حتما اگر پستهاي دوستان ديگر را در سياره وردپرس فارسي دنبال كرده باشيد پستهاي متعددي در مورد امنيت در وردپرس مشاهده خواهيد كرد .
اما امروز من يك افزونه بسيار بسيار موثر و كارا رو در اين زمينه معرفي خواهم كرد و به برخي از ويژگي هاي اون اشاراتي خواهم نمود.
نام اين افزونه ” wp-security-scan ” هست و آدرس اوون در سايت ورد پرس
ميتونيد در قسمت افزودن افزونه و با جستجوي واژه wp-security-scan به راحتي اين افزونه را نصب و راه اندازي كنيد.
اما دليل نصب اين افزونه چيست؟ دلايل متعددي خواهم آورد كه متقاعد به نصب اين افزونه شويد:
در منوي اول اين افزونه كه Security نام دارد 2 قسمت مشاهده ميكنيد يكي قسمتي كه سمت راست هست و مربوط به اطلاعات سيستم شماست.كه چيز قابل عرضي ندارد.
در قسمت Initail scan كارهاي بسيار مفيدي انجام خواهد شد :
1-ورژن وردپرس شما با ورژن جديد چك ميشود (كه چيز جديدي نيست).
2-ميتوانيد پيشوند به جداول وردپرستان بيافزاييد كه من صلاح نديدم انجام دهم (البته در اين صورت حدس زدن نام جداول براي نفوذگر بسيار سخت خواهد شد و تزريقي در پايگاه داده خود نخواهيد داشت با توجه به اينكه اهم حملات از طريق همين دستكاريها بر روي پايگاه داده و تغيير مقادير آن است ).
به اين سايت رفته http://www.milw0rm.com/search.php و در قسمت جستجو واژه “wordpress” را بنويسيد تا خود به نحوه و نوع عملكرد اين باگها پي ببريد.
البته به اين نكته دقت كنيد اكثر باگهايي كه براي سيستمهاي قوي از جمله wordprees و joomla و mambo مياد بيشتر مربوط به افزونه ها (كامپوننتها) هست نه هسته سيستم (پس سعي كنيد هر افزونه اي را نصب كنيد)
توصيه :بعضي افزونه ها دليلي ندارد هميشه رو سيستم نصب باشند . مثلا همين پلاگين امنيت !! كارتون رو باهاش انجام بديد و بعد پاك كنيد ماه ديگه باز هم ميتونيد نصب كنيد و . . . .
3-اگر دقت كنيد اكثر شما الان از نسخه 2.9.1 استفاده ميكنيد ممكن هست امشب يك باگ خطرناك توي نت پخش بشه ! و به راحتي بشه رو وبسايت شما فايل آپلود كرد ! يا يك تزريق بسيار خطرناك !! و شما هم در خواب نا ز !!
اگر بدخواه درجه 1 نداشته باشيد در امانيد !! اما ميدونستيد وردپرس در خودش ورژن رو نمايش ميده !
<meta name="generator" content="WordPress 2.9.1" />
خوب حالا كافيه اوون دوست بدخواه يه سرچ داشته باشه توي گوگل روي اوون نسخه خاص !!!
مثلا چند تا مثال :به همين سايت دوستمون گناهكار بردي و در سورس اوون آخرين ورژن رو چك كنيد :
ميفهميد آخرين نسخه رو نصب كرده !!2.91 يا مثلا دوستمون در بلاگنوشت هنوز 2.9 هست !!
اما در صفحه اصلي وبلاگ من چيزي نيست ! و اوون به خاطر همين برداشتن متاتگ هست كه ورژن رو لو ميده !
البته شما ميتونيد دستي هم پاك كنيد كه با توجه به بهروزرساني هاي هفتگي وردپرس !! يك روز خسته خواهيد شد .
Your WordPress version is successfully hidden. اين هم پيامي هست كه نرم افزار به من داده.
4- db error رو هم در وردپرس خاموش ميكنه.
5- WP ID META tag removed form WordPress core
6- No user “admin” (چون من نام كاربريمو عوض كردم !)بسيار سادست اول يه كاربر در سطح ادمين بسازيد بعد خارج بشيد از سيستم با نام كاربر جديد وارد بشيد و بريد نام كاربر قبلي رو كه همون ادمين هست رو پاك كنيد سيستم از تون ميپرسه آيا تمايل داريد كه تمووم پستهاي نويسنده قبلي تووي اين كاربر جديد كپي بشه ؟ شما هم بله رو علامت ميزنيد.
7- The file .htaccess does not exist in wp-admin/. خوب اين قسمت ئر سرورهاي ويندوزي كاربردي نداره ! چون دسترسي نميده < فقط روي سرورهاي لينوكسي جواب خواهد داد.
ساختنش هم اصلا كاري نداره همين عبارت رو اگر توي تالارهاي گفتگو يه سرچ بزنيد همه چيز دستتون مياد.
8-سازندش گفته فعال نگهش داريد چون داره امكانات بسيار بيشتري رو اضافه ميكنه.
- one-click change file/folder permissions-تغيير سطوح دسترسي با يك كليك
- test for XSS vulnerabilities- چك كردن وبلاگتون براي حملات اكس اس اس
- lock out/log incorrect login attempts- قفل كردن سيستم در صورت درخواستهاي وروود نامعتبر
- user enumeration protection
- WordPress admin protection/security
و …
8-در منوي Scanner سطح دسترسي پوشه هاتون چك ميشه و به شما خاطر نشان ميكنه كه هر پوشه بايد چه سطح دسترسي داشته باشه.
9-password tool هم واستون پسورد امن ميسازه !!
10-database : در اين قسمت هم ميگه براي اينكه در دام حملات 0day نيوفتيد كل پيشوندها رو تغيير بديد و در اينجا خودش اينكار رو به صورت اتوماتيك انجام خواهد داد(توصيه نميكنم !)
توصيه پيشنهاد و انتقادات شما را بر چشم خواهم نهاد.
دريافت مقاله به فرمت doc
مقاله ی مفیدی بود. ممنون
ممنون افزونه خوبی بود
It sounds like that when you are looking
به درد بخوره ولی من حوصله انجام این همه کارو ندارم
وردپرس همینجوری هم امنه
كار خاصي نداره كه
افزونه خيلي خوبي هستش و امنيت خاطر هم برات داره 🙂
سپاس حسام جان
ولي يك پرسش :
من هيچوقت نتونستم پيشوند “wp” رو توي ديتا بيسم تغيير بدم.
تو موفق شدي اينكار رو كني؟
دست شما درد نکنه، مفید بود. الان ۲۰۰ و خوردهای روز میگذره و هنوز نسخهی جدید ندادن. امیدوارم اگر میخواد نسخهی جدید بده یه کم سریعتر این کار رو بکنه.
خیلی ممنون از مقالتون میخواستم ببینم کسی هاست که جرات کرده باشه پیشوندهای دیتابیس رو با این پلاگین تغییر داده باشه؟
اگه آره نتیجه چی بوده؟
با سپاس مقاله ای ارزشمندی بود.
در همین راستا:
http://tinyurl.com/37zhyo6
ممنون مفيد بود
خواهش ميكنم
گرچه كمي قديمي شده
با تشكر از نظر شما
salam dost aziz
man komak ziadi mikham dar morede WP ke jaei peyda nakardam bayad chikar konam
yani tarjomehash vasam na malmose lotf mikoni ye shomare az khodet bezari ya be id man to yahoo pm bedi
id : “pesar_khobe”
mamnoon
سلام دوست من
بسياري از كاربران قديمي وردپرس آموزشهاي بسيار خوبي در اين زينه براي افراد تازه كار قرار دادند .
شما با يك جستجوي كوچك در گوگل به نتايج بسيار خوبي ميرسيد
مثلا :
با عضويت در اين سايت كتاب خوبي در اين زمينه هست ميتونيد دانلود كنيد.
اينجا را كليك كنيد
سلام
اول از همه تشکر میکنم از مقاله خوبتون
یک افزونه نیست از اپلود جلوگیری کنه
ممنون دوست عزیز