرور فایل ها
Directory Browsing به معنی مشاهده فایل ها و فولدرهای هاست توسط کاربران است. در واقع شما نباید به بازدیدکنندگان سایتتان اجازه مرور فایل ها و فولدرهای هاست خود را بدهید. Directory Browsing توسط هکرها مورد استفاده قرار میگیرد تا فایل ها را بررسی و راه نفوذ برای هک وبسایت را پیدا کنند. علاوه بر این افراد می توانند با پیدا کردن پوشه های شما، فایل های آن را به سرقت ببرند. اگر شما فایل هایی برای دانلود در هاستتان دارید، این موضوع اهمیت بیشتری پیدا میکند تا از سرقت فایل های دانلودی مراقبت کنید. بنابراین لازم است مرور فایل ها را غیرفعال کنید تا کاربران و بازدیدکنندگان فقط سایت شما را مشاهده کنند . به فایل های هاست دسترسی نداشته باشند.
بستن درخواست PHP در پلاگین ها
سومین راه نفوذ هکرها در وبسایت از طریق کدهای PHP پلاگین های نصب شده و تزریق کدهای مخرب و تخریب سایت است.
حالا برای فعال کردن هر 3 مورد، در پیشخوان وردپرس، منوی ” Security ßتنظیمات” را انتخاب و ماژول System Tweaks را فعال کنید.
سپس در صفحه تنظیمات افزونه گزینه های زیر را تیک بزنید.
- Protect System Files
- عدم دسترسی به فایل های html، readme.txt، wp-config.php، install.php، wp-includes و .htacsses را فعال کنید. چون این فایل ها اطلاعات مهمی را از سایت شما ارائه میدهند و عمومی نیستند.
- Disable Directory Browsing
- مشاهده و مرور فایلها توسط کاربران را محدود کنید.
- Disable PHP in Plugins
- دسترسی کاربران به فایل های PHP پلاگین ها را محدود و درخواست آنها را مسدود کنید.
با افزونه حرفه ای iThemes Security و ماژول های قدرتمندی که دارد، به راحتی میتوانید امنیت وبسایتتان را افزایش دهید. درصورتیکه بدون این افزونه هر کدام از این محافظت های سیستمی که در بالا گفتیم نیازمند صرف وقت زیاد داشت که احتمال خطا را هم بیشتر میکند
26 دیدگاه. Leave new
سلام چرا من گزینه System tweaks رو پیدا نمیکنم لطفا اگه میشه راهنماییم کنید ممنون
سلام وقت شما بخیر
در نسخه جدید آیتمز، در بخش تنظیمات پیشرفته وجود دارد.
با تشکر.
درود. وقت شما بخیر
ببخشید وقتی از طریق افزونه آیتمز directory browsing رو disable میکنیم در این صورت نیازی نیست برای هاست دانلود تیکت بزنیم که برامون غیر فعال کنن؟
باسلام خدمت شما
بصورت پیشفرض این گزینه جهت انجام همین کار در افزونه ارایه شده است اما اگر شما روزی افزونه را از سایت حذف کردید بایستی به این مورد دقت داشته باشید که پیشنهاد میشود به هاست نیز تیکت بزنید و بخواهید آنها نیز تنظیمات لازم را انجام دهند.
از حضور شما ممنونیم.
یه سوال داشتم الان این افزونه فقط فایل های html، readme.txt، wp-config.php، install.php، wp-includes و .htacsses میبنده آیا دیتابیس هم در چنین شرایطی امن میشه ؟ اخه من یه بار سایتمو یه نفر با 5 خط کد و یه حلقه و کوئری ساده تمام اطلاعات و جداول سایت حذف کرد با نصب این افزونه ممکن که از این مشکل جلوگیری بشه ؟؟
سلام بر شما ، وقت بخیر از حضور شما ممنونیم.
پیشنهاد ما برای امنیت کامل سایت شما ،استفاده از افزونه وردفنس است. افزونه را نصب نمایید وطبق آموزش افزونه وردفنس امنیتی تنظیم نمایید.
آرزوی موفقیت برای شما داریم.
سلام .در قسمت Tweakتیک های دیگه php لازم نیست زده بشه ؟
سلام و درود،
این مورد مربوط بسته به نوع سایت شما دارد، در سایت هایی که مانند سایت دیوار و شیبور هستند و یا سایت هایی که برخی تغییرات تنظیمات در آنها بصورت پویا انجام می شود، با فعال کردن این گزینه ممکن است در سایت آنها این ویژگی غیر فعال شود.
در غیر این صورت مشکلی ندارد.
البته در صورتی که فعال کردید و مشکلی ایجاد شد، می توانید آن را غیر فعال کنید، مشکل حل می شود.
سلام و ممنون از سایت خوشگل با محتوای ارزشمندتون. یه سوال داشتم. برای یه سایت فروشگاهی ، میشه کپچا رو هم برای کاربرانی که میخوان حساب باز کنند توی سایت ( با افزونه ایتمز) و هم برای ورود به پنل وردپرس ( با افزونه کپچا بوستر) نصب کرد؟ این دوتا با هم تداخلی ندارن؟
سلام بر شما ، استفاده از دو کپچا توصیه نمی شود و کاربران را با خطا های کپچا مواجه می کند. باتشکر
یک سوال دارم لطفا راهنمایی بفرمایید:
برنامه نویسی که سفارشی سازی قالبم رو انجام میده در شهر دیگه ای هست.
من نیاز دارم که گاهی دسترسی هاست و پیشخوان رو به ایشون بدم.
رمز خودم رو عوض میکنم و در اختیار ایشون قرار میدم و پس از انجام تغیرات دوباره رمز پیشخوان و رمز ورود به هاست سی پنلم رو تغیر میدم.
به نظر شما اینجور مواقع بهترین کار چیه؟ راهنمایی و تذکرات شما همیشه کمک بزرگی برای من بوده .
ازاینکه اینقدر بی ریا دانش و داشته هاتون رو دراختیار ما میزارین بینهایت سپاسگذارم.
با سلام و احترام ، کار خاصی نمی توان انجام داد همین که این موارد را رعایت می فرمایید خیلی عالی است 🙂
عرض ادب و احترام به استاد گرانقدرم جناب جبین پور
این آموزشهایی که شما تهیه کردین و در سایت ابزار وردپرس گذاشتین ارزش میلیونی دارن..
ممنون که دانش خودتون رو به رایگان در اختیار ما قرار میدین.
من خیلی چیزها از شما یاد گرفتم و روش و منش شما رو الگوی خودم قرار دادم. واقعا ممنون.
با عرض سلام ایا تیک قالب فعال کنیم مشکل پیش نمیاد و گزینه های دیگه هم داخل system tweak بود انها رو هم توضیح میدهید و اگر 3 حرکت بخواهیم با کد بنویسیم کدشم در اختیار میزارید
با سلام و عرض خدا قوت خدمت شما. جناب جبین پور آیا آموزش ادامه پیدا میکنه یا همین جا خاتمه پیدا کرده. لطفا اگر ادامه داره بفرمائید کی میتونیم بقیه آموزشو داشته باشیم. ممنون
با سلام و احترام ، حدود یک ماه دیگر دوره آموزشی ادامه خواهد یافت. باتشکر
سلام . یک فایل داخل هاست هست که همیشه یک تغییر توش هس که توسط همین افزونه که شما معرفی کردید هر شب اطلاع رسانی میشه .نام فایل GeoLite2-Country.mmdb می باشد در پوشه آپلود در مسیر wp-content/uploads/GeoLite2-Country.mmdbآیا این مورد رو جدی بگیرم یا مشکلی نیست ؟
با سلام ، این مورد از نظر امنیتی مشکلی ندارد. باتشکر
با سلام. آموزش خوب و مفیدی بود. سپاس فراوان
با سلام و عرض خسته نباشید واقعا آموزش هاتون عالیه خیلی خوبن فقط یکمی دیر جلساتو میزارین D: ویک سوال چطوری کاری کنیم که هکر ها مثلا نتونن فایلی چیزی آپلود کنند در سایتمون ؟ و یک سوال دیگه اینکه چطوری افزونه ها و اینکه سایتمون وردپرسی هست رو میتونیم از دید برنامه هایی مثل wappalyzer مخفی کنیم ؟
با سلام ، مورد اول برای آپلود را در جلسه آخر گفتیم و مورد دوم راه حل خاصی ندارد. باتشکر
باسلام ممنون بابت دوره. ممکنه بفرمایید ویدیوها رو بهمراه پسزمینه هایی که قبل از پخش دارند با چه افزونه ای در سایتتون قرار دادید؟ باتشکر.
با سلام ، با یک نرم افزار بنام camtasia که در لینک زیر آموزش داده ایم :
https://abzarwp.com/downloads/camtasia/
سلام و صد سپاس. خداقوت