وردپرس باگ ها و مشکلات متعددی داشته که در ویرایش های مختلف برخی از آنها برطرف شده اند. بدیهی است که با افزایش امکانات آن برخی از باگ ها و حفره های امنیتی جدید پدیدار می شوند که امید است در ویرایش های آتی برطرف شوند. اما همواره یکی از راه های ایمن سازی وردپرس، حفاظت از ناحیه مدیریت وردپرس، یعنی فولدر WP-ADMIN بوده است. به دو روش میتوان این فولدر را از ورود و نفوذ کاربران ایمن ساخت که در اینجا تشریح می گردد.
روش اول : با استفاده از کنترل پنل هاست
مراحل بر مبنای کنترل پنل cPanel ارائه می شود ولی در تمامی کنترل پنل های دیگر هم مشابه است.
۰ – وارد کنترل پنل هاست (cPanel) شوید :)
۱- از بین icon ها، آیکن Password protect directories را انتخاب کنید.
۲- فولدر wp-admin را پیدا کنید و انتخاب کنید.
۳- در صفحه ای که باز می شود، یک یوزر و پسورد ایجاد کنید و ADD کنید.
۴- مقابل Password protect this directory تیک زده و SAVE را بزنید.
توجه ۱ : از شما خواسته شده که مقابل Name the protected directory را پر کنید. این اسمی است که به عنوان نام دایرکتوری به فردی که میخواهد نام کاربری و کلمه عبور را بزند نشان داده می شود. در اینجا اهمیت چندانی ندارد.
توجه ۲ : بعضی وقتا این روش جواب نمیدهد! علتش این است که با تنظیمات htaccess در فولدر اصلی سایت تان تقابل دارد.
روش دوم : استفاده از htaccess
این روش کمی پیچیده تر است اما همیشه عمل میکند! مشکل روش فوق این است که ممکن است گاهی با تنظیمات htaccess در فولدر اصلی سایت مطابقت نداشته باشد و پسوردگذاری به درستی عمل نکند. به هر حال این روش (روش دوم) همیشه جواب می دهد :)
۰ – وارد کنترل پنل هاست تان شوید.
۱ – وارد file manager شوید و وارد فولدر wp-admin شوید.
۲- یک فایل به نام htaccess. ایجاد کنید و آن را باز کنید تا داخلش را ویرایش کنید.
۳- متن زیر را در داخل فایل کپی نمایید:
AuthUserFile /home/USER-HOST/FOLDER/.htpasswd
AuthType Basic
AuthName restricted
Order Deny,Allow
Deny from all
Require valid-user
Satisfy any
عبارت USER-HOST نام کاربری شما در سرور است که قطعاً در file manager خود و با توجه به آدرس ها می توانید آن را پیدا کنید و در کد بالا جایگزین کنید. همچنین FOLDER نام یک فولدر اختیاری است که باید در ریشه هاست تان (بالاتر از public_html) بسازید. پس از انجام این مراحل، فایل را Save کنید.
۴- از file manager وارد همان فولدر اختیاری که ساخته اید شوید. ما نام آن فولدر را FOLDER گذاشته ایم. در داخل آن فولدر، یک فایل با نام htpasswd. بسازید و آن را باز کنید تا محتوایش را ویرایش کنید.
۵- حال میتوانید نام کاربری و کلمه عبور مورد نظرتان را در این فایل وارد کنید. به عنوان مثال اگر نام کاربری ۳۰na را انتخاب کرده اید با پسورد IamIranian باید چنین کدی را در داخل این فایل قرار دهید و ذخیره کنید :
۳۰na:IamIranian
حال فایل را ذخیره کنید! کار تمام است! فولدر wp-admin خود را چک کنید، برای عبور از شما نام کاربری و کلمه عبور میخواهد، نه؟ :)
توجه : به نام فایل ها دقت کنید. قبل از نام آنها یک نقطه (dot) آمده است. آن را فراموش نکنید!
بسیار ممنون از مطلب مفیدتان!
سلام
مطمئنی این روش دومت فقط یه پوشه رو رمز میده ؟؟؟
خب مرد حسابی زدی سایتمو ترکوندی
همه جای سایتم حتی سی پنل رمز داره
هیچ رمزی هم قبول نمیکنه
خدا بگم چکارت نمیکنه
@آرش, دوست عزیز، این روش را بر روی بیش از ۱۰ وردپرس نصب شده انجام دادم و تا حالا به مشکلی بر نخوردیم. انجام تغییرات و تنظیمات در این سطح نیازمند دقت، حوصله و آشنایی با مقدمات کار با کنترل پنل ها است.
ضمن اینکه در صورت صحت حرف شما، همه چیز با پاک کردن آن فایل ها حل می شود، شما آنچنان شاکی هستید که انگار کلاً سرور منفجر شده!!! فایل ها را پاک کنید، همه چیز برمیگردد به حالت قبل!
@آرش, سایت تون رو بررسی کردم! بدون شک در مراحل انجام اشتباه کردید و به نظر می رسه که پرمیشن ها رو هم دستکاری کردید. به هر حال از این لینک وارد کنترل پنل شوید : http://3tare.ir:2082/
و همه چی رو به حالت قبل برگردونید.
@سینا,
نه کاری هم به پرمیژن ها نداشتم
متاسفانه سی پنل هم برام باز نمیشه دیگه
مثلا یه چیزی تو مایه های بلاک کردن آی پی انگار
خلاصه همه چی قاطی پاتیه
نمیدونه وقتی سی پنل یه آی پی رو بلاک کنه چقد وقت طول میکشه تا دوباره بازش کنه ؟
@آرش, عرض کردم از طریق این لینک وارد بشید : http://3tare.ir:2082/
@سینا,
منم همینو گفتم که باز نمیشه
ظاهرا آی پی منو بلاک کرده
چون هر سایتی که روی اون هاست هست برام باز نمیشه
با ساکس هم امتحان کردم بازم نشد
واویلا
چه کنم حالا ؟؟؟
@آرش, اوه! خب به ادمین هاست تون ایمیل بزنید، بگید آی پی تون رو از لیست خارج کنه. اصولاً نباید IP تون بن میشد! کاری نکردید که آخه!!!
@سینا,
چرا دیگه
چندین بار رمزو زدم که قبول نکرد و ناگهان !!!!
بــــــــــــــــــــــــــــوم
@آرش, اگر دوست دارید، میتونید یوزر نیم و پسورد تون رو بهم ایمیل کنید بررسی کنم، شاید بتونم مشکلتون رو حل کنم :)
ایمیل هم نکردید، میتونید همین کامنت رو جواب بدید، من تاییدش نمیکنم.
سلام. روش های مفید و جالبی هستند. البته روش اول رو من امتحان کردم ولی متاسفانه بعضی از افزونه ها برای اعمال تغییرات دسترسی به فولدر WP-ADMIN رو احتیاج دارند. اما روش دوم رو امتحان نکردم. امیدوارم کارساز باشد. بازم ممنون.
سلام
متاسفانه هیچ کدوم از روش ها برای من کار نمیکنه. خیلی وقت هست درگیرشم اما خب !
@علی, احتمالاً فایل htaccess شما در فولدر اصلی (بالاتر از wp-admin) داره مشکل ایجاد میکنه. اون رو بررسی کنید.
@سینا, برسی کردم چیزی نداشت که باعث مشکل بشه
با اجازه استفاده کردم
سلام خسته نباشید
از این که از سایت شما دیدین کردم خوشحالم!
@دیتاسان, دوست عزیز، شما مطلب را بدون لینک به اینجا گذاشته اید. من با این رویه موافق نیستم .
@سینا,
دوست گرامی من نام منبع را ذکر کرده بودم!!
بسیار عالی
سلام
بعدن برای آپدیت ها و نصب پوسته و پلاگین ها و غیره اذیت نمیکنه؟
@امین, کافیه بر روی مرورگرتون بعد از زدن یوزر و پسورد، Remember را بزنید.
خیلی بسیار زیاد ممنون :D بسیار به درد میخوره !
فکر میکنم با روشی Password Protect Directories در سیپنل فرقی نداشته باشه!
سلام
اقا از روش دوم استفاده کردم به طور کامل و دقیق ولی هیچ گونه رمز و پسوردی ازم نمیخواد
کنترل پنلم هم دایرکت ادمین هست
فایل هت اکسس بالای wp-admin هم چک کردم مشکلی نداشت
ایا مشکل از کنترل پنلم هست؟
@مهدی, اسم فولدر پسورد رو به این تغییر بدید و مجدداً امتحان کنید : htpasswds.
@سینا,
سلام باز هم نشد
من یه موردی را نفهمیدم
اگه سایت ما عضویت و ورود داشته باشه پس اگه ما بدین وسیله برای wp-admin رمز بزاریم ( که ما در هر صورت نتونستیم :d) پس کاربرا چطوری به این بخش دسترسی پیدا کنند؟؟
کاربر که از رمز و پسورد اطلاع نداره ؟؟
@مهدی, خب دلیل نمیشه که هر روشی برای هر جایی مفید باشه. در چنین حالتی شما باید دنبال روش دیگه ای باشید :)
سلام
روش دوم را انجام دادم و عالی کار میکنه. متشکر از آموزشتون
سلام به اشتباه به جای اینکه wp-admin رو رمزنگاری کنم خود سایت رو رمز گذاشتم! یعنی برای نمایش سایت رمز میخواد! یوزر رو حذف کردم اما درست نمیشه چیکار کنم! بدجوری حیرون شدم!
@یاسین, فایل htaccess رو باید ویرایش کنید. دقت کنید!
مفید بود . متشکرم .
سلام روش جالبی هست . من در دیزاینا در قسمت آموزش های امنیتی روش های کاملتری را به تفصیل توضیح داده ام. موفق باشید
سلام دوست عزیز ممنون از مطلب !
من وقتی htaccess.میسازم توی فایل منیجر نمیتونم اونو پیداش کنم ؟!! انگار هیدن میشه ؟
داداش کمک کن نیاز دارم تهدید به هک شدم
@مهدی, به خاطر اینکه این فایل عموماً مخفی (hidden) هست. برای رفع مشکل از طریق FTP وصل بشید و فایل رو ویرایش کنید. ضمن اینکه معمولاً موقع باز کردن فایل منیجر ازتون میپرسه که میخواهید فایل های hidden رو ببینید یا نه، که میشه تیک زد و اون فایل ها رو دید! موفق باشید