امنیت در وردپرس ۲٫۵
مسلما امنیت در همه جا مسئله ای بسیار مهم هست. با توجه به گسترش روز افزون وب سایت هایی که از امنیت کامل برخوردار نباشند با خظرهای مختلفی مواجه می شوند.
بحث من در این مطلب امنیت در سایت ها و وبلاگ هایی که با وردپرس ساخته شده اند هست ( البته اینجا منظور وبلاگ های وردپرس.کام نیست. چراکه این سرویس همواره از آخرین تکنولوژی های امنیتی استفاده می کنه و کاربران این سرویس می تونن بدون هیچگونه نگرانی به کار خود ادامه دهند ).
چند وقت پیش باگ امنیتی ای در وردپرس های فکر کنم نسخه ۲٫۱ به پایین شناسایی شد که سر و صدای بسیاری ایجاد کرد. بوسیله این باگ اسپمرها قادر به این بودند که لینک هایی رو در سایت شما قرار بدهند به صورت پنهان.
با توجه به گستره زیاد کاربران وردپرس با توجه به اینکه این مشکل در نسخه های قدیمی بود ولی با این حال سرو صدای زیادی کرد و حتی سایت تکنوراتی عنوان کرد که وردپرس های نسخه های ۲٫۱ به پایین رو اصلا وارد موتور جستجوی خودش نمی کنه چراکه بسیاری از این سایت ها مملو از لینک های اسپم هستند.
خب ! حالا از کجا بفمیم هک شدیم یا نه. نحوه انجام کار بسیار ساده است. با استفاده از مرورگر فایرفاکس از منوی Tools گزینه Page Info رو انتخاب و قسمت لینک هاش رو مورد بررسی قرار بدید. اگه لینک های زیاد و مشکوکی دیدید شک نکنید که هک شدید.
حالا راهکار چیست؟
۱- ارتقا به نسخه های جدید وردپرس
۲- تغییر رمز عبور
۳- بررسی و جستجوی مطالب و پوسته و پاکسازی لینک هایی که اضافه شده اند
خب ظاهرا از اصل قضیه که مربوط به وردپرس ۲٫۵ می شد دور شدیم. هدف از حرف های بالا این بود که ظاهرا این مشکل نه به این حد ولی تا حدودی در نسخه های جدید تر وردپرس هم وجود داشته. بنابراین من پیشنهاد می دم از نسخه ۲٫۳٫۳ یا ۲٫۵٫۱ استفاده کنید ( ترجیحا ۲٫۵٫۱ ). فعلا من چیزی مبنی بر مشکل دار بودن این ۲ نسخه ندیدم.
اما وردپرس ۲٫۵ .همانطور که احتمالا می دونید نسخه ۲٫۵٫۱ یکی دو روز پیش منتشر شد. من خودم با توجه به برنامه وردپرس از انتشار این نسخه در این زمان تعجب کردم چراکه تقریبا تنها نیمی از کارهای نسخه ۲٫۵٫۱ انجام شده بود که این نسخه منتشر شد.
اما خب ظاهرا دلیلشون شناسایی یک حفره امنیتی نسبتا مهم در نسخه ۲٫۵ بوده که باعث شده هرچه سریعتر نسخه ۲٫۵٫۱ منتشر بشه. البته علاوه بر رفع این باگ امنیتی در ۲٫۵ حدود ۷۰ مشکل دیگه هم برطرف شده ( اطلاعات بیشتر ).
اونایی که نسخه ۲٫۵ رو نصب و استفاده می کنن ۲ راه دارن. یکی اینکه به نسخه ۲٫۵٫۱ ارتقا بدن و یکی اینکه مشکل امنیتی ۲٫۵ رو حل کنن. برای حل مشکل ۲٫۵ کافیه پکیج ۲٫۵٫۱ رو دانلود کرده و فایل های زیر رو جایگزین فایل های کنونی نسخه ۲٫۵ بکنید :
wp-includes/pluggable.php – wp-admin/includes/media.php – wp-admin/media.php
اما برسیم به بحث اصلی که این مطلب رو برای اون نوشتم. در وردپرس ۲٫۵ اقدامات بسیار خوبی برای بالابردن امنیت در نظر گرفته شده. یکی از این امکانات امنیت در کوکی های هست. در این نسخه کلا مکانیزم کوکی های وردپرس عوض شده و قابلیتی نیز درست شده که شما بتونید کدی را مشخص کنید که کوکی ها براساس اون کد رمزبندی بشن تا سیستم های خودکار به هیچ وجه نتونن براساس یک سیستم خودکار ( روبوت ) اقدام به انجام کارهایی بکنن.
اونایی که برای اولین بار وردپرس ۲٫۵ رو نصب کردند در فایل wp-config.php خود چیزی مانند زیر را خواهند دید :
// Change SECRET_KEY to a unique phrase. You won’t have to remember it later,
// so make it long and complicated. You can visit https://www.grc.com/passwords.htm
// to get a phrase generated for you, or just make something up.
define(’SECRET_KEY’, ‘put your unique phrase here’); // Change this to a unique phrase
در خط آخر شما قادر هستید کلید رمزی را قرار بدید. بصورت پیش فرض مقداری برای این گزینه وجود نداره ولی خب توصیه می شه این مقدار رو اضافه کنید. نحوه اضافه کردن کار سختی نیست. کافیست به این آدرس برید و کد مربوطه را در این فایل قرار بدید و نسخه جدید این فایل رو جایگزین کنید.
اونایی که برای اولین بار وردپرس رو نصب کردند در این آدرس باید کد ساخته شده رو بگیرند و در اون قسمت مخصوص قرار بدهند.
اونایی هم که از نسخه های پایینتر به ۲٫۵ ارتقا دادند باید کلا اون خط رو کپی کرده و قبل از بسته شدن تگ پی اچ پی به فایل مورد نظر اضافه کنند.
بعد از انجام این کار با توجه به تغییر کردن مکانیزم کوکی های وردپرس شما و دیگر کاربران سایت شما مجبورند که دوباره وارد سایت بشن.
با هر بار رفتن به آدرس مذکور یک کد به شکل تصادفی به شما نمایش داده می شه. پیشنهاد می شه برای هرکدام از وردپرس های خود کدهای متفاوتی رو اعمال کنید.
امنیت را جدی بگیرید…
با تشکر از شما استاد گرامی
واقعا مفید بود
دستت درد نکنه نوید جان دقیقا به سوالاتی که داشتم جواب دادی
مطلب مفید و کاملى بود
موفق باشید
از اسنکه زحمت ترجمه و بررسی رو کشیدی ممنون . استفاده خوبی بردم .
موفق باشی
بازم ورد پرس و باز هم ابونتو
یعنی سرویس کردی خودتو
یه چی بلدی همش گیر دادی به اینا
یه دعوتنامه می خام داری بده نداری برام جور کن
خیلی خوبه
سلام
یه سوال داشتم: من به یک بلاگرول مثل بلاگرولینگ و بلاگرد احتیاج دارم.می تونید بهم معرفی کنید؟
ممنون
سلام نوید جان
می خواسم اگه میشه بگی چطوری در اوبونتو می شه مودم دیال آپ را شناخت و چطوری به اینترنت متصل شد
با تشکر
Be jaye is khabraye labe joob, in theme ro test kon:
An awesome iPhone theme for Wordpress, widget ready and xhtml compliant:
http://wp-themes.erikgyepes.co.....hone-theme
کانون وبلاگ نویسان شیراز از تمامی دوستاو وبلاگ نویس شیرازی دعوت به عمل می آورد.
سلام خدمت اقا نوید عزیز.راستش من با اجازتون پوسته شیراز رو به بلاگفا ترجمه کردم.البته لینک طراح و یه لینک از شما رو هم تو قالب گذاشتم.بحرحال امیدوارم راضی باشید چون کپی رایت رو رعایت کردم… اگه نظره خاصی دارین می تونید به ایمیلم بفرستید.
سلام
می خواستم بگم که:
اعتراضنامه برای تغییر نام خلیج فارس که یادتون هست. الان ۶۶۹۷۲۷ نفره. گفتم یه کاری بکنم تا شاید ۱ میلیون بشه .
حالا اگه دوست دارید ( تاکید میکنم : اگه دوست دارید ) کد زیر رو توی وبلاگتون بذارید تا یه نوار باریک گوشه راست – بالا ظاهر بشه تا کاربرانتون اگه رای ندادن ، برن رای بدن مثل این صفحه:
http://epark.ir/sign/index.htm
این هم کد :
حالا خودتون می دونید .
ولی اگر خواستید و یا حتی نخواستید بزارید ، لطفا این کد رو به دوستان دیگتون پیشنهاد بدید تا توی وبلاگشون بزارن.
خیلی ممنون
راستی پست های جالبی میدید . ولی چند وقته که فعال نیستید. چی شده ؟
فعلا خدا حافظ
یه مشکل تو ورد پرس دارم دو روزه بیچاره کرده منو . هرچی هم سرچ کردم چیزی پیدا نکردم ، اگه میتونید کمکم کنید این آیدی یاهومه saeednajafi22
سوالی دارم، ممنون میشم راهنماییم کنید.
من جدیدا یک وبسایت ثبت کردم و از طریق Fantastico وردپرس ۲٫۵ رو نصب و فارسیش کردم. همه چیز خوبه اما متنی رو که پست میکنم نمایش داده نمیشه، یعنی با صفحه “در دست ساخت” مواجه میشم. سوالم اینه که چه تنظیمی باید انجام بدم تا مطلب پست شده نمایش داده بشه؟ آیا ربطی به فایل ایندکس داره یا باید قسمتی رو در پنل (cPanel) فعال کنم؟
ممنون میشم راهنمایی کنید.
(یه سوال دیگه. من بعد از اینکه پک فارسی ۲۲۰ کیلوبایتی رو نصب کردم سایز دیسک حدودا ۳ مگ دیگه اشغال شد، من چه کار کردم!!؟ (جمعا ۷ مگ فضا اشغال شد و وقتی هم خواستم وردپرس رو حذف کنم، نتونستم، یعنی وردپرس ریمو نشد، چرا؟)) واقعا ممنون میشم اگر راهنماییم کنید.
دلیل حذف نشدن وردپرس (ادامه مطلب قبلی – چه راهی هست؟)
Warning: shell_exec() has been disabled for security reasons in /home/digital/public_html/prepare_removal.php on line 22
سوال های مربوط به وردپرس رو اینجا مطرح کنید :
http://forum.wp-persian.com
اینکه می گی وردپرس دات کامی ها مشکل امنیتی چندانی ندارند زیاد معتبر نیست مخصوصا اینکه اون ها از طریق وب فقط لاگ این می شن و شنیدم انکریپتشن پسورد در صفحه لاگین وردپرس چندان جالب نیست.