
کیفیت خدمات میزبانی وب را با ما تجربه کنید!
در ابتدای این مقاله من یک لیست از بیشترین تهدیدات امنیتی وردپرس تهیه کردم که لازم هست اون رو باهم مرور کنیم. سپس به بررسی راه حل های اون ها میپردازیم.
این گزینه، یکی از متداول ترین روش های حمله به وردپرس هست و امنیت وردپرس رو تحت الشعاع قرار میده و هر وبمستری باید خودش رو در برابر اون ایمن کنه. نرم افزارهای جاسوسی شامل تروجان ها، کیلاگر ها (Key Loggers)، روش های تبلیغاتی مزاحم و.. هست. هدف عمده این ابزارها، به سرقت بردن اطلاعات حساس از جمله نام های کاربری، انواع کلمه عبور، اطلاعات کارت های اعتباری و.. هست.
تروجان نام نرم افزارهای مخرب و بدخواه است که علاوه بر سیستم های رایانه ای، میتونه حتی بر امنیت وردپرس تاثیر مخرب داشته باشه. تلاش برای اختلال در بانک اطلاعاتی و دسترسی به سیستم های حساس اطلاعاتی از عمده ترین روش های تخریبی تروجان ها هستند. تروجان ها معمولا یک هدف رو دنبال میکنند و اون حمله به یک سیستم رایانه ای و یا سرور هست. یکی از دلایل عمده کاهش سرعت سایت های وردپرس، وجود تروجان در سرور است.
همه ی ما با این واژه آشنا هستیم. اسپم! اسپم ها انواع مختلفی دارند. هرچیزی که بصورت ناخواسته برای ما ارسال بشه اسپم نام داره. متداول ترین اسپم ها در وردپرس، کامنت های اسپم هستند. این کامنت ها بصورت ناخواسته و توسط اسپمرها ارسال میشن و روی Seo و وضعیت کلی سایت تاثیرات بسیار مخربی دارند. در نوشته های قبل سایت وردپرس نوت، یک روش مقابله با اسپم در وردپرس رو باهم بررسی کردیم و در آینده هم چندین روش دیگه رو باهم بررسی خواهیم کرد.
ویروس ها توسط نیروهای انسانی به نام هکر ها نوشته میشن و اهداف تخریبی رو دنبال میکنند. ویروس ها از طریق آپلود فایل به سرور منتقل میشن. عمده ترین راه انتقال ویروس ها، اتصال به سرور سایت از مکان های نا امن و عمومی مقل کافی نت ها و همچنین آپلود فایل ها و پلاگین ها یا پوسته هایی که از منابع غیر رسمی گرفته شده اند، هست. ویروس ها در سرور به سرعت تکثیر میشن و مقابله با اون ها کمی مشکل تر از بدافزارهای دیگه هست. پس پیشگیری بهتر از درمان است!
یکی از شایع ترین راه های حمله هکرها، نفوذ از طریق URL و با قراردادن یک رشته کد در داحل یک فایل PHP است. یک راه حل مطمئن برای مقالبه با حملات از طریق URL وجود داره و اون فایل .htaccess هست. با این روش، ما برای دسترسی به وردپرس یکسری قانون تعریف میکنیم. کد زیر رو در فایل .htaccess در شاخه اصلی وردپرس قرار بدید و بعد از ذخیره فایل، سایتتون رو تست کنید.
۱
۲
۳
۴
۵
۶
۷
۸
۹
۱۰
۱۱
۱۲
۱۳
۱۴
۱۵
۱۶
۱۷
۱۸
۱۹
۲۰
۲۱
۲۲
۲۳
۲۴
۲۵
۲۶
۲۷
۲۸
۲۹
۳۰
۳۱
۳۲
۳۳
۳۴
۳۵
۳۶
۳۷
۳۸
۳۹
۴۰
۴۱
۴۲
۴۳
۴۴
۴۵
۴۶
۴۷
۴۸
۴۹
۵۰
۵۱
۵۲
۵۳
۵۴
۵۵
۵۶
۵۷
۵۸
۵۹
۶۰
۶۱
۶۲
۶۳
۶۴
۶۵
۶۶
۶۷
۶۸
۶۹
۷۰
۷۱
۷۲
۷۳
۷۴
۷۵
|
<fModule mod_alias.c>
RedirectMatch 403 ^
RedirectMatch 403 `
RedirectMatch 403 {
RedirectMatch 403 }
RedirectMatch 403 ~
RedirectMatch 403 "
RedirectMatch 403 $
RedirectMatch 403 <
RedirectMatch 403 >
RedirectMatch 403 |
RedirectMatch 403 ..
RedirectMatch 403 //
RedirectMatch 403 %0
RedirectMatch 403 %A
RedirectMatch 403 %B
RedirectMatch 403 %C
RedirectMatch 403 %D
RedirectMatch 403 %E
RedirectMatch 403 %F
RedirectMatch 403 %22
RedirectMatch 403 %27
RedirectMatch 403 %28
RedirectMatch 403 %29
RedirectMatch 403 %3C
RedirectMatch 403 %3E
RedirectMatch 403 %3F
RedirectMatch 403 %5B
RedirectMatch 403 %5C
RedirectMatch 403 %5D
RedirectMatch 403 %7B
RedirectMatch 403 %7C
RedirectMatch 403 %7D
# COMMON PATTERNS
Redirectmatch 403 _vpi
RedirectMatch 403 .inc
Redirectmatch 403 xAou6
Redirectmatch 403 db_name
Redirectmatch 403 select(
Redirectmatch 403 convert(
Redirectmatch 403 /query/
RedirectMatch 403 ImpEvData
Redirectmatch 403 .XMLHTTP
Redirectmatch 403 proxydeny
RedirectMatch 403 function.
Redirectmatch 403 remoteFile
Redirectmatch 403 servername
Redirectmatch 403 &rptmode=
Redirectmatch 403 sys_cpanel
RedirectMatch 403 db_connect
RedirectMatch 403 doeditconfig
RedirectMatch 403 check_proxy
Redirectmatch 403 system_user
Redirectmatch 403 /(null)/
Redirectmatch 403 clientrequest
Redirectmatch 403 option_value
RedirectMatch 403 ref.outcontrol
# SPECIFIC EXPLOITS
RedirectMatch 403 errors.
RedirectMatch 403 config.
RedirectMatch 403 include.
RedirectMatch 403 display.
RedirectMatch 403 register.
Redirectmatch 403 password.
RedirectMatch 403 maincore.
RedirectMatch 403 authorize.
Redirectmatch 403 macromates.
RedirectMatch 403 head_auth.
RedirectMatch 403 submit_links.
RedirectMatch 403 change_action.
Redirectmatch 403 com_facileforms/
RedirectMatch 403 admin_db_utilities.
RedirectMatch 403 admin.webring.docs.
Redirectmatch 403 Table/Latest/index.
</IfModule>
|
در مثال بالا، رشته های زیادی وجود داره که ممکنه هکر ها از اون برای حمله خودشون استفاده کنند، یا نکنند. پیشنهاد من به شما اینه که همه ی اون ها رو تست کنید تا ببینید سایت شما به درستی کار میکنه یا نه. اگر این طور نبود، این رشته ها رو تک به تک تست کنید.
یکی دیگه از راه های بالابردن امنیت وردپرس، محدود کردن دسترسی به پنل مدیریت وردپرس هست. با این روش، شما میتونید دسترسی به محیط مدیریت وردپرس رو برای مثال محدود به یک IP خاص کنید. این کار با اضافه کردن سه خط کد ساده به فایل .htaccess امکان پذیر هست. توجه داشته باشید که این سه خط کد رو باید در داخل فایل .htaccess موجود در پوشه wp-admin اعمال کنید.
۱
۲
۳
|
order deny,allow
deny from all
allow from xx.xx.xx.xx //( your static IP)
|
اگر صفحات سایت وردپرسی شما در گوگل ایندکس شده باشه، حتما تا به حال نظرات زیادی در نوشته های شما ایجاد شده. اما این نظرات بیشتر هدف تبلیغاتی دارند، بصورت ناخواسته ارسال میشن و به اصطلاح Spam هستند. حذف تک به تک این کامنت ها بسیار وقت گیر هست و باید با اون ها مقابله کرد. در پست های قبل وردپرس نوت به یک راه حل کاربردی اشاره کردم. در ادامه این نوشته هم چند راه حل دیگه رو بررسی میکنم. به یاد داشته باشید که وردپرس بعنوان یکی از محبوبترین سیستم های مدیریت محتوای جهان، دارای بیشترین تعداد اسپمر هست. اما با راه حل هایی که بهشون اشاره میکنم میشه تا حد زیادی جلوی اون ها رو گرفت.
اولین اقدام برای مقابله با نظرات اسپم، پلاگین رایگان Akismet هست. این پلاگین بصورت پیشفرض با وردپرس نصب میشه و کار اون مقابله با نظرات اسپم هست. این افزونه تا حد زیادی جلوی کامنت های ناخواسته وردپرس رو میگیره. در صورتی که این افزونه رو نصب نکردید، اون رو از مخزن افزونه های وردپرس دریافت کنید و بعد از نصب فعالش کنید. افزونه اکسیمت به شما در برابر مقابله با نظرات اسپم در وردپرس تا حد بسیار زیادی کمک میکنه.
با این روش، شما میتونید یکسری کلمه کلیدی تعریف کنید و به وردپرس بگید اگر کلمات کلیدی خاصی در نظر ارسال شده وجود داشت، اون رو حذف کنه و در صف نظارت باقی نذاره. به روش زیر عمل کنید:
به دنبال این روش، گاهی ممکنه شما بخواهید کامنت هایی که با کلمات کلیدی خاصی اسپم شناخته شدند رو بررسی کنید تا کامنتی به اشتباه اسپم نشده باشه. بدین ترتیب با روش زیر میتونید یک لیست سیاه (Black List) بسازید و قبل از حذف خودکار کامنت های اسپم، اون ها رو بررسی کنید. برای این کار طبق دستور زیر عمل کنید:
اگر کامنت های اسپم رو با پلاگین های وردپرس مثل Akismet کنترل میکنید، میتونید از طریق دیتابیش متدهای شناسایی اسپم رو تغییر بدید و نظرات رو از لیست سیاه اسپم ها خارج کنید. البته این راه به مدیران تازه کار سایت های وردپرسی توصیه نمیشه و برای همین از این مورد رد میشم.
در این مقاله از وردپرس نوت، سه راه عمده که امنتیت سایت های وردپرس رو تحت الشعاع قرار میده رو بررسی کردم. در قسمت های بعدی مقالات امنیت وردپرس، موارد دیگه رو بررسی میکنم و برای اون ها چندین راه حل ارائه میدم. راستی، شما نظری در مورد بالابردن سطح امنیت وردپرس دارید؟ در قسمت نظرات این نوشته برای ما بنویسید.
خرید قالب وردپرس
www.pishgamtheme.ir
www.pishgamtheme.ir