برای تغییر تاریخ تولد ابتدا از انتهای سایت زبان را انگلیسی کرده ، تاریخ تولد را درست کنید سپس دوباره به فارسی برگردانید.

Welcome to انجمن تیم امنیتی سایبر اسپیریت

برای استفاده از تمامی امکانات سایت لطفا ابتدا ثبت نام کنید.

H3x049

کاربر تازه وارد
  • تعداد ارسال ها

    1
  • تاریخ عضویت

  • آخرین بازدید

  • روز های برد

    1

اعتبار در سایت

1 Neutral

2 دنبال کننده

درباره H3x049

  1. به نام خدا امنیت در فضای مجازی همواره یکی از دغدغه های مدیران سایت ها و سرورها است . وردپرس به عنوان یکی از محبوب ترین سیستم های مدیریت محتوا در وب است که مورد استفاده طراحان و مدیران وب سایت ها قرار می گیرد وچه بسا همواره توسط هکرها و تهدیدات امنیتی مورد حمله قرار گرفته است. اگر از وردپرس به عنوان سیستم مدیریت محتوای وب سایت خود استفاده می کنید برای اینکه بتوانید سایت خود را در برابر اینگونه حملات امن نگه دارید و امنیت سایت خود را به حد قابل قبولی برسانید پس تا پایان این آموزش همراه ما باشید.دقت کنید که امنیت صد درصد نیست و نکاتی که در ادامه گفته خواهند شد اقداماتی هستند که قبل و بعد از نصب وردپرس به عنوان مدیروب سایت خود باید انجام دهید. اقدامات قبل از نصب وردپرس حذف کردن فایل های readme.html و license.txt بعد از اینکه فایل نصبی وردپرس را در هاست از حالت zip خارج کردید اقدام به حذف فایل های readme.html و license.txt کنید. این فایل ها اطلاعاتی ازجمله نسخه نگارش وردپرس و پلاگین ها را در خود دارند پس برای اینکه اطلاعات اولیه را از دسترس اسکنرهای وردپرسی خارج کنید حتما این دوتا فایل را حذف کنید. تنظیمات دسترسی به دیتابیس MySQL در فایل wp-config.php 1- فایل wp-config درابتدا با اسم wp-config-sample است که باید از حالت sample خارج شود و به wp-config تغییرنام داده شود.در قسمت DB_NAME نام دیتابیسی که ساخته اید را واردکنید، درقسمت DB_USER نام یوزردیتابیس و در قسمت DB_PASSWORD هم نام پسورد دیبتابیس را وارد کنید دقت کنید که نباید نام دیتابیس و یوزر با هم یکی باشند و برای انتخاب پسورد از پسورد قوی و مناسبی استفاده کنید. 2- مورد بعدی که در تنظیمات فایل wp-config باید به آن توجه شود Authentication Unique Keys and Salts است که کلیدهای امنیتی قابل قبولی را در فایل wp-config فعال می کند . برای فعال کردن کد های Salts از لینک https://api.wordpress.org/secret-key/1.1/salt/ که خود وردپرس در اختیار ما قرار داده است استفاده می کنیم با مراجعه به این آدرس کلید هایی را مشاهده می کنید که باید با کلید های پیشفرض خود فایل wp-config که خالی هستند جایگزین شوند. 3- آخرین مورد برای این قسمت WordPress Database Table prefix یا پیشوند جدول پایگاه داده وردپرس است که باید تغییر نام داده شود دلیل این کارهم این است که پیشوند جدول ها در پایگاه داده وردپرس درحالت عادی روی _wp است که تمامی فیلدهای جدول ما با این پشوند شروع می شوند و یقیناً برای هکرها قابل حد هست که تمامی فیلد های جدول با _wp شروع میشوند و با تغییر نام _wp به اسمی دیگر جلوی حمله های نرم افزاری را میگیریم و به مراتب کار را برای دوستان هکر سخت می کنیم. انتخاب یوزر و پسورد مناسب بعد از انجام تغییرات بالا اقدام به نصب وردپرس می کنیم در آدرس site.com/wp-admin/install.php نام کاربری پنل مدیریت و پسورد را وارد می کنیم دقت کنید که از یوزر admin به هیچ عنوان استفاده نکنید و همچنین پسورد قوی و مناسبی استفاده کنید .می -توانید از سایت های آنلاین که به صورت رندم پسورد generate میکنند استفاده کنید..اقداماتی برای جلوگیری از حملات بروت فورس است که در ادامه گفته خواهد شد. اقدامات بعد از نصب وردپرس حذف کردن فایل های نصبی وردپرس بعد از نصب وردپرس فایل های install.php و install-helper.php را پاک کنید. تغییرمسیر url صفحه ی لاگین url صفحه لاگین به صورت پیشفرض با آدرس site.com/wp-login.php قابل مشاهده است. برای تغییر این مورد ابتدا فایل wp-login.php را به عنوان مثال به guardiran.php تغییر نام داده و فایل را باز کرده و درون فایل هرجایی wp-login.php بود به جای آن guardiran.php قرار می دهیم. امن سازی پوشه wp-admin برای این کار ابتدا در کنترل پنل هاست خود برای دایرکتوری wp-admin پسورد قرار دهید . نکته ای دیگری که باید به آن توجه شود این است که بعد از log out از پنل مدیریت وارد آدرس wp-login.php نشویم در پوشه wp-includes به دنبال فایل general-template.php می گردیم. فایل را ویرایش کرده و هرجایی wp-login.php بود به جای آن همان guardiran.php قرار میدهیم . دقت کنید تنها در خط 332 ($login_url = site_url('wp-login.php', 'login');) به جای guardiran.php آدرس دیگری مثلا php.404 قراردهید. انتقال فایل wp-config از مسیر اصلی سایت فایل wp-config.php را از مسیر public_html به یک مسیرقبل تر در هاست خود انتقال دهید. مشکلی خاصی هم پیش نخواهد آمد. تغییرنام لقب مدیرسایت لقبی که به عنوان پیشفرض در سایت نمایش داده می شود به صورت پیشفرض یوزر اصلی است که در قسمت 3 انتخاب کردیم و به همین راحتی نفوذگر متوجه این موضوع خواهد شد . بنابراین در پنل مدریریت وردپرس در قسمت کاربران لقب پیشفرض را تغییر داده و در نمایش عمومی نام ، نامی که تعیین کردید را انتخاب کنید. خارج کردن لینک های غیرضروری از دسترس جستجوگر گوگل برای اینکه لینک هایی که بعضا مهم هستند و نمیخواهید در دسترس همه قرار گرفته شود را از گوگل پاک کنید کافی است به آدرس https://www.google.com/webmasters/tools/home?hl=en رفته و در قسمت وب سایت آدرس سایت خود را به عنوان مثال guardiran.org است را وارد کنید بعد از تایید وارد تب Recommended method شده و فایل HTML verification را دانلود کنید و فایل رو در مسیر اصلی سایت خود آپلود کنید سپس به صفحه ی Search Console بازگشته و بر روی verified کلیک کنید بعد از تایید به قسمت google index > Remove urls رفته و لینک های غیرضروری را پاک کنید. آپدیت کردن لحظه ای پلاگین ها و افزونه ها سعی کنید همواره افزونه هایی که نصب کردید را به روز نگه دارید البته تا جایی که امکان دارد از افزونه های غیرضروری و نامعتبر استفاده نکنید. محدود کردن ثبت نام در سایت اگر واقعا سایت شما نیازی به ثبت نام ندارد عملیات ثبت نام در سایت رو از قسمت "تنظیمات > همگانی" محدود کنید و نقش پیشفرض کاربرتازه را روی "مشترک" قرار دهید. عدم index شدن و نمایش دادن محتویات درون یک دایرکتوری برای این کار فایل htaccess. در مسیر اصلی سایت را ویرایش کرده و Options –Indexes را به آخر آن اضافه کنید. با این کار فایل ها و پوشه هایی که اجازه ایندکس شدن ندارد نمایش داده نمیشوند. امن سازی پوشه include فایل htaccess. را ویرایش کرده و به آخر آن کدهای زیر را اضافه کنید. RewriteEngine On RewriteBase / RewriteRule ^wp-admin/includes/ - [F,L] RewriteRule !^wp-includes/ - [S=3] RewriteRule ^wp-includes/[^/]+\.php$ - [F,L] RewriteRule ^wp-includes/js/tinymce/langs/.+\.php - [F,L] RewriteRule ^wp-includes/theme-compat/ - [F,L] با این کارتمامی پوشه های include را امن می شوند. محافظت از فایل های wp-config و htaccess. با اضافه کردن این کد به فایل htaccess. عملیات خواندن را برای همه ی کاربران محدود می کند. secure wp-config.php# <Files wp-config.php> order allow,deny deny from all </Files> secure .htaccess# <Files .htaccess> order deny,allow deny from all </Files> همچنین برای اینکه دسترسی به فایل htaccess. محدود تر کنیم سطح دسترسی این فایل رو روی 0444 قرارمی دهیم. مخفی کردن ورژن و نسخه وردپرس وقتی در صفحه ی اصلی بر روی view page surce کلیک کنیم میتوان ورژن وردپرس رو در سورس مشاهده کرد برای جلوگیری از این مورد می توان کد زیر را در قسمت ویرایش پوسته ها > توابع پوسته > functions.php اضافه کرد. remove_action('wp_head', 'wp_generator'); function wpt_remove_version() { return ''; } add_filter('the_generator', 'wpt_remove_version') جلوگیری از حملات بروت فورس (Brute Force) 1- استفاده از افزونه limit login attempts : با نصب این افزونه یک گزینه با اسم limit login attempts به تنظیمات اضافه خواهد شد که در تنظیمات این این افزونه میتوان تعداد رمز های استباه را محدود کنیم و از حملات صفحه لاگین محافظت کرد با اضافه کردن کد زیر به functions.php می توان پیغام ارور صفحه لاگین را عوض کرد function failed_login () { return 'your massage'; } add_filter ( 'login_errors', 'failed_login' ); 2- استفاده از افزونه معادله امنیتی یا Captcha این افزونه از ربات ها و اسکریپت ها جهت بروت فورس جلوگیری می کند. 3- غیرفعال کردن چند منو و همچنین اپدیت اتوماتیک وردپرس با اضافه کردن کد زیربه فایل wp-config.php می توان منوهای "افزودن ، ویراشگر" را در قسمت افزونه ها و "ویرایشگر" در قسمت نمایش و همچنین آپدیت خودکار وردپرس را غیرفعال کرد. define('DISALLOW_FILE_EDIT',true); define('DISALLOW_FILE_MODS', true); define( 'WP_AUTO_UPDATE_CORE', false ); تهیه نسخه پشتیبان بک آپ از سایت از مهترین کارهایی که یک مدیر وب سایت باید انجام دهد تهیه بک آپ از سایت خود است.سعی کنید همیشه آخرین بک آپ خود را بازگردانی کنید و برای اطمینان خاطر بیشتر نسخه های قبلی بک آپ را هم داشته باشید. موفق باشید.

درباره ما

تیم سایبر اسپیریت در سال 1397 توسط جوانان علاقه مند به برنامه نویسی ، طراحی سایت ایجاد شد. شما در سایبر اسپیریت میتوانید آموزش ببینید ، سفارش دهید ، تبدیل به یک برنامه نویس و طراح سایت شوید.هدف اصلی این تیم بالا بردن امنیت کاربران فضای مجازی است!