سخنی چند با مدیران سایت های وردپرسی

امنیت همواره در موضوعات مطالب اسکریپت های اپن سورس ، یک موضوع بسیار مهم و قابل بررسی است . دزدگیر های وسایل نقلیه ، دوربین های مداربسته امنیتی و .. همگی برای فراهم ساختن حداکثر امنیت هستند مخصوصا برای افرادی که زندگی خود را توسط یک بلاگ یا یک سایت ، آنلاین کرده اند . در این مقاله به شما چند ترفند مفید برای افزایش امنیت وب سایت وردپرسی تان ، خواهیم آموخت .

جلوگیری از نمایش اطلاعات غیرضروری (مقابله با بروت فروس)

زمانی که شما می خواهید وارد مدیریت وردپرس خود شوید ، در صورتی که رمز عبور را اشتباه وارد کنید ، یک پیغام نمایش داده می شود که رمز عبور شما با شناسه کاربری همخوانی ندارد ، این برای زمانی که شما رمز عبور خود را فراموش کرده باشید ، مفید است ، اما همزمان این امکان برای کسانی که می خواهد وردپرس شما را هک کنند نیز مفید است . پس باید از نمایش پیغام های خطای ورود به بخش مدیریت ، جلوگیری کرد . راه حل بسیار ساده است ، کافی است کد زیر را به فایل functions.php واقع در پوشه قالب خود در وردپرس ( wp-content/themes/theme-name ) ، اضافه کنید .

کد PHP:

add_******('login_errors',create_function('$a', "return null;"));

فایل را ذخیره کرده و سپس از وردپرس خود خارج شده و این بار رمز عبور خود را اشتباه وارد کنید ، مشاهده خواهید کرد که هیچ پیغام خطایی دریافت نخواهید کرد .

استفاده از htaccess. برای محافظت از فایل wp-config (مقابله با سیم لینک )

به عنوان یک کاربر وردپرس احتمالا می دانید که فایل wp-config در امنیت وب سایت شما بسیار حائز اهمیت است. این فایل حاوی تمامی اطلاعات دسترسی به دیتابیس شماست . در واقع محافظت از wp-config ، بسیار ضروری و بحرانی است . این کار را باید توسط بهره برداری از قدرت آپاچی انجام داد . راه حل به این صورت است که شما کد زیر را به فایل htaccess. داخل روت قالب خود اضافه کنید ، دقت کنید که این فایل به صورت خودکار پنهان است ، شما باید تیک نمایش فایل های hidden را داخل cpanel فعال کنید تا بتوانید این فایل را مشاهده نمایید. این احتمال هم وجود دارد که این فایل ساخته نشده باشه ، که در این حالت خیلی راحت یک فایل با اسم htaccess. ایجاد کنید و کد زیر رو داخل آن قرار دهید.

کد PHP:

order allow,denydeny from all

محافظت از وردپرس در برابر Script Injections ( مقابله با تزریق اسکریپت )

این روش برای تمامی وب سایت ها حتی وب سایت های ایستا نیز لازم و ضروری است . اما بیشتر از همه برای وب سایت های پویا که توسط یک سیستم مدیریت محتوا مدیریت می شوند لازم است . بیشتر توسعه دهندگان از درخواست های GET و POST خود محافظت می کنند اما این کافی نیست ! باید از سایت خود در برابر حملات script injections و هر گونه تلاش برای تغییر PHP GLOBALS و متغیر های _REQUEST محافظت کنیم . راه حل بسیار ساده است ! فقط کافی است چند خط کد دیگر به htaccess. خود اضافه کنید تا از این روش های هک نیز محافظت کنید .

کد PHP:

Options +FollowSymLinksRewriteEngine OnRewriteCond %{QUERY_STRING}
(<|%3C).*script.*(>|%3E) [NC,OR]RewriteCond %{QUERY_STRING}
GLOBALS(=|[|%[0-9A-Z]{0,2}) [OR]RewriteCond %{QUERY_STRING} _REQUEST(=|[|%[0-9A-Z]{0,2})RewriteRule ^(.*)$ index.php [F,L]

جلوگیری از آپلود شلر در پنل وردپرس

برای جلوگیری از آپلود شلر در وردپرس تا حدودی میتوانید این کار را با بستن امکان ویرایش پلاگین و همچنین پوسته انجام بدید.

برای این کار کافی است وارد هاست شده و فایل wp-config.php سایت را باز کرده و این کد را به انتهای آن اضافه کنید.

کد PHP:

define( 'DISALLOW_FILE_EDIT', true );

ولی فراموش نکنید که با امکان آپلود پوسته یا پلاگین امکان آپلود شلر نیز هست.

برای جلوگیری از این کار نیز کد زیر را به آخر فایل کانفیگ وردپرس اضافه کنید.

کد PHP:

define('DISALLOW_FILE_MODS',true );

منبع : itsay.ir