Amir.

سوالها و مشکلات : آموزش قدم به قدم امنیت وردپرس

137 پست در این موضوع قرار دارد

من دستکاری نکردم.

چند وقت پیش متوجه شده بودم که سایتم با موبایل باز نمیشه. و به فایل .htaccess کدی اضافه شده بود که اون کد رو حذف کردم مشکل برطرف شد.

بعد از دایرکت ادمین برام ایمیل میومد در مورد wp-includes/js

بعدا که بکاپ رو دانلود کردم انتی ویروسم js/agent.nkw trojan رو شناسایی کرد. من کل فایلها رو حذف کردم و از اول وردپرس رو نصب کردم بعد بکاپ رو انتقال دادم و یه بکاپ جدید گرفتم. تمام ویروسها حذف شدن الانم توی سایت ویروسی ندارم. این اخطار رو با آلبالو گرفتم

0

به اشتراک گذاری این پست


لینک به پست

مورد خاصی نیستش ، میتونید دایرکتوری wp-includes رو از نو بارگزاری کنید .

2

به اشتراک گذاری این پست


لینک به پست

فایلهای وردپرس ایرادی ندارن احتمالا شخصی تونسته به نوعی اون فایل رو اونجا آپلود کنه.

آموزش های امنیتی رو بخونید.

موفق باشید.

2

به اشتراک گذاری این پست


لینک به پست

منظور بنده هک سرور جیمیل نبود ، اینکه براتون یه فایل ارسال میکنند شما هم میگیرید و دیگه باقی ماجراها !

post-8388-0-29162300-1417164623_thumb.jp

0

به اشتراک گذاری این پست


لینک به پست

چند وقت پیش یه خط کد به بالای سایت من اضافه شده بود و توی مرورگر فایر فاکس نمایش داده میشد یکی از دوستان یه خط کد گفت به سایت اضافه کردم از بالای سایت حذف شد ولی هنوز توی نتایج جستجوی گوگل نمایش داده میشد از توی گوگل وبمستر حذفشون کردم ولی بعد چند وقت دوباره برگشتن و توی سورس سایت هستن چطور میتونم این کدها رو کاملا از سایت حذف کنم تمام افزونه های امنیتی و ویروس یاب رو امتحان کردم چیزی پیدا نشد چطور این کدها رو کامل حذف کنم

آدرس سایت :

خرید و فروش مسکن و املاک

0

به اشتراک گذاری این پست


لینک به پست

ممکنه مشکل از قالبتون باشه ، قالب را تغییر و تست کنید

اگر مشکل از قالب نبود احتمال میدم مشکل از افزونه هاتون باشه ، در هاستتان و در داخل پوشه wp-content نام فولدر plugins را تغییر بدید تا همه ی افزونه هاتان غیر فعال شود و تست کنید

0

به اشتراک گذاری این پست


لینک به پست

می شه لطفا" ویدئوهای تغییر نام و تغییر مسیر فایل کانفیگ را دوباره بزارید.... تو قسمت امنیت من هر چی می گردن پیداشون نمی کنم مثل این که حذف شدن

0

به اشتراک گذاری این پست


لینک به پست

دوستان تو آموزش تغییر نام صفحه لاگین روش تغییر نام را توضیح دادید ولی هیچ توضیحی داده نشده که چطوری ما این فایل تغییر نام داده شده را به cpanel منتقل کنیم... و جایگزین wp-login اصلی کنیم....من فایل اصلی را از تو cpanel حذف کردم و این فایل تغییر نام داده شده را اپلود کردم ولی کار نکرد.. لطفا" راهنمایی کنید باید چی کار کنیم؟

0

به اشتراک گذاری این پست


لینک به پست

می شه لطفا" ویدئوهای تغییر نام و تغییر مسیر فایل کانفیگ را دوباره بزارید.... تو قسمت امنیت من هر چی می گردن پیداشون نمی کنم مثل این که حذف شدن

http://forum.wp-parsi.com/forum/10-%D8%A7%D9%85%D9%86%DB%8C%D8%AA/

0

به اشتراک گذاری این پست


لینک به پست

من منظورم دقیقا" همون بخشه که لینکشو گذاشتید ویدئوهای آموزشی اونجا یک قسمتش حذف شده

ویدئوهاتی مربوط به تغییر نام و تغییر مسیر فایل کانفیگ حذف شدن .. لطفا" چک کنید

و تو ویدئهایی که برای تغییر نام صفحه لاگین گذاشتید هیچ توضیحی نداده که چطوری باید تو cpanel این تغییرات را اعمال کنیم.... برای تغییرات تو cpanl باید چی کار کنیم؟

0

به اشتراک گذاری این پست


لینک به پست

دوستان آیا این دو تا افزونه از نظر امنیتی مشکل دارن؟

Register Plus Redux

Blue Login Themes

0

به اشتراک گذاری این پست


لینک به پست

ارسال شده در (ویرایش شده)

دوست عزیز افزونه

Change DB Prefix

که توی فیلم آموزشی برای تغییر پیشوند اسامی دیتابیس پیشنهاد شده.. وقتی فعالش می کنیم.. یک پیغام هشدار می ده که این افزونه با افزونه سئو و با افزونه نقشه سایت مشکل داره... آیا با این وجود باز هم باید ازش استفاده کرد؟ این پیغام اروری که می ده طبیعیه؟

و موقعی هم که می خوام پیشوند را عوض کنم اون بالا یک پیغام نوشته به این مضمون

  • Make sure your wp-config.php file must be writable.
  • And check the database must have ALTER rights.

من چطور می تونم بفهمم که wp-config

writable هست؟

و آخرین سوالم این که بعد از تغییر پیشوند مشکلی برای عملیات هایی مثل بکاپ گرفتن یا بعدها برای رستور کردن بکاپ ها یا موقعی که بخوام سایت را منتقل کنم به یک هاستینگ دیگه پیش نمی یاد؟

ویرایش شده در توسط uploader333
0

به اشتراک گذاری این پست


لینک به پست

افزونه مشکلی نداره و سایر دوستان هم استفاده کردند و مشکلی نداشتند ، اگر با سایر افزونه ها نداخل داره سایرین را غیر فعال و بعد ازش استفاده کنید یا اینکه تغییر پیوند را بصورت دستی انجام بدید(سرچ کنید آموزش هاش هس)

در ضمن قبل از هر تغییری حتما بک آپ بگیرید !

در مورد wp-config در فایل منیجر هاستتان از دکمه premissiton استفاده کنید و گزینه های write را براش فعال کنید.

1

به اشتراک گذاری این پست


لینک به پست

افزونه مشکلی نداره و سایر دوستان هم استفاده کردند و مشکلی نداشتند ، اگر با سایر افزونه ها نداخل داره سایرین را غیر فعال و بعد ازش استفاده کنید یا اینکه تغییر پیوند را بصورت دستی انجام بدید(سرچ کنید آموزش هاش هس)

در ضمن قبل از هر تغییری حتما بک آپ بگیرید !

در مورد wp-config در فایل منیجر هاستتان از دکمه premissiton استفاده کنید و گزینه های write را براش فعال کنید.

برای writable کردنش باید هر سه تا گزینه مربوط به write را تیک بزنم؟

0

به اشتراک گذاری این پست


لینک به پست

سلام

دسترسی فایل wp-login.php خودش رو 0644 اگه رو 600 بزاری تفاوتی هم داره؟

در کل بهترین حالت کدوم هست که بزاریم.

0

به اشتراک گذاری این پست


لینک به پست

سلام

دسترسی فایل wp-login.php خودش رو 0644 اگه رو 600 بزاری تفاوتی هم داره؟

در کل بهترین حالت کدوم هست که بزاریم.

سلام

اگه دسترسی را کم کنید این صفحه براتون بالا نمیاد و خیلی مشکل دیگه بایدیه دسترسی خواندن و نوشتن داشته باشه حتما.

همون

644 بسته ، برای امنیتش بهتره روش پسورد بزارید.

موفق باشید/.

1

به اشتراک گذاری این پست


لینک به پست

سلام

اگه دسترسی را کم کنید این صفحه براتون بالا نمیاد و خیلی مشکل دیگه بایدیه دسترسی خواندن و نوشتن داشته باشه حتما.

همون

644 بسته ، برای امنیتش بهتره روش پسورد بزارید.

موفق باشید/.

منظورتون رو پوشه wp-admin پسورد برارم ؟

0

به اشتراک گذاری این پست


لینک به پست

منظورتون رو پوشه wp-admin پسورد برارم ؟

بله شرمنده من یه لحظه حواسم نبود فک کردم wp-admin رو میگید.در کل باید قابلیت خوانده شدن 444 و نوشته شدن برای یوزر که میشه 644 رو داشته باشه.

موفق باشید

1

به اشتراک گذاری این پست


لینک به پست

سلام

دسترسی فایل wp-login.php خودش رو 0644 اگه رو 600 بزاری تفاوتی هم داره؟

در کل بهترین حالت کدوم هست که بزاریم.

سلام

برای یادگیری این موضوع این و این رو بخونید خیلی کمک‌تون می‌کنه

0

به اشتراک گذاری این پست


لینک به پست

سلام

"محدود کردن ورود یوزر ادمین به یک آی پی"

خب برای انجام این کار باید کد های زیر رو در

htacceess پوشه های

wp-admin و توی htacceess روت فرار بدیم.


<Files wp-login.php>
Order Deny,Allow
Deny from All
Allow from 111.222.333.444
</Files>


AuthUserFile /dev/null
AuthGroupFile /dev/null
AuthName "WordPress Admin Access Control"
AuthType Basic
<LIMIT GET>
order deny,allow
deny from all
# whitelist Admin's IP address
allow from 111.222.333.444
</LIMIT>

خب تا اینجا مشکلی نیست، اما اینکه ip من ثالت نیست و متغیر میکنه بجز دو رقم های اولش!

خب راه حل اینه که ip رو به صورت زیر قرار بدم، البته کدومش صحیح هست یا فرقی نمیکنه؟


111.222.


111.222.*

این مراحل رو انجام دادم ولی بازم این روش کار نمیکنه یعنی باز هم اجازه بارگزاری پنل به من داده نمیشه، یعنی اصلا لودی صورت نمیگیره تو مرورگر!

دوستان تو این پست گفتن مشکل از این کد ریر که توی htacceess روت هست این رو بردار درست میشه.


<Files .htaccess>
order allow,deny
deny from all
</Files>

خب من این رو برداشتم ولی باز هم هیچی!

حالا به

غیر از اون کد، از این کدها هم در htaccess استفاده میکنم. ربطی بهشون داره؟

البته اینک بگم رو پوشه wp-admin هم رمز گذاشتم.


#<VirtualHost http://YourDomain.com>[/right]

[/color]
[color=#282828]

[right]# disable TRACE and TRACK in the [url]http://YourDomain.com[/url] virtual host
#RewriteEngine On
#RewriteCond %{REQUEST_METHOD} ^TRACE
#RewriteRule .* – [F]
#RewriteCond %{REQUEST_METHOD} ^TRACK
#RewriteRule .* – [F]
#</VirtualHost>
#


# Stop Directory listening
Options -Indexes


# Block the include-only files
RewriteEngine On
RewriteBase /
RewriteRule ^wp-admin/includes/ - [F,L]
RewriteRule !^wp-includes/ - [S=3]
RewriteRule ^wp-includes/[^/]+\.php$ - [F,L]
RewriteRule ^wp-includes/js/tinymce/langs/.+\.php - [F,L]
RewriteRule ^wp-includes/theme-compat/ - [F,L]


<files wp-config.php>
order allow,deny
deny from all
</files>

0

به اشتراک گذاری این پست


لینک به پست

ارسال شده در (ویرایش شده)

سلام

"محدود کردن ورود یوزر ادمین به یک آی پی"

خب برای انجام این کار باید کد های زیر رو در

htacceess پوشه های

wp-admin و توی htacceess روت فرار بدیم.


<Files wp-login.php>
Order Deny,Allow
Deny from All
Allow from 111.222.333.444
</Files>


AuthUserFile /dev/null
AuthGroupFile /dev/null
AuthName "WordPress Admin Access Control"
AuthType Basic
<LIMIT GET>
order deny,allow
deny from all
# whitelist Admin's IP address
allow from 111.222.333.444
</LIMIT>

خب تا اینجا مشکلی نیست، اما اینکه ip من ثالت نیست و متغیر میکنه بجز دو رقم های اولش!

خب راه حل اینه که ip رو به صورت زیر قرار بدم، البته کدومش صحیح هست یا فرقی نمیکنه؟


111.222.


111.222.*

این مراحل رو انجام دادم ولی بازم این روش کار نمیکنه یعنی باز هم اجازه بارگزاری پنل به من داده نمیشه، یعنی اصلا لودی صورت نمیگیره تو مرورگر!

دوستان تو این پست گفتن مشکل از این کد ریر که توی htacceess روت هست این رو بردار درست میشه.


<Files .htaccess>
order allow,deny
deny from all
</Files>

خب من این رو برداشتم ولی باز هم هیچی!

حالا به

غیر از اون کد، از این کدها هم در htaccess استفاده میکنم. ربطی بهشون داره؟

البته اینک بگم رو پوشه wp-admin هم رمز گذاشتم.


#<VirtualHost http://YourDomain.com>[/right]

[/color]
[color=#282828]

[right]# disable TRACE and TRACK in the [url]http://YourDomain.com[/url] virtual host
#RewriteEngine On
#RewriteCond %{REQUEST_METHOD} ^TRACE
#RewriteRule .* – [F]
#RewriteCond %{REQUEST_METHOD} ^TRACK
#RewriteRule .* – [F]
#</VirtualHost>
#


# Stop Directory listening
Options -Indexes


# Block the include-only files
RewriteEngine On
RewriteBase /
RewriteRule ^wp-admin/includes/ - [F,L]
RewriteRule !^wp-includes/ - [S=3]
RewriteRule ^wp-includes/[^/]+\.php$ - [F,L]
RewriteRule ^wp-includes/js/tinymce/langs/.+\.php - [F,L]
RewriteRule ^wp-includes/theme-compat/ - [F,L]


<files wp-config.php>
order allow,deny
deny from all
</files>

دوست عزیز محدود کردن به روش ip توی ایران جواب نمیده چون ما ip هامون استاتیک نیست و متغیره ( مگه اینکه از isp هسح خودتون یک ip استاتیک مخصوص به خودتون بگیرید )

همون که شما رمز گذاشتید روی wp-admin براتون کافیه

ویرایش شده در توسط kasra
0

به اشتراک گذاری این پست


لینک به پست

سلام خدمت دوستان

بنده چند تا سوال مهم از اساتید گرامی داشتم

هاستی که من استفاه مکینم سیستم عمال ویندوز 2012 هست

برای امنیت یک سری راهکار و تغییرات تو فایل

htaccess هست

اما هاست ویندوز با این فایل مشکل داره و با ایجاد اون سایت بالا نمیاد

میشه بفرمایید در این مورد چیکار کنم؟

دوم اینکه تو هاست های لینوکس ما میتونیم دسترسی های مختلف را اعمال کنیم

اما تو هاست ویندوز فقط دو تا گزینه بیشتر نیست (رد و رایت) که من به جز پوشه اپلود همه دسترسی ها را روی رد قرار دادم

از این افزونه ها هم استفاده میکنم

Acunetix Secure WordPress

All In One WP Security

Block Bad Queries (BBQ)

Hide My WP (Share On 20Script.iR)

Security Ninja Lite

Wordpress Firewall 2

روی پوشه wp-admin هم از طریق هاست رمز گذاشتم

صفحه ورود لاگین ورد پرس را هم مخفی و تعداد دفعات ورود اشتباه را هم محدود کردم

با سایت زیر چک کردم و موارد زیر را نشون داد

http://tools.netfixed.ir/wp-scan/

1- WordPress Plugins The following plugins were detected from the HTML source of the WordPress front page.

ditty-news-ticker

Information WordPress Theme The theme has been found by examining the path /wp-content/themes/ *theme name* /

Theme : enfold

Information User Enumeration is not available

Information Directory Indexing is NOT Enabled

Information Linked Javascript

//ajax.googleapis.com/ajax/libs/jquery/1.8.3/jquery.min.js

http://...com/wp-content/themes/enfold/js/avia-compat.js

http://...com/wp-content/themes/enfold/config-layerslider/LayerSlider/static/js/greensock.js

http://...com/wp-content/themes/enfold/config-layerslider/LayerSlider/static/js/layerslider.kreaturamedia.jquery.js

http://...com/wp-content/themes/enfold/config-layerslider/LayerSlider/static/js/layerslider.transitions.js

http://...com/wp-content/themes/enfold/js/avia.js

http://...com/wp-content/themes/enfold/js/shortcodes.js

http://...com/wp-content/themes/enfold/js/aviapopup/jquery.magnific-popup.min.js

http://...com/wp-includes/js/mediaelement/mediaelement-and-player.min.js

http://...com/wp-includes/js/mediaelement/wp-mediaelement.js

http://...com/wp-includes/js/comment-reply.min.js

https://maps.googleapis.com/maps/api/js?v=3.exp&sensor=false

http://...com/wp-content/plugins/ditty-news-ticker/assets/js/jquery.touchSwipe.min.js

http://...com/wp-content/plugins/ditty-news-ticker/assets/js/jquery.easing.1.3.js

http://...com/wp-content/plugins/ditty-news-ticker/assets/js/ditty-news-ticker.js

دوستان برای امنیت بیشتر چه راهکاری پیشنهاد میدید؟؟(این مواردی که تو Linked Javascript نشون داده جز اشکالات امنیتی هست؟)

برا رفع مشکلات سایت چه راهکاری پیش نهاد میدید؟

ممنونم پیشاپیش

ویرایش شده در توسط ufa007
0

به اشتراک گذاری این پست


لینک به پست

سلام دوستان

بنده سوالی داشتم

اول اینکه کلا فایل htaccess به چ درد میخوره؟ایا فقط برای امنیته؟

دوم اینکه من کد های الان داخل فایل htaccess سر در نمیارم و نمیدونم کی اضافشون کردم ، اگه الان پاکشون کنم و از اول دستوراتی که تو تاپیک اموزش امنیت گذاشتن رو اضاف کنم ایا به مشکلی نمیخورم؟

با سپاس

0

به اشتراک گذاری این پست


لینک به پست

سلام دوستان، سایت من از طریق لینک زیر این روزها ورودی های متعددی داره، من یادم نمیاد این لینک رو در جایی برای کسی قرار داده باشم!!!

http://cyan-home.com/wp-content/themes/CyanHome/style.css

0

به اشتراک گذاری این پست


لینک به پست

برای ارسال نظر یک حساب کاربری ایجاد کنید یا وارد حساب خود شوید

برای اینکه بتوانید نظر ارسال کنید نیاز دارید که کاربر سایت شوید

ایجاد یک حساب کاربری

برای حساب کاربری جدید در انجمن ما ثبت نام کنید. عضویت خیلی ساده است !


ثبت نام یک حساب کاربری جدید

ورود به حساب کاربری

دارای حساب کاربری هستید؟ از اینجا وارد شوید


ورود به حساب کاربری

  • مطالب مشابه

    • توسط Mehdi256
      درود
      تو ادیتور بلوکی من یه بلوک "رسانه و متن" قرار میدم و متنو مینویسم و عکسم کنارش میزارم ولی وقتی نمایش پست میزنم عکسه نشون داده نمیشه ! 
      درصورتی که عکس کاملا قرار گرفته و مشکلی نیست تو نمایش نشون نمیده ... 
      ممنون میشم راهنمایی کنید پستمو نتونستم انتشار بدم بخاطرش 
    • توسط nasisco
      با سلام
      ااز پشتیبانی هاستم گفتن که اختلال افزونه ای دارم برای حل و فهمیدن اینکه کدوم افزونه مشکل داره و چجوری میشه حلش کرد  چه راه حلی پیشنهاد میدید؟
    • توسط MiMCH
      این افزونه و میخواااام کسی داره ایاا؟

      https://codecanyon.net/item/cost-calculator-for-wordpress/21709867?ref=QuanticaLabs
       
    • توسط Erfan.H
      با سلام و احترام وقت بخیر دوستان یه سوالی داشتم بنده ووکامرس فارسی رو نصب کردم فعال میکنم اصلا تو قسمت پیشخوان وردپرس اثری از ووکامرس نمیبینم که بخوام برم ثبت نام کنم کلا وقتی ووکامرس نصب و فعال میکنم هیچیتو پیشخوان وردپرس نمیاد ولی وقتی افزونه دیگه نصب میکنم میاد مشکل از چیه
    • توسط nasisco
      با سلام
      وکتور ادرس زیر رو میخوایم پاک کنیم
      چون تو سورس سایت لود میشه و http هستش 
      و در تبدیل به https به مشکل برخوردیم 
      تمام عکسای با نام background6.png رو از هاست پاک کردم ولی از صفحه ولی پاک نمیشه 
      کسی هست بدونه راه حل این مشکل چیه ؟
      ممنون 
      http://rtl-automatic.ir/pixi/wp-content/uploads/2018/08/background6.png?id=1517