Amir.

سوالها و مشکلات : آموزش قدم به قدم امنیت وردپرس

135 پست در این موضوع قرار دارد

نه ضرر نداره بلکه مفید هم است شما میتونید در اون فایل سطح دسترسی و خیلی چیزهای دیگه ببندید تا برای امنیت مناسب باشد

هر عدد نشان دهنده یک سطح دسترسی به اون فایل میباشد

خواندن / نوشتن / اجرا شدن

و شامل 3 دسته میباشد / گروه / شخص / دیگران

و هر عدد شامل یک از موارد بالا میباشد

درضمن شما با 444 کردن تغییرات برای گروه های دیگر میگیرید و فقط به خود و اجرا شدن میدهید

خوب اینجوری برای

فایل wp-config.php

سطح دسترسی 640 بهتر نیست ؟ کاربر نمیتونه بخونه، وردپرس میتونه بخونه، مدیر هم میتونه بخونه.

اما سوال: فایل ها دیگه هم نیاز سطح دسترسی رو تغییر داد منظور برای اینکه سطح دسترسی

wp-config.php رو تغییر بدم برای سازگاری و ... ؟

0

به اشتراک گذاری این پست


لینک به پست

خوب اینجوری برای

فایل wp-config.php

سطح دسترسی 640 بهتر نیست ؟ کاربر نمیتونه بخونه، وردپرس میتونه بخونه، مدیر هم میتونه بخونه.

اما سوال: فایل ها دیگه هم نیاز سطح دسترسی رو تغییر داد منظور برای اینکه سطح دسترسی

wp-config.php رو تغییر بدم برای سازگاری و ... ؟

0

به اشتراک گذاری این پست


لینک به پست

خوب اینجوری برای

فایل wp-config.php

سطح دسترسی 640 بهتر نیست ؟ کاربر نمیتونه بخونه، وردپرس میتونه بخونه، مدیر هم میتونه بخونه.

اما سوال: فایل ها دیگه هم نیاز سطح دسترسی رو تغییر داد منظور برای اینکه سطح دسترسی

wp-config.php رو تغییر بدم برای سازگاری و ... ؟

640 یعنی 6 نوشتن هم دادید به یکی از گروه ها اما 400 یا 444 کلا سطح دسترسی از هر گروهی میگیرید (توضیحات گروه ها داده شده است)

درضمن شما میتونید توی آموزش ها اسم wp-config.php به mahdi.php تغییر بدید و یک فایل تقلبی در داخل اون wp-config.php قرار دهید

0

به اشتراک گذاری این پست


لینک به پست

خوب این 6 از 4 و 0 جداست، 6 ماله بوزر اصلی هست یعنی بالاترین سطح دسترسی در هاست که فقط مدیر داره.

حال سوال من اینه که چه فایل هایی (فایل های اصلی و مهم) ار وردپرس را تغییر سطح دسترسی بدم برای امنیت و اگر باید تنظیم خاص دیگری انجام بدم برای اینکه مشکلی در اجرای وردپرس و فراخوانی فایل ها و بارگذاری سایت پیش نیاد، لطفا دراین باره راهنمایی و توضیح دهید.

0

به اشتراک گذاری این پست


لینک به پست

دوستان اگه امکان داره سوال قبلی منو جواب بدیدو درباره کدهای

TRACE and TRACK بکی از کاربرا پرسیده بود این قابلیت چیه و چرا باید اون تغییرات رو انجام بدیم اما کسی توضیحی نداده بود اینم جواب بدید.

- با تشکر

0

به اشتراک گذاری این پست


لینک به پست

خوب این 6 از 4 و 0 جداست، 6 ماله بوزر اصلی هست یعنی بالاترین سطح دسترسی در هاست که فقط مدیر داره.

حال سوال من اینه که چه فایل هایی (فایل های اصلی و مهم) ار وردپرس را تغییر سطح دسترسی بدم برای امنیت و اگر باید تنظیم خاص دیگری انجام بدم برای اینکه مشکلی در اجرای وردپرس و فراخوانی فایل ها و بارگذاری سایت پیش نیاد، لطفا دراین باره راهنمایی و توضیح دهید.

قبلا در قسمت آموزش امنیت سطح دسترسی ها توضیح داده شده است

تغییر دادن فایل ها مثل تغییر نام برای امنیت مناسب است اما چون وردپرس همیشه نسخه جدید دارد با آپدیت به مشکل میخورید و باید تغییرات دوباره انجام بدید و یا سطح دسترسی به کمترین حالت برسونید تا فایل تغییر نکند

دوستان اگه امکان داره سوال قبلی منو جواب بدیدو درباره کدهای

TRACE and TRACK بکی از کاربرا پرسیده بود این قابلیت چیه و چرا باید اون تغییرات رو انجام بدیم اما کسی توضیحی نداده بود اینم جواب بدید.

- با تشکر

trace and track http methods

یک روش هک که مشابه و جز روش XSS بوده که میتوان داده های ارسال شده از Client و به server دریافت کرد

و برای جلوگیری از این باگ از آن روش استفاده میکنند

آموزش هم در لینک زیر :

https://publib.bould...http_trace.html

ویرایش شده در توسط Black_sky
تکمیل شد
3

به اشتراک گذاری این پست


لینک به پست

ممنون از راهنماییتون، فقط یک سوال کدهای که اون دوست عزیز قرار دادن به این صورت است.


# disable TRACE and TRACK in the main scope of httpd.conf
RewriteEngine On
RewriteCond %{REQUEST_METHOD} ^TRACE
RewriteRule .* – [F]
RewriteCond %{REQUEST_METHOD} ^TRACK
RewriteRule .* – [F]
<VirtualHost www.example.com># disable TRACE and TRACK in the [url]www.example.com[/url] virtual host
RewriteEngine On
RewriteCond %{REQUEST_METHOD} ^TRACE
RewriteRule .* – [F]
RewriteCond %{REQUEST_METHOD} ^TRACK
RewriteRule .* – [F]
</VirtualHost>
#

و کدهای لینکی که دادید به این صورت:


...
# disable TRACE and TRACK in the main scope of httpd.conf
RewriteEngine On
RewriteCond %{REQUEST_METHOD} ^TRACE
RewriteRule .* - [F]
RewriteCond %{REQUEST_METHOD} ^TRACK
RewriteRule .* - [F]
...
<VirtualHost www.example.com>
...
# disable TRACE and TRACK in the www.example.com virtual host
RewriteEngine On
RewriteCond %{REQUEST_METHOD} ^TRACE
RewriteRule .* - [F]
RewriteCond %{REQUEST_METHOD} ^TRACK
RewriteRule .* - [F]
</VirtualHost>

کدام کد صحیح است، و آیا به جای این آدرس www.example.com لینک سایت خود یا میزبان رو باید گذاشت ؟

- با تشکر

ویرایش شده در توسط wp_old
0

به اشتراک گذاری این پست


لینک به پست

سلام

اگر امکان دارد سوال رو جواب بدید، چند روز گذشته از آخرین پاسخم.

و سوال دیگر آیا کدهای زیر مانع بارگذاری و یا مشکلی نمیشوند؟ (چون از طریق google/webmasters چک کردم ز قسمت Crawl Errors دو ارور Access denied داشتم اونم به فایل تصاویر بود، حال برای همین این سوال را کردم آیا مربوط میشود یا خیر) از جمله کد آخر

مثلا به این لینک ارور داده بود:

sitename.com/image/Software/

403 Forbidden

Access to this resource on the server is denied!

Powered By LiteSpeed Web Server

LiteSpeed Technologies is not responsible for administration and contents of this web site!

امنیت پوشه wp-includes را بکمک قرار دادن کدهای زیر (در .htaccess) بالاتر ببرید:


# Block the include-only files.
RewriteEngine On
RewriteBase /
RewriteRule ^wp-admin/includes/ - [F,L]
RewriteRule !^wp-includes/ - [S=3]
RewriteRule ^wp-includes/[^/]+\.php$ - [F,L]
RewriteRule ^wp-includes/js/tinymce/langs/.+\.php - [F,L]
RewriteRule ^wp-includes/theme-compat/ - [F,L]

امنیت فایل wp-config.php را بکمک قرار دادن کدهای زیر (در .htaccess) بالاتر ببرید:


<files wp-config.php>
order allow,deny
deny from all
</files>

امنیت فایل

htaccess

را بکمک قرار دادن کدهای زیر (در .htaccess) بالاتر ببرید:


<Files .htaccess>
order allow,deny
deny from all
</Files>

دسترسی به پوشه ها را ببندید

این فرمان را به فایل .htaccess اضافه کنید و کاربر با دسترسی به هر دایرکتری در سایت شما با صفحه ۴۰۴ مواجه می شود:


# Stop Directory listening
Options -Indexes

- با تشکر

ویرایش شده در توسط wp_old
0

به اشتراک گذاری این پست


لینک به پست

آیا به جای این آدرس

www.example.com لینک سایت خود یا میزبان رو باید گذاشت ؟

بله

کدام کد صحیح است،

توضیحات قبلش بخوانید منظور بنده متوجه میشید

هر 2 خط مشابه همدیگر هستند و باز نویسی ها تکرار شده است

و سوال دیگر آیا کدهای زیر مانع بارگذاری و یا مشکلی نمیشوند؟

نه مشکلی ایجاد نمیکنه چون فولدر که امنیت گذاری کردیم ارتباطی با تصاویر ندارد

درضمن موارد بالا که گفتید در بخث آموزش داده شده است

2

به اشتراک گذاری این پست


لینک به پست

ممنون از پاسختونبله در آموزش اشاره شده بود، فقط من متوجه نشدم اگر آدرس سایت من با http باشه باید به صورت http در لینک جایگزین کرد یا www و با http://www ؟ و بجای هر دو لینک example.com باید آدرس سایت باشه یا میزبان/سرور ؟

و این کد زیر دلیل این ارور زیر نبوده است ؟

sitename.com/image/Software/

403 Forbidden

Access to this resource on the server is denied!

Powered By

LiteSpeed Web Server

LiteSpeed Technologies is not responsible for administration and contents of this web site!

دسترسی به پوشه ها را ببندید

این فرمان را به فایل .htaccess اضافه کنید و کاربر با دسترسی به هر دایرکتری در سایت شما با صفحه ۴۰۴ مواجه می شود:


# Stop Directory listening
Options -Indexes

ویرایش شده در توسط wp_old
0

به اشتراک گذاری این پست


لینک به پست

این دستور دایرکتوری لیستینگ رو متوقف میکنه.

یعنی مثلا آدرس یک پوشه از سایت رو بزنید تا محتویاتش رو ببینید و اون پوشه فایل ایندکس نداشته باشه به جای مشاهده محتوای موجود داخل اون، با ارور 403 یعنی عدم دسترسی مواجه میشه و نمیتونه محتوا رو بررسی کنه.

2

به اشتراک گذاری این پست


لینک به پست

ممنون از راهنماییتون، این یعنی خوبه دیگه این کد فایل ها و پوشه هایی که دلیل نداره کاربر ببینه رو خودش میبنده درسته ؟

فقط این سوال کد TRACE and TRACK رو جواب بدید ممنون میشم.

اگر آدرس سایت من با http باشه باید به صورت http در لینک جایگزین کرد یا www و با

http://www ؟ و بجای هر دو لینک example.com باید آدرس سایت باشه یا آدرس میزبان/سرور ؟

ویرایش شده در توسط wp_old
0

به اشتراک گذاری این پست


لینک به پست

نباید بتونه چون ممکنه بتونه فایل های شما به راحتی کپی کنه و ......

اگر آدرس سایت من با http باشه باید به صورت http در لینک جایگزین کرد یا www و با

http://www ؟ و بجای هر دو لینک example.com باید آدرس سایت باشه یا آدرس میزبان/سرور ؟

فرقی نمیکند معمولا با www میباشد اما این کدها همیشه با مثال هستند و طبق مثال انجام دهید

1

به اشتراک گذاری این پست


لینک به پست

دسترسی به پوشه wp-content رو با این دستورات محدود کنید!

یک فایل به اسم .htaccess در wp-content ایجاد کرده و دستورات زیر رو درون او قرار دهید!


Order Allow,Deny
Deny from all
<files ?.(jpg|gif|rar|jpge|mp3|zip|png|js|css)$? ~>
Allow from all
</files>

با این کار استایل سایتم لود نمیشه . سطح دسترسی پوشه مورد نظر هم 755 هست

0

به اشتراک گذاری این پست


لینک به پست

دسترسی به پوشه wp-content رو با این دستورات محدود کنید!

یک فایل به اسم .htaccess در wp-content ایجاد کرده و دستورات زیر رو درون او قرار دهید!


Order Allow,Deny
Deny from all
<files ?.(jpg|gif|rar|jpge|mp3|zip|png|js|css)$? ~>
Allow from all
</files>

این کار رو انجام دادم اما استایل لود نمیشود

0

به اشتراک گذاری این پست


لینک به پست

دوستان این دو کد زیر رو که گفتید تو htaccess بزارم ، مشکلی برای گوگل و ... پیش نمیاره ؟

<files wp-config.php>
order allow,deny
deny from all
</files>


<Files .htaccess>
order allow,deny
deny from all
</Files>

0

به اشتراک گذاری این پست


لینک به پست

خیر مشکلی برای گوگل پیش نمیاد

0

به اشتراک گذاری این پست


لینک به پست

گوگل نیار به اطلاعات مربوط به دیتابیس و ... شما ندارد و مشکلی پیش نمیاد اما اگر به صورت صحیح کدها قرار نگیرد برای شما مشکل پیش میاد

البته این کد فقط مخفی کردن و یا کم کردن سطح دسترسی هست و چیز خاصی نیست

1

به اشتراک گذاری این پست


لینک به پست

سلام

بر همه دوستان

من میخواهم برای سایت ام از یک افزونه امنیتی استفاده کنم. با جستجو در گوگل به این افزونه افزونه iThemes Security (با نام قبلی Better WP Security) رسیدم

این هم آموزش کامل افزونه ؟

http://mrcode.ir/%D8%A7%D9%85%D9%86-%DA%A9%D8%B1%D8%AF%D9%86-%D8%B3%D8%A7%DB%8C%D8%AA-%D9%88%D8%B1%D8%AF%D9%BE%D8%B1%D8%B3%DB%8C-%D9%82%D8%B3%D9%85%D8%AA-2

سوال:

آیا این افزونه خوب است؟ آیا برای سایت مشکلاتی ایجاد نخواهد کرد؟

0

به اشتراک گذاری این پست


لینک به پست

سلام

بر همه دوستان

من میخواهم برای سایت ام از یک افزونه امنیتی استفاده کنم. با جستجو در گوگل به این افزونه افزونه iThemes Security (با نام قبلی Better WP Security) رسیدم

این هم آموزش کامل افزونه ؟

http://mrcode.ir/امن...-وردپرسی-قسمت-2

سوال:

آیا این افزونه خوب است؟ آیا برای سایت مشکلاتی ایجاد نخواهد کرد؟

قبلا هم بارها بحث کردیم که افزونه ها هم خود دارای حفره های امنیتی هستند و تا جایی که میتونید از کدها و... استفاده کنید

3

به اشتراک گذاری این پست


لینک به پست

اقا جسارتاً تا الان پنج بار هک شدم امروز صبح هم باز هک شدم نمی دونم چرا

طرف هم فایل index.php رو دستکاری کرده بود هم فایل single.php

و هم اینکه دیگه نمی تونستم با یوزر admin وارد وارد پرس بشم

تنها کاری که کردم رفتم توی phpmay admin چون یک یوزر معمولی هم درست کرده بودم به اسم internet

اودم پسورد hash شده اون رو که می دونستم چی هست رو برداشتم به جای پسورد admin در دیتابیس جایگزین کردم

در ضمن ایمیل ادمین رو هم هکره حذف کرده بود

و با این حال وارد سایت شدم ولی باز هم استرس دارم که شاید چیزی رو دستکاری کرده باشه به هاستینگم تماس گرفتم که اگه بک آپ اخیر رو دارن ریستور کنند

با تشکر

دوست عزیز مشکل شما احتمالا از یک باگ خاص روی یکی از افزونه هاتون هست

یا امنیت پایین سرور

0

به اشتراک گذاری این پست


لینک به پست

من وقتی سایتمو توی فایرفاکس باز میکنم یه خط نوشته بالای سایت میاد و وارد یه صفحه از سایتم میشه که اصلا وجود نداره

آدرس سایت : خرید و فروش مسکن

وقتی سورس صفحه رو باز میکنیم یه چند خط کد وجود داره که اصلا تو قالب نیست

من همین قالبو روی دامنه دیگه نصب میکنم بدون مشکل بالا میاد . در ضمن من تمام افزونه ها و کل قالب رو بررسی کردم مشکلی نداره

احتمال میدم ویروس باشه میشه لطفا شما بررسی کنید


0

به اشتراک گذاری این پست


لینک به پست

اگر منظورتون خط های آخر میباشد کتفیه به متن زیر دقت میکردید :


<!-- Performance optimized by W3 Total Cache. Learn more: http://www.w3-edge.com/wordpress-plugins/

0

به اشتراک گذاری این پست


لینک به پست

ارسال شده در (ویرایش شده)

این فایل مشکل دارد آیا؟

  • /wp-includes/js/jquery/jquery.js

Parameter ver in /wp-includes/js/jquery/jquery.js?ver=1.11.1 revealed ../etc/passwd test file.

ویرایش شده در توسط آریارامن
0

به اشتراک گذاری این پست


لینک به پست

نه خیر دوست عزیز ، فایل‌های وردپرس اگر دستکاری نشده باشند هیچ مشکلی ندارند .

2

به اشتراک گذاری این پست


لینک به پست

برای ارسال نظر یک حساب کاربری ایجاد کنید یا وارد حساب خود شوید

برای اینکه بتوانید نظر ارسال کنید نیاز دارید که کاربر سایت شوید

ایجاد یک حساب کاربری

برای حساب کاربری جدید در انجمن ما ثبت نام کنید. عضویت خیلی ساده است !


ثبت نام یک حساب کاربری جدید

ورود به حساب کاربری

دارای حساب کاربری هستید؟ از اینجا وارد شوید


ورود به حساب کاربری

  • مطالب مشابه

    • توسط masoudmosleh267
      سلام دوستان عزيز. خواستم بدونم امكانش هست كه بنده يك سايت وردپرسي كه ٢٠ تا افزونه روش نصبه رو تبديل كنم به لاراول و رو اون فريم ورك كار كنم؟
    • توسط yaali
      سلام
      کد یا فانکشنی وجود داره که هر چی فایل js و Css که کاربر از آخرین بازدیدش روی دیوایسش کش شده رو پاک کنه و مجددا لود کنه؟
       
    • توسط yaali
      سلام
      آقا یه سایت وردپرسی رو به html تبدیلش کردم.
      ولی بخش مشتریانش نمیاد.
      سایت وردپرسی :
      bit.ly/2BCKQvf

      نسخه ی html:
      http://bit.ly/2Cs14UF
      و اینکه بخش ترجمه ی سایت هم لود نمیشه. روی پرچم های بالای سایت میزنم نمیاد.

      مشکلش چیه؟ چیکار کنیم که اینا لود بشن؟

      مرسی
    • توسط abdossamaddeh
      سلام دوستان من یک هاست دانلود گرفتم که تصاویر سایت رو از اون اپلود کنم قبلا از افزونه upload to ftp استفاده می کردم ولی این افزونه تصاویر رو هم در هاست اصلی و هم هاست دانلود اپلود می کرد و خوب نبود الان هم از افزونه  Hacklog Remote Attachment استفاده می کنم که تصاویر رو تنها در هاست دانلود اپلود می کنه ولی وقتی میخوام داخل نوشته بذارم اولش که میذارم داخل ویرایشگر دیده می شن ولی بعد داخل سایت نوشته رو مشاهده می کنم تصاویر دیده نمیشن 
      لطفا راهنماییم کنید من سایت به مشکل برخورد لطفا سریع تر خواهش می کنم 
    • توسط reza_yki
      سلام من نیاز به کسی دارم که بتونه یه صفحه ساز (page builder) برای قالب وردپرس از پایه طراحی کنه
      و کدها رو به صورت فیلم برام توضیح بده ( فیلم آموزشی ) و داخلش امکانات زیر قرار داده بشه:
      افزودن نامحدود لایه یا همون row و کاملا شبیه به کاری که کامپوزر میکنه با قابلیلت درگ کردن لایه ها، ویرایش، حذف و احتمالا امکان کپی و پیست از یه لایه برای استفاده در لایه دیگه. و کار بعدی اینه که یکی دوتا براش شورتکد (element) بزنید مثلا یکی این باشه که بشه ادیتور اضافه کنید بهش (ویرایشگر پیشفرض وردپرس).  یکی دیگشم نمایش یک دسته خاص با تنظیماتی مانند تعداد پست، رنگ عنوان و دسته مورد نظر برای فهمیدن نحوه ارتباط و غیره تا با توجه به اون من شورتکد های خودمو طراحی کنم توضیح کامل در انتها داده میشه. می خوام کاربر انتخاب کنه که از ویرایشگر خود وردپرس استفاده کنه یا از صفحه ساز ما همچنین امکان استفاده در page و post رو هم داشته باشه. امکان دیگه این که کاربر بتونه برای خودش تو این لایه ها یه widget area اضافه کنه تا از ابزارک ها پیشفرض یا غیره هم استفاده کنه.  
      منظور از شورت کد اینه که طرف بعد از ایجاد row المنت هایی که من طراحی کردم رو داخلش قرار بده می خوام این قسمت طوری آموزش داده بشه که بتونم المنت های خودمو براش توسعه بدم
      توضیح: دلیل این کار اینه که من می تونم با ویژال کامپوزر المنت های اختصاصی ام رو بهش اضافه کنم ولی سنگینی این افزونه باعث شده که منصرف بشم از این کار.
       
      نکته: نمی خوام به صورت پلاگین باشه باید مستقیم به قالب وصل بشه و همچنین باید کاملا سبک باشه
      نکته 2: طوری طراحی بشه که اگر کاربر بعدا قالب رو حذف کرد محتوا از بین نره یا مخدوش نشون داده نشه
      نکته 3: ظاهر کار مهم نیست خودم اون قسمت رو درست میکنم

      اگه پیشنهادی دارید خوشحال میشم بشنوم

      ممنون