سلام من سایتی وردپرسی دارم و از افزونه روپرس All In One WP Security & Firewall ([ برای مشاهده لینک ، لطفا با نام کاربری خود وارد شوید یا ثبت نام کنید ]) استفاده میکنم.این افزونه یه قسمتی داره که وقتی یک هکر وارد صفحه ورود وردپرس بشه و یوزر و پسورد اشتباهی بده برام ایمیل میفرسته.برای اینکه هکر نتونه وارد صفحه ورود وردپرس بشه یه قسمتی که آیپی ها رو بلوک میکنه رو فعال کردم.الان همه آیپی ها بلوک کردم و فقط آیپی رنج خودمو تو لیست سفید بردم و حتی با چیلترشکن هم تست کردم خیلی خوب کار میکنه ولی دو روز بعد باز برام پیام اخطار ورود ناموفق اومد برام.میخوام کاری کنم دیگه نتونه وارد صفحه وردپرس بشه باید چیکار کنم؟؟
اینو هم بگم روش عوض کردن ضفحه و حتی روش کوکی(که فقط با مرورگر خودم میتونم وارد صفحه ورود بشم) هم امتحان کردم ولی بازم ایمیل اخطار ورود ناموفق اومد برام.میخوام کاری کنم همه راه هاش مسدود بشه باید چیکار کنم ؟؟ لطفا راهی که جواب میده راهنمایی کنید.مرسی

سلام
از این پلاگین استفاده کنید :
[ برای مشاهده لینک ، لطفا با نام کاربری خود وارد شوید یا ثبت نام کنید ]
و به کمک اون ادرس ورود به وردپرس رو عوض کنید و چیز دیگری تعیین کنید
همچنین روی فلدر wp-admin پسورد قرار بدید از طریق cpanel یا کنترل پنلی که دارید

سلام
از این پلاگین استفاده کنید :
[ برای مشاهده لینک ، لطفا با نام کاربری خود وارد شوید یا ثبت نام کنید ]
و به کمک اون ادرس ورود به وردپرس رو عوض کنید و چیز دیگری تعیین کنید
همچنین روی فلدر wp-admin پسورد قرار بدید از طریق cpanel یا کنترل پنلی که دارید

یه بار آدرس ورود به وردپرس رو عوض کرده بودم ولی جواب نداد یعنی بازم هکره میتونست به صفحه ورود بره:n28:

فایل wp-login.php رو که در روت هاست هست پاک کنید . حتما از طریق این فایل وارد میشده

Sent from my SM-G800H using Tapatalk

برای اینکار باید وارد فایل htaccess بشید و کد های زیر رو درونش قرار بدید :


برای مشاهده محتوا ، لطفا وارد شوید یا ثبت نام کنید

خط اول اعمال دسترسی میکنه . خط دوم میگه هیچکس اجازه ورود نداره . خط سوم میگه فقط این آی پی میتونه وارد بشه که باید به جای آدرس آی پی بالا آدرس آی پی خودتون رو بزارید .
اگه آی پی تون ثابته کل آی پی رو بنویسید و اگر داینامیکه بخش ثابتش رو بنویسید مثلا در آی پی بالا قسمت
46.224 همیشه ثابته و تغییر نمیکنه ...

برای اینکار باید وارد فایل htaccess بشید و کد های زیر رو درونش قرار بدید :


برای مشاهده محتوا ، لطفا وارد شوید یا ثبت نام کنید

خط اول اعمال دسترسی میکنه . خط دوم میگه هیچکس اجازه ورود نداره . خط سوم میگه فقط این آی پی میتونه وارد بشه که باید به جای آدرس آی پی بالا آدرس آی پی خودتون رو بزارید .
اگه آی پی تون ثابته کل آی پی رو بنویسید و اگر داینامیکه بخش ثابتش رو بنویسید مثلا در آی پی بالا قسمت
46.224 همیشه ثابته و تغییر نمیکنه ...


داش افزونه امنیتی که اول پست نام بردم رو آیپی هایی که میتونن به صفحه ورود دسترسی داشته باشن رو به فایل
htaccess اضافه کرده .این عکس رو ببینید


[ برای مشاهده لینک ، لطفا با نام کاربری خود وارد شوید یا ثبت نام کنید ]





یعنی این دستور تو عکس رو پاک کنم و دستوری که خودت گفتی رو به فایل
htaccess اضاف کنم و آیپی های خودمو جای اپی که تو دستور شما است رو بنویسم ؟؟

سلام

کدی که توی عکس هست درسته منتها کد توی عکس نگفته که به جز این آی پی ها ip های دیگه حق ورد ندارن ...
ولی کدی که بنده دادم دسترسی همه افراد رو به جز آدرس آی پی شما به صفحه وردد منع می کنه . بهتره از کدی که بنده گفتم استفاده کنید ...


باتشکر

سلام

کدی که توی عکس هست درسته منتها کد توی عکس نگفته که به جز این آی پی ها ip های دیگه حق ورد ندارن ...
ولی کدی که بنده دادم دسترسی همه افراد رو به جز آدرس آی پی شما به صفحه وردد منع می کنه . بهتره از کدی که بنده گفتم استفاده کنید ...


باتشکر

باشه داداش امتحان میکنم.اگه دیدم بازم هکره به صفحه ورود دسترسی داره بهتون میگم که یه راه دیگه تست کنیم.دمت گرم

شما اگر روی فلدر wp-admin پسورد بذارید کسی نمیتونه دسترسی غیر مجاز داشته باشه

Sent from my SM-G800H using Tapatalk

شما اگر روی فلدر wp-admin پسورد بذارید کسی نمیتونه دسترسی غیر مجاز داشته باشه

Sent from my SM-G800H using Tapatalk

تو سی پنل رو پوشه پسورد بزارم ؟؟ اگه پسورد بزارم تنظیم سایتم بهم نمیریزه ؟؟؟

هر دو کاری که گفتید انجام دادم دمتون گرم

فقط این دو لینک رو ببینید لطفا


[ برای مشاهده لینک ، لطفا با نام کاربری خود وارد شوید یا ثبت نام کنید ]


[ برای مشاهده لینک ، لطفا با نام کاربری خود وارد شوید یا ثبت نام کنید ]

این لینک های بالا رو ببینید این کارها رو هم انجام بدم بنظرتون ؟؟

سلام

بله هر دو شون مفیدن ...
هر دوتا رو هم میتونید استفاده کنید اینطوری از اکسپلویت های مخرب هم در امان خواهید بود ... ( البته مواظب حملات تزریق sql هم باشید چون اکثر سایت های وردپرسی با این روش هک میشن )

باتشکر

سلام

بله هر دو شون مفیدن ...
هر دوتا رو هم میتونید استفاده کنید اینطوری از اکسپلویت های مخرب هم در امان خواهید بود ... ( البته مواظب حملات تزریق sql هم باشید چون اکثر سایت های وردپرسی با این روش هک میشن )

باتشکر

پس برای در امان ماندن از
حملات تزریق sql باید چیکار کنم ؟؟ میشه راهنمایی کنید ؟؟ البته زیر دیپلم:n03:

این مسائل یه خورده پیچیده هستند ...

و مربوط کدهای php و sql سیستم میشند ...
توی این نوع حملات هکر میتونه به راحتی با اضافه کردن کدهای sql و یا php روند اجرای کل کدها رو تغییر بده .
مثلا میتونه با تزریق کد به آدرس های آسیب پذیر کاری کنه که در صفحه لاگین کد sql بره و در دیتابیس جستجو کنه و پسورد کاربر و مشخصاتش رو نشون بده ...

این مبحث خیلی پیچیده هست ...

این مسائل یه خورده پیچیده هستند ...

و مربوط کدهای php و sql سیستم میشند ...
توی این نوع حملات هکر میتونه به راحتی با اضافه کردن کدهای sql و یا php روند اجرای کل کدها رو تغییر بده .
مثلا میتونه با تزریق کد به آدرس های آسیب پذیر کاری کنه که در صفحه لاگین کد sql بره و در دیتابیس جستجو کنه و پسورد کاربر و مشخصاتش رو نشون بده ...

این مبحث خیلی پیچیده هست ...

داداش این کدی که گفتی گذاشتم ولی یه مشکلی داشت اینکه همه آیپی ها رو بغیر از آیپی های خودمو حتی تو صفحه اول سایتم هم مسدود میکنه
دیگه برشداشتم
من میخوام فقط صفحه ورود وردپرس رو مسدود کنم.لطفا یه کد خوبی بهم بده
و
رو پوشه ادمین هم پسورد گذاشتم ولی اختلال ایجاد میکنه.سایت من فروشگاه فایل است و وقتی رو دکمه خرید میزنی یه پنجره باز میشه که حتما باید یوزر و پسورد پوشه ادمین رو بدی تا بتونی فایل رو بخری.اون رو هم برداشتم.باید چیکار کنم ؟؟ کمک کنید

- - - Updated - - -


شما اگر روی فلدر wp-admin پسورد بذارید کسی نمیتونه دسترسی غیر مجاز داشته باشه

Sent from my SM-G800H using Tapatalk

سلام داداش رو پوشه ادمین پسورد گذاشتم ولی اختلال ایجاد میکنه.سایت من فروشگاه فایل است و وقتی رو دکمه خرید میزنی یه پنجره باز میشه که حتما باید یوزر و پسورد پوشه ادمین رو بدی تا بتونی فایل رو بخری.اون رو هم برداشتم.باید چیکار کنم ؟؟ کمک کنید

مشکـلتون حل شده یا نه؟

مشکـلتون حل شده یا نه؟

نه داداش اگه بلدی کمکم کن
این کد زیر رو میزارم تو فایل htaccess که فقط خودم به صفحه ورود دسترسی داشته باشم ولی بازم هشدار برام ایمیل میشه که هکر به صفحه ورود رفته

این کد رو منظورمه:


<FilesMatch "^(wp-login\.php)">
Order deny,allow
Deny from all
# allow access from my IP address
Allow from 2.184
Allow from 31.59
Allow from 37.56
Allow from 5.233
</FilesMatch>

نه داداش اگه بلدی کمکم کن

این کد رو داخل htaccess روت سـایت بذارید و قسمتی از محتوای قبلیش که مربوط به همین کدها بود رو حذف کنید:


برای مشاهده محتوا ، لطفا وارد شوید یا ثبت نام کنید


پ.ن: اگر از قـالب های پـولی که به صورت رایـگان در سـایت های دانلود گذاشته شده استفاده میکنید ترجیحا استفاده نکنید، من کسایی رو دیدم که بدون اینکه حتی کسی حتی نیاز به وارد شدن به صفحه ادمین سایـتشون داشته باشه، سـایت بخاطر کدهای مخبر قـالب هـک شده!

این کد رو داخل htaccess روت سـایت بذارید و قسمتی از محتوای قبلیش که مربوط به همین کدها بود رو حذف کنید:


برای مشاهده محتوا ، لطفا وارد شوید یا ثبت نام کنید


پ.ن: اگر از قـالب های پـولی که به صورت رایـگان در سـایت های دانلود گذاشته شده استفاده میکنید ترجیحا استفاده نکنید، من کسایی رو دیدم که بدون اینکه حتی کسی حتی نیاز به وارد شدن به صفحه ادمین سایـتشون داشته باشه، سـایت بخاطر کدهای مخبر قـالب هـک شده!

داداش با کد قبلی خودم تست کردم جواب میده.مثلا برای تست با چیلتر شکن رفتم اررور 403 میداد ولی نمیدونم پطور هکره دسترسی داشت در حالی که جواب میداد وقتی تست کردم

یعنی از کد زیر استفاده کنم نمیتونه بره ؟؟



برای مشاهده محتوا ، لطفا وارد شوید یا ثبت نام کنید

داداش با کد قبلی خودم تست کردم جواب میده.مثلا برای تست با چیلتر شکن رفتم اررور 403 میداد ولی نمیدونم پطور هکره دسترسی داشت در حالی که جواب میداد وقتی تست کردم

یعنی از کد زیر استفاده کنم نمیتونه بره ؟؟



برای مشاهده محتوا ، لطفا وارد شوید یا ثبت نام کنید

اگه کد شما درست بوده (که البته فکرکنم درست بوده چون تست نکردم) پس یاهـکر IPش متـاسفانه توی رنج همین IPهای مجـاز هستش یا که اون پلـاگین بـاگ داره و الکی میگه یا از جای دیگه ای مثل همون جریـان قالب های مشکل دار که گفتم میتونه وارد شه و پـلاگین میفهمه. غیر از این 3 حالت نیست.
برای رفع مشکل اول فقط یک روز IP های مجاز رو فقط واسه تک IP خودتون allow کنید و ببینید بازم هـکر میتونه وارد بشه یا نه. IP خودتون رو مثلا میتونید از ip2location .com نگاه کنید.

پ.ن: راستی کد پست قبلی رو ویرایش کرده بودم!

یک کـار دیگه هم میـتونید بکنید برید توی کنـترل پنـل سـرور و از Log ببینید چه کسی و با چه IP ای داره فایل wp-login.php رو باز میکنه! IPش رو بن کنید