امنیت وردپرس

سوال

سلام، از اساتید یا دوستانی که با امنیت وردپرس آشنایی داره راهنمایی میخوام :

در سایتی محصولی با عنوان “چک لیست امنیتی وردپرس” قرار داده شده بود، از آنجا که برای جلوگیری از هک سایت وردپرسی از آموزش های تحت وب و یا افزونه های رایج استفاده کردم مجدد سایت بنده هک شد! لذا از بابت اینکه بدونم مهمترین موارد برای جلوگیری از هک سایت چیست که باید عملا انجام بشه از شما راهنمایی میخواهم.

پیشاپیش ممنون

حل شد 1
, ۱۳۹۷/۶/۷ ۹:۲۲:۵۱ 3 پاسخ کاربر تازه 0

پاسخ ها ( 3 )

  1. SOLTANE GHALBHA
    2
    ۱۳۹۷/۶/۷ ۱۴:۵۶:۱۵
    پاسخ

    سلام

    هک یک سایت به عوامل مختلفی بستگی داره، از جمله وردپرس که تا حد بسیار زیادی باگ های امنیتیش زود به زود برطرف میشه.

    عرض کردید که مجدد سایتتون هک شده، میتونم بپرسم برای بار چندم؟

    و همچینن آیا از افزونه و قالب های نال شده(غیر رایگان که وب سایت ها به صورت رایگان قرار میدن) استفاده میکنید؟

    رمز پیشخوان وردپرس، پیچیده هست؟(از کاراکترها و اعداد و حروف کوچک بزرگ و استفاده کردید)

    و لیست کارهایی که برای امنیت وب سایتتون انجام دادید رو ذکر کنید

    و از همه مهمتر دوست عزیز، بعد از اینکه سایتتون برای بار اول هک شد، چه اقدامی انجام دادید؟

    • Arya
      1
      ۱۳۹۷/۶/۱۰ ۳:۴۷:۳۱
      پاسخ

      درود بر شما

      با توجه به تجربه اول در هک و ویروسی شدن سایت ، از هیچ افزونه ایی خارج از منبع اصلی وردپرس استفاده نمی کنم، نال شده ، لایسنس دار هایی که به اسم ارجینال هم فروخته می شود نیز استفاده نکردم.

      شروع کردم به استفاده از افزونه های امنیتی وردپرس مانند : All In One WP Security یا افزونه wordfence که با وجود این پلاگین ها لاگ هایی که وارد می شدند کاملا بر عمدی بودن این تخریب ها دلالت داشت. سایت هم یک سایت ساده معرفی شرکت با چند مطلب متفرقه است.

      در همین قالب پاسخ به کاربر گرامی Jafarik نیز عرض کنم که :

       مطالب خاص ، خیر !
      دسترسی به جز خودم ، خیر!
      خصومت ، به خاطر نوع کار و تعداد رقبا احتمال زیاد!
      کافی و نت و امثالهم، خیر!

      تا حدودی به کد و دستورات و همچنین وردپرس تسلط دارم اما در هر شاخه ایی یک عزیزی می بینید بنا به شرایط پشت سر گذاشته تجربه ی بالاتری را دارد.

      لذا طرح سئوال من در این سایت خوب از این باب بود که ترفندهایی تخصصی تر از اینکه در آموزش هایی موجود در وب مبنی بر یکسری کد و دستکاری در روت وب سایت و htaccess وجود دارد بازهم فراتر و موثر تر است یا خیر ؟

      ممنون از شما

  2. Jafarik
    2
    ۱۳۹۷/۶/۷ ۱۶:۳۵:۲۴
    پاسخ

    سلام

    من در حدی بلد نیستم که شما رو راهنمایی کنم فقط سوالتون برام خیلی جالب بود

    خودم تازه وردپرس رو شروع کردم و میدونم که مسائل امنیتی خیلی مهمن

    علاوه بر سوالایی که SOLTANE GHALBHA ی عزیز پرسیدن منم یه چنتا سوال دارم اگر بهشون پاسخ بدین ممنون میشم

    ۱- سایتتون خدمات یا مطالب خاصی رو ارائه میده؟ منظورم اینه که اطلاعات با ارزشی داره که هکر(ها) برای بار دوم هم هکش میکنن؟ یا فکر میکنین کسی خصومت شخصی باهاتون داره که میاد هک میکنه؟

    ۲- علاوه بر شما کس دیگه ای چه الان و چه قبلن ب هاست یا پیشخوان تون دسترسی داشته؟ یا از رمزاشون با خبر بوده؟ ویا اینکه از کامپیوتر های مشترک(کافی نت و…) استفاده میکنین؟

    و در آخر من هنوزم یکم گیج شدم

    درسته امنیت ۱۰۰% نداریم ولی با توجه ب اون تعریف و توصیف هایی که من از امنیت وردپرس شنیدم خیلی در تعجبم که چطور سایتتون رو با اونهمه افزونه ی امنیتی دوباره هک کردن

    ب احتمال زیاد یه حفره ی امنیتی وجود داره یا اطلاعات با ارزشی دارین که هکر(ها) همچین کار سختی رو انجام میدن

    امیدوارم تو همین تاپیک ب جوابتون برسین و دیگه همچین مشکلی براتون پیش نیاد🌸🌸🌸

  3. SOLTANE GHALBHA
    2
    ۱۳۹۷/۶/۱۰ ۱۵:۱۹:۰۷
    پاسخ

    سلام

    منظور من از این سوال:

    و از همه مهمتر دوست عزیز، بعد از اینکه سایتتون برای بار اول هک شد، چه اقدامی انجام دادید؟

    این بود که وقتی هک شد، سایت رو از اول ساختید(یعنی از دیتابیس و پوشه های مربوطه کپی و وردپرس رو از نو نصب کردید؟) ؟

    این جمله ی شما شک برانگیز هست که فرمودید سایت مجدد هک شد! یعنی قبلا اتفاق افتاده یک بار

    و جواب سوال رو زیر رو ندادید:

    رمز پیشخوان وردپرس، پیچیده هست؟(از کاراکترها و اعداد و حروف کوچک بزرگ و استفاده کردید)

    امنیت وردپرس به صورت قابل قبولی خوب هست، و هک وردپرس به سادگی نیست(فرد متخصص میخواد).

    موارد امنیتی بسیاری هست که باید رعایت بشه:

    • باید محدودیت حجم آپلود و پسوند فایل قرار بدید.
    • می بایست پیشوند جدول اطلاعاتی وردپرس رو عوض کنید.
    • میتونید نام کاربری پیشفرض رو از admin به چیز دیگه ای تغییر بدید.
    • وردپرس و افزونه هاش رو باید همیشه آپدیت نگه دارید.
    • رمز ورود به پیشخوان باید به شدت پیچیده باشه(طوری که خودتون نتونید حفظ کنید!)
    • و همونطور که گفتید از httaccess هم میشه دسترسی به wp-config یا دیگر پوشه ها رو بست.
    • اگر افزونه یا قالبی در سایت وجود داره که به کاربران اجازه آپلود فایل رو میده، باید بررسی بشه که افزونه باگ امنیتی نداشته باشه که اگه داشته باشه، بسیار خطرناکه باید رفع و جایگزین بشه.
    • و بسیاری عوامل دیگه … .

    شما وقتی سایتتون هک میشه باید دید از چه طریق هک میشه، دو روش معمول هست:

    • آپلود شل(در بالا گفتم که اگه افزونه یا قالب باگ داشته باید بسیار راحته، و هکر با آپلود یک فایل php به کل محتویات هاست دسترسی پیدا میکنه)
    • حملات بروت فورس (Brute Force) که اگه رمز پیشخوان ضعیف و معمولی باشه، هکر با استفاده از ابزارهای موجود میتونه رمز رو به دست بیاره و با ورود به پیشخوان عملیات تخریبی خودش رو انجام بده)

    و یک فاکتور مهم دیگه هم از چه سرویس دهنده ای(سایتی) هاست خریدید یا در واقع میزبانی سایت شما رو بر عهده داره و وقتی که برای بار اول هک شد آیا اطلاع دادید و کمکتون کردند، اگر کمک کردند چرا دوباره هک شده؟! و اینکه سوریس دهندتون رو عوض کردید؟

    بهترین پاسخ
    • Arya
      1
      ۱۳۹۷/۶/۱۱ ۴:۰۸:۵۰
      پاسخ
      این پاسخ ویرایش شد.

      سلام

      منظور من از این سوال:

      و از همه مهمتر دوست عزیز، بعد از اینکه سایتتون برای بار اول هک شد، چه اقدامی انجام دادید؟

      این بود که وقتی هک شد، سایت رو از اول ساختید(یعنی از دیتابیس و پوشه های مربوطه کپی و وردپرس رو از نو نصب کردید؟) ؟

      از اول نساختم ،یعنی پوشه آپلود و کانفیگ رو نگه داشتم و دستی وردپرس رو نصب کردم، البته هم از طریق هاست و هم فایل بک آپ را دانلود کرده و با آنتی ویروس های مختلف اسکن کرده و مشکل را در یک پلاگین پیدا کردم که از دیتابیس هم حذف کردمش.

      این جمله ی شما شک برانگیز هست که فرمودید سایت مجدد هک شد! یعنی قبلا اتفاق افتاده یک بار

      مجدد هک شد عبارت کلی بود اما وقتی یک سایت دان میشه و در ایندکس گوگل کل صفحاتش به زبان چینی دریافت میشه و یا نامفهومه قائدتا ذهنیت به هک میره ، به خصوص که با نصب افزونه‌ی All In  One WP Security رکورد ورودهای نا موفق را دریافت میکنی که مشخصا تلاش در این قضیه رو نشان میده. (ویروس های دریافتی ۹۹% تروجان بود)

      و جواب سوال رو زیر رو ندادید:

      رمز پیشخوان وردپرس، پیچیده هست؟(از کاراکترها و اعداد و حروف کوچک بزرگ و استفاده کردید)

      بله. آی دی ادمین و نام ادمین چه کاربری چه نمایشی نیز تغییر پیدا کرده بود. رمز از حروف کوچک بزرک کاراکتر و عدد می باشد.

      امنیت وردپرس به صورت قابل قبولی خوب هست، و هک وردپرس به سادگی نیست(فرد متخصص میخواد).

      قبول اما متاسفانه با توجه به برخی از مارکت ها در فروش افزونه ها و ارائه قالب ها به نام ارجینال که نال شده یا دستکاری شده هستن این مقوله سهواً پیش میاره!

      موارد امنیتی بسیاری هست که باید رعایت بشه:

      باید محدودیت حجم آپلود و پسوند فایل قرار بدید. داده شد

      می بایست پیشوند جدول اطلاعاتی وردپرس رو عوض کنید. X
      میتونید نام کاربری پیشفرض رو از admin به چیز دیگه ای تغییر بدید. داده شده
      وردپرس و افزونه هاش رو باید همیشه آپدیت نگه دارید. آپدیت می باشد
      رمز ورود به پیشخوان باید به شدت پیچیده باشه(طوری که خودتون نتونید حفظ کنید!) تقریبا هست
      و همونطور که گفتید از httaccess هم میشه دسترسی به wp-config یا دیگر پوشه ها رو بست.
      اگر افزونه یا قالبی در سایت وجود داره که به کاربران اجازه آپلود فایل رو میده، باید بررسی بشه که افزونه باگ امنیتی نداشته باشه که اگه داشته باشه، بسیار خطرناکه باید رفع و جایگزین بشه. راهی برای اسکن ای مورد هست؟
      و بسیاری عوامل دیگه … . ۱۰۰%

      شما وقتی سایتتون هک میشه باید دید از چه طریق هک میشه، دو روش معمول هست:

      آپلود شل(در بالا گفتم که اگه افزونه یا قالب باگ داشته باید بسیار راحته، و هکر با آپلود یک فایل php به کل محتویات هاست دسترسی پیدا میکنه)
      حملات بروت فورس (Brute Force) که اگه رمز پیشخوان ضعیف و معمولی باشه، هکر با استفاده از ابزارهای موجود میتونه رمز رو به دست بیاره و با ورود به پیشخوان عملیات تخریبی خودش رو انجام بده)
      موارد فوق به جز تغییر پیشوند دیتا بیس انجام شد.

      و یک فاکتور مهم دیگه هم از چه سرویس دهنده ای(سایتی) هاست خریدید یا در واقع میزبانی سایت شما رو بر عهده داره و وقتی که برای بار اول هک شد آیا اطلاع دادید و کمکتون کردند، اگر کمک کردند چرا دوباره هک شده؟! و اینکه سوریس دهندتون رو عوض کردید؟

      از پارس پک استفاده میکنم در حال حاضر، قبل از دان شدن از حملات روی سایت اطلاع دادن و یک لاگ و اخطار نیز دادن ، در این مورد نواقص و کوتاهی از خودم بوده.

      اکنون با توجه به همه صحبت ها سعی بر تکمیل امنیت وردپرس را تا حد امکان دارم، در انجمنی یکی از پیشکسوتان وردپرسی گفتن افزونه های امنیتی فشار مضاعفی را بر روی سرور میاورند اما با توجه به راهنمایی های شما افزوهه امنیتی خاصی را پیشنهاد دارید ؟

      در پایان از این همراهی و راهنمایی کمال تشکر را دارم. ممنون

      • SOLTANE GHALBHA
        0
        ۱۳۹۷/۶/۱۲ ۸:۰۰:۳۴
        پاسخ

        اون پلاگینی که میگید مشکل داشته اسمش رو ذکر کنید

        این رو باید قبول داشته باشید که وردپرس سنگین است! و در مرور زمان که سایت فعال باشه و اطلاعاتش روز به روز بیشتر میشه، فشار روی سرور میاره و هاست های اشتراکی دیگه واقعا جوابگو نیست(حداقل برای بپرسم که اینطوری هست)؛ حالا پس بر این باور هستیم که وردپرس به خودی خود بدون نصب هیچ افزونه ای سنگین است و فشار روی سرور میاره، حالا با نصب افزونه های مختلف فشار روی سرور بیشتر میشه، از جمله همین افزونه های امنیتی که رو کل سیستم تاثیر میزاره ….

        من دوست عزیز پیشنهاد میکنم کارهایی که با کدنویسی و تغییر جزئی چند خط میشه انجام داد رو به جاش افزونه نصب نکنید، در مبحث امنیت “هر چی افزونه کمتر = امنیت سایت بیشتر”

        من با افزونه ی امنیتی تابحال کار نکردم …

        اساتید و پیشکسوتان مقالات بسیار زیادی در رابطه با امنیت وردپرس در سایت هاشون منتشر کردند، بنده هم انشاءالله در طی چند مطلب آموزشی به مبحث امنیت و کارهایی که میشه انجام داد می پردازم(انشاءالله که راهگشا باشه).

        اگر هم برای اضافه کردن یک ویژگی به سایتتون مجبور به استفاده از وردپرس شدید، باید به دو نکته توجه داشته باشید: ۱- افزونه ای نصب کنید که به روز رسانی زیادی داشته باشه(برنامه نویس افزونه نسخه های مختلفی رو منتشر کرده باشه) ۲- اینکه تعداد نصب بالایی داشته باشه

        موفق باشید.

ارسال یک پاسخ