اینجا را پلاس 1 کنید!

 

یک ضرورت برای حفظ امنیت ناحیه Admin در وردپرس

دوشنبه, ژوئن 18, 2012 10:36
ارسال شده در قسمت : وردپرس

وردپرس باگ ها و مشکلات متعددی داشته که در ویرایش های مختلف برخی از آنها برطرف شده اند. بدیهی است که با افزایش امکانات آن برخی از باگ ها و حفره های امنیتی جدید پدیدار می شوند که امید است در ویرایش های آتی برطرف شوند. اما همواره یکی از راه های ایمن سازی وردپرس، حفاظت از ناحیه مدیریت وردپرس، یعنی فولدر WP-ADMIN بوده است. به دو روش میتوان این فولدر را از ورود و نفوذ کاربران ایمن ساخت که در اینجا تشریح می گردد.

روش اول : با استفاده از کنترل پنل هاست

مراحل بر مبنای کنترل پنل cPanel ارائه می شود ولی در تمامی کنترل پنل های دیگر هم مشابه است.

۰ – وارد کنترل پنل هاست (cPanel) شوید :)

۱- از بین icon ها، آیکن Password protect directories را انتخاب کنید.

۲- فولدر wp-admin را پیدا کنید و انتخاب کنید.

۳- در صفحه ای که باز می شود، یک یوزر و پسورد ایجاد کنید و ADD کنید.

۴- مقابل Password protect this directory تیک زده و SAVE را بزنید.

توجه ۱ : از شما خواسته شده که مقابل Name the protected directory را پر کنید. این اسمی است که به عنوان نام دایرکتوری به فردی که میخواهد نام کاربری و کلمه عبور را بزند نشان داده می شود. در اینجا اهمیت چندانی ندارد.

توجه ۲ : بعضی وقتا این روش جواب نمیدهد! علتش این است که با تنظیمات htaccess در فولدر اصلی سایت تان تقابل دارد.

روش دوم : استفاده از htaccess

این روش کمی پیچیده تر است اما همیشه عمل میکند! مشکل روش فوق این است که ممکن است گاهی با تنظیمات htaccess در فولدر اصلی سایت مطابقت نداشته باشد و پسوردگذاری به درستی عمل نکند. به هر حال این روش (روش دوم) همیشه جواب می دهد :)

۰ – وارد کنترل پنل هاست تان شوید.

۱ – وارد file manager شوید و وارد فولدر wp-admin شوید.

۲- یک فایل به نام htaccess. ایجاد کنید و آن را باز کنید تا داخلش را ویرایش کنید.

۳- متن زیر را در داخل فایل کپی نمایید:

AuthUserFile /home/USER-HOST/FOLDER/.htpasswd
AuthType Basic
AuthName restricted
Order Deny,Allow
Deny from all
Require valid-user
Satisfy any

عبارت USER-HOST نام کاربری شما در سرور است که قطعاً در file manager خود و با توجه به آدرس ها می توانید آن را پیدا کنید و در کد بالا جایگزین کنید. همچنین FOLDER نام یک فولدر اختیاری است که باید در ریشه هاست تان (بالاتر از public_html) بسازید. پس از انجام این مراحل، فایل را Save کنید.

۴- از file manager وارد همان فولدر اختیاری که ساخته اید شوید. ما نام آن فولدر را FOLDER گذاشته ایم. در داخل آن فولدر، یک فایل با نام htpasswd. بسازید و آن را باز کنید تا محتوایش را ویرایش کنید.

۵- حال میتوانید نام کاربری و کلمه عبور مورد نظرتان را در این فایل وارد کنید. به عنوان مثال اگر نام کاربری ۳۰na را انتخاب کرده اید با پسورد IamIranian باید چنین کدی را در داخل این فایل قرار دهید و ذخیره کنید :

۳۰na:IamIranian

حال فایل را ذخیره کنید! کار تمام است! فولدر wp-admin خود را چک کنید، برای عبور از شما نام کاربری و کلمه عبور میخواهد، نه؟ :)

توجه : به نام فایل ها دقت کنید. قبل از نام آنها یک نقطه (dot) آمده است. آن را فراموش نکنید!

مشترک سی نا.نت شوید تا نوشته های اینجا را در ایمیل تان بخوانید ...
به وسیله‌ی ایمیل:
 
ایمیل شما نزد ما محفوظ و اشتراک تان هر لحظه با یک کلیک قابل انصراف است.

یا به وسیله‌ی فـیـد (خوراک)

۳۳ ديدگاه براي “یک ضرورت برای حفظ امنیت ناحیه Admin در وردپرس”

  1. Amin گفته است :

    ژوئن 19th, 2012 در 1:43 ق.ظ

    بسیار ممنون از مطلب مفیدتان!

  2. آرش گفته است :

    ژوئن 19th, 2012 در 7:58 ق.ظ

    سلام
    مطمئنی این روش دومت فقط یه پوشه رو رمز میده ؟؟؟
    خب مرد حسابی زدی سایتمو ترکوندی
    همه جای سایتم حتی سی پنل رمز داره
    هیچ رمزی هم قبول نمیکنه
    خدا بگم چکارت نمیکنه

  3. سینا گفته است :

    ژوئن 19th, 2012 در 8:51 ق.ظ

    @آرش, دوست عزیز، این روش را بر روی بیش از ۱۰ وردپرس نصب شده انجام دادم و تا حالا به مشکلی بر نخوردیم. انجام تغییرات و تنظیمات در این سطح نیازمند دقت، حوصله و آشنایی با مقدمات کار با کنترل پنل ها است.
    ضمن اینکه در صورت صحت حرف شما، همه چیز با پاک کردن آن فایل ها حل می شود، شما آنچنان شاکی هستید که انگار کلاً سرور منفجر شده!!! فایل ها را پاک کنید، همه چیز برمیگردد به حالت قبل!

  4. سینا گفته است :

    ژوئن 19th, 2012 در 8:55 ق.ظ

    @آرش, سایت تون رو بررسی کردم! بدون شک در مراحل انجام اشتباه کردید و به نظر می رسه که پرمیشن ها رو هم دستکاری کردید. به هر حال از این لینک وارد کنترل پنل شوید : http://3tare.ir:2082/
    و همه چی رو به حالت قبل برگردونید.

  5. آرش گفته است :

    ژوئن 19th, 2012 در 9:12 ق.ظ

    @سینا,
    نه کاری هم به پرمیژن ها نداشتم
    متاسفانه سی پنل هم برام باز نمیشه دیگه
    مثلا یه چیزی تو مایه های بلاک کردن آی پی انگار
    خلاصه همه چی قاطی پاتیه
    نمیدونه وقتی سی پنل یه آی پی رو بلاک کنه چقد وقت طول میکشه تا دوباره بازش کنه ؟

  6. سینا گفته است :

    ژوئن 19th, 2012 در 9:13 ق.ظ

    @آرش, عرض کردم از طریق این لینک وارد بشید : http://3tare.ir:2082/

  7. آرش گفته است :

    ژوئن 19th, 2012 در 9:25 ق.ظ

    @سینا,
    منم همینو گفتم که باز نمیشه
    ظاهرا آی پی منو بلاک کرده
    چون هر سایتی که روی اون هاست هست برام باز نمیشه
    با ساکس هم امتحان کردم بازم نشد
    واویلا
    چه کنم حالا ؟؟؟

  8. سینا گفته است :

    ژوئن 19th, 2012 در 9:31 ق.ظ

    @آرش, اوه! خب به ادمین هاست تون ایمیل بزنید، بگید آی پی تون رو از لیست خارج کنه. اصولاً نباید IP تون بن میشد! کاری نکردید که آخه!!!

  9. آرش گفته است :

    ژوئن 19th, 2012 در 9:34 ق.ظ

    @سینا,
    چرا دیگه
    چندین بار رمزو زدم که قبول نکرد و ناگهان !!!!
    بــــــــــــــــــــــــــــوم

  10. سینا گفته است :

    ژوئن 19th, 2012 در 9:50 ق.ظ

    @آرش, اگر دوست دارید، میتونید یوزر نیم و پسورد تون رو بهم ایمیل کنید بررسی کنم، شاید بتونم مشکلتون رو حل کنم :)

    ایمیل هم نکردید، میتونید همین کامنت رو جواب بدید، من تاییدش نمیکنم.

  11. میلاد گفته است :

    ژوئن 19th, 2012 در 8:50 ق.ظ

    سلام. روش های مفید و جالبی هستند. البته روش اول رو من امتحان کردم ولی متاسفانه بعضی از افزونه ها برای اعمال تغییرات دسترسی به فولدر WP-ADMIN رو احتیاج دارند. اما روش دوم رو امتحان نکردم. امیدوارم کارساز باشد. بازم ممنون.

  12. علی گفته است :

    ژوئن 19th, 2012 در 10:03 ق.ظ

    سلام
    متاسفانه هیچ کدوم از روش ها برای من کار نمیکنه. خیلی وقت هست درگیرشم اما خب !

  13. سینا گفته است :

    ژوئن 19th, 2012 در 10:05 ق.ظ

    @علی, احتمالاً فایل htaccess شما در فولدر اصلی (بالاتر از wp-admin) داره مشکل ایجاد میکنه. اون رو بررسی کنید.

  14. علی گفته است :

    ژوئن 19th, 2012 در 10:07 ق.ظ

    @سینا, برسی کردم چیزی نداشت که باعث مشکل بشه

  15. دیتاسان گفته است :

    ژوئن 19th, 2012 در 12:16 ب.ظ

    با اجازه استفاده کردم

    سلام خسته نباشید
    از این که از سایت شما دیدین کردم خوشحالم!

  16. سینا گفته است :

    ژوئن 19th, 2012 در 9:18 ب.ظ

    @دیتاسان, دوست عزیز، شما مطلب را بدون لینک به اینجا گذاشته اید. من با این رویه موافق نیستم .

  17. دیتاسان گفته است :

    جولای 10th, 2012 در 6:11 ب.ظ

    @سینا,

    دوست گرامی من نام منبع را ذکر کرده بودم!!

  18. هومن گفته است :

    ژوئن 19th, 2012 در 2:25 ب.ظ

    بسیار عالی

  19. امین گفته است :

    ژوئن 19th, 2012 در 2:55 ب.ظ

    سلام
    بعدن برای آپدیت ها و نصب پوسته و پلاگین ها و غیره اذیت نمیکنه؟

  20. سینا گفته است :

    ژوئن 19th, 2012 در 9:19 ب.ظ

    @امین, کافیه بر روی مرورگرتون بعد از زدن یوزر و پسورد، Remember را بزنید.

  21. مهدی گفته است :

    ژوئن 19th, 2012 در 5:09 ب.ظ

    خیلی بسیار زیاد ممنون :D بسیار به درد میخوره !

  22. پارسا گفته است :

    ژوئن 19th, 2012 در 8:09 ب.ظ

    فکر میکنم با روشی Password Protect Directories در سی‌پنل فرقی نداشته باشه!

  23. مهدی گفته است :

    ژوئن 19th, 2012 در 9:47 ب.ظ

    سلام
    اقا از روش دوم استفاده کردم به طور کامل و دقیق ولی هیچ گونه رمز و پسوردی ازم نمیخواد
    کنترل پنلم هم دایرکت ادمین هست
    فایل هت اکسس بالای wp-admin هم چک کردم مشکلی نداشت
    ایا مشکل از کنترل پنلم هست؟

  24. سینا گفته است :

    ژوئن 19th, 2012 در 11:12 ب.ظ

    @مهدی, اسم فولدر پسورد رو به این تغییر بدید و مجدداً امتحان کنید : htpasswds.

  25. مهدی گفته است :

    ژوئن 20th, 2012 در 2:57 ب.ظ

    @سینا,
    سلام باز هم نشد
    من یه موردی را نفهمیدم
    اگه سایت ما عضویت و ورود داشته باشه پس اگه ما بدین وسیله برای wp-admin رمز بزاریم ( که ما در هر صورت نتونستیم :d) پس کاربرا چطوری به این بخش دسترسی پیدا کنند؟؟
    کاربر که از رمز و پسورد اطلاع نداره ؟؟

  26. سینا گفته است :

    ژوئن 24th, 2012 در 4:15 ب.ظ

    @مهدی, خب دلیل نمیشه که هر روشی برای هر جایی مفید باشه. در چنین حالتی شما باید دنبال روش دیگه ای باشید :)

  27. mohaa گفته است :

    ژوئن 20th, 2012 در 1:42 ق.ظ

    سلام
    روش دوم را انجام دادم و عالی کار میکنه. متشکر از آموزشتون

  28. یاسین گفته است :

    ژوئن 20th, 2012 در 3:21 ق.ظ

    سلام به اشتباه به جای اینکه wp-admin رو رمزنگاری کنم خود سایت رو رمز گذاشتم! یعنی برای نمایش سایت رمز میخواد! یوزر رو حذف کردم اما درست نمیشه چیکار کنم! بدجوری حیرون شدم!

  29. سینا گفته است :

    ژوئن 20th, 2012 در 8:52 ق.ظ

    @یاسین, فایل htaccess رو باید ویرایش کنید. دقت کنید!

  30. alisheytoon گفته است :

    ژوئن 20th, 2012 در 12:46 ب.ظ

    مفید بود . متشکرم .

  31. حسین گفته است :

    ژوئن 20th, 2012 در 12:50 ب.ظ

    سلام روش جالبی هست . من در دیزاینا در قسمت آموزش های امنیتی روش های کاملتری را به تفصیل توضیح داده ام.  موفق باشید

  32. مهدی گفته است :

    ژوئن 24th, 2012 در 9:12 ب.ظ

    سلام دوست عزیز ممنون از مطلب !
    من وقتی htaccess.میسازم توی فایل منیجر نمیتونم اونو پیداش کنم ؟!! انگار هیدن میشه ؟
    داداش کمک کن نیاز دارم تهدید به هک شدم

  33. سینا گفته است :

    ژوئن 24th, 2012 در 11:00 ب.ظ

    @مهدی, به خاطر اینکه این فایل عموماً مخفی (hidden) هست. برای رفع مشکل از طریق FTP وصل بشید و فایل رو ویرایش کنید. ضمن اینکه معمولاً موقع باز کردن فایل منیجر ازتون میپرسه که میخواهید فایل های hidden رو ببینید یا نه، که میشه تیک زد و اون فایل ها رو دید! موفق باشید

- لطفاً فارسی بنویسید. نظراتی که پینگلیش باشند، تأیید نمی شوند.

- اگر نمی توانید فارسی تایپ کنید، کافیست در بالای کادر متن، گزینه تبدیل خودکار را فعال کنید و پینگلیش بنویسید. نوشته ی شما پس از نوشتن هر کلمه به صورت خودکار به فارسی تبدیل می شود.

- نظر شما پس از بررسی، منتشر خواهد شد. در صورتی که تمایل دارید نظرتان به صورت خصوصی باقی مانده و منتشر نشود، لطفاً ذکر کنید.

- در صورتی که دیدگاه شما در مورد این نوشته نیست از صفحه ارتباط با من استفاده کنید.

پاسخ به نوشته

لطفاً به سوال امنیتی زیر پاسخ دهید: *