دی ۲۲ ۱۳۸۸
۹۹% امنیت با افزونه ی امنیتی وردپرس(wp-security-scan)
حتما اگر پستهای دوستان دیگر را در سیاره وردپرس فارسی دنبال کرده باشید پستهای متعددی در مورد امنیت در وردپرس مشاهده خواهید کرد .
اما امروز من یک افزونه بسیار بسیار موثر و کارا رو در این زمینه معرفی خواهم کرد و به برخی از ویژگی های اون اشاراتی خواهم نمود.
نام این افزونه ” wp-security-scan ” هست و آدرس اوون در سایت ورد پرس
میتونید در قسمت افزودن افزونه و با جستجوی واژه wp-security-scan به راحتی این افزونه را نصب و راه اندازی کنید.
اما دلیل نصب این افزونه چیست؟ دلایل متعددی خواهم آورد که متقاعد به نصب این افزونه شوید:
در منوی اول این افزونه که Security نام دارد ۲ قسمت مشاهده میکنید یکی قسمتی که سمت راست هست و مربوط به اطلاعات سیستم شماست.که چیز قابل عرضی ندارد.
در قسمت Initail scan کارهای بسیار مفیدی انجام خواهد شد :
۱-ورژن وردپرس شما با ورژن جدید چک میشود (که چیز جدیدی نیست).
۲-میتوانید پیشوند به جداول وردپرستان بیافزایید که من صلاح ندیدم انجام دهم (البته در این صورت حدس زدن نام جداول برای نفوذگر بسیار سخت خواهد شد و تزریقی در پایگاه داده خود نخواهید داشت با توجه به اینکه اهم حملات از طریق همین دستکاریها بر روی پایگاه داده و تغییر مقادیر آن است ).
به این سایت رفته http://www.milw0rm.com/search.php و در قسمت جستجو واژه “wordpress” را بنویسید تا خود به نحوه و نوع عملکرد این باگها پی ببرید.
البته به این نکته دقت کنید اکثر باگهایی که برای سیستمهای قوی از جمله wordprees و joomla و mambo میاد بیشتر مربوط به افزونه ها (کامپوننتها) هست نه هسته سیستم (پس سعی کنید هر افزونه ای را نصب کنید)
توصیه :بعضی افزونه ها دلیلی ندارد همیشه رو سیستم نصب باشند . مثلا همین پلاگین امنیت !! کارتون رو باهاش انجام بدید و بعد پاک کنید ماه دیگه باز هم میتونید نصب کنید و . . . .
۳-اگر دقت کنید اکثر شما الان از نسخه ۲٫۹٫۱ استفاده میکنید ممکن هست امشب یک باگ خطرناک توی نت پخش بشه ! و به راحتی بشه رو وبسایت شما فایل آپلود کرد ! یا یک تزریق بسیار خطرناک !! و شما هم در خواب نا ز !!
اگر بدخواه درجه ۱ نداشته باشید در امانید !! اما میدونستید وردپرس در خودش ورژن رو نمایش میده !
<meta name="generator" content="WordPress 2.9.1" />
خوب حالا کافیه اوون دوست بدخواه یه سرچ داشته باشه توی گوگل روی اوون نسخه خاص !!!
مثلا چند تا مثال :به همین سایت دوستمون گناهکار بردی و در سورس اوون آخرین ورژن رو چک کنید :
میفهمید آخرین نسخه رو نصب کرده !!۲٫۹۱ یا مثلا دوستمون در بلاگنوشت هنوز ۲٫۹ هست !!
اما در صفحه اصلی وبلاگ من چیزی نیست ! و اوون به خاطر همین برداشتن متاتگ هست که ورژن رو لو میده !
البته شما میتونید دستی هم پاک کنید که با توجه به بهروزرسانی های هفتگی وردپرس !! یک روز خسته خواهید شد .
Your WordPress version is successfully hidden. این هم پیامی هست که نرم افزار به من داده.
۴- db error رو هم در وردپرس خاموش میکنه.
۵- WP ID META tag removed form WordPress core
6- No user “admin” (چون من نام کاربریمو عوض کردم !)بسیار سادست اول یه کاربر در سطح ادمین بسازید بعد خارج بشید از سیستم با نام کاربر جدید وارد بشید و برید نام کاربر قبلی رو که همون ادمین هست رو پاک کنید سیستم از تون میپرسه آیا تمایل دارید که تمووم پستهای نویسنده قبلی تووی این کاربر جدید کپی بشه ؟ شما هم بله رو علامت میزنید.
۷- The file .htaccess does not exist in wp-admin/. خوب این قسمت ئر سرورهای ویندوزی کاربردی نداره ! چون دسترسی نمیده < فقط روی سرورهای لینوکسی جواب خواهد داد.
ساختنش هم اصلا کاری نداره همین عبارت رو اگر توی تالارهای گفتگو یه سرچ بزنید همه چیز دستتون میاد.
۸-سازندش گفته فعال نگهش دارید چون داره امکانات بسیار بیشتری رو اضافه میکنه.
- one-click change file/folder permissions-تغییر سطوح دسترسی با یک کلیک
- test for XSS vulnerabilities- چک کردن وبلاگتون برای حملات اکس اس اس
- lock out/log incorrect login attempts- قفل کردن سیستم در صورت درخواستهای وروود نامعتبر
- user enumeration protection
- WordPress admin protection/security
و …
۸-در منوی Scanner سطح دسترسی پوشه هاتون چک میشه و به شما خاطر نشان میکنه که هر پوشه باید چه سطح دسترسی داشته باشه.
۹-password tool هم واستون پسورد امن میسازه !!
۱۰-database : در این قسمت هم میگه برای اینکه در دام حملات ۰day نیوفتید کل پیشوندها رو تغییر بدید و در اینجا خودش اینکار رو به صورت اتوماتیک انجام خواهد داد(توصیه نمیکنم !)
توصیه پیشنهاد و انتقادات شما را بر چشم خواهم نهاد.
دریافت مقاله به فرمت doc
دی ۲۲, ۱۳۸۸ @ ۲۱:۴۱:۰۸
مقاله ی مفیدی بود. ممنون
[پاسخ]
دی ۲۶, ۱۳۸۸ @ ۱۴:۲۹:۵۲
ممنون افزونه خوبی بود
[پاسخ]
دی ۳۰, ۱۳۸۸ @ ۲۳:۳۸:۴۲
It sounds like that when you are looking
[پاسخ]
بهمن ۱۳, ۱۳۸۸ @ ۱۴:۵۷:۴۴
به درد بخوره ولی من حوصله انجام این همه کارو ندارم
وردپرس همینجوری هم امنه
[پاسخ]
جوون ساده روستایی پاسخ در تاريخ خرداد ۲۵م, ۱۳۸۹ ۹:۰۳ ق.ظ:
کار خاصی نداره که
افزونه خیلی خوبی هستش و امنیت خاطر هم برات داره
سپاس حسام جان
ولی یک پرسش :
من هیچوقت نتونستم پیشوند “wp” رو توی دیتا بیسم تغییر بدم.
تو موفق شدی اینکار رو کنی؟
[پاسخ]
خرداد ۲۳, ۱۳۸۹ @ ۰۸:۱۶:۲۸
دست شما درد نکنه، مفید بود. الان ۲۰۰ و خوردهای روز میگذره و هنوز نسخهی جدید ندادن. امیدوارم اگر میخواد نسخهی جدید بده یه کم سریعتر این کار رو بکنه.
[پاسخ]
خرداد ۲۴, ۱۳۸۹ @ ۰۵:۵۵:۱۲
خیلی ممنون از مقالتون میخواستم ببینم کسی هاست که جرات کرده باشه پیشوندهای دیتابیس رو با این پلاگین تغییر داده باشه؟
اگه آره نتیجه چی بوده؟
[پاسخ]
تیر ۰۶, ۱۳۸۹ @ ۰۰:۰۷:۵۸
با سپاس مقاله ای ارزشمندی بود.
در همین راستا:
http://tinyurl.com/37zhyo6
[پاسخ]
تیر ۲۰, ۱۳۸۹ @ ۰۸:۲۵:۰۳
ممنون مفید بود
[پاسخ]
تبعیدی دست باد پاسخ در تاريخ تیر ۲۱م, ۱۳۸۹ ۵:۵۳ ب.ظ:
خواهش میکنم
گرچه کمی قدیمی شده
با تشکر از نظر شما
[پاسخ]
تیر ۲۱, ۱۳۸۹ @ ۱۰:۱۵:۰۹
salam dost aziz
man komak ziadi mikham dar morede WP ke jaei peyda nakardam bayad chikar konam
yani tarjomehash vasam na malmose lotf mikoni ye shomare az khodet bezari ya be id man to yahoo pm bedi
id : “pesar_khobe”
mamnoon
[پاسخ]
تبعیدی دست باد پاسخ در تاريخ تیر ۲۱م, ۱۳۸۹ ۵:۵۲ ب.ظ:
سلام دوست من
بسیاری از کاربران قدیمی وردپرس آموزشهای بسیار خوبی در این زینه برای افراد تازه کار قرار دادند .
شما با یک جستجوی کوچک در گوگل به نتایج بسیار خوبی میرسید
مثلا :
با عضویت در این سایت کتاب خوبی در این زمینه هست میتونید دانلود کنید.
اینجا را کلیک کنید
[پاسخ]
اردیبهشت ۱۷, ۱۳۹۱ @ ۱۰:۴۰:۵۱
سلام
اول از همه تشکر میکنم از مقاله خوبتون
یک افزونه نیست از اپلود جلوگیری کنه
[پاسخ]