امنیت دایرکتوری ادمین وردپرس

محافظت از دایرکتوری مدیریت وردپرس با تایید هویت HTTP

انتشار محتوای سایت ایران سایبر فقط با ذکر منبع رسمی مجاز است 

با ارتقاء وردپرس به آخرین نسخه، هک کردن آن می تواند بسیاد دشوار و سخت باشد. نگه داشتن وردپرس یک گام مهم در امنیت کلی وب سایت است. اگر هر گونه آسیب پذیری امنیتی کشف شود، معمولا پچ  آن به سرعت منتشر می شود.

فرض کنید شما تصمیمی گرفته اید که یک وبلاگ عکاسی را شروع کنید و تصمیم گرفته اید که وردپرس ابزار مناسب برای شما باشد. قبل از اینکه در مسیر تخصصی خود پیش بروید، باید زمان زیادی را صرف ارزیابی اهداف امنیتی خود کنید تا بتوانید وبلاگ خود را مطابق با الزامات امنیتی تنظیم کنید.

مهمترین فایل در هر نصب وردپرس فایل wp-config.php است. این فایل ها تمام تنظیمات اتصال به پایگاه داده را ذخیره می کند، از جمله نام پایگاه داده، نام کاربری و رمز عبور برای دسترسی به پایگاه داده و … 

این فایل همچنین پایگاه داده، امنیت و سایر تنظیمات پیشرفته را نیز ذخیره می کند.

همچنین در این فرایندها می توانید تصمیم بگیرید که برخی از گزینه های پیکربندی اولیه، مانند نام پیشوند پایگاه داده یا برخی از کلید های امنیتی واقع در فایل wp-config.php را تغییر دهید، که برای تأمین امنیت قوی تر برای کوکی های مرورگر استفاده می شود.

فایل wp-config.php به طور معمول در دایرکتوری ریشه وردپرس ذخیره می شود. همچنین می توانید فایل wp-config را در خارج از یک دایرکتوری وردپرس قرار دهید. بنابراین اگر دایرکتوری وردپرس شما در اینجا قرار دارد:

/public_html/my_website/wp-config.php

گزینه ها در وردپرس به صورت ثابت ذخیره می شوند و می توانند در فایل wp-config.php دیده شوند. محدودیت ها همگی یکسان هستند:

define(‘OPTION_NAME’, ‘value’);

امنیت وردپرس را می توان با تعیین کلید های مخفی در فایل wp-config.php تقویت کرد. یک کلید مخفی معمولا یک salt هش است، که باعث اضافه کردن عناصر تصادفی (salt) در رمز عبور وب سایت شده و از هک شدن آن جلوگیری می کند. وجود این کلید برای کارکردن برای وردپرس ضرورتی ندارد اما موجب اضافه شدن یک لایه امنیتی اضافی در وب سایت شما می شود.

برای اینکه کلید های مخفی برای شما ایجاد شده باشند می توانید از این لینک WordPress.org برای ایجاد کلید مخفی در فایل wp-config.php استفاده کنید.

محافظت از دایرکتوری مدیریت وردپرس با تایید هویت HTTP – 

اولین گام این است که یک فایل htpasswd. در سرور خود ایجاد کنید که حاوی نام کاربری و رمز عبور شما باشد. از فایل های Htpasswd زمانی استفاده می شود که از فرآیند رمز عبور برای محافظت از یک وب سایت یا یک پوشه با استفاده از HTTP Authentication و فایل های htaccess استفاده می شود.

این فایل به طور کلی شامل نام کاربری در متن ساده و رمز عبور در فرمت hash (رمزگذاری شده) است و توسط یک کولون (:) جدا شده است.

با کمک htaccesstools.com شما به راحتی می توانید یک فایل htpasswd. ایجاد کنید که حاوی نام کاربری و رمز عبور حساس  با انتخاب شما باشد.

محافظت از دایرکتوری مدیریت وردپرس

به محض اینکه دکمه “Create .htpasswd file” را فشار دهید مقادیری از کد ها را برای شما نشان می دهد و به سادگی می توانید کد را کپی کرده و در فایل htpasswd. وارد کنید.

ایجاد پسورد هش شده

اکنون از یک کلاینت صفحه خود را باز کنید و سپس وارد سرور شوید 

هر پوشه  که خارج از دایرکتوری خانه (یعنی public_html) ایجاد کرده اید و یا فایل تولید شده خود را به عنوان htpasswd. آپلود کنید همانطور که در زیر نشان داده شده است.

در تصویر زیر می توانید ببینید که ما یک پوشه به نام “secret” ایجاد کرده ایم و فایل htpasswd. که از مرحله اول ساخته ایم را آپلود کردیم.

امنیت وردپرس

اکنون گام بعدی و نهایی این است که فایل htaccess. خود را ویرایش کنید و کد زیر را در انتهای فایل قرار دهید.

# To prevent loops
ErrorDocument 401 default

# Protect wp-login
<Files wp-login.php>
AuthUserFile /home/username/secret/.htpasswd
AuthName “Private access”
AuthType Basic
require valid-user
</Files>

<Files admin-ajax.php>
Order allow,deny
Allow from all
Satisfy any
</Files>

در کد بالا، شما باید یک موردی را تغییر دهید: تغییر محل فایل htpasswd. خود که در /home/username/secret/.htpasswd است.

با کمک کد زیر می توانید آدرس مسیر سرور خود را نیز پیدا کنید:

<?php echo $_SERVER[“SCRIPT_FILENAME”]; ?>

استفاده از htaccess. به شما اجازه می دهد با استفاده از آدرس آی پی دسترسی به وب سایت خود را محدود کنید یا اساسا آن را در مقابل بازدیدکنندگان ناشناس قفل کنید.

استفاده از htaccess

حالا فایل htaccess. خود را ذخیره کنید، اما قبل از انجام هر گونه تغییر، ابتدا از فایل htaccess. خود پشتیبان تهیه کنید.
در حال حاضر می توانید به صفحه wp-login.php یا wp-admin خود دسترسی پیدا کنید و آن را آزمایش کنید تا از حصول کارکرد آن اطمینان حاصل شود  و بعد از ورود نام کاربری و رمز عبور می توانید به قسمت ورود به سیستم دسترسی پیدا کنید.

صفحه wp-login.php

در اینجا لیستی از ۳ پلاگین برتر است که می توانید برای امنیت وب سایت وردپرس خود استفاده کنید و پلاگین ها، تم ها و نسخه خود را به صورت منظم برای حفاظت از سایت خود به روز نگه دارید.

  • All In One WP Security
  • IThemes Security
  • Wordfence Security

در سطح امنیتی سرور، باید در فایل php.ini خود نگاهی بیندازید و تمام برنامه های زیر که از آن استفاده نمی کنید را غیرفعال کنید. پی اچ پی با داشتن قابلیت های بسیار زیادی ساخته شده است که باعث کاهش موانع ورود می شود و توسعه دهندگان را قادر می سازد تا این کار را انجام دهند.

همچنین از این امکان می توانید برای ایمن کردن ظرفیت اجرای پی اچ پی خود و کمک به اجرای سریعتر استفاده کنید. در اینجا چند تنظیم ساده وجود دارد که به احتمال زیاد می توانید امنیت و عملکرد را بهبود بخشید:

;Hide PHP for security
expose_php = Off

;Turn off for performance
register_globals = Off
register_long_arrays = Off
register_argc_argv = Off
magic_quotes_gpc = Off
magic_quotes_runtime = Off
magic_quotes_sybase = Off

 

انتشار محتوای سایت ایران سایبر فقط با ذکر منبع رسمی مجاز است 

گرد آورنده : سید محمد اسماعیلی

 

 

نوشته های مرتبط

مدیریت دستگاه های IOT

۰۵

آبان
همه موضوعات

مدیریت از راه دور دستگاه های IOT با استفاده از ابزار Upswift

انتشار محتوای سایت ایران سایبر فقط با ذکر منبع رسمی مجاز است اگر فقط از یک دستگاه IoT استفاده می کنید و درحال توسعه پروژه های خود هستید، به روزرسانی و مدیریت آن سریع و آسان است. اما اگر ۱۰ ، ۵۰ یا ۱۰۰ دستگاه داشته باشید چه می کنید؟ مدیریت همه آنها ناگهان به یک دردسر […]

رکوردهای DNS

۱۹

مهر
همه موضوعات

مدیریت رکوردهای DNS با DNStable

یافتن اطلاعات در مورد سوابق DNS فرآیندی است که متخصصان امنیتی با عملیات های خاصی انجام می دهند. این اطلاعات از چند طریق قابل دستیابی است که در این مقاله به آنها خواهیم پرداخت. مشکل این است که بیشتر ابزارها برای یافتن سوابق DNS به روز شده و استفاده از آنها دشوار است. بیشتر متخصصان با تجربه[…]