ایمن و مطمئن به وردپرس وارد شوید

 

۲۶

سلام به دوستای وردپرسی؛

اگه خاطرتون باشه جلسه ی پیش در مورد یک صفحه ی معمولی سفید که بیشتر مواقع خالی هست و هیچی داخلش وجود نداره صحبت کردیم و گفتیم که باید چطوری امنیت کار رو با همین صفحه ی ساده بالا ببریم.
اما امروز بحث بر سر رمز ورود و نام کاربری هست! چیزی که شاید در نگاه اول خیلی ساده به نظر برسه و هر کسی بگه که چه فرقی میکنه حالا نام کاربری و پسوردم رو چی بذارم! اصلا مگه انتخاب رمز عبور سخت فایده ای هم داره جز اینکه خودم رو خسته میکنه؟!
حتما فایده داره که هر جا حتی در عملیات بانکی هم به شما میگن که رمز عبور مناسبی انتخاب کنید! پس گوش بدید و همین کار رو انجام بدید.
همین ابتدای کار نکته ی مهم همیشگی رو خدمت دوستان متذکر بشم؛ عزیزان، دوستان، خوبان وردپرسی برای انجام دادن هر کاری که در هسته ی وردپرس و ویرایشگر هست از قبل نسخه ی پشتیبان تهیه کنید تا بعد پشیمون نشید!!!

غیر فعال کردن XML-RPC

از زمانی که وردپرس ۳٫۵ روی کار اومد این مورد به صورت پیش فرض فعال شد. این خصیصه به شما اجازه ی اتصال از راه دور توسط مشتریان یا کاربران رو میده. این مورد برای دیدگاه ها و بازتاب ها نیز استفاده میشه!
متاسفانه هکرها از این امکان برای عمل DDoS استفاده می کنند.
برای رفع این مشکل و مقابله با این حملات دو افزونه ی بسیار قدرتمند رو پیشنهاد میکنم:

Disable XML-RPC pingback

 

دانلود

صفحه افزونه

 

 

Disable XML- RPC

 

دانلود

صفحه افزونه

 

من افزونه ی اول رو ترجیح میدم و به شما پیشنهاد میکنم چون کارایی بهتری داره.

استفاده از اطلاعات ورودی قوی تر

استفاده از رمز های عبوری ضعیف به هکرها اجازه ی دسترسی ساده به سایت رو میده و میتونه از تمامی اسکریپت ها استفاده کنه. بنابراین شما باید:
رمز ورود خود را تغییر دهید
رمز های عبوری قوی با استفاده از سایت های strong password generator ، passwords Generators ، Norton pass Generators قرار دهید.
ذخیره پسوردها با استفاده از پسورد منیجرهایی مانند one password ، keePass ، Robo Form ، pass back ، last pass

چندین سال پیش، وردپرس به صورت پیش فرض از نام کاربری admin برای اکانت اصلی (administrator) استفاده میکرد اما در حال حاضر به کاربران خود اجازه میده تا نام کاربری و پسورد دلخواهشون رو قرار بدند اگه چه همچنان افراد زیادی از همان نام کاربری admin استفاده می کنند!!!
این کار رو با ورود به جداول پایگاه داده در phpmyadmin انجام بدید. زیرا دسترسی هکرها به این بخش سخت تر میشه و به صورت قطعه کد زیر قابل تغییره :

UPDATE wp_users SET user_login = 'newusername' WHERE user_login = 'admin';

تلاش برای ورود به سیستم

ax-1

هکرها تلاش زیادی برای ورود به ناحیه ی مدیریتی انجام میدن و به صورت رندم رمزهایی رو امتحان می کنند! برای مقابله با این امر می تونید افزونه ی login Lockdown یا login security solution رو استفاده کنید!

  با کمک چند عدد، امنیت را حاکم کنید!

افزونه ی login Lockdown

 

دانلود

صفحه افزونه

 

 

افزونه ی login security solution

 

دانلود

صفحه افزونه

 

 

اگر کاربری چندین بار پسوردی رو امتحان کنه و دسترسی او برای مدتی غیر فعال خواهد شد.

دو مرحله از راه حل های تایید اعتبار

ax-2

 

مراحل تایید و اعتبار کار هکر ها رو سخت میکنه پس پیشنهاد میشه هر کسی برای سایت خودش از این کدهای اعتبار و تایید استفاده کنه!
افزونه های مفیدی که به شما این امکان رو میده عبارت است از :

Google Authenticators

 

دانلود

صفحه افزونه

 

 

Clock work sms

 

دانلود

صفحه افزونه

 

 

Open ID

 

دانلود

صفحه افزونه

 

پنهان کردن صفحه ی ورودی

ax-3

به صورت پیش فرض برای ورود به پنل ادمین باید انتهای آدرس سایت از wp-admin/ استفاده کنیم. با این فرآیند راحت وارد صفحه ی ادمین سایت میشیم نه تنها ما بلکه هکر ها هم این این امکان رو دارند!
باید سعی کنیم این مورد رو تغییر بدیم!
افزونه هایی که این کار رو انجام میدن عبارت است از :

Rename wp-login.php

 

دانلود

صفحه افزونه

 

 

+Hide login

 

دانلود

صفحه افزونه

 

 

Lockdown wp-admin

 

دانلود

صفحه افزونه

تمامی افزونه هایی که برای این منظور اینجا آورده شده کارایی و کیفیت خوبی دارند و میتونید بهشون اعتماد کنید.
خب در این جلسه هم یاد گرفتیم که تا چه حد باید به اطلاعات ورودی سایتمون توجه کنیم. این موضوع رو حتما جدی بگیرید دوستان!

روزهایتان زیبا

مشاوره آموزشی رایگان
شما این فرصت را دارید، با تکمیل فرم زیر، قبل از انتخاب دوره آموزشی مناسب خود، از مشاوره رایگان کارشناسان آموزشی مجموعه همیار آکادمی استفاده نمائید.
 
مشاوران آموزشی
همیار آکادمی
پاسخگوی شما هستند
آیا این مقاله برای شما مفید بود؟
تقریبا
خیر

اگر می‌خواهید از آخرین و محبوب‌ترین مقالات ما در ایمیل خود مطلع شوید، همین الان ایمیل خود را در کادر زیر وارد کنید:

تعداد علاقه‌مندانی که تاکنون عضو خبرنامه ما شده‌اند:

352,638 نفر

دیدگاهتان را بنویسید

دیدگاه‌های این نوشته جدید ترین ها شاخص

  1. سلام
    در مورد حملات ddos به سایت چکار می تونیم انجام بدیم؟

    • 7 سال عضو همیار وردپرس

      با احترام
      این مشکل معمولا از سمت هاست رفع می‌گردد و اگر شما از هاست مناسب استفاده کنید خود انها جلوی این حملات را می‌گیرند.

  2. سلام من افزونه Google Authenticators رو نصب کردنم حالا اگه گوشیم فرمت بشه و اتفاقی بهش بیفته چطوری میتونم وارد سایتم بشم ؟

  3. 6 سال عضو همیار وردپرس

    با سلام و خسته نباشید خدمت بهار خانوم ممنون از مطالب بسیار خوبتون
    بله درست میگید شما با یه حمله دیکشنری راحت میشه پسوردهای ضعیف رو شکست یا با برنامه کرانچ میشه این کار رو انجام داد به راحتی

  4. ممکن هست پاسخ سوالم رو بدید؟

  5. با سلام
    در هنگام نصب افزونه برای غیر فعال کردن XML-RPC اولین افزونه همچین پیغامی میدهد:
    Warning: یک خطای غیرمنتظره رخ داده است. ممکن است اشتباهی در تنظیمات wp-persian.com یا سرور شما بوجود آمده باشد. اگر شما همچنان این مشکل را دارید، لطفا بهتالار گفتگو وردپرس فارسی مراجعه نمایید. (وردپرس نتوانست ارتباطی امن با سایت WordPress.org برقرار کند. لطفا با مدیر سرور خود تماس بگیرید.) in C:\xampp\htdocs\artdesigner\wp-includes\update.php on line 295

    ولی دومین افزونه به راحتی نصب و فعال می شود!!
    علتش رو لطف می کنید توضیح بدین؟

  6. این خوب بود مرسی

  7. من افزونه ها رو قبول دارم ولی نصب این همه افزونه برای سایت خودش حفره امنیتی ایجاد میکنه و لود سایتو بالا میبره.
    بجای این همه افزونه ها با کد ها هم میشه این کارو کرد و اگه اونارو توضیح بدید خیلی بهتر است.
    موفق باشید

  8. پست بسار مفیدی بود خسته نباشید!

  9. سلام دوستان
    من یه قالب وردپرس دارم . هر کس می تونه برام تغییرات بده کار های کد نویسی انجام بده .بهم خبر بده خیلی فوری هزینش هم خواهشا کم باشه
    [email protected]

  10. سلامخودتون برا سایت همیار وردپرس کدوم راه کارهای امنیتی و افزونه هایی که گفتین رو انجام دادین؟

  11. سلام.
    ممکنه بگید چطوری یه صفحه لاگین سفارشی درست کنم؟ بدون لوگو وردپرس و یه قالب متفاوت.. افزونه ای هست؟

    • 7 سال عضو همیار وردپرس

      سلام
      افزونه نیست باید برنامه بنویسید

    • از توی پنل هاست مشکلی پیش نمیاد لوگو وردپرس را پاک و عوض کنیم؟
      ویه سوال دیگه و بی ربط به این موضوع: افزونه ای هست که برای دانلود، ایمیل طرف رو بگیره و لینک رو واسش میل کنه؟

    • 7 سال عضو همیار وردپرس

      سلام
      تا جایی که سعی دارید با هسته ی وردپرس بازی نکنید
      و برای سوال دوم شما در حال حاضر حضور ذهن ندارم البته فکر کنم چنین موردی نیست

    • میتونید توی گوگل افزونه تغییر صفحه ورود وردپرس رو سرچ کنید!

  12. این افزونه ها خودشون امن هستن؟نکته یه وقت خودشون حفره امنیتی داشته باشن

    • 7 سال عضو همیار وردپرس

      سلام
      به نظر شما توی مطلب امنیتی بدون چک کردن افزونه ها موردی رو اعلام میکنیم ؟!

مطالب زیر را حتما بخوانید

دوره‌های آموزشی