سیاره وردپرس فارسی

افزایش امنیت وردپرس

در تاریخ ۲۷ مرداد ۱۳۸۷ توسط مهدی گلچین

به نام ایزد یکتا

++ امنیت در وردپرس

یکی از نگرانی های اکثر مدیران سایت های فارسی deface یا در اصطلاح عامیانه هک شدن وب سایت یا وبلاگ آنها است ، علت این deface شدن در اکثر مواقع بروز نبودن CMS آنها و یا صحیح نبودن پیکر بندی آن است . در این نوشتار با در نظر گرفتن اختیاری وردپرس به عنوان یک CMS پر استفاده فارسی زبانان سعی در معرفی راه کار های ایمن سازی هر چه بیشتر آن را داریم .

قدم اول : وردپرس و افزونه های خود را همیشه به روز کنید .

همیشه گوش به زنگ باشید تا از انتشار آخرین نسخه وردپرس مطلع شوید ، یک مقدار هم حرفه ای تر بنگرید و برسی کنید علت انتشار آن نسخه جدید چه بوده است ، آیا ترمیم حفره های امنیتی علت انتشار بود یا بر طرف کردن مشکلات درونی هسته یا افزودن امکانات جدید و … حالا میتوانید با توجه به علت آن راحت تر تصمیم بگیرید که با چه نسخه ای و چه زمانی بروز رسانی را انجام دهید . در هر حالا سعی کنید وردپرس خود را همیشه بروز کنید و در اینکار اهمال کاری نکنید .

قدم دوم : رمز خود را فراموش نکنید .

امکان بازیابی رمز عبور ( فراموش کردن رمز عبور ) خود را غیر فعال کنید ، نگران نباشید اگر فراموش کردید میتوانید با استفاده از Cpanel و ابزار آلات موجود در ان به راحتی بانک اطلاعاتی خود را جستجو کنید و رمز عبور خود را تعویض و یا بازیابی کنید ، در کل فراموش کردن معنی ندارد .

قدم سوم : نام کاربری مدیر را عوض کنید .

متاسفانه وردپرس به صورت پیش فرض از نام کاربری admin برای مدیر سایت استفاده میکند و اجازه تعویض آن را در محیط مدیریت خود نمیدهد ،این یک مشکل جدی امنیتی است . شما باید نام کاربری پیش فرض را هر چه سریعتر عوض کنید .

قدم چهارم : کلمه عبور قوی انتخاب کنید .

کلمه عبور ، دروازه ورود به بخش مدیریت وردپرس شما است ، سعی کنید از کلمه عبوری حداقل ۱۰ کاراکتری که ترکیبی از اعداد و نشانه ها و حروف کوچک و بزرگ است استفاده کنید .

قدم پنجم : مجوزها (Permissions) را برسی کنید .

سعی کنید به هر پوشه و یا فایل حداقل مجوز مورد نیاز را اختصاص دهید ، نیازی نیست که پوشه ها با Chmod های بالا وجود داشته باشند ، از لیست زیر برای پوشه ها الگو بگیرید :

root directory = 755

wp-includes = 755

wp-admin/ = 755

wp-content/ = 755

wp-admin/js/ = 755

wp-content/themes/ = 755

wp-content/plugins/ = 755

و برای فایل index اینگونه الگو بگیرید :

wp-admin/index.php = 644

دقت کنید اینها فقط پیشنهادات قاطع من به شما هستند ، ممکن است شما از افزونه یا برنامه خاصی استفاده کنید که نیاز به دستکاری مجوز ها داشته باشید .

قدم ششم : XML-RPC را خاموش کنید .

XML-RPC امکانی است که به مدیر سایت این توانایی را میدهد که بدون وارد شدن به محیط مدیریت وردپرس یک پست جدید ارسال کند یا ویرایش کند و … البته با استفاده از ابزارهای خاص و چندین افزونه روباه آتشین ، اگر شما از این قابلیت استفاده نمی کنید پس لزومی ندارد این قابلیت فعال باشد ، آن را خاموش کنید .

قدم هفتم : یک IDS نصب و راه اندازی کنید .

IDS سر واژه کلمات Intrusion Detection System است ، به این مفهوم که سیستم مدیریت کشف دخول سر زده ! یا به زبان عامیانه همان دزدگیر ، بحث IDS یک کتاب مجزا می طلبد . چند مدل IDS برای وردپرس وجود دارد . البته همگی به غیر از یکی غیر رسمی است ! تنها افزونه رسمی (تقریبا) افزونه WP IDS است که از موتور PHP IDS برای این کار استفاده میکند که پایدار و قدرتمند نیز است. کار این سیستم ها به این صورت است که ورودی های که به سمت هسته وردپرس برای پردازش فرستاده میشود را کنترل میکند و برسی میکند که این ورودی آیا مجاز بوده است یا خیر ، در صورت مجاز بودن ان را به هسته برای پردازش ارسال میکند در غیر اینصورت ان ورودی را حذف میکند ، با استفاده از این گونه افزونه ها وردپرس شما در برابر بیشتر حملات XSS injection مقاوم میشود و نفوذگر با مشکلات جدی مواجه میشود ، حتی اگر هسته وردپرس هم حفره ترمیم نشده داشته باشد برای نفوذگر مشکلات جدی پیش خواهد آمد ، فقط برای استفاده از افزونه معرفی شده بالا سرور شما باید دارای PHP نسخه ۵/۱/۶ به بعد باشد ، نکته دیگر هم در استفاده از این افزونه این است که پوشه محتوی فایل های افزونه باید مجوز ۷۷۷را دارا باشد . میتوانید آخرین نسخه فعلی این افزونه را از اینجا دانلود کنید . توجه کنید که همیشه از آخرین فیلتر استفاده کنید .

قدم نهم : از افزونه WP Security Scan استفاده کنید .

این افزونه هیچ اقدام دفاعی فعالی بر خلاف افزونه بالا برای شما انجام نمیدهد . فقط شما را در ایمن کردن وردپرس راهنمایی میکند و هشدار های امنیتی و راهکارهای به شما نمایش میدهد .

قدم دهم : کشف آسیب پذیری های منتشر شده عمومی !

آسیب پذیری های معروف شناخته شده خود را قبل از نفوذگر های بدخواه خودتان کشف و ترمیم کنید ! یک روش ساده برای این کار استفاده از افزونه و سیستم امنیتی رایگان سایت blog security است ، کافی است این افزونه را دانلود کنید ( کار این افزونه این است که برنامه انجام تست امنیتی اطمینان دهد که واقعا مدیر سایت میخواهد ضریب امنیت خویش را بداند نه یک نفوذگر بدخواه در راستای اهداف شوم از این برنامه سو استفاده کند . ) آنگاه بعد از فعال کردن افزونه به این برگه مراجعه کنید و آدرس وب سایت خود را وارد کنید و چند دقیقه صبر کنید خواهید دید که یک تست امنیتی رایگان برای شما انجام میدهد و نتایج را به شما اعلام میکند ، و اگر مشکلی وجود داشته باشد به شما اطلاع میدهد ، در آخر هم افزونه را غیر فعال و پاک کنید . اگر مشکلی وجود داشت اقدام به برطرف کردن آن نماید .

قدم یازدهم : به یک متخصص امنیت رجوع کنید !

خوب با ده قدم ساده بالا امنیت شما را به اندازه قابل توجهی تضمین میشود ! اما اگر شما رقبای بد خواهی و ناپاکی دارید بهتر است با یک متخصص امنیت برای انجام یک تست نفوذ مذاکره کنید …

سیاره چیست ؟

  • سیاره، محلی برای گردآوری مطالب مرتبط با موضوعی خاص است.
  • سیاره وردپرس فارسی نیز، به همین شکل، محلی برای جمع آوری مطالب مرتبط با وردپرس در وبلاگهای فارسی است.
  • در صورتی که مایل به ثبت وبلاگ خود در سیاره هستید٬ از طریق بخش ثبت خوراک٬ مشخصات وبلاگ خود را برای ما ارسال کنید.

    • ورودی‌ها

  • مانی منجمی
  • Corelist
  • گناهکار
  • Alvanweb
  • عصرونه
  • xray
  • Robo
  • رئیسی
  • تیلدا
  • پاپیون
  • مداد آی تی
  • آي تي بلاگ
  • چرتکه
  • کف خون
  • شبح آزادی
  • پارسیش
  • یک فتحی
  • یک پزشک
  • Ubuntu Blog
  • آقای وبلاگ
  • ITLine
  • بلاگ نوشت
  • پی‌سی دیزاین
  • زیرِخط
  • دهکده آی‌تی
  • Naghies
  • Sinac
  • نون وا
  • بیا تو اراک

    • ورودی‌های غیرفعال

  • کامبیز
  • فلاطونی
  • صنوبر
  • یک ایرانی
  • kcspot

    • بایگانی