امنیت وردپرس در چند قدم – قسمت سوم

ترجمه و تالیف : ارسطو عباسی
تاریخ انتشار : 13 خرداد 98
خواندن در 2 دقیقه
دسته بندی ها : وردپرس

سیستم مدیریت محتوا وردپرس در کل یک سیستم امن به حساب می آید و همواره تیم پشتیبانی این سیستم مشغول برطرف کردن مشکلات امنیتی و … وردپرس هستند اما گاهی اوقات باید در نظر گرفت که همیشه نمی توان مشکلات امنیتی را به نرم افزار خاص ارجاع دهیم بلکه بعضی اوقات استفاده اشتباه ما از نرم افزار، امنیت آن را به خطر می اندازد در این مجموعه مقالات سعی شده که چندین راه را برای داشتن یک وبسایت وردپرسی امن به شما آشنا سازیم.

۱۱. پیغام های وردپرس  در قسمت ورود را پاک کنید.

در زمانی که می خواهید وارد پنل مدیریتی وبسایت شوید، از شما درخواست ورود نام کاربری و رمز عبور را دارد. با اشتباه وارد کردن هر یک از این آیتم ها به شما یک پیغام را نمایش می دهد. به عنوان مثال زمانی که نام کاربری را درست وارد کرده اید اما رمز اشتباه است پیغام می فرستد که :

رمز وارد شده برای نام کاربری x نادرست است. 

این پیغام یک نکته مهم را در خود دارد و آن اینست که نام کاربری x درست است فقط رمز را اشتباه وارد کرده اید، پس شما بعنوان یک هکر از یک فیلد مطمئن می شوید. پس سعی کنید که این پیغام ها را پاک کنید. برای اینکار می توانید کدهای زیر را در قسمت function.php قالب خود وارد کنید. «کد را حتما قبل از بسته شدن کد php اصلی کپی کنید، یعنی قبل از علامت <? در انتهای فایل»

function failed_login () {
 return 'login information was wrong!’
}
add_filter ( 'login_errors', 'failed_login' );

۱۲. آدرس ورود به پنل وردپرسی را تغییر دهید.

به صورت پیش فرض برای وارد شدن به قسمت ورود وردپرس شما باید به آدرس wp-admin یا wp-login.php مراجعه کنید. دانستن قسمت مورد نظر برای وارد شدن به قسمت ورود وردپرس خود یکی از مسائل مهم امنیتی است. برای اینکه این آدرس تغییر بکند پیشنهاد می کنم از افزونه ای به اسم Protect WP-Admin استفاده کنید. کار با این افزونه بسیار ساده است و همچنین با این افزونه می توانید محیط ورود وردپرس را شخصی سازی کنید «لوگوی وردپرس را عوض کنید یا رنگ پیش زمینه را تغییر دهید.»

‍۱۳. فایل wp-config.php را دور از دسترس قرار دهید.

فایل  wp-config.php برای همه کاربران وردپرس فایل شناخته شده ای نیست، اما بگذارید در یک جمله بگوییم که این فایل یکی از حیاتی ترین فایلهای وردپرس شما است. این فایل تمام اطلاعات راجب به نصب وردپرس و اتصال به بانک اطلاعاتی را در خود نگه می دارد. این فایل به صورت پیش فرض در مسیر نصبی وردپرس قرار دارد و به راحتی می توان با نوشتن آدرس 

http://yoursite.com/wp-config.php

به آن دسترسی داشت. البته در حالت عادی این با نوشتن این آدرس یک صفحه سفید به شما نمایش داده خواهد شد که این حالت امنیتی را وردپرس فراهم آورده، اما بعضی از اوقات شما شاید از یک هاست نامعتبر استفاده کنید اینجاست که با مشکل امنیتی برخواهید خورد.

برای جلوگیری از اتفاقات بد می توانید دو کار انجام دهید.یا اینکه فایل wp-config.php را به دایرکتوری ببرید یا اینکه از طریق فایل .htaccess از آن محافظت کنید (پیشنهاد بنده). برای اینکار ابتدا یک بکاپ از فایل htaccess بگیرید سپس آن را باز نمایید و کدهای زیر را داخلش وارد کنید.

<files wp-config.php>
   
order allow,
   deny
deny from all

</files>

۱۴. از فایل  htaccess محافظت کنید.

همانطور که در مرحله قبلی برای محافظت از فایل wp-config.php از این فایل استفاده کردیم، الان باید بدانیم که چگونه می شود از دسترسی همگان به این فایل نیز جلوگیری کنیم. برای اینکار کافیست که دستور زیر را به فایل اضافه کنید.

<Files .htaccess>
order allow,deny
deny from all
</Files>

۱۵. از نمایش نام کاربری نویسنده در لینک ها جلوگیری کنید.

یکی دیگر از راهها برای شناسایی نام کاربران رفتن به قسمت نوشته های مربوط به هر کاربر است، برای اینکار وردپرس برای هر یک از اعضا یک آدرس در نظر می گیرد که این آدرس شامل نام کاربری این کاربر نیز می شود حال دو راه پیشه رو دارید یا اینکه اصلا به کل این امکان را غیر فعال کنید. که به نظر راه خیلی منطقی نیست یا اینکه آدرس هرکدام از نویسندگان را تغییر دهید. برای تغییر این آدرس ها کافیست که از افزونه Edit Author Slug استفاده کنید.

گردآوری و تالیف ارسطو عباسی
آفلاین
user-avatar

من ارسطو‌ام :) کافی نیست؟! :)

دیدگاه‌ها و پرسش‌ها

برای ارسال نظر لازم است ابتدا وارد سایت شوید
در حال دریافت نظرات از سرور، لطفا منتظر بمانید