سلام به دوستای وردپرسی؛
اگه خاطرتون باشه جلسه ی پیش در مورد یک صفحه ی معمولی سفید که بیشتر مواقع خالی هست و هیچی داخلش وجود نداره صحبت کردیم و گفتیم که باید چطوری امنیت کار رو با همین صفحه ی ساده بالا ببریم.
اما امروز بحث بر سر رمز ورود و نام کاربری هست! چیزی که شاید در نگاه اول خیلی ساده به نظر برسه و هر کسی بگه که چه فرقی میکنه حالا نام کاربری و پسوردم رو چی بذارم! اصلا مگه انتخاب رمز عبور سخت فایده ای هم داره جز اینکه خودم رو خسته میکنه؟!
حتما فایده داره که هر جا حتی در عملیات بانکی هم به شما میگن که رمز عبور مناسبی انتخاب کنید! پس گوش بدید و همین کار رو انجام بدید.
همین ابتدای کار نکته ی مهم همیشگی رو خدمت دوستان متذکر بشم؛ عزیزان، دوستان، خوبان وردپرسی برای انجام دادن هر کاری که در هسته ی وردپرس و ویرایشگر هست از قبل نسخه ی پشتیبان تهیه کنید تا بعد پشیمون نشید!!!
غیر فعال کردن XML-RPC
از زمانی که وردپرس ۳٫۵ روی کار اومد این مورد به صورت پیش فرض فعال شد. این خصیصه به شما اجازه ی اتصال از راه دور توسط مشتریان یا کاربران رو میده. این مورد برای دیدگاه ها و بازتاب ها نیز استفاده میشه!
متاسفانه هکرها از این امکان برای عمل DDoS استفاده می کنند.
برای رفع این مشکل و مقابله با این حملات دو افزونه ی بسیار قدرتمند رو پیشنهاد میکنم:
Disable XML-RPC pingback
Disable XML- RPC
من افزونه ی اول رو ترجیح میدم و به شما پیشنهاد میکنم چون کارایی بهتری داره.
استفاده از اطلاعات ورودی قوی تر
استفاده از رمز های عبوری ضعیف به هکرها اجازه ی دسترسی ساده به سایت رو میده و میتونه از تمامی اسکریپت ها استفاده کنه. بنابراین شما باید:
رمز ورود خود را تغییر دهید
رمز های عبوری قوی با استفاده از سایت های strong password generator ، passwords Generators ، Norton pass Generators قرار دهید.
ذخیره پسوردها با استفاده از پسورد منیجرهایی مانند one password ، keePass ، Robo Form ، pass back ، last pass
چندین سال پیش، وردپرس به صورت پیش فرض از نام کاربری admin برای اکانت اصلی (administrator) استفاده میکرد اما در حال حاضر به کاربران خود اجازه میده تا نام کاربری و پسورد دلخواهشون رو قرار بدند اگه چه همچنان افراد زیادی از همان نام کاربری admin استفاده می کنند!!!
این کار رو با ورود به جداول پایگاه داده در phpmyadmin انجام بدید. زیرا دسترسی هکرها به این بخش سخت تر میشه و به صورت قطعه کد زیر قابل تغییره :
UPDATE wp_users SET user_login = 'newusername' WHERE user_login = 'admin';
تلاش برای ورود به سیستم
هکرها تلاش زیادی برای ورود به ناحیه ی مدیریتی انجام میدن و به صورت رندم رمزهایی رو امتحان می کنند! برای مقابله با این امر می تونید افزونه ی login Lockdown یا login security solution رو استفاده کنید!
افزونه ی login Lockdown
افزونه ی login security solution
اگر کاربری چندین بار پسوردی رو امتحان کنه و دسترسی او برای مدتی غیر فعال خواهد شد.
دو مرحله از راه حل های تایید اعتبار
مراحل تایید و اعتبار کار هکر ها رو سخت میکنه پس پیشنهاد میشه هر کسی برای سایت خودش از این کدهای اعتبار و تایید استفاده کنه!
افزونه های مفیدی که به شما این امکان رو میده عبارت است از :
Google Authenticators
Clock work sms
Open ID
پنهان کردن صفحه ی ورودی
به صورت پیش فرض برای ورود به پنل ادمین باید انتهای آدرس سایت از wp-admin/ استفاده کنیم. با این فرآیند راحت وارد صفحه ی ادمین سایت میشیم نه تنها ما بلکه هکر ها هم این این امکان رو دارند!
باید سعی کنیم این مورد رو تغییر بدیم!
افزونه هایی که این کار رو انجام میدن عبارت است از :
Rename wp-login.php
+Hide login
Lockdown wp-admin
تمامی افزونه هایی که برای این منظور اینجا آورده شده کارایی و کیفیت خوبی دارند و میتونید بهشون اعتماد کنید.
خب در این جلسه هم یاد گرفتیم که تا چه حد باید به اطلاعات ورودی سایتمون توجه کنیم. این موضوع رو حتما جدی بگیرید دوستان!
روزهایتان زیبا
mehrdadnew46873 9 سال عضو همیار وردپرس
با سلام و خسته نباشید خدمت بهار خانوم ممنون از مطالب بسیار خوبتون
بله درست میگید شما با یه حمله دیکشنری راحت میشه پسوردهای ضعیف رو شکست یا با برنامه کرانچ میشه این کار رو انجام داد به راحتی
دیزاینر
ممکن هست پاسخ سوالم رو بدید؟
Bahar 10 سال عضو همیار وردپرس
سلام
مطالعه نمایید :
خطای غیر منتظره
دیزاینر
متشکرم بابت پاسختون 🙂
دیزاینر
با سلام
در هنگام نصب افزونه برای غیر فعال کردن XML-RPC اولین افزونه همچین پیغامی میدهد:
Warning: یک خطای غیرمنتظره رخ داده است. ممکن است اشتباهی در تنظیمات wp-persian.com یا سرور شما بوجود آمده باشد. اگر شما همچنان این مشکل را دارید، لطفا بهتالار گفتگو وردپرس فارسی مراجعه نمایید. (وردپرس نتوانست ارتباطی امن با سایت WordPress.org برقرار کند. لطفا با مدیر سرور خود تماس بگیرید.) in C:\xampp\htdocs\artdesigner\wp-includes\update.php on line 295
ولی دومین افزونه به راحتی نصب و فعال می شود!!
علتش رو لطف می کنید توضیح بدین؟
30NA
این خوب بود مرسی
سیروان شیخی
من افزونه ها رو قبول دارم ولی نصب این همه افزونه برای سایت خودش حفره امنیتی ایجاد میکنه و لود سایتو بالا میبره.
بجای این همه افزونه ها با کد ها هم میشه این کارو کرد و اگه اونارو توضیح بدید خیلی بهتر است.
موفق باشید
طراحی سایت
پست بسار مفیدی بود خسته نباشید!
علی
سلام دوستان
من یه قالب وردپرس دارم . هر کس می تونه برام تغییرات بده کار های کد نویسی انجام بده .بهم خبر بده خیلی فوری هزینش هم خواهشا کم باشه
ali71.san71@gmail.com
سجاد
سلامخودتون برا سایت همیار وردپرس کدوم راه کارهای امنیتی و افزونه هایی که گفتین رو انجام دادین؟
Amiro
سلام.
ممکنه بگید چطوری یه صفحه لاگین سفارشی درست کنم؟ بدون لوگو وردپرس و یه قالب متفاوت.. افزونه ای هست؟
Bahar 10 سال عضو همیار وردپرس
سلام
افزونه نیست باید برنامه بنویسید
Amiro
از توی پنل هاست مشکلی پیش نمیاد لوگو وردپرس را پاک و عوض کنیم؟
ویه سوال دیگه و بی ربط به این موضوع: افزونه ای هست که برای دانلود، ایمیل طرف رو بگیره و لینک رو واسش میل کنه؟
Bahar 10 سال عضو همیار وردپرس
سلام
تا جایی که سعی دارید با هسته ی وردپرس بازی نکنید
و برای سوال دوم شما در حال حاضر حضور ذهن ندارم البته فکر کنم چنین موردی نیست
محمدمهدی
میتونید توی گوگل افزونه تغییر صفحه ورود وردپرس رو سرچ کنید!
مهدی
این افزونه ها خودشون امن هستن؟نکته یه وقت خودشون حفره امنیتی داشته باشن
Bahar 10 سال عضو همیار وردپرس
سلام
به نظر شما توی مطلب امنیتی بدون چک کردن افزونه ها موردی رو اعلام میکنیم ؟!