عبدالماجد

آموزشی
آموزش قدم به قدم امنیت وردپرس

86 پست در این موضوع قرار دارد

بهترین راه برای محافظت اینه که خودتون هکر بشید ! اگر راه های هک کردن سایت را بدایند و با آن آشنا باشید خب قائدتا میتونید جلوی نفوذ را بگیرید.

اگر تمام موارد امنیت وردپرس را رعایت کرده باشید و هاستینگ مناسبی را انتخاب نکرده باشید انگار هیچ کاری برای امنیت انجام ندادید !

یکی از روش های هکر ها برای خارج کردن از دور سایتی حملات ddos هست. موقعی این اتفاق می افتد که استفاده از منابع سرور و یا به نحوی پهنای باند و سخت افزار سرور در چند لحظه به اوج میرسد که در نتیجه هاست شما ساسپند و از دور خارج میشود. فرض کنید در یک لحظه 100 مشتری به یک مغازه حجوم آورند و مغازه دار دیگر قارد به پاسخگویی نیست ! این عیننا مثل حملات ddos به سایت است. برای جلوگیری از این حملات باید هاستینگ مناسبی را انتخاب کرده باید تا در موقع حملات ddos فایروال سرور اون آیپی که قصد استفاده زیاد از منابع را داره بلاک کنه.

اگر دوستان مایل بودند آموزش حمله از طریق ddos را هم بزارم ؟

شایع ترین روش برای نابود کردن سایت از طریق تزریق و نفوذ به پایگاه داده است که شما باید نام کاربر و نام دیتا بی مناسب و غیر قابل حدس را انتخاب کرده باشید و سطح دسترسی wp-config.php را تنظیم و برای خارج کردن از دسترسی اون را به مسیر روت هاست منتقل کنید و سعی کنید از افزونه های کمتری استفاده بشه چون معمولا از طریق باگ های موجود در قالب ها و یا افزونه ها تزریق انجام میشه

1

به اشتراک گذاری این پست


لینک به پست

پنهان کردن نام نمایشی مدیر:

در برخی از قالب ها ممکن است در پست منتشر شده, نام کاربری مدیر سایت نمایش داده شود! برای برطرف کردن این مشکل وارد پنل کاربری سایت شوید و به قسمت “ویرایش شناسه کاربری من” (بالای نوار وردپرس – سمت چپ) مراجعه کنید, سپس در قسمت “نمایش عمومی نام” میتوانید نام کاربری خود را تغییر دهید.

در صورتی که نام کاربری (User Name) شما ضیعف و قابل حدث است, از طریق آموزش زیر به تغییر آن اقدام کنید و از نام کاربری قوی استفاده کنید.

نام کاربری خود را از URL بایگانی نویسنده پنهان کنید:

راه دیگری که مهاجم به طور بالقوه می تواند نام کاربری شما را به دست آورد، از طریق صفحات آرشیو نویسنده در سایت شما است.

وردپرس به طور پیش فرض نام کاربری شما را در URL صفحه آرشیو نویسنده نمایش می دهد. به عنوان مثال، اگر نام کاربری شما “balyan” است، صفحه آرشیو نویسنده شما چیزی شبیه به “www.yoursite.com/author/balyan” خواهد بود.

به همان دلایلی که در بالا برای نام کاربری “admin” توضیح داده شد، این امر خیلی هم ایده آل نیست. بنابراین ایده ی خوبی است که با استفاده از تغییر ورودی user_nicename خود در پایگاه داده ها (phpMyAdmin)، که در اینجا شرح داده شده است، کلمه ی کاربری خود را مخفی کنید.

2

به اشتراک گذاری این پست


لینک به پست

حالا اومدیم همه این کار هایی که دوستان گفتند رو انجام دادیم و مثلا قالبمون یه باگ داشت و هک شدیم ! حالا چکار کنیم ؟؟!؟

اقدامات بعد از هک شدن ، جهت دیفیس نشدن دوباره :

1- اول نام کاربری و پسورد پنل مدیریت وردپرستون را عوض کنید

2- ممکنه هکر با اولین هک در سایتتون شل آپلود کنه ، شما باید از هاستیگتون درخواست کنید هاستتون را اسکن کنند تا فایل آلوده را پیدا کنند.

3- نام دیتابیس ، نام کاربری دیتابیس و پسود دیتابیس را عوض کنید

4- وردپرس را یکبار آپرگیت کنید

5- تمام افزونه های فعلی را پاک و از نو دریافت و نصب کنید

6- به کد های قالبتون مخصوصا فایل functions.php دقت کنید که باگ نداشته باشد

7- به کد های فایل htaccess دقت کنید که مشکلی نداشته باشد

8- اقدامات امنیتی وردپرس را طبق توصیه دوستان رعایت کرده و از افراد با تجربه کمک بگیرید

4

به اشتراک گذاری این پست


لینک به پست

ارسال شده در (ویرایش شده)

دوستان عزیز به 3 لینک زیر توجه کنید:

http://api.wordpress...secret-key/1.0/

http://api.wordpress...secret-key/1.1/

http://api.wordpress...t-key/1.1/salt/

توی این لینک ها کد هایی به شما میده که در wp-config میزارید تا امنیت سایت شما رو بالا ببره...

لینک سوم جدیدترین لینک هست که توسط وردپرس منتشر شده. اما خیلی دوستان هنوز از لینک دوم استفاده میکنن!!!

لطفا دیگه از لینک دومی استفاده نکنید. چون لینک سوم خیلی بهتر و کاملتره

ویرایش شده در توسط سیدرضا بازیار
1

به اشتراک گذاری این پست


لینک به پست

در زمانی که سرور شما مورد حمله قرار میگیرد نیاز به دایرکتوری سایت شما خواهند داشت

یکی از راه های دیدن دایرکتوری سایت شما دیدن خطاهای درون لاگ میباشد

با قرار دادن کد زیر میتوانید جلوی لاگ ها بگیرید :


define('WP_DEBUG', false);
if (WP_DEBUG) {
define('WP_DEBUG_DISPLAY', false);
@ini_set('log_errors', 'off');
@ini_set('display_errors', 'off');
@ini_set('error_log', 'wp_error.log');
}

5

به اشتراک گذاری این پست


لینک به پست

ارسال شده در (ویرایش شده)

تجربه ورود امن و دومرحله‌ای و البته بسیار جالب به بخش مدیریت وردپرس!

داشتم تو نت در مورد امنیت وردپرس سرچ میکردم که به این مطلب بر خوردم گفتم در اختیار دوستان وردپرس بزارم شاید مفید باشه منبع این مطلب سایت شاهوار دات نت است.

تا به حال چند بار شده که کلمه عبور وبلاگ تان را فراموش کرده باشید ؟

آیا از اینکه دیگران با کشف کلمه عبور شما به بخش مدیریت وبلاگ‌تان دسترسی پیدا کرده و همه اطلاعات شما را حذف کنند نگران هستید ؟

آیا از اینکه در مکان‌های عمومی مثل کافی نت‌ها و یا رایانه‌های دوستان ، وارد بخش مدیریت وبلاگ‌تان شوید هراس دارید که نکند کلمه عبور شما توسط نرم افزارهای Keyloger ثبت شود ؟

آیا دوست دارید بدون اینکه نیاز به حفظ کردن کلمه عبور های طولانی داشته باشید ، ورود به بخش مدیریت وبلاگ وردپرسی خود را بسیار امن سازید؟ آن هم بدون وارد کردن نام کاربری و کلمه عبور؟

آیا دوست دارید وبلاگ‌تان را مجهز به ورود دومرحله‌ای بسیار پیشرفته و امن کنید ؟

بی اغراق بایدگفت که دیگر زمان استفاده از گذرواژه‌ها و کلمات عبور در حال سپری شدن است.

از طرفی به خاطر سپردن یک کلمه‌عبور یکسان برای ورود به تمامی وبسایت‌ها و حساب‌های کاربری به هیچ وجه امن و مورد قبول نیست و از طرف دیگر حفظ کردن تعداد زیادی کلمه عبور برای سایت‌های مختلف نیز کار دشواری است که گاها ممکن است کلمه عبور یک یا چند سرویس مختلف خود را فراموش کنید .

به همین دلیل بسیاری از شرکت‌ها امروزه به دنبال جایگزینی برای کلمه‌های عبور فعلی برای حفظ حریم شخصی افراد هستند که هم ورود برای کاربر راحت‌تر باشد و هم ورود برای سایرین دشوارتر و غیرممکن‌تر.

تصور کنید تنها با نزدیک کردن تلفن همراه هوشمند خود به مانیتور کامیپوترتان ، بتوانید وارد بخش مدیریت وبلاگ‌تان شوید. آن هم بدون نیاز به وارد کردن نام کاربری و کلمه عبور ! واقعا هیجان انگیز است .

ا استفاده از این تکنولوژی می توانید ورود به بخش مدیریت وب سایت‌تان را بسیار امن کنید و دیگر نگران تایپ کلمه عبور خودتان و لو رفتن آن نباشید. حتی دیگر نیازی به ، خاطر سپردن کلمه عبور و نام کاربری خود ندارید و از طرفی ورود به بخش مدیریت وبلاگ‌تان را بسیار ایمن‌ و غیرقابل نفوذ کنید.

شرکت Clefابداع کننده روشی است که از یک موج نمایش داده شده بر روی تلفن همراه‌تان ، برای تشخیص هویت کاربر استفاده می‌کند.

از آنجایی که در این روش خبری از کاراکترهای عددی و حروف وجود ندارد ، استقبال فراوانی به جهت امنیت بالای این روش از این تکنولوژی شده است و این دلیلی است که شرکت Clef را در ادامه‌ی روش خود مصمم تر می‌کند. حتما برایتان جالب خواهد بود که بدانید از این فناوری هم اکنون بیش از ۸۱۰۰۰ وبسایت و شرکت بزرگ و بیش از ۴۰۰۰۰۰ وبلاگ وردپرسی استفاده می‌کنند.

اما خبر خوب اینکه شما هم می‌توانید به راحتی این تکنولوژی جالب را به وبلاگ وردپرسی خودتان اضافه کنید !

برای شروع لازم است تا پلاگین Clef را در وردپرس خود نصب کنید . کافی است به بخش افزونه‌ها در وردپرس مراجعه و با جستجوی نام Clef ، افزونه Clef Two-Factor Authentication را مستقیما از مخزن افزونه های وردپرس نصب کنید .

clef-wordpress-plugin.gif

سپس می‌بایست اپلیکیشن Clef را برای تلفن همراه خود دریافت کنید .

Clef برای اندروید و iOS اپلیکیشن اختصاصی دارد که با توجه به سیستم عامل خود می‌توانید نسبت به دانلود اپلیکیشن مورد نظر اقدام کنید

دریافت اپلیکیشن Clef برای اندروید از گوگل پلی

دریافت اپلیکیشن Clef برای iOS

پس از ثبت نام بسیار ساده در اپلیکیشن نوبت به پیکربندی افزونه در وردپرس می‌رسد .

برای اولین بار که به صفحه افزونه در بخش مدیریت وارد شوید ، توضیحاتی در رابطه با افزونه را مشاهده خواهید کرد. اما برای ورود به صفحه پیکربندی افزونه و ارتباط بین افزونه و تلفن هوشمند یا تبلت خودتان لازم است تا بر روی دکمه آبی رنگ Get Started کلیک کنید .

clef-wordpress-plugin-config.gif

از آنجایی که قبلا اقدام به دریافت نرم افزار در گوشی خود کرده ایم می‌بایست بر روی دکمه I already have the app کلیک کنید :

clef-wordpress-plugin-config-52.gif

سپس یک کد موجی شکل آبی رنگ به شما نمایش داده خواهد شد و از شما درخواست میگردد تا اپلیکیشن Clef موجود در تلفن همراه و یا تبلت خود را اجرا نموده و آن را در نزدیکی کدموجی شکل قرار دهید تا کد اسکن شود.

کار تمام است ! حالا می‌توانید اقدام به تست این تکنولوژی در وبلاگ خودتان کنید.

شایان ذکر است : در صفحه پیکربندی افزونه ، تنظیمات مختلفی وجود دارد که می‌توانید بنا به دلخواه خود آنها را فعال یا غیرفعال کنید .

که از جمله آن میتوان به موارد زیر اشاره کرد:

  • فعال یا غیر فعال سازی قابلیت ورود با تکنولوژی Clef + ورود به صورت معمول (ورود دومرحله‌ای به وبلاگ)
  • فعال یا غیر فعال سازی ورود به داشبورد وبلاگ تنها از طریق تکنولوژی Clef
  • امکان تعریف دسترسی های مختلف برای کاربران مختلف وبلاگ
  • فعال یا غیر فعال سازی قابلیت ثبت نام کاربران جدید در وبلاگ با استفاده از تکنولوژی Clef

همچنین در بخشی که با عنوان Override URL مشخص شده است میتوانید یک لینک دلخواه و مخفی تهیه کنید که اگر بنابه دلایلی به گوشی خود دسترسی نداشتید و یا مثلا گوشی شما به سرقت رفته بود و قابلیت ورود با کلمه عبور را نیز غیر فعال کرده بودید ، با وارد کردن این لینک مخفی قابلیت ورود با تکنولوژی Clef غیرفعال شده و دوباره می توانید به وسیله نام کاربری و کلمه عبور وارد مدیریت وبلاگ شوید.

clef-wordpress-plugin-config-1.gif

البته اپلیکیشن Clef نصب شده در تلفن همراه خود مجهز به یک کلمه عبور ۴ رقمی برای ورود است و علاوه بر این در صورت سرقت گوشی می‌توانید با مراجعه به آدرس https://getclef.com/lost نسبت به غیرفعال سازی Clef اقدام کنید. بنابراین خیالتان بابت دسترسی غیرمجاز به مدیریت وبلاگ تان کاملا تخت باشد چرا که Clef فکر همه جا را کرده است!

clef19.jpg

رای ورود به بخش مدیریت وبلاگ ، اپلیکیشن Clef را در تلفن همراه تان اجرا کرده و همانند ویدئویی که در ابتدای مطلب نمایش داده شد، تلفن تان را در صفحه ورود وردپرس روبه‌روی موج‌های آبی رنگ حال حرکت روی صفحه نمایش قرار دهید تا Clef کد موجی شکل را اسکن کرده و سپس به صورت اتوماتیک شما را وارد بخش مدیریت وبلاگ‌تان کند.

حتی می‌توانید از طریق اپلیکیشن از بخش مدیریت وبلاگ نیز Log Out کنید که برای این کار نیازی به نزدیک کردن گوشی به مانیتور و اسکن کد موجی شکل نیست.

این قابلیت خصوصا وقتی فراموش کرده‌ای تا از بخش مدیریت وبلاگ در یکی از رایانه‌های کافی نت و یا لپ تاپ دوست‌تان خارج شوید کاربرد فراوانی خواهد داشت و از راه دور و کیلومترهای آن‌طرف‌تر می‌توانید این کار را انجام دهید !

clef-login-time-e1393879054689.png

ضمن اینکه اپلیکیشن بعد از زمان مشخصی به صورت اتوماتیک شما را از بخش مدیریت Log Out میکند که این زمان همواره بر روی تلفن همراه شما نمایش داده میشود و همچنین میتوان زمان آن را تغییر دهید . ضمن اینکه ۵ دقیقه مانده به اتمام زمان Clef شما را به صورت صوتی از این کار باخبر می سازد

منبع : شاهوار دات نت

تجربه ورود امن و دومرحله‌ای و البته بسیار جالب به بخش مدیریت وردپرس!

داشتم تو نت در مورد امنیت وردپرس سرچ میکردم که به این مطلب بر خوردم گفتم در اختیار دوستان وردپرس بزارم شاید مفید باشه منبع این مطلب سایت شاهوار دات نت است.

تا به حال چند بار شده که کلمه عبور وبلاگ تان را فراموش کرده باشید ؟

آیا از اینکه دیگران با کشف کلمه عبور شما به بخش مدیریت وبلاگ‌تان دسترسی پیدا کرده و همه اطلاعات شما را حذف کنند نگران هستید ؟

آیا از اینکه در مکان‌های عمومی مثل کافی نت‌ها و یا رایانه‌های دوستان ، وارد بخش مدیریت وبلاگ‌تان شوید هراس دارید که نکند کلمه عبور شما توسط نرم افزارهای Keyloger ثبت شود ؟

آیا دوست دارید بدون اینکه نیاز به حفظ کردن کلمه عبور های طولانی داشته باشید ، ورود به بخش مدیریت وبلاگ وردپرسی خود را بسیار امن سازید؟ آن هم بدون وارد کردن نام کاربری و کلمه عبور؟

آیا دوست دارید وبلاگ‌تان را مجهز به ورود دومرحله‌ای بسیار پیشرفته و امن کنید ؟

بی اغراق بایدگفت که دیگر زمان استفاده از گذرواژه‌ها و کلمات عبور در حال سپری شدن است.

از طرفی به خاطر سپردن یک کلمه‌عبور یکسان برای ورود به تمامی وبسایت‌ها و حساب‌های کاربری به هیچ وجه امن و مورد قبول نیست و از طرف دیگر حفظ کردن تعداد زیادی کلمه عبور برای سایت‌های مختلف نیز کار دشواری است که گاها ممکن است کلمه عبور یک یا چند سرویس مختلف خود را فراموش کنید .

به همین دلیل بسیاری از شرکت‌ها امروزه به دنبال جایگزینی برای کلمه‌های عبور فعلی برای حفظ حریم شخصی افراد هستند که هم ورود برای کاربر راحت‌تر باشد و هم ورود برای سایرین دشوارتر و غیرممکن‌تر.

تصور کنید تنها با نزدیک کردن تلفن همراه هوشمند خود به مانیتور کامیپوترتان ، بتوانید وارد بخش مدیریت وبلاگ‌تان شوید. آن هم بدون نیاز به وارد کردن نام کاربری و کلمه عبور ! واقعا هیجان انگیز است .

ا استفاده از این تکنولوژی می توانید ورود به بخش مدیریت وب سایت‌تان را بسیار امن کنید و دیگر نگران تایپ کلمه عبور خودتان و لو رفتن آن نباشید. حتی دیگر نیازی به ، خاطر سپردن کلمه عبور و نام کاربری خود ندارید و از طرفی ورود به بخش مدیریت وبلاگ‌تان را بسیار ایمن‌ و غیرقابل نفوذ کنید.

شرکت Clef ابداع کننده روشی است که از یک موج نمایش داده شده بر روی تلفن همراه‌تان ، برای تشخیص هویت کاربر استفاده می‌کند.

از آنجایی که در این روش خبری از کاراکترهای عددی و حروف وجود ندارد ، استقبال فراوانی به جهت امنیت بالای این روش از این تکنولوژی شده است و این دلیلی است که شرکت Clef را در ادامه‌ی روش خود مصمم تر می‌کند. حتما برایتان جالب خواهد بود که بدانید از این فناوری هم اکنون بیش از ۸۱۰۰۰ وبسایت و شرکت بزرگ و بیش از ۴۰۰۰۰۰ وبلاگ وردپرسی استفاده می‌کنند.

اما خبر خوب اینکه شما هم می‌توانید به راحتی این تکنولوژی جالب را به وبلاگ وردپرسی خودتان اضافه کنید !

برای شروع لازم است تا پلاگین Clef را در وردپرس خود نصب کنید . کافی است به بخش افزونه‌ها در وردپرس مراجعه و با جستجوی نام Clef ، افزونه Clef Two-Factor Authentication را مستقیما از مخزن افزونه های وردپرس نصب کنید .

clef-wordpress-plugin.gif

سپس می‌بایست اپلیکیشن Clef را برای تلفن همراه خود دریافت کنید .

Clef برای اندروید و iOS اپلیکیشن اختصاصی دارد که با توجه به سیستم عامل خود می‌توانید نسبت به دانلود اپلیکیشن مورد نظر اقدام کنید

دریافت اپلیکیشن Clef برای اندروید از گوگل پلی

دریافت اپلیکیشن Clef برای iOS

پس از ثبت نام بسیار ساده در اپلیکیشن نوبت به پیکربندی افزونه در وردپرس می‌رسد .

برای اولین بار که به صفحه افزونه در بخش مدیریت وارد شوید ، توضیحاتی در رابطه با افزونه را مشاهده خواهید کرد. اما برای ورود به صفحه پیکربندی افزونه و ارتباط بین افزونه و تلفن هوشمند یا تبلت خودتان لازم است تا بر روی دکمه آبی رنگ Get Started کلیک کنید .

clef-wordpress-plugin-config.gif

از آنجایی که قبلا اقدام به دریافت نرم افزار در گوشی خود کرده ایم می‌بایست بر روی دکمه I already have the app کلیک کنید :

clef-wordpress-plugin-config-52.gif

سپس یک کد موجی شکل آبی رنگ به شما نمایش داده خواهد شد و از شما درخواست میگردد تا اپلیکیشن Clef موجود در تلفن همراه و یا تبلت خود را اجرا نموده و آن را در نزدیکی کدموجی شکل قرار دهید تا کد اسکن شود.

کار تمام است ! حالا می‌توانید اقدام به تست این تکنولوژی در وبلاگ خودتان کنید.

شایان ذکر است : در صفحه پیکربندی افزونه ، تنظیمات مختلفی وجود دارد که می‌توانید بنا به دلخواه خود آنها را فعال یا غیرفعال کنید .

که از جمله آن میتوان به موارد زیر اشاره کرد:

  • فعال یا غیر فعال سازی قابلیت ورود با تکنولوژی Clef + ورود به صورت معمول (ورود دومرحله‌ای به وبلاگ)
  • فعال یا غیر فعال سازی ورود به داشبورد وبلاگ تنها از طریق تکنولوژی Clef
  • امکان تعریف دسترسی های مختلف برای کاربران مختلف وبلاگ
  • فعال یا غیر فعال سازی قابلیت ثبت نام کاربران جدید در وبلاگ با استفاده از تکنولوژی Clef

همچنین در بخشی که با عنوان Override URL مشخص شده است میتوانید یک لینک دلخواه و مخفی تهیه کنید که اگر بنابه دلایلی به گوشی خود دسترسی نداشتید و یا مثلا گوشی شما به سرقت رفته بود و قابلیت ورود با کلمه عبور را نیز غیر فعال کرده بودید ، با وارد کردن این لینک مخفی قابلیت ورود با تکنولوژی Clef غیرفعال شده و دوباره می توانید به وسیله نام کاربری و کلمه عبور وارد مدیریت وبلاگ شوید.

clef-wordpress-plugin-config-1.gif

البته اپلیکیشن Clef نصب شده در تلفن همراه خود مجهز به یک کلمه عبور ۴ رقمی برای ورود است و علاوه بر این در صورت سرقت گوشی می‌توانید با مراجعه به آدرس https://getclef.com/lost نسبت به غیرفعال سازی Clef اقدام کنید. بنابراین خیالتان بابت دسترسی غیرمجاز به مدیریت وبلاگ تان کاملا تخت باشد چرا که Clef فکر همه جا را کرده است!

clef19.jpg

رای ورود به بخش مدیریت وبلاگ ، اپلیکیشن Clef را در تلفن همراه تان اجرا کرده و همانند ویدئویی که در ابتدای مطلب نمایش داده شد، تلفن تان را در صفحه ورود وردپرس روبه‌روی موج‌های آبی رنگ حال حرکت روی صفحه نمایش قرار دهید تا Clef کد موجی شکل را اسکن کرده و سپس به صورت اتوماتیک شما را وارد بخش مدیریت وبلاگ‌تان کند.

حتی می‌توانید از طریق اپلیکیشن از بخش مدیریت وبلاگ نیز Log Out کنید که برای این کار نیازی به نزدیک کردن گوشی به مانیتور و اسکن کد موجی شکل نیست.

این قابلیت خصوصا وقتی فراموش کرده‌ای تا از بخش مدیریت وبلاگ در یکی از رایانه‌های کافی نت و یا لپ تاپ دوست‌تان خارج شوید کاربرد فراوانی خواهد داشت و از راه دور و کیلومترهای آن‌طرف‌تر می‌توانید این کار را انجام دهید !

clef-login-time-e1393879054689.pngضمن اینکه اپلیکیشن بعد از زمان مشخصی به صورت اتوماتیک شما را از بخش مدیریت Log Out میکند که این زمان همواره بر روی تلفن همراه شما نمایش داده میشود و همچنین میتوان زمان آن را تغییر دهید . ضمن اینکه ۵ دقیقه مانده به اتمام زمان Clef شما را به صور

ویرایش شده در توسط graphicno
1

به اشتراک گذاری این پست


لینک به پست

پست ها منتقل شدند

تاپیک فقط آموزشی هست و سوالات در تاپیک زیر پرسیده شود :

0

به اشتراک گذاری این پست


لینک به پست

با سلام

با توجه به درج مطالب دوستان در مورد سطوح دسترسی یکسری تغییرات رخ داده که خود وردپرس، طبق آخرین بروزرسانی مستندات، سطوح دسترسی فایل ها باید به ترتیب زیر باشد :

به هیچ وجه نباید هیچ پوشه و فایلی ۷۷۷ باشه. حتی پوشه upload ! بله درسته. اگر سرور شما به درستی تنظیم شده باشه با سطح دسترسی ۷۷۵ مشکل شما حل می شه. این هم به خاطر خاصیت Group Ownership در *nix هست.

پوشه ها : ۷۷۵ یا ۷۵۰ (بسته به نوع سرور شما)

فایل ها : همه فایل ها به غیر از wp-config باید ۶۴۴ یا ۶۴۰ باشند.

فایل wp-config : این فایل باید روی ۴۴۰ یا ۴۰۰ باشد.

برای پیاده سازی موارد بالا اگر سرور شما به این سبک نیست استفاده از موارد زیر توصیه می گردد :

  • mod_ruid2, یک ماژول suexec می باشد که برای Apache نوشته شده است که ساده ولی بسیار کاربردی می باشد.
  • mpm-itk, یک ماژول Multi-Processing می باشد که برای Apache نوشته شده است که علاوه بر امکانات موجود قابلیت سطوح دسترسی استاندارد را به ما میدهد.
  • mod_fcgid, یک ماژول Apache و FastCGI می باشد که تنظیمات گسترده ای در اختیار ما می گذارد.
  • PHP-FPM, یک ماژول جایگزین برای FastCGI می باشد که عملکرد بهتری دارد و برای Apache و NginX استفاده می گردد. (طبق تجربه شخصی از Performance بسیار بالایی برخوردار است).

منبع : مستندات وردپرس در مورد سطح دسترسی ها

 

1

به اشتراک گذاری این پست


لینک به پست

سلام

سوالی داشتم ؟؟؟

چه طوری میشه کاری کرد که فایل index.php  هک دیفیس نشه ؟

سایت بنده چند بار تا حالا اینجوری هک شده

آیا راهی هست که دسترسی به این فایل محدود بشه یا مخفی یا ... هر چیزی که جلوگیری از این هک بکنه ؟

بنده همه امنیت ها را نیز رعایت کردم بازم این اتفاق می افته

ممنون میشم

راهنمایی نمایید .

با تشکر

0

به اشتراک گذاری این پست


لینک به پست

ارسال شده در (ویرایش شده)

درود

دوستان برای امنیت سایت های وردپرسی چه کار هایی ضروری هستش و باید انجام بدیم

ممنون میشم راهنماییم کنید

 

 

ببخشید اگر میشه انتقال بدید به تاپیک زیر

 

 

ویرایش شده در توسط M a H D i
0

به اشتراک گذاری این پست


لینک به پست

سلام به همه . آیا کلود فلیر میتواند امنیت خوبی برای دیداس ایجاد کند؟

0

به اشتراک گذاری این پست


لینک به پست

برای ارسال نظر یک حساب کاربری ایجاد کنید یا وارد حساب خود شوید

برای اینکه بتوانید نظر ارسال کنید نیاز دارید که کاربر سایت شوید

ایجاد یک حساب کاربری

برای حساب کاربری جدید در انجمن ما ثبت نام کنید. عضویت خیلی ساده است !


ثبت نام یک حساب کاربری جدید

ورود به حساب کاربری

دارای حساب کاربری هستید؟ از اینجا وارد شوید


ورود به حساب کاربری

  • مطالب مشابه

    • توسط mina_exchange
      سلام دوستان . ممکنه کم و بیش شما با واژه هایی مثل "برون سپاری" و یا معادل انگلیسی آن "freelancing"  آشنایی داشته باشید. واژه فریلنسر برای اولین بار  توسط «سر والتر اسکات» در رمان مشهور ایوانهو به کار برده شد و اشاره به سربازهایی داشت که در جنگ‌های قرون وسطایی به صورت مزدور والبته بدون التزام و تعهد به اربابی خاص، می‌جنگیدند یا اصطلاحاً نیزه می‌زدند. بعدها واژه فریلنسر شکلهای دیگری هم به خود گرفت و کم‌کم تبدیل شد به اصطلاحی رایج.اما امروز فریلنسر به کسی گفته میشود که در ازای گرفتن حق الزحمه ، خدمات تخصصی را به کارفرمایان و مشتریان بدون داشتن  قرارداد بلندمدت ارائه میدهد. بطور کلی فریلنسرها از تنوع کاری زیادی نسبت به کارمندان برخوردار هستند. بدون درنظر گرفتن به نیاز به یک درآمد ثابت - معمولاً آزادی عمل بیشتری برای انتخاب زمان و مکان کار خود دارند.تجربه کارهای متفاوت مشخصه‌های آن‌ها را می‌سازد و در نتیجه شبکه‌ای از مشتریان برای خود تشکیل می‌دهند. شما با داشتن هر توانایی و هرمهارتی می توانید با شیوه فریلنسینگ از آن توانایی و یا مهارت خود کسب درآمد کنید.اما مشتری را چه کسی برای شما پیدا میکند؟! امروزه وبسایت های زیادی در این زمینه مشغول به فعالیت هستند. از نمونه های ایرانی آن میتوان به وبسایت هایی همچون "پارسکدرز" ، " کاریتو"، "پونیشا" و... اشاره کرد. این وب سایت ها به عنوان یک واسطه بین کارفرما و مجری (یا همان فریلنسرها) عمل میکنند به این صورت که کارفرما خدمت مورد نیاز خود را در اینگونه وبسایت ها اعلام میکند و شما اگر توانایی انجام خدمت مدنظر کارفرما را داشته باشید، با کارفرما وارد دیالوگ شده و  قیمت پیشنهادی و مهلت انجام کار را تعیین میکنید و پس از انجام مذاکره در صورتی که کار به شما واگذار گردد درصدی از حق الزحمه را به وبسایت پرداخت میکنید. البته تعدای از این وبسایت ها حق اشتراک ماهانه نیز از شما دریافت میکنند. هرکاری که بتوان در بستر اینترنت انجام داد نظیر تایپ، ترجمه، برنامه نویسی، طراحی سایت، انجام کارهای گرافیکی و... قابل درخواست از طرف کارفرما و قابل ارائه از طرف فریلنسرها می باشد. اگر شما یک طراح سایت حرفه ای و یا یک برنامه نویس حرفه ای باشید، سایتهای برون سپاری در کسب درآمد شما جایگاه ویژه ای پیدا میکنند چرا که بیش از نود درصد درخواست ها از طرف کارفرمایان در سایت های برون سپاری در این حوزه قرار میگیرد. و اگر حتی بخواهید به دلار کسب درآمد کنید این امکان نیز با ثبت نام در سایت های برون سپاری جهانی نظیر "freelancer.Com" و یا "UpWork.com"  برای شما فراهم میشود. البته به علت تحریم های ایران ، امکان ثبت نام در این دو سایت برای فریلنسرهای ایرانی فراهم نمی باشد اما ما مفتخریم اعلام کنیم که مجموعه ما یعنی "Mina_Exchange"  این امکان را فراهم آورده است. در صورت تمایل به عضویت در freelancer.com به وبسایت
        http://mina-exchange.com/  مراجعه کنید.
    • توسط AminHashemy
      سلام دوستان 
      من لیستی از آموزش های خوب وردپرس که به نظرم ارزش استفاده داره رو دور هم جمع کردم 
      شما هم اگر مورد بیشتری میشناسید اضافه کنید تا همه استفاده کنن:
       
      https://evand.com/events/wordpress-complete-giude
      مثلا شامل مباحث زیر :
      معرفی پیشخوان وردپرس آموزش ایجاد گالری محصولات افزونه های ووکامرس
      سرچ به صورت زنده (ایجکس سرچ) افزونه مقایسه کالا آموزش نحوه برخورد با کارفرما و درک نیاز های کارفرما  
      https://abzarwp.com/wordpress-tutorials/
      تعداد جلسات تا اکنون : 33 جلسه کل زمان دوره تا اکنون : 880 دقیقه سطح دوره از نظر آموزش : از ۰ تا ۱۰۰ مناسب برای افراد مبتدی تا حرفه ای  
      مورد بعدی آموزش وردپرس https://faradars.org/how-to-learn/wordpress
      یک مجموعه ای از آموزش های تکه تکه هست
       
      https://hamyarwp.com/webdesign/
      دوره جامع ۰ تا ۱۰۰ آموزش طراحی سایت و آموزش طراحی فروشگاه اینترنتی دارای پیش نیازهایی می باشد که قبل از ثبت نام می بایست به آنها توجه کنید تا در ادامه آموزش به مشکل نخورید.
          https://mihanwp.com/wordpress-learn/ دوره وردپرس رایگان میهن وردپرس    
      نظرتون رو بگید لطفا

    • توسط fateme.fathi
      در این مطلب 7 نکته در مورد عکاسی به شما خواهیم گفت. تکنیک Dutch Tilt چیست؟ چگونه به عکس عمق دهیم؟ چگونه مردم در حال عبور از عکس را حذف کنیم؟ همه این نکته ها و حقه های بیشتر را در ادامه خواهید خواند.


      تکنیک شیب هلندی را امتحان کنید
      این یک حقه با دوربین است که باید با صرفه جویی و احتیاط از آن استفاده کنید، چرا که می تواند کلیشه ای باشد، اما اگر با این تکنیک از ساختمان بلندی در بالای سر خود عکس بگیید عکس خوبی خواهدشد. به جای اینکه ساختمان را به صورت صاف در کادر قرار دهید، دوربین را با زاویه تقریبا 45 درجه بچرخانید، به این تکنیک در دنیای فیلمبرداری تکنیک شیب هلندی می گویند. با این کار ساختمان مقدار بیشتری از کادر را در بر می گیرد و کمی هیجان چاشنی عکس می شود.

      مردم را از عکس حذف کنید
      آیا حرکت و تعدد مردم در مکان های معروف مزاحم عکاسی تان می شود؟ یک فیلتر کاهنده نور ND و یک سه پایه با خود همراه داشته باشید. حال می توانید با عکاسی با سرعت پایین مردم را به شکل هاله هایی رنگی نشان دهید و تقریبا آنها را از عکس محو کنید و همچنین نور خوبی هم در عکس داشته باشید.

      عمق عکس را افزایش دهید
      برای اینکه عمق میدان عکس را بیشتر کنید، از لنز واید استفاده کنید، دیافراگم را نزدیک به 22/f بگذارید و روی نقطه ای نزدیک به یک سوم جلوی کادر قرار دهید. اگر در عکستان افق وجود دارد روی نقطه Hyperfocal فوکوس کنید تا بیشترین محدوده فوکوس ممکن را داشت باشید.
       
      از لنز بسیار واید استفاده کنید
      وقتی می خواهید از یک معماری عکس بگیرید حواستان به آب باشد وقتی از لنز واید استفاده می کنید تصویر آن بنا در آب می تواند پیش زمینه بسیار زیبایی برای عکس باشد. اگر آب در حرکت است می توانید با عکاسی با سرعت شاتر پایین تصویر بهتری از بنا را در آب ایجاد کنید، البته در زمان استفاده از چنین تکنیکی باید از فیلتر ND استفاده کنید تا عکس بیش از حد روشن نشود.

      سری هم به بازار بزنید
      دنبال اجناس شبیه هم و کنار هم باشید، روی آنها زوم کنید و آنها را کنار هم در کادر قرار دهید. برای این نوع عکاسی نورپردازی از طرفین، بهترین نور است.
       
      شکار پیش زمینه
      وقتی می خواهید از مکان های معروف و نمادهای شهرها عکس بگیرید به کادربندی عکستان بیشتر فکر کنید. سعی کنید پیش زمینه ای در عکس ایجاد کنید تا آن نماد یا ساختمانی که می خواهید نشان دهید را بهتر جلوه دهد یا زاویه ای پیدا کنید که پس زمینه بهتری به شما می دهد.

      لنزهای Prime
      عصر، دوربین خود را در خانه نگذارید. یک لنز پرایم Prime یا ثابت روی دوربین خود ببندید. لنز 8.50 mmf، 1 لنز ایده آلی است. در تاریکی با بازترین دیافراگم ممکن عکس بگیرید. مقدار ISO را بالا انتخاب کنید تا نیازی به فلاش یا سه پایه هم نداشته باشید. با این کار بوکه های زیبایی هم ایجاد می شود. (بوکه، نورهایی در پس زمینه است که به شکل هاله هایی رنگی و دایره ای شکل در عکس ظاهر می شوند.)
       

       
       
    • توسط drmajidghiasi
       آموزش افزونه WP PostViews
      مخزن وردپرس پر است از انواع افزونه‌های مختلف برای نمایش بازدید و آمار و حتی نمایش آمار به کاربران اما افزونه WP-PostViews
      چندین مزیت دارد که به آن‌ها اشاره می‌کنیم.
       
      امکانات ویژه افزونه WP-PostViews:
      سبکی خاص بدون فشار به سرور رابط کاربری آسان و… برای نمایش آمار برای خودمان نیاز به هیچ نوع تنظیم خاصی ندارد اما برای نمایش در بخش خاصی از قالب سایت نیاز به قرار دادن چندین کد در قالب سایت داریم که در این آموزش یعنی آموزش افزونه WP-PostViews ریزبه‌ریز افزونه را باهم بررسی خواهیم کرد.
       
      نصب افزونه WP-PostViews
      برای نصب این افزونه طبق مراحل  زیر اقدام کنید:
      یا از قسمت افزونه‌ها روی گزینه بارگذاری افزونه کلیک کنید و از لینک زیر افزونه را دانلود کنید و سپس در قسمت بارگذاری، افزونه را بارگذاری کنید. یا اینکه از قسمت کلیدواژه WP-PostViews را تایپ کنید و افزونه WP-PostViews را در مخزن وردپرس جستجو کنید و سپس نصب و فعال‌ کنید. پس از نصب و فعال‌سازی افزونه گزینه‌ای بانام PostViews در بخش تنظیمات وردپرس اضافه می‌شود برای انجام تنظیمات روی این گزینه کلیک کنید.
       

      تنظیمات افزونه WP PostViews بخش بازدید مطالب:
      Count Views From: در این بخش مشخص می‌کنیم که افزونه بازدید چه دسته از افرادی را حساب کند؛ میهمانان، کاربران ثبت‌نام‌شده یا هر دو. Exclude Bot Views: در نظر نگرفتن بازدید ربات‌ها. Views Template: در این بخش یک قالب کلی مشخص می‌کنیم برای نوع نمایش تعداد بازدید و می‌توانیم از متن‌های فارسی هم استفاده کنیم البته توجه داشته باشید که در حال پیش‌فرض ما کلمه views را می‌توانیم فارسی کنیم و دو کد کوتاهی که افزونه دارد نباید دست‌کاری کنیم فقط باید استفاده کنیم. توجه کنید: هر مطلب در پیشخوان وردپرس بخشی به اسم views اضافه‌شده است که درصورت تغییر کلمه بالا نام این کلمه به نامی که شما تغییر می‌دهید تغییر خواهد کرد. Most Viewed Template: ازنظر عملکرد این بخش هم مثل بخش بالا برای ساخت یک قالب کلی است اما در این بخش امکانات و کدهای کوتاه بیشتری را داریم که می‌توانیم برای مطالب پرطرفدار استفاده کنیم.  

      تنظیمات نمایش:
      این بخش برای تعیین دسترسی دیدن بازدید توسط بازدیدکنندگان در صفحات مختلف است مثلاً در صفحات سایت چه کسانی بتوانند تعداد بازدید را ببینند که در بالا توضیح دادیم که دو نوع میهمانان و کاربران ثبت‌نام‌شده را مدنظر قرار می‌دهد. فقط توجه داشته باشید که برای استفاده از این بخش باید کدی که در پایین توضیح می‌دهیم را در صفحات مربوطه اضافه کرده باشید.
       

      نمایش بازدید مطالب با کد کوتاه:
      در انتهایی هر مطلب می‌توانید با قرار دادن کد کوتاه افزونه میزان بازدید را نمایش دهید. می‌توانید از تعداد بازدید: ۱۵۸ یا تعداد بازدید: ۰ استفاده کنید. عدد ۵۴ در کد کوتاه شناسه مطلب است که هر مطلب شناسه خاص خودش را دارد که راحت‌ترین روش به دست آوردن شناسه طبق عکس زیر بردن موس بر روی اسم مطلب است.

      اما استفاده از این روش دردسر بزرگی مثل اضافه کردن کد کوتاه به تک‌تک صفحات را دارد. برای حل این مشکل می‌توانید کد بخش پایین را طبق دستورالعمل به قالب خودتان اضافه کنید تا بازدید به‌صورت خودکار در سایت نمایش داده شود.

      نمایش بازدید توسط کد:
      هر قالب شامل فایل‌های مختلفی است مثلاً فایل (Page.php) مخصوص نمایش صفحات سایت است و یا (Single.php) مخصوص نمایش ادامه مطالب است. در هرکدام از صفحاتی که قصد نمایش بازدید را دارید آن صفحه را بازکنید، مثلاً ما می‌خواهیم در بخش ادامه مطلب سایت تعداد بازدید را نمایش دهیم، برای همین فایل (Single.php) قالب را باز می‌کنیم که معمولاً در اکثر قالب‌ها در این مسیر یافت می‌شود.
      wp-content/themes/<Name Ghaleb>/single.php
      فایل را بازکنید و دنبال کدی مشابه کد زیر بگردید.
      ۱ <?php while (have_posts()) : the_post(); ?>
      حالا در پایین همین کد هرجایی که قصد نمایش تعداد بازدید را دارید کد زیر را قرار دهید.
      ۱ <?php if(function_exists('the_views')) { the_views(); } ?>
      برای اینکه تشخیص بدهیم کد را دقیقاً کجا باید قرار بدهیم نیاز به کمی دانش برنامه‌نویسی هست که بخشی را که بالای مقالات و یا پایین مقالات است را تشخیص بدهیم، به‌هرحال در فیلم آموزشی روشی را توضیح داده‌ایم که اگر کد نویسی این مورد را هم بلد نیستید به‌راحتی از همین چند خط شروع کنید.

      جمع‌بندی:
      یکی دیگر از روش‌های نمایش آمار بازدید از مطالب سایت استفاده از افزونه wp-postviews است، این افزونه بدون فشار به سرور آمار دقیقی از آمار نمایش صفحات سایت در اختیار شما قرار می‌دهد.
    • توسط سعید فرزادی پور
      با عرض سلام
      من به مشکلی خوردم که راه حل اون رو نمیدونم
      در هدر سایت یک نویگیشن بار دارم که منوی اصلی سایتم به صورت دراپ داون در این نویگیشن بار وجود داره ، قال سایت من shaply هستش و استفاده از ویجت ها در body بازه ، من با استفاده از یک ویجت اسلایدر در بالاترین قسمت و زیر هدر سایت که ارتفاع اونم 55 پیکسل هستش اسلایدر بزرگ ایجاد کردم ، و حالا زمانی که میرم روی دراپ داون ها متاسفانه تا قبل از اسکرول کردن به پایین ، زیر منو ها به زیر اسلایدر میرن ، اما بعد از اسکرول کردن به پایین این مشکل حل شده و منو ها و زیر منو ها نمایش داده میشن ، هرچه z-index رو افزایش دادم نتیجه ای نداشت ، چطور میتونم این مشکل رو حل کنم ؟
      و سوال دوم این که در این تم منو ها اول به پایین و بعد به راست باز میشن و من میخوایم سایت رو به صورت فارسی داشته باشم و میخوام اول به پایین و بعد به چپ باز بشن منو ها , چه تغییری میتونم در css ایجاد کنم ؟