سیاره وردپرس فارسی

افزایش امنیت وردپرس

در تاریخ ۲۷ مرداد ۱۳۸۷ توسط مهدی گلچین

به نام ایزد یکتا

++ امنیت در وردپرس

یکی از نگرانی های اکثر مدیران سایت های فارسی deface یا در اصطلاح عامیانه هک شدن وب سایت یا وبلاگ آنها است ، علت این deface شدن در اکثر مواقع بروز نبودن CMS آنها و یا صحیح نبودن پیکر بندی آن است . در این نوشتار با در نظر گرفتن اختیاری وردپرس به عنوان یک CMS پر استفاده فارسی زبانان سعی در معرفی راه کار های ایمن سازی هر چه بیشتر آن را داریم .

قدم اول : وردپرس و افزونه های خود را همیشه به روز کنید .

همیشه گوش به زنگ باشید تا از انتشار آخرین نسخه وردپرس مطلع شوید ، یک مقدار هم حرفه ای تر بنگرید و برسی کنید علت انتشار آن نسخه جدید چه بوده است ، آیا ترمیم حفره های امنیتی علت انتشار بود یا بر طرف کردن مشکلات درونی هسته یا افزودن امکانات جدید و … حالا میتوانید با توجه به علت آن راحت تر تصمیم بگیرید که با چه نسخه ای و چه زمانی بروز رسانی را انجام دهید . در هر حالا سعی کنید وردپرس خود را همیشه بروز کنید و در اینکار اهمال کاری نکنید .

قدم دوم : رمز خود را فراموش نکنید .

امکان بازیابی رمز عبور ( فراموش کردن رمز عبور ) خود را غیر فعال کنید ، نگران نباشید اگر فراموش کردید میتوانید با استفاده از Cpanel و ابزار آلات موجود در ان به راحتی بانک اطلاعاتی خود را جستجو کنید و رمز عبور خود را تعویض و یا بازیابی کنید ، در کل فراموش کردن معنی ندارد .

قدم سوم : نام کاربری مدیر را عوض کنید .

متاسفانه وردپرس به صورت پیش فرض از نام کاربری admin برای مدیر سایت استفاده میکند و اجازه تعویض آن را در محیط مدیریت خود نمیدهد ،این یک مشکل جدی امنیتی است . شما باید نام کاربری پیش فرض را هر چه سریعتر عوض کنید .

قدم چهارم : کلمه عبور قوی انتخاب کنید .

کلمه عبور ، دروازه ورود به بخش مدیریت وردپرس شما است ، سعی کنید از کلمه عبوری حداقل ۱۰ کاراکتری که ترکیبی از اعداد و نشانه ها و حروف کوچک و بزرگ است استفاده کنید .

قدم پنجم : مجوزها (Permissions) را برسی کنید .

سعی کنید به هر پوشه و یا فایل حداقل مجوز مورد نیاز را اختصاص دهید ، نیازی نیست که پوشه ها با Chmod های بالا وجود داشته باشند ، از لیست زیر برای پوشه ها الگو بگیرید :

root directory = 755

wp-includes = 755

wp-admin/ = 755

wp-content/ = 755

wp-admin/js/ = 755

wp-content/themes/ = 755

wp-content/plugins/ = 755

و برای فایل index اینگونه الگو بگیرید :

wp-admin/index.php = 644

دقت کنید اینها فقط پیشنهادات قاطع من به شما هستند ، ممکن است شما از افزونه یا برنامه خاصی استفاده کنید که نیاز به دستکاری مجوز ها داشته باشید .

قدم ششم : XML-RPC را خاموش کنید .

XML-RPC امکانی است که به مدیر سایت این توانایی را میدهد که بدون وارد شدن به محیط مدیریت وردپرس یک پست جدید ارسال کند یا ویرایش کند و … البته با استفاده از ابزارهای خاص و چندین افزونه روباه آتشین ، اگر شما از این قابلیت استفاده نمی کنید پس لزومی ندارد این قابلیت فعال باشد ، آن را خاموش کنید .

قدم هفتم : یک IDS نصب و راه اندازی کنید .

IDS سر واژه کلمات Intrusion Detection System است ، به این مفهوم که سیستم مدیریت کشف دخول سر زده ! یا به زبان عامیانه همان دزدگیر ، بحث IDS یک کتاب مجزا می طلبد . چند مدل IDS برای وردپرس وجود دارد . البته همگی به غیر از یکی غیر رسمی است ! تنها افزونه رسمی (تقریبا) افزونه WP IDS است که از موتور PHP IDS برای این کار استفاده میکند که پایدار و قدرتمند نیز است. کار این سیستم ها به این صورت است که ورودی های که به سمت هسته وردپرس برای پردازش فرستاده میشود را کنترل میکند و برسی میکند که این ورودی آیا مجاز بوده است یا خیر ، در صورت مجاز بودن ان را به هسته برای پردازش ارسال میکند در غیر اینصورت ان ورودی را حذف میکند ، با استفاده از این گونه افزونه ها وردپرس شما در برابر بیشتر حملات XSS injection مقاوم میشود و نفوذگر با مشکلات جدی مواجه میشود ، حتی اگر هسته وردپرس هم حفره ترمیم نشده داشته باشد برای نفوذگر مشکلات جدی پیش خواهد آمد ، فقط برای استفاده از افزونه معرفی شده بالا سرور شما باید دارای PHP نسخه ۵/۱/۶ به بعد باشد ، نکته دیگر هم در استفاده از این افزونه این است که پوشه محتوی فایل های افزونه باید مجوز ۷۷۷را دارا باشد . میتوانید آخرین نسخه فعلی این افزونه را از اینجا دانلود کنید . توجه کنید که همیشه از آخرین فیلتر استفاده کنید .

قدم نهم : از افزونه WP Security Scan استفاده کنید .

این افزونه هیچ اقدام دفاعی فعالی بر خلاف افزونه بالا برای شما انجام نمیدهد . فقط شما را در ایمن کردن وردپرس راهنمایی میکند و هشدار های امنیتی و راهکارهای به شما نمایش میدهد .

قدم دهم : کشف آسیب پذیری های منتشر شده عمومی !

آسیب پذیری های معروف شناخته شده خود را قبل از نفوذگر های بدخواه خودتان کشف و ترمیم کنید ! یک روش ساده برای این کار استفاده از افزونه و سیستم امنیتی رایگان سایت blog security است ، کافی است این افزونه را دانلود کنید ( کار این افزونه این است که برنامه انجام تست امنیتی اطمینان دهد که واقعا مدیر سایت میخواهد ضریب امنیت خویش را بداند نه یک نفوذگر بدخواه در راستای اهداف شوم از این برنامه سو استفاده کند . ) آنگاه بعد از فعال کردن افزونه به این برگه مراجعه کنید و آدرس وب سایت خود را وارد کنید و چند دقیقه صبر کنید خواهید دید که یک تست امنیتی رایگان برای شما انجام میدهد و نتایج را به شما اعلام میکند ، و اگر مشکلی وجود داشته باشد به شما اطلاع میدهد ، در آخر هم افزونه را غیر فعال و پاک کنید . اگر مشکلی وجود داشت اقدام به برطرف کردن آن نماید .

قدم یازدهم : به یک متخصص امنیت رجوع کنید !

خوب با ده قدم ساده بالا امنیت شما را به اندازه قابل توجهی تضمین میشود ! اما اگر شما رقبای بد خواهی و ناپاکی دارید بهتر است با یک متخصص امنیت برای انجام یک تست نفوذ مذاکره کنید …

تکمیل بخش مدیریت وردپرس

در تاریخ ۹ تیر ۱۳۸۷ توسط مهدی گلچین

به نام ایزد یکتا

++ افزودن قابلیتهای مدیریتی سریع به بخش “مدیریت” توسط افزونه فارسی …

به نظر من یکی از کاستی های بخش مدیریت وردپرس عدم مدیرت سریع است ، یعنی وجود لینک های سریع برای انجام یک فعالیت مدیریتی ، مثلا تغییر عنوان این پست بدون وارد شدن به بخش ویرایش مطلب و … ، خوشبختانه وردپرس دارای تعداد بسیار زیادی افزونه است ، یکی از بهترین این افزونه ها افزونه مدیریتی Admin Management Xtended است ، این افزونه با استفاده از آژاکس این قابلیت و قابلت های پر استفاده دیگری را به شما هدیه میدهد ، این بده حقیر این افزونه را فارسی کردم و فایلهای ترجمه ان را برای سازنده ان ارسال کردم حال شما میتوانید از این افزونه پر کاربرد به راحتی استفاده کنید .

قابلیت های افزونه :

ایجاد بخش تغییر عنوان پست در صفحه مدیریت

ایجاد بخش ویرایش برچسب ها در صفحه مدیریت

ایجاد بخش ویرایش دسته بندی ها در صفحه مدیریت

ایجاد بخش تغییر ترتیب نمایش برگه ها در صفحه مدیریت

ایجاد دکمه ای برای خاموش و روشن کردن راحت بخش نظرات یک پست در صفحه مدیریت

ایجاد ….

دانلود افزونه فارسی از سرور wordpress.com

سازنده افزونه

اشتراک : شما توسط این ایکونها میتوانید توسط سرویس مورد علاقه خود این مطلب را نگهداری کنید تا هر گاه خواستید ان را بدون نگرانی از فراموش آدرس ان مستقیما به ان دسترسی داشته باشید !
  • balatarin
  • donbaleh
  • mohandes
  • del.icio.us
  • bodytext
  • Google
  • Facebook
  • blogmarks
  • E-mail this story to a friend!
  • NewsVine
  • Live
  • TwitThis
  • Furl

دزدگیر قدرتمند (IDS) برای وردپرس

در تاریخ ۱۰ فروردین ۱۳۸۷ توسط امیر آشتیانی

به نام ایزد یکتا

++ دزدگیر قدرتمند (IDS) برای وردپرس !

خوب ، چند وقتی بود که به شدت نیاز به یک IDS داشتم ، همش فکرم مشغول بود از دست این شیاطین ، بالاخره پیدا کردم ، باورم نمی شد وردپرس هم بله … در واقع شما هر ابزار وب که با PHP و MYSQL کار بکنه مطمئن باید باشید که یک افزونه برای وردپرس ها دارد !!، یک افزونه رسمی که از PHP IDS را در محیط وردپرس به صورت تخصصی می آورد ! خوب اگر شما نمیدانید IDS چی هست و به چه کاری می آید بهتر حتما بروید و اینجا را مطالعه کنید البته به صورت کامل ان را در کتابم توضیح دادم ، ترجمه عامیانه آن همان دزدگیر خودمان است ، البته یک دفعه فکر نکنید مثل اساتید این کار این افزونه کار میکنه اما امکانات قابل توجهی دارد !

+ شما میتوانید wp-ids را از اینجا دریافت و استفاده کنید ، ضمنا به نظر میرسه فقط شما باید PHP ۵ داشته باشید ! اما این افزونه (PHPIDS) با نسخه های PHP ۴ هم کار میکنه !

توضیحاتی برای افزونه وردپرس فارسی “فروشگاه”

در تاریخ ۲ فروردین ۱۳۸۷ توسط امیر آشتیانی

به نام ایزد یکتا

++ توضیحاتی برای افزونه وردپرس فارسی  “فروشگاه”

فکر میکنم به علت حجم زیاد نامه های الکترونیکی (تقریبا هر روز و به تعداد ۳ یا ۴ عدد به صورت متوسط) ، در باره این افزونه باید یکسری توضیحاتی را بدهم که مجبور نباشم این هم میل جواب بدهم ! ضمنا از این به بعد نامه های که حاوی کلمات کلیدی مربوط به فروشگاه باشد به صورت خودکار به Junk منتقل خواهد شد و حکمی برابر با جفنگ دارد ! (کلافه شدیم)

۱- زمان انتشار این افزونه : زمان آن را تابستان معین کردیم و سر ته آن هم مشخص نکردیم ! البته به احتمال قوی خیلی ، خیلی زود تر خواهد بود اما ما دست بالا را گرفتیم تا … دلایل ان هم زیاد من خودم کار دارم (درس دارم + کار دارم + پروژه های خیلی مهمتری هم دارم + و  … )نسخه جدید ورد پرس هم در آستانه انتشار ! شیوه دور زدن (پیچوندن) صحت اصالت افزونه از صحیح کار کردن آن در هاست های ویندوزی (ISS) و بر روی هاست های که از PHP ۴ استفاده میکنند اطمینانی ندارم … باگ های که خودم کشف کردم و توسط آن موفق به دزدیدن افزونه از سیستم فروش آنلاین PayPal شدم هیچ راهی برای برطرف کردنش پیدا نکردم ! ضمنا این باگ نمیتونه به افزونه انگ غیر امن بزنه چون برای استفاده از آن دانش خیلی زیادی لازم است این بگم که این افزونه در برابر تمامی حملات XSS نفس کش …

۲- ضمنا سال جدید شروع شده و من در حال ایجاد یک تحول عمیق در افکارم هستم و شما اندکی دقت میفهمید که افکار من هستند که افعالم را به وجود می آورند !

۳- ضمنا شاید این افزونه رایگان هم نباشد !

۴- اگر شما لنگ یک فروشگاه آنلاین هستید میتوانید از این سیستم مدیریت محتوا رایگان برای فروشگاه استفاده کنید !

سیاره چیست ؟

  • سیاره، محلی برای گردآوری مطالب مرتبط با موضوعی خاص است.
  • سیاره وردپرس فارسی نیز، به همین شکل، محلی برای جمع آوری مطالب مرتبط با وردپرس در وبلاگهای فارسی است.
  • در صورتی که مایل به ثبت وبلاگ خود در سیاره هستید٬ از طریق بخش ثبت خوراک٬ مشخصات وبلاگ خود را برای ما ارسال کنید.

    • ورودی‌ها

  • مانی منجمی
  • Corelist
  • گناهکار
  • Alvanweb
  • عصرونه
  • xray
  • Robo
  • رئیسی
  • تیلدا
  • پاپیون
  • مداد آی تی
  • آي تي بلاگ
  • چرتکه
  • کف خون
  • شبح آزادی
  • پارسیش
  • یک فتحی
  • یک پزشک
  • Ubuntu Blog
  • آقای وبلاگ
  • ITLine
  • بلاگ نوشت
  • پی‌سی دیزاین
  • زیرِخط
  • دهکده آی‌تی
  • Naghies
  • Sinac
  • نون وا
  • بیا تو اراک

    • ورودی‌های غیرفعال

  • کامبیز
  • فلاطونی
  • صنوبر
  • یک ایرانی
  • kcspot

    • بایگانی