جشنواره بزرگ تخفیف آغاز ماه مبارک رمضان آغاز شد مشاهده تخفیفات

×
به وب سایت آکادمی آموزش برنامه نویسی سراج وب خوش آمدید

برای نبرد برنامه نویس شدن آماده شو و لذت ببر!


تمامی آموزش های تولید شده در این آکادمی بصورت اختصاصی بوده است و توسط مدرسین آکادمی ضبط شده است یادگیری را خودتان شروع کنید



دوره های آموزشی مقالات آموزشی



جهت استفاده از دوره آموزشی لطفا مطالب را به دقت مطالعه کنید

۱۰ اشتباهی که باعث هک وردپرس می شود

۱۰ اشتباهی که باعث هک وردپرس شما می شود

 
هک وردپرس
سیستم مدیریت محتوای وردپرس یکی از محبوب ترین CMS هایی است که جایگاه خوبی بین طراحان و برنامه نویسان سایت بدست آورده است بطوری که از هر ۱۰ سایتی که منتشر میشود حداقل یکی از آنها وردپرسی است ؛ وردپرس یک سیستم متن باز و یا Open Source است یعنی برنامه نویسان میتوانند بصورت مستقیم کد های آن را ویرایش و طبق سلیقه شان دستکاریش کنند اما همین محبوبیت و متن باز بودن مشکلات امنیتی را برای کاربران این سیستم بوجود آورده است که در این مقاله به ۱۰ راه نفوذ در وردپرس و روش مقابله با آن را عرض میکنیم

۱-الف : استفاده از نام دیتابیس نامناسب :

اولین مشکل امنیتی که وردپرس شما را قبل از راه اندازی تهدید می کند استفاده از نام دیتابیس نامناسب و نام کاربری دیتابیس نامناسب است ، خیلی از کاربران در زمان نصب اولیه وردپرس یک دیتابیس با نام های ساده مانند : wp, wordpress,website,site,word_press و … می سازند همین امر به هکری که در حال دستیابی به اطلاعات دیتابیس شما است کمک کند و در ابتدا نام دیتابیس شما را تشخیص دهد ، برای رفع این مشکل حتما از یک نام غیرقابل تشخیص برای دیتابیستان انتخاب کنید که حدس زدن آن غیرممکن باشد

۱-ب : استفاده از نام کاربری نامناسب :

بعد از اینکه یک نام مناسب و غیرقابل تشخیص برای دیتابیس خودتان انتخاب کردید ، حال وقت آن است که نام کاربری مناسبی برای دیتابیستان در نظر بگیرید اشتباه رایجی که بیشتر کاربران وردپرس در زمان نصب انجام می دهند از نام های کاربری ساده و قابل تشخیصی مانند : hostusername_wp , hostusername_wordpress , hostusername_site و … است ؛ برای اینکه این مشکل را حل کنید حتما از یک نام کاربری مناسب و غیرقابل تشخیص استفاده کنید

۱-ج : استفاده از رمزعبور نامناسب :

استفاده از رمز عبور قوی و غیرقابل تشخیص توسط هکر عملیات هک کردن را به مدت های طولانی میسپارد و هکر از این مرحله اگر نتواند رمز عبور را تشخیص دهد می گذرد و به راه های دیگری جهت نفوذ می پردازد ، همانطور که در قبل برای موارد ۱-الف و ۱-ب گفته شد برای رمز عبور هم باید یک رمز مناسب و غیرقابل تشخیص برای دیتابیس در نظر بگیریم و یا از همان پیشنهادی که هاست به ما می دهد استفاده کنیم

۲- استفاده از پیشوند جداول نامناسب :

دومین مشکلی که در زمان نصب و راه اندازی وردپرس ما را تهدید می کند استفاده از پیشوند جداول قابل حدس توسط هکر است ، اگر به روند نصب وردپرس در ابتدای کار دقت کنید در قسمتی به نام : پیشوند جداول بصورت خودکار وردپرس wp در نظر گرفته است و این امر به هکری که با وردپرس آشنایی دارد کمک میکند که جداول شما را بدون روش یک هک کند و اطلاعات کاربران شما را بدست آورد ، برای این منظور حتما پیشوند جداول را به یک نام غیرقابل حدس تغییر دهید که روند نفوذ به وب سایت شما دیرتر صورت گیرد

۳- استفاده از نام کاربری نامناسب برای مدیر سایت :

سومین مشکلی که وب سایت وردپرسی شما را تهدید میکند استفاده از نام های کاربری است که بیشتر افراد با آن ها آشنایی دارند ، به عنوان مثال نام های کاربری : admin, administrator, wp, wordpress و حتی نام خودتان است که در ادامه این مقاله به آن می پردازیم ؛ استفاده از این نام های کاربری قابل تشخیص در زمان تست یوزر های سایت بصورت تصادفی در زمان نفوذ به هکر کمک میکند که یوزر ادمین را خیلی سریع شناسایی کند برای رفع این مشکل حتما از نام های کاربری مناسب و غیرقابل تشخیص استفاده کنید

۴- آپدیت نکردن وردپرس و افزونه ها :

هر چند وقت یکبار در پنل ادمین سایت وردپرسی یک بخشی به نام به روزرسانی ها یک عدد در کنارش پدیدار میشود ، اغلب افراد این نکته را بیهوده در نظر می گیرند و کاری به آن ندارند همانطور که برای ویندوز هایی که ما در دست داریم هر چند وقت یکبار یک آپدیت منتشر می شود و ما باید بروزرسانی رو انجام بدیم اما تا به الان به این فکر کردید چرا ویندوز از سمت مایکروسافت دائم آپدیت می شود ، ۵۰ درصد همگی شما از این موضوع مطلع هستید اما ۵۰ درصد دیگر خیر دلیل این بروزرسانی از سمت مایکروسافت رفع باگ (مشکلات) های امنیتی است ؛ سیستم وردپرس هم دقیقا همین کار را برای انجام می دهد یعنی هر چند وقت یکبار یک آپدیت برای رفع شدن مشکلات امنیتیش ارائه می دهد که باید حتما آن نسخه بروزرسانی شود و برای افزونه ها هم دقیقاً همین روند باید پیش گرفته شود

۵- استفاده نکردن از تصویر امنیتی :

در حالت کلی فرم های ورود و نام نویسی کاربران در وردپرس بدون تصویر امنیتی هستند ، استفاده از تصاویر امنیتی در تمامی فرم هایی که طراحی میکنیم به ما کمک می کند که از اسمپر ها جلوگیری و حملات شدید به فرم های مد نظر صورت نگیرد ؛ افزونه های زیادی در این زمینه به کمک کاربران وردپرسی می آیند که بهترین آن Google reCaptcha است که یکی از قوی ترین سیستم تصویر امنیتی برای جلوگیری از حملات ربات ها و آی پی های مخرب را می گیرد

ابتدا افزونه فوق را دانلود کرده و سپس بر روی وب سایت وردپرسی تان نصب کنید سپس به این لینک بروید و در حساب Gmail خود لاگین کرده و برای سایت خود یک کلید امنیتی بسازید و در افزونه فوق قرار دهید و بصورت خودکار این افزونه بر روی فرم های ورود و ثبت نام فعال است و کاربر باید حتما ریکپچای گوگل را قبول کند تا بتواند لاگین و یا ثبت نام کند

۶- نگرفتن پک آپ از وب سایت وردپرسی :

خیلی از اشتباهات رایجی که کاربران وب سایت های وردپرسی انجام می دهند بک آپ نگرفتن از وب سایت شان است ، عملیات بک آپ گیری در زمانی که سایت ما مورد حملات هکر ها قرار گرفته است و توسط آن ها وب سایت به اصطلاح متلاشی شده است به کمک ما بیاید ، هر چند هکر سایت ما را نابود و از بین برده است اما ما هنوز یک بک آپ جدید از وب سایت مان داریم و میتوانیم برای بار دیگر آن را بازیابی کنیم ؛ بهترین افزونه ایی که در این مقاله در زمینه بک آپ گیری در وردپرس خدمتتان ارائه میکنیم افزونه updraftplus است این افزونه قابلیت ساخت بک آپ از کل وب سایت و یا چندین بخش آن را به همراه ذخیره سازی آن در مکان های دلخواه شما و امکان بازیابی آن ها را به شما می دهد

۷-چک نکردن امنیت سایت :

بررسی کردن امنیت سایت های وردپرسی با استفاده از افزونه های متعددی صورت می گیرد و حتما باید هر روز توسط آن ها اسکن شود تا به حفره امنیتی در وب سایتتان نخورید ، در این بخش دو افزونه کاربردی و مهم در زمینه امنیت وب سایت های  وردپرسی خدمتتان عرض میکنیم که این افزونه مانند افزونه های معرفی شده قبلی نصبشان الزامی است

۷-الف : افزونه Wordfence :

با استفاده از این افزونه می توانید حملات اخیر به وب سایتتان را چک نمائید همچنین قابلیت دیوار آتشین یا همان Firewall را برای کل وب سایت فعال می کند و از حملات جلو گیری میکند

۷-ب : افزونه Anti Malware :

با استفاده از این افزونه می توانید کلیه دایرکتوری وب سایت خودتون رو اسکن و فایل های مخرب رو از داخلش حذف نمائید و همچنین دیوار آتشین را برای دایرکتوری فعال کنید

۸- بررسی نکردن دایرکتوری وب سایت :

یکی از معدود مشکلاتی که اکثرا کاربران و برنامه نویسان و همچنین وردپرس کاران با آن مواجه هستند باز بودن دایرکتوری ها و دسترسی به فایل ها است ، برای اینکه بتوانید دایرکتوری ها را در وب سایتتان ببندید چندین افزونه کاربردی وجود دارد اما برای آنان که میخواهند کدنویسی یاد بگیرند و با سرویس Apache آشنا شوند قطعه کد زیر را در فایلی مخفی در پوشه public_html هاست به نام htaccess قرار دهند با اینکار تنها دسترسی به پوشه ها بسته می شود و کاربر دیگر نمی تواند به عنوان مثال به آدرس : http://server/wp-content/uploads دسترسی پیدا کند و قطعه کد زیر برای تمامی وب سایت ها طراحی شده است و فقط مخصوص سیستم وردپرس نیست

# Enable / Disable directory Listing/Browsing
Options -Indexes
IndexOptions -FancyIndexing
ServerSignature Off

۹- تغییر ندادن آدرس ورود به پنل ادمین وردپرس :

یکی از معدود کار هایی که امنیت وب سایت های وردپرسی که بخش نام نویسی کاربران را ندارند و هیچ گونه ثبت نامی در سایت صورت نمی گیرد تغییر ندادن آدرس ورود به پنل مدیریت است ، یکی از افزونه های بسیار خوبی که اینکار را برای ما بصورت کاملا خوب و بدون نقص انجام می دهد افزونه Lockdown WP Admin است ، با استفاده از این افزونه قادر خواهید بود که آدرس : http://server/wp-admin را بطور دلخواه تغییر دهید

۱۰- اهمیت ندادن به خطای وارد کردن اشتباه رمز عبور کاربران :

یکی از مشکلات اساسی سیستم وردپرس این است که اگر برای یک یوزر که در سایت وجود دارد پسورد اشتباهی وارد شود با یک خطا با عنوان : رمز عبوری که برای کاربر [یوزر کاربر] وارد کردید اشتباه است و این امر نصف راه را برای هکر مورد نظر حل می کند راه های متعددی برای رفع این مشکل وجود دارد که بهترین آن اضافه کردن قطعه کد زیر به فایل Functions.php پوسته تان است

function wlr_no_wordpress_errors()
{
    return 'نام کاربری و یا رمز عبور شما اشتباه است';
}
add_filter( 'login_errors', 'wlr_no_wordpress_errors' );
 راهنمای خرید:
  لینک دانلود فایل بلافاصله بعد از پرداخت وجه به نمایش در خواهد آمد.
  همچنین لینک دانلود به ایمیل شما ارسال خواهد شد به همین دلیل ایمیل خود را به دقت وارد نمایید.
  ممکن است ایمیل ارسالی به پوشه اسپم یا Bulk ایمیل شما ارسال شده باشد.
  در صورتی که به هر دلیلی موفق به دانلود فایل مورد نظر نشدید با ما تماس بگیرید.

طراح و برنامه نویس انواع پلتفرم ها نظیر : وب ، ویندوز ، لینوکس ، وب ، اندروید و iOS - طراح و برنامه نویس 45 عدد وب سایت خبری ، فروشگاهی ، آموزشی ، فروش فایل ، دانلود ، پرتال سازمانی و ... - 8 سال است که در 120 مرکز آموزشی کشور در حال تدریس آموزش های برنامه نویسی هستم و خیلی مفتخر هستم که در سومین سالگرد تأسیس آکادمی آموزش آنلاین و مجازی سراج وب درخدمت شما کاربران عزیز هستم

جهت دانلود آموزش های رایگان به کانال تلگرام ما بپیوندید

ورود به کانال تلگرام آکادمی سراج وب

برترین دوره های آموزشی

ربات تلگرام
100000 تومان ادامه مطلب
همه کاربران
آموزش پروژه محور طراحی ربات تلگرام با PHP

ربات تلگرام چیست ؟ ربات تلگرام ، یک شخصیت نه‌چندان حقیقی در تلگرام است که به جای آدمیزاد، یک نرم‌افزار پشت آن نشسته و بر مبنای پیام‌هایی که به او ارسال می‌کنید، پاسخ‌هایی می‌دهد. ربات‌های جدید تلگرام، یک پسوند bot پشت اسم اکانتشان دارند. ربات‌های تلگرام، ربات‌هایی هستند که برخی خدمات را به صورت خودکار برای […]

اطلاعات بیشتر
پایتون
45000 تومان ادامه مطلب
همه کاربران
دوره آموزش صفر تا صد پایتون

پایتون چیست ؟ پایتون (Python) یک زبان برنامه‌نویسی همه منظوره، سطح بالا، شیءگرا و مفسر است که توسط خودو فان روسوم (Guido van Rossum) در سال ۱۹۹۱ در کشور هلند طراحی شد فلسفهٔ ایجاد آن تأکید بر دو هدف اصلی خوانایی بالای برنامه‌های نوشته شده و کوتاهی و بازدهی نسبی بالای آن است. کلمات کلیدی و اصلی این زبان بصورت حداقلی تهیه شده‌اند و در مقابل کتابخانه‌هایی که در اختیار […]

اطلاعات بیشتر
php mvc
130000 تومان ادامه مطلب
همه کاربران
آموزش طراحی فروشگاه اینترنتی با PHP MVC

سلام و عرض ادب  و احترام خدمت تمامی دوستان و کاربران عزیز آکادمی سراج وب ، اینبار با یک دوره آموزشی کامل و جامع و همچنین پروژه محور در زمینه PHP MVC در خدمت شما عزیزان هستیم PHP چیست ؟ زبان برنامه نویسی PHP یک زبان اسکریپتی سمت سرور (Server Side) و متن باز (Open […]

اطلاعات بیشتر

ثبت نظر

دیدگاه های این دوره آموزشی



    درباره آکادمی سراج وب

    3 سال است که شروع به تولید فیلم های آموزشی اختصاصی کردیم و توانستیم در این مدت نسبتا کوتاه کاربران زیادی را مشتاق برنامه نویسی و طراحی وب کنیم پس اگر شما هم میخواهید جزئی از این خانواده باشید یادگیری را خودتان شروع کنید...