ما در قسمت چهارم از دورهی آموزش امنیت وردپرس هستیم و در این قسمت میخواهیم یک ایراد مهم امنیتی که اکثر سایتهای معروف و بزرگ آن را رعایت نکردن را به شما آموزش دهیم.
در این آموزش میخواهم یک نکته بسیار مهم در رابطه با امنیت وردپرس به شما آموزش دهم. این نکته مخفی کردن نام نویسنده در وردپرس است که اکثر سایتهای معروف به آن توجه نکردهاند و انجام دادن این تکنیک، باعث میشود که سایت شما نسبت به دیگر سایتهای وردپرسی امنتر شود.
سایتهای وردپرسی چطور هک میشوند؟
وقتی که یک هکر میخواهد به سایت شما حمله کند کافیه که یوزرنیم و پسورد سایت، را داشته باشد اگر هکر یکی از این موارد را بدست بیاورد درصد نفوذ و هک سایت بالا میرود امنیت سایت به شدت به خطر میافتد.
بدست آوردن پسورد معمولا کار راحتی نیست ولی در اکثر سایتهای وردپرسی اگر مدیر آن سایت با تکنیک مخفی کردن نام نویسنده در وردپرس آشنا نباشد، به راحتی میتوان نام کاربری افراد در سایت را بهدست آورد.
چطوری نام کاربری در وردپرس را به دست آوریم
برای به دست آوردن نام کاربری افراد در وردپرس میتوانیم از ترفند زیر استفاده کنیم
اول اسم سایت را مینویسیم، بعد به آخر آدرس سایت عبارت ?author=1 را اضافه میکنیم مانند:
example.com/?author=1
که در اینجا author نام نویسنده سایت است که این نام نویسنده میتواند ادمین سایت باشد و عددی که جلوی author قرار میگیرد شناسه نویسنده میباشد.
اگر در این مثال من بعد نوشتن url بالا کلید اینتر را بزنم، آدرس بالا تبدیل به آدرس زیر خواهد شد:
دقت میکنید، به همین راحتی من توانستم نام کاربری این سایت که admin میباشد را بدست بیاورم.
بررسی امنیتی سایتهای وردپرسی معروف
در این قسمت چند سایت وردپرسی را مورد بررسی قرار خواهیم داد، این بررسیها در زمان نگارش مقاله صورت گرفته است و ممکن است بعدها، این ایراد امنیتی رفع گردیده باشد و تیم ترمینت این ایراد امنیتی را برای سایتهای مذکور ارسال خواهد کرد.
سایت همیار وردپرس هم در ابتدا این ایراد امنیتی را داشت و خوشبختانه این ایراد رفع گردیده است.
بررسی امنیتی سایت مدیرسبز
متاسفانه نام نویسنده در مدیرسبز مخفی نشده است و ممکنه برای این سایت مشکل امنیتی بوجود آید
بررسی امنیتی سایت دانلودها
همان طور که مشاهده می شود سایت دانلودها هم این مشکل امنیتی را دارد و بدتر از آن نام کاربری انتخاب شده admin است که بارها بارها اعلام کردیم که نام کاربری خود را admin یا اسامی قابل حدس قرار ندهید
بررسی امنیتی سایت وانکلیک
همانطور که مشاهده میکنید متاسفانه سایت وان کلیک هم این نکته را رعایت نکردن و همین طور از نام کاربری admin در سایت استفاده کردهاند.
بررسی امنیتی سایت ووکامرس فارسی
نام نویسنده در سایت ووکامرس فارسی هم متاسفانه مخفی نشده است
بررسی امنیتی سایت دیجیاتو
در سایت معروف دیجیاتو هم متاسفانه این مشکل امنیتی مشاهده شده است
بررسی امنیتی سایت یک پزشک
سایت یک پزشک هم متاسفانه نام نویسنده سایت را مخفی نکرده است و باز هم، همانطور که می بینید از نام کاربری ادمین استفاده شده است.
بررسی امنیتی سایت ایران استخدام
سایت ایران استخدام هم متاسفانه نام نویسنده سایت را مخفی نکرده است و باز هم، همانطور که میبینید از نام کاربری ادمین استفاده شده است.
بررسی امنیتی سایت برتینا
سایت برتینا که در زمینه هاست فعالیت میکند هم متاسفانه نام نویسنده سایت را مخفی نکرده است.
بررسی امنیتی سایت چطور
در سایت چطور هم متاسفانه نام نویسنده سایت مخفی نشده است.
بررسی امنیتی سایت گجتنیوز
در سایت گجتنیوز هم متاسفانه نام نویسنده سایت مخفی نشده است.
نحوه مخفی کردن نام نویسنده در وردپرس
اضافه کردن کد در فایل functions.php قالب:
شاید الان براتون سوال پیش بیاد که فایل functions.php کجا هست. نگران نباشید ما به شما پلاگینی را معرفی خواهیم کرد که بتوانید به راحتی این فایل را ویرایش کنید که هم از لحاظ امنیتی خوب هست و هم از لحاظ کدنویسی و خوانایی در کد و راحتی استفاده از آن.
بدین منظور پلاگین code snippets را در سایت خود نصب کنید.
چرا باید از code snippets استفاده کنیم؟
برای اجرای برخی از قابلیتها ما نیاز نداریم که پلاگین نصب کنیم تا آن قابلیت برای ما فعال شود بنابراین کد سفارشی درست خواهیم کردم که برای اجرا آن نیاز هست که کد در فایل functions.php قرار گیرد.
این نوع نحوه کدگذاری شاید برای شما که در آغاز راه هستید مشکل براتون پیش بیاورد، مثلا کدی را در این فایل قرار میدهید و یکدفعه کل سایت از کار میافتد و نمیتوانید کاری کنید فایل functions.php یکی از مهمترین فایلهای قالب سایتتون هست که اگر کدهای داخل آن درست کار نکند کل سایت شما را از کار میاندازد و برای اینکه این اتفاق نیافتد به شما پیشنهاد میکنیم که از پلاگین code snippets استفاده نمایید.
بعد از نصب پلاگین code snippets روی add new کلیک کنید:
بعد از کلیک بر روی add new به صفحه زیر منتقل میشوید:
در قسمت add new snippet یک نام برای کد خود وارد کنید.
و در قسمت code کد زیر را قرار دهید:
add_action('template_redirect', 'my_template_redirect'); function my_template_redirect(){ if (is_author()){ wp_redirect( home_url() ); exit; } }
این کد میگوید که هر موقع کاربری از طریق url درخواست نام نویسنده را داد به صفحه اول سایت منتقل شود.
اگر یک بار دیگر آدرس ?author=1 را به انتهای نام سایت اضافه کنیم، بعد از زدن کلید اینتر، به صفحه اول هدایت خواهیم شد.
این قسمت از دوره آموزش امنیت وردپرس به پایان میرسد لطفاً همین الان نسبت به مخفی کردن نام نویسنده در وردپرس اقدام کنید و سایت خود را امن نگه دارید، اگر سوالی بود در نظرات برای ما بنویسید.
راستی میتوانید در کانال تلگرامی ما عضو شوید.
شما میتوانید قسمت های قبلی دوره آموزش امنیت وردپرس را با کلیک بر روی لینکهای زیر مشاهده کنید:
آموزش امنیت وردپرس بدون دانش امنیتی [قسمت – اول]
روش انتخاب پسورد برای وردپرس در ۵ قدم[قسمت – دوم]
تغییر نام کاربری در وردپرس قدم به قدم – [قسمت – سوم]