بالا بردن امنیت سایت با مخفی کردن نام نویسنده در وردپرس [قسمت – چهارم]

ما در قسمت چهارم از دوره‌ی آموزش امنیت وردپرس هستیم و در این قسمت می‌خواهیم یک ایراد مهم امنیتی که اکثر سایت‌های معروف و بزرگ آن را رعایت نکردن را به شما آموزش دهیم.

در این آموزش می‌خواهم یک نکته بسیار مهم در رابطه با امنیت وردپرس به شما آموزش دهم. این نکته‌ مخفی کردن نام نویسنده در وردپرس است که اکثر سایت‌های معروف به آن توجه نکرده‌اند و انجام دادن این تکنیک، باعث می‌شود که سایت شما نسبت به دیگر سایت‌های وردپرسی امن‌تر شود.

سایت‌های وردپرسی چطور هک می‌شوند؟

وقتی که یک هکر می‌خواهد به سایت شما حمله کند کافیه که یوزرنیم و پسورد سایت، را داشته باشد اگر هکر یکی از این موارد را بدست بیاورد درصد نفوذ و هک سایت بالا می‌رود امنیت سایت به شدت به خطر می‌افتد.

بدست آوردن پسورد معمولا کار راحتی نیست ولی در اکثر سایت‌های وردپرسی اگر مدیر آن سایت با تکنیک مخفی کردن نام نویسنده در وردپرس آشنا نباشد، به راحتی می‌توان نام کاربری افراد در سایت را به‌دست آورد.

چطوری نام کاربری در وردپرس را به دست آوریم

برای به دست آوردن نام کاربری افراد در وردپرس می‌توانیم از ترفند زیر استفاده کنیم
اول اسم سایت را می‌نویسیم، بعد به آخر آدرس سایت عبارت ?author=1 را اضافه می‌کنیم مانند:

example.com/?author=1

که در اینجا author نام نویسنده سایت است که این نام نویسنده می‌تواند ادمین سایت باشد و عددی که جلوی author قرار می‌گیرد شناسه نویسنده می‌باشد.

اگر در این مثال من بعد نوشتن url بالا کلید اینتر را بزنم، آدرس بالا تبدیل به آدرس زیر خواهد شد:

دقت می‌کنید، به همین راحتی من توانستم نام کاربری این سایت که admin می‌باشد را بدست بیاورم.

بررسی امنیتی سایت‌های وردپرسی معروف

در این قسمت چند سایت وردپرسی را مورد بررسی قرار خواهیم داد، این بررسی‌ها در زمان نگارش مقاله صورت گرفته است و ممکن است بعدها، این ایراد امنیتی رفع گردیده باشد و تیم ترمینت این ایراد امنیتی را برای سایت‌های مذکور ارسال خواهد کرد.

سایت همیار وردپرس هم در ابتدا این ایراد امنیتی را داشت و خوشبختانه این ایراد رفع گردیده است.

بررسی امنیتی سایت مدیرسبز

متاسفانه نام نویسنده در مدیرسبز مخفی نشده است و ممکنه برای این سایت مشکل امنیتی بوجود آید

بررسی امنیتی سایت دانلودها

همان طور که مشاهده می شود سایت دانلودها هم این مشکل امنیتی را دارد و بدتر از آن نام کاربری انتخاب شده admin است که بارها بارها اعلام کردیم که نام کاربری خود را admin یا اسامی قابل حدس قرار ندهید

بررسی امنیتی سایت وان‌کلیک

همانطور که مشاهده می‌کنید متاسفانه سایت وان کلیک هم این نکته را رعایت نکردن و همین طور از نام کاربری admin در سایت استفاده کرده‌اند.

بررسی امنیتی سایت ووکامرس فارسی

نام نویسنده در سایت ووکامرس فارسی هم متاسفانه مخفی نشده است

بررسی امنیتی سایت دیجیاتو

در سایت معروف دیجیاتو هم متاسفانه این مشکل امنیتی مشاهده شده است

بررسی امنیتی سایت یک پزشک

سایت یک پزشک هم متاسفانه نام نویسنده سایت را مخفی نکرده است و باز هم، همانطور که می بینید از نام کاربری ادمین استفاده شده است.

بررسی امنیتی سایت ایران استخدام

سایت ایران استخدام هم متاسفانه نام نویسنده سایت را مخفی نکرده است و باز هم، همانطور که می‌بینید از نام کاربری ادمین استفاده شده است.

بررسی امنیتی سایت برتینا

سایت برتینا که در زمینه هاست فعالیت می‌کند هم متاسفانه نام نویسنده سایت را مخفی نکرده است.

بررسی امنیتی سایت چطور

در سایت چطور هم متاسفانه نام نویسنده سایت مخفی نشده است.

بررسی امنیتی سایت گجت‌نیوز

در سایت گجت‌نیوز هم متاسفانه نام نویسنده سایت مخفی نشده است.

نحوه مخفی کردن نام نویسنده در وردپرس

اضافه کردن کد در فایل functions.php قالب:

شاید الان براتون سوال پیش بیاد که فایل functions.php کجا هست. نگران نباشید ما به شما پلاگینی را معرفی خواهیم کرد که بتوانید به راحتی این فایل را ویرایش کنید که هم از لحاظ امنیتی خوب هست و هم از لحاظ کدنویسی و خوانایی در کد و راحتی استفاده از آن.

بدین منظور پلاگین code snippets را در سایت خود نصب کنید.

چرا باید از code snippets استفاده کنیم؟

برای اجرای برخی از قابلیت‌ها ما نیاز نداریم که پلاگین نصب کنیم تا آن قابلیت برای ما فعال شود بنابراین کد سفارشی درست خواهیم کردم که برای اجرا آن نیاز هست که کد در فایل functions.php قرار گیرد.

این نوع نحوه کدگذاری شاید برای شما که در آغاز راه هستید مشکل براتون پیش بیاورد، مثلا کدی را در این فایل قرار میدهید و یکدفعه کل سایت از کار می‌افتد و نمی‌توانید کاری کنید فایل functions.php یکی از مهم‌ترین فایل‌های قالب سایت‌تون هست که اگر کدهای داخل آن درست کار نکند کل سایت شما را از کار می‌اندازد و برای اینکه این اتفاق نیافتد به شما پیشنهاد می‌کنیم که از پلاگین code snippets استفاده نمایید.

بعد از نصب پلاگین code snippets روی add new کلیک کنید:

بعد از کلیک بر روی add new به صفحه زیر منتقل می‌شوید:

در قسمت add new snippet یک نام برای کد خود وارد کنید.

و در قسمت code کد زیر را قرار دهید:

add_action('template_redirect', 'my_template_redirect');

function my_template_redirect(){
	if (is_author()){
		wp_redirect( home_url() );
		exit;
	}
}

این کد می‌گوید که هر موقع کاربری از طریق url درخواست نام نویسنده را داد به صفحه اول سایت منتقل شود.
اگر یک بار دیگر آدرس ?author=1 را به انتهای نام سایت اضافه کنیم، بعد از زدن کلید اینتر، به صفحه اول هدایت خواهیم شد.

این قسمت از دوره آموزش امنیت وردپرس به پایان می‌رسد لطفاً همین الان نسبت به مخفی کردن نام نویسنده در وردپرس اقدام کنید و سایت خود را امن نگه دارید، اگر سوالی بود در نظرات برای ما بنویسید.

راستی می‌توانید در کانال تلگرامی ما عضو شوید.

شما می‌توانید قسمت های قبلی دوره آموزش امنیت وردپرس را با کلیک بر روی لینک‌های زیر مشاهده کنید:

آموزش امنیت وردپرس بدون دانش امنیتی [قسمت – اول]

روش انتخاب پسورد برای وردپرس در ۵ قدم[قسمت – دوم]

تغییر نام کاربری در وردپرس قدم به قدم – [قسمت – سوم]