تير 1389

  • مکالمه ی خرگوش و کلاغ

    کلاغی روی درخت نشسته بود و تمام روز رو بیکار بود و هیچ کاری نمی کرد… خرگوشی از کلاغ پرسید:-منم می تونم مثل تو تمام روز رو بیکار بشینم و هیچ کاری نکنم؟ کلاغ جواب داد: -البته که می تونی! ... خرگوش روی زمین کنار درخت نشست و مشغول استراحت شد… ناگهان روباهی پرید و خرگوش رو گرفت و خورد! نتیجه ی اخلاقی: برای اینکه بیکار بشینی و هیچ کاری نکنی،باید اون بالا بالاها نشسته باشی.
  • 10 ترفند مفید امنیتی وردپرس

    WordPress Security image
    در خارج از دنیای رایانه، مردم برای حفظ امنیت جان و مال خود، خانه هایی با ضریب ایمنی و امنیت بالا و خودروهای مجهز به دزدگیر خریداری می کنند. و خلاصه از هر ابزاری برای به حداکثر رساندن امنیت خود استفاده می کنند. در دنیای آنلاین، نیز امنیت به همان اندازه مهم و حیاتی است. به خصوص برای کسانی که از وب سایت ها و وبلاگ ها کسب در آمد و امرار معاش می نمایند. در این مقاله ، به شما چند ترفند مفید برای حفاظت از وبلاگ یا وب سایت تحت سیستم مدیریت محتوای وردپرس را آموزش می دهیم. 1- جلوگیری از به نمایش درآمدن اطلاعات غیر ضروری مشکل: هنگامی که شما موفق به ورود به یک وبلاگ وردپرس نمی شوید، سیستم مدیریت محتوا (CMS) با نمایش برخی از اطلاعات به شما گوشزد می کند کجای کار اشکال دارد. اگر شما رمز عبور خود را فراموش کرده باشید، ممکن است این راهنمایی به کارتان بیاید. اما در عین حال ممکن است برای کسانی که مایل به هک کردن وبلاگ شما هستند هم اطلاعات مفید و به درد بخوری داشته باشد! پس چرا تلاش نکنیم وردپرس را از نمایش پیغام خطا هنگام عدم موفقیت در ورود به سایت برحذر داریم؟ راه حل : برای حذف پیغام خطای ورودی (log-in error)، کافی است فایل functions.php پوسته (theme) سایت خود را باز کرده ، و کد زیر را در آن قرار دهیم:
    add_filter('login_errors',create_function('$a', "return null;"));
    
    سپس فایل را ذخیره کنید، و امتحان کنید که: اگر موفق به ورود به اکانت خود نشوید، دیگر پیام خطایی نمایش داده نمی شود. لطفا توجه داشته باشید که چند فایل با نام functions.php وجود دارد. مطمئن شوید که آن فایلی را که در شاخه wp-content وجود دارد تغییر دهید. توضیح کد: با استفاده از این کد، ما یک قلاب (hook) ساده برای بازنویسی تابع login_errors() اضافه کرده ایم. از آنجا که تابع سفارشی که ما ایجاد کرده ایم به صورت تهی (null) بر می گردد، پیام نمایش داده شده یک رشته خالی(blank string) خواهد بود. 2- استفاده از Force SSL مشکل: اگر شما در مورد محافظت از اطلاعات خود نگران هستید، قطعا باید از اس اس ال (SSL) استفاده کنید. در صورتی که نمی دانید اس اس ال چیست، پیشنهاد می کنیم این مطلب را مطالعه کنید.
    اس اس ال چیست و چرا توجه به آن بسیار مهم است؟
    
    آیا می دانستید که وادار کردن وردپرس به استفاده از اس اس ال امکان پذیر است؟ بسیاری از شرکت های خدمات میزبانی وب (web hosting) در صورت درخواست، می توانند اس اس ال را برایتان فعال کنند. راه حل: هنگامی که اطمینان یافتید وب سرور شما می تواند از اس اس ال پشتیبانی کند، فقط کافی است که فایل functions.php را باز کرده (واقع در پوشه اصلی فایلهای نصب برنامه ورد پرس) و کد زیر را به آن اضافه کنید:
    define('FORCE_SSL_ADMIN', true);
    فایل را ذخیره کنید ، و کار شما تمام شد! توضیح کد: توضیح این کد هیچ جای سختی ندارد. وردپرس از ثابت های بسیاری برای پیکربندی نرم افزار استفاده می کند. در این مورد ، ما به سادگی ثابت FORCE_SSL_ADMIN را تعریف کرده و مقدار آن را true تعیین کرده ایم. این عمل باعث استفاده وردپرس از اس اس ال خواهد شد. 3- استفاده از .htaccess برای محافظت از فایل پیکربندی وردپرس مشکل: به عنوان یک مدیر سایت وردپرسی، احتمالا می دانید فایلی با نام wp-config.php چقدر مهم است. این پرونده حاوی تمام اطلاعات مورد نیاز برای دسترسی به پایگاه داده (data base) با ارزش شما است. اطلاعاتی چون نام کاربری ، رمز عبور ، نام سرور و غیره در این فایل نگهداری می گردند. محافظت از wp-config.php امری حیاتی است، نظرتان در مورد بهره برداری از قدرت برنامه آپاچی (Apache) برای حفاظت از این فایل چیست؟ راه حل: فایل .htaccess در پوشه اصلی نصب وردپرس واقع شده است. پس از ایجاد یک نسخه پشتیبان از آن (این فایل از آن گونه فایل حیاتی است که ما همیشه باید یک نسخه سالم از ان را ه عنوان پشتیبان نزد خود داشته باشیم) ، آن را باز کرده و کد زیر را در آن وارد کنید:
    <files wp-config.php>
    order allow,deny
    deny from all
    </files>
    
    توضیح کد: فایل های .htaccess فایلهای مهم و قدرتمندی هستند که می توانند یکی از بهترین ابزارها برای جلوگیری از دسترسی های ناخواسته به اطلاعات شما باشند. در این کد، ما به سادگی قانونی گذاشته ایم که مانع از هر گونه دسترسی به فایل wp-admin.php می شود. بنابراین اطمینان حاصل می کنیم که هیچ برنامه و ربات مخربی نمی تواند به آن دسترسی داشته باشد. 4- افزودن اعضا و رباتهای ناخواسته به لیست سیاه مشکل: این مورد همان اندازه در دنیای آنلاین کاربردی و مفید است که در زندگی واقعی. کسی که شما را امروز اذیت می کند, احتمالا فردا دوباره این کار را خواهد کرد. آیا شما تا کنون توجه کرده اید چگونه وبلاگ شما هر روز در معرض بمباران هرزنامه ها و نظرات مزاحم قرار می گیرد؟ راه حل این مشکل کاملا ساده است: مانع دسترسی آنها به وبلاگ خود شوید. راه حل: کد زیر را در فایل htaccess که در ریشه نصب وردپرس واقع شده، وارد کنید. همانطور که گفتیم ، همیشه قبل از هر گونه دستکاری یا ویرایش .htaccess از آن پشتیبان بگیرید. این کد دسترسی آی پی ۱۲۳.۴۵۶.۷۸۹ را به سایت شما قطع می کند. به جای آن آی پی را که می خواهید به .سایت تان دسترسی نداشته باشد، وارد کنید
    <Limit GET POST PUT>
    order allow,deny
    allow from all
    deny from 123.456.789
    </LIMIT>
    
    توضیح کد: آپاچی برنامه ای قدرتمند است و می تواند به راحتی برای مسدود کردن دسترسی کاربران نامطلوب و ربات ها مورد استفاده قرار گیرد. با استفاده از این کد، ما به آپاچی می گوییم که هر کسی مجاز به برای بازدید از وبلاگ مان است، به جز شخصی با آدرس آی پی 123.456.789. برای بلاک کردن آی پی های بیشتر، به سادگی خط 4 این کد را در یک خط جدید با استفاده از آدرس آی پی دیگر تکرار کنید، مانند زیر:
    <Limit GET POST PUT>
    order allow,deny
    allow from all
    deny from 123.456.789
    deny from 93.121.788
    deny from 223.956.789
    deny from 128.456.780
    </LIMIT>
    
    5- محافظت از وبلاگ وردپرس خود در برابر حملات Script Injections مشکل: محافظت از وب سایت های پویا به طور ویژه ای از اهمیت برخوردار است. اکثر توسعه دهندگان همیشه ، از دستورات GET و POST محافظت می کنند، اما گاهی اوقات این کافی نیست. ما باید وبلاگ خود را در مقابل حملات تزریق اسکریپت و هر گونه تلاش برای تغییر متغیر های PHP GLOBALS و _REQUEST محافظت کنیم. راه حل: کد های زیر تزریق اسکریپت را مسدود کرده و هر گونه تلاش برای تغییر PHP GLOBALS و متغیر _REQUEST. را ناکام می گذارند. این کدها را در فایل .htaccess (واقع در ریشه نصب وردپرس) پیست کنید. البته فراموش نکنید که همیشه قبل ازویرایش . htaccess از آن پشتیبان بگیرید.
    Options +FollowSymLinks
    RewriteEngine On
    RewriteCond %{QUERY_STRING} (\<|%3C).*script.*(\>|%3E) [NC,OR]
    RewriteCond %{QUERY_STRING} GLOBALS(=|\[|\%[0-9A-Z]{0,2}) [OR]
    RewriteCond %{QUERY_STRING} _REQUEST(=|\[|\%[0-9A-Z]{0,2})
    RewriteRule ^(.*)$ index.php [F,L]
    
    توضیح کد: با استفاده از امکانات فایل .htaccess می توانیم درخواست ها را چک کنیم. با این کد کنترل می کنیم که آیا هر درخواست شامل <script>هست یا خیر و اینکه آیا آن اسکریپت سعی در تغییر مقدار متغیرهای PHP GLOBALS یا _REQUEST دارد یا نه. اگر هر یک از این شرایط فراهم شده باشد، درخواست مسدود می شود و خطای 403 در مرورگر مهاجم نمایش داده می شود. 6- مبارزه علیه برنامه های دزدی محتوای وبلاگ (Content Scrapers) مشکل: اگر وبلاگ شما حاوی مطالب جذاب و خواننده پسند یا کاربردی باشد، بدون شک صاحبان دیگر وبلاگ ها سعی خواهند کرد که مطالب شما را بدون اجازه در وبلاگ یا وب سایت خود استفاده کنند، که نوعی دزدی است. یکی از بزرگترین مشکلات در این مواقع استفاده از لینک تصاویر وبلاگ شما در دیگر سایت ها است که پهنای باند سرور شما را به شدت مصرف می کند. راه حل: برای محافظت از وب سایت خود در برابر لینک دهی و دزدی محتوا، به سادگی کد زیر را در فایل .htaccess قرار دهید. مثل همیشه فراموش نکنید که از فایل .htaccess پشتیبان گرفته و بعد آن را ویرایش کنید.
    RewriteEngine On
    #Replace ?mysite\.com/ with your blog url
    RewriteCond %{HTTP_REFERER} !^http://(.+\.)?mysite\.com/ [NC]
    RewriteCond %{HTTP_REFERER} !^$
    #Replace /images/nohotlink.jpg with your "don't hotlink" image url
    RewriteRule .*\.(jpe?g|gif|bmp|png)$ /images/nohotlink.jpg [L]
    
    هنگامی که شما فایل را ذخیره کنید، فقط وب سایت خودتان قادر خواهد بود که از تصاویر استفاده کند. به عبارت دیگر، هیچ کس قادر نیست تصاویر سایت تان را لینک بدهد و یا در سایتش استفاده کند، چرا که این امر می تواند بسیار پیچیده و وقت گیر باشد. وب سایت های دیگر در صورت استفاده از تصاویر شمل، به طور خودکار فایل nohotlink.jpg را در سایت شان مشاهده می کنند. توجه داشته باشید که شما همچنین می توانید یک تصویر غیر موجود را مشخص کنید ، تا وب سایت هایی که سعی دارند از تصور شما استفاده کنند به جای تصویرفقط یک فضای خالی ببینند. توضیح کد: با استفاده از این کد ، اولین کاری که ما انجام داده ایم بررسی ارجاع دهنده (referrer) است تا با آدرس وبلاگ ما یکسان باشد. اگر چنین نباشد و فایل ضمیمه ای از نوع JPG ، GIF ، BMP یا PNG ، داشته باشد، تصویر nohotlink به جای تصویر اصلی نمایش داده می شود. 7- ایج��د پلاگینی برای محافظت از وبلاگ شما در مقابل درخواست آدرس های مضر مشکل: هکرها و افراد خرابکار اغلب از برنامه های مخرب برای پیدا کردن رخنه های امنیتی و حمله به نقاط ضعف وبلاگ استفاده می کنند. وردپرس به طور پیش فرض دارای امکانات حفاظتی خوبی است، اما افزایش آن امکان پذیر است. راه حل: کد زیر را در یک فایل متنی قرار داده و آن را نام blockbadqueries.php ذخیره کنید. هنگامی که شما این کار را انجام دادید، آن را در آدرس wp-content/plugins آپلود کنید و آن را مانند هر پلاگین دیگری در تنظیمات وردپرس فعال کنید. حال وبلاگ شما در برابر درخواست های مخرب محافظت می شود.
    <?php
    /*
    Plugin Name: Block Bad Queries
    Plugin URI: http://perishablepress.com/press/2009/12/22/protect-wordpress-against-ma...
    Description: Protect WordPress Against Malicious URL Requests
    Author URI: http://perishablepress.com/
    Author: Perishable Press
    Version: 1.0
    */
    
    global $user_ID; 
    
    if($user_ID) {
      if(!current_user_can('level_10')) {
        if (strlen($_SERVER['REQUEST_URI']) > 255 ||
          strpos($_SERVER['REQUEST_URI'], "eval(") ||
          strpos($_SERVER['REQUEST_URI'], "CONCAT") ||
          strpos($_SERVER['REQUEST_URI'], "UNION+SELECT") ||
          strpos($_SERVER['REQUEST_URI'], "base64")) {
            @header("HTTP/1.1 414 Request-URI Too Long");
    	@header("Status: 414 Request-URI Too Long");
    	@header("Connection: Close");
    	@exit;
        }
      }
    }
    ?>
    توضیح کد: کاری که این کد انجام می دهد بسیار ساده است. این کد شروع به بررسی درخواست هایی با رشته بیش از حد طولانی (بیش از 255 کاراکتر) یا وجود تابع پی اچ پی 64 بیتی(base64) در یک آدرس می کند. اگر یکی از این شرایط برقرار شود، افزونه خطای 414 را به مرورگر نفوذگر ارسال می کند. 8- حذف شماره نسخه وردپرس مورد استفاده مشکل: همانطور که ممکن است بدانید، وردپرس به طور خودکار شماره نسخه ای را که از آن استفاده می کنید، در بالای صفحات وبلاگ شما نمایش میدهد. اگر وبلاگ شما همیشه با آخرین نسخه ورد پرس به روز باشد (که مطمئنا بهتر است همیشه این کار را انجام دهید) این نکته کاملا بی ضرر است. اما اگر به دلایلی وبلاگ شما به روز نباشد، وردپرس همچنان شماره نسخه را نمایش داده و هکرها از این نکته مهم به نفع خود سوء استفاده زیادی خواهند کرد. مثلا باگ هایی که کشف شده و در نسخه های بعدی رفع شده اند، هنوز در سایت شما باز و دراختیار هکرها هستند. راه حل: کد زیر را در فایل functions.php از پوسته فعال وردپرس وارد کنید. سپس فایل را ذخیره کرده، وبلاگ خود را ریفرش (به روز رسانی تغییرات) کنید شماره نسخه وردپرس دیگر در سربرگ وبلاگ مشاهده نخواهد شد.
    remove_action('wp_head', 'wp_generator');
    توضیح کد: برای اجرای برخی اقدامات خاص، وردپرس از مکانیزمی به نام «قلاب» (“hooks”) استفاده می کند، که به شما امکان گیر انداختن یک تابع توسط تابع دیگر را می دهد. تابع wp_generator ، که نمایش نسخه وردپرس را برعهده دارد، با کد بالا گیر خواهد افتاد. هرگاه اراده کنیم می توانیم با استفاده از تابع remove_action() این قلاب را حذف کرده و از اجرای آن جلوگیری کنیم. 9-تغییر نام کاربری ادمین پیش فرض مشکل: حملات Brute force یکی از ساده ترین راه ها برای کشف رمزعبور هستند. روش ساده است: مهاجم آنقدر رمزهای عبور مختلفی که احتمال می دهد را امتحان می کند، تا رمزعبور صحیح را کشف کند. کاربران مهاجمی که از روش آزمون و خطا استفاده می کنند، از دیکشنری ها به عنوان اصلی ترین ابزار سود می برند، که به آنها انواع ترکیبات با معنی از حروف را برای کشف رمز عبور را ارائه می دهد. اما دانستن نام کاربری شما قطعا کار را برای حدس زدن ترکیب رمزعبور درست برای آنها آسان تر می کند. به همین دلیل است که شما همیشه باید نام کاربری پیش فرض را که عبارت است از کلمه “admin” به چیزی تغییر دهید که سخت تر بتوان آن را حدس زد. توجه داشته باشید که وردپرس 3.0 اجازه انتخاب نام کاربری مورد نظر خود به صورت پیش فرض را می دهد. بنابراین ، این نکته در مواقعی مفید است که هنوز هم از کلمه کلیشه ای و قدیمی “admin” برای حساب کاربری وردپرس خود استفاده می کنید. راه حل: اگر شما هنوز نام کاربری “admin” را تغییر نداده اید، به سادگی SQL زیر را در پایگاه داده (دیتابیس) خود اجرا کنید. البته قبل از آن نام کاربری مورد نظرتان را با عبارت Your New Username جایگزین کنید.
    UPDATE wp_users SET user_login = 'Your New Username' WHERE user_login = 'Admin';
    توضیح کد: نام های کاربری در پایگاه داده ذخیره می شوند. برای تغییر یکی از این نام ها، تنها کافی است که از کوئری Update استفاده کنید. توجه داشته باشید که این query پست های نوشته شده توسط نام کاربری “admin” را به نام کاربری جدید انتقال نمی دهد. با مطالعه مطلب
    «13 سوال SQL مفید وردپرس که آرزو می کردید زودتر میدانستید» 
    می توانید به راحتی مشکل تغییر نام نویسنده پست ها را برطرف نمایید. 10- جلوگیری از مرور دایرکتوری مشکل: به طور پیش فرض، بیشتر میزبان ها اجازه فهرست کردن دایرکتوری را به کاربر می دهند. بنابراین ، اگر شما عبارت www.yourdomain.com/wp-includes را در نوار آدرس مرورگر وارد کنید (به جای yourdomain نام وبلاگ یا سایت خود را باید بنویسید)، قادر خواهید بود همه فایل های موجود در آن پوشه را ببینید. این قطعا یک ریسک امنیتی است، زیرا هکر می تواند آخرین باری که فایل ها را مدیر وبلاگ یا سایت تغییر داده و یا ویرایش کرده است را مشاهده نموده و به فایلها دسترسی داشته باشد. راه حل: فقط کافی است کد زیر را برای پیکربندی آپاچی به فایل. htaccess اضافه کنید :
    Options -Indexes
    توضیح کد: لطفا توجه داشته باشید که صرفا به روز رسانی فایل robots.txt وبلاگ با دستور
    Disallow: /wp*
    
    کافی نیست. این امر تنها از ایندکس شدن دایرکتوری وردپرس (wp-directory) جلوگیری می کند، اما قادر به پیشگیری کاربران از مشاهده فایلها نیست.
    برای اطلاعات بیشتر می توانید مقاله انگلیسی را مطالعه کنید
    
    منبع: نگهبان
  • 33 قالب بسیار زیبا و رایگان برای وردپرس

    امروز وقتی داشتم امار بازدید کنندگان سایتم را چک می کردم متوجه امار خیره کننده مشاهده سایت از طریق گوگل و همچنین جستوجوی کلمه قالب رایگان وردپرس شدم. برام به شخصه حیلی جالب هست که این همه جست و جو برای پیدا کردن قالب ان هم وردپرس !؟ به هرحال دیدم بد نیست این قالب های بسیار زیبا را با شما به اشتراک بگذارم. قالب های زیر انگلیسی می باشند و برای فارسی سازی انها می توانید از طریق لینک تماس با ما با من در ارتباط باشید

    Untitled-1

    1.Modern Gorgeous

    Demo

    2.Flora

    Demo

    3.Indyg

    Demo

    4.Trilo

    Demo

    5.Almalot

    Demo

    6.Coral

    Demo

    7.Mina

    Demo

    8.Runone

    Demo

    9.Sofya

    Demo

    10.Liliya

    Demo

    11.ColorZone

    Demo

    12.96Degree

    Demo

    13.Light Folio

    Demo

    14.Silva

    Demo

    15.Gunie

    Demo

    16.Mello

    Demo

    17.Magprince

    Demo

    18.Imagination

    Demo

    19.Magforest

    Demo

    20.Leonid

    Demo

    21.Beautiful Modern

    Demo

    22.Stunning Press

    Demo

    23.Furvious

    Demo

    24.Taupe

    Demo

    25.Elegant Magazine

    Demo

    26.Bright sky

    Demo

    27.Modern Blue

    Demo

    28.Katana

    Demo

    29.Kodzilla

    Demo

    30.PREMIUM Modern

    Demo

    31.Liberation

    Demo

    32.Typepress

    Demo

    33.Cool Blue

    Demo
  • 10 قالب مینیمال برای وردپرس

    این روز ها وبلاگ نویس ها خیلی ترجیح می دهند مطالبی کوتاه بنویسند چون اکثر خوانندگان وبلاگ دیگه حوصله خواند مطالبی طولانی را ندارند و امروز سایتی را دیدم که چند قالب زیبا برای مینیمال نویسان گذاشته بود بد نیست انها را شما هم ببینید و همچنین اگر خواستید می توانید در خواست خود را  ازطریق فرم ارتباط با ما برایم بفرستید تا ان قالب برای شما فارسی شود.

    Un.complicated

    minimal themes

    The Standard

    minimal themes

    Lifestreaming White

    minimal themes

    Clear

    minimal themes

    The Daily Grind

    minimal themes

    Blue Bubble

    minimal themes

    Minimal Press

    minimal themes

    Foliogrid

    minimal themes

    Clean Home

    minimal themes

    Vostok

    minimal themes
  • طراحی سایت رایگان

    در این عرصه جنگ نرم خوشبختانه با افتخار می بینم که وبلاگ نویسان ارزشی عزیزی هستند که در سرویس های وبلاگ نویسی مشغول به نوشتن مطالبی بسیار ارزشمند و فاخری هستند متاسفانه وقتی  این وبلاگ ها را باز می کنم می بینم که ازگرافیک و طراحی خوبی برخوردار نیست. البته چند وقتی هم هست که سرویس دهنده های وبلاگ نویسی ایرانی متاسفانه از سر لج و لج بازی ویا ... متاسفانه وبلاگ های دوستان گرانقدر ارزشی نویس را مسدود می کنند . در همین سو از دوستان عزیز ارزشی که می خواهند وبسایت مستقلی داشته باشند دعوت می کنم تا با کمک خودشان در طراحی یک وبسایت کامل و مستقل برایشان طراحی نماییم. درصورت افتخار به بنده و تیم ما خوشحال می شوم با کلیک بر روی این قسمت و درخواست خود را برای بنده ارسال نمایند. امید وارم بتوانم کمک کوچکی در این عرصه جنگ نرم کرده باشم و قلب نازنین حضرت مهدی (عج) و رهبر عزیزم را خشنود و راضی بگردانم