md3848

آیا این مشکل امنیتی تو وردپرس نسخه جدید برطرف شده یا نه؟؟؟؟

13 پست در این موضوع قرار دارد

سلام خدمت دوستان

والا من هنوز تو سایتم مدیر ندارم ولی اگه داشته باشم از طریق صفحه زیر فکر کنم بشه حکش کرد و پسورد اون مدیر رو به دست ابرد و بعد از طریق افزودن افزونه یا قالب بشه شلر تو سایت آپلود کرد و....>>>> :wacko:

http://dmf313.ir/wp-login.php?action=lostpassword

صفحه موبوط فراموش کردن رمز عبور>>>>>>حالا به این روش حک چی میگن من نمیدنم>>>شما میدونید؟؟؟؟؟

حالا من نمیدونم این مشکل تو نسخه های جدید پردپرس حل شده است یا نه؟؟؟؟؟؟؟؟؟؟

برای حلش باید چیکار کنم من؟؟؟؟؟؟؟؟؟؟؟ :blink: >>>>>>>>> :wub:

0

به اشتراک گذاری این پست


لینک به پست

توی این برگه، اولاً که رمز رو به کاربر نمیده، و اصلاً چنین چیزی غیرممکنه، چرا که پسورد به صورت Hashed توی دیتابیس ذخیره میشه و حتی خود وردپرس هم نمیدونه رمز چیه، فقط هربار که رمزعبوری وارد میشه، وردپرس اونم هش میکنه و با پسورد دیتابیس چک میکنه.

توی صفحه ای که شما میفرمایید، وردپرس یه رمز تصادفی انتخاب میکنه و سیوش میکنه و بعد رمزجدید رو به ایمیل اون کاربر میفرسته. بنابراین هک شدن از این طریق فقط با دسترسی به ایمیل طرف ممکنه. خیالتون راحت، هیچکس اینطوری نمیتونه هکتون کنه.

2

به اشتراک گذاری این پست


لینک به پست

درسته حرف شما ولی من فیلم حک یه سایت وردپرسی رو دیدم که نام کاربری رو وارد کرد و بعد پسوردی که به ایمیل طرف ارسالب شده بود رو به وسیله ی نرم افزار به دست ابرد و بعد سایت رفت رو هوا.... :wacko:

پس این همه میگن نام کاربری مدیر سایت رو مخفی کنید برا چی میگن؟؟؟؟؟

0

به اشتراک گذاری این پست


لینک به پست

سلام

اول از همه اون حکی که شما میگید معناش حک کردن از قبیل حکاکی هست!!(مثل اینکه روی سنگ قبر حک میکنند) و هک درست هست.

دوم: نام کاربری مدیر رو میگن مخفی کنید تا هکر بتونه نام کاربری رو هم حدس بزنه و یکم براش سخت تر بشه...

دوم: با یه نرم افزار گرفت هک کرد مشکل ضعف رمز کاربر بود.. اینهمه میگن رمز قوی انتخاب کنید رمز قوی انتخاب کنید دقیقا برای همین مشکل بوده...

سوم: برای اینکه نرم افزار هم نتونه عمل کنه باید تعداد دفعات لاگین کردن رو محدود کنید(به طور پیشفرض نیست) یعنی مثلا اگر 5 بار اشتباه وارد کرد سیستم قفل بشه تا 15 دقیقه... یا در صورت اشتباه وارد کردن رمز تا 5 بار آی پی بن بشه و...

نامکاربری ادمین رو هم یه چیز خیلی تابلو مثل admin نزارید که البته موارد دو و سه رو رعایت کنید مشکل خاصی پیش نمیاد...

در ضمن بهتره که روی پوشه wp-admin هم رمز بزارید...(اگر سیستم عضویتی ندارید، یعنی کاربران عمومی ندارید)

3

به اشتراک گذاری این پست


لینک به پست

نه شما دقیق حرف من رو متوجه نشدین

من میگم مثلا طرف میره تو صفحه مربوط به "فراموشی رمز عبور">>>بعد نام کاربری یا ایمیل یکی از مدیر ها(مدیر و نه مدیر کل سایت) رو میزنه و حالا باید رمز جدید به ایمیل طرف ارسال بشه در همون حین رمز عبوری که برا ایمیل طرف ارسال میشه رو توسط یه نرم افزار پیدا میکنه و میفمه که چه چیزی به ایمیل طرف ارسال شده....

ok???

به املا من گیر وگرنه تا شب باید ازم غلظ املایی بگیری <_<

0

به اشتراک گذاری این پست


لینک به پست

عزیز این حرف شما جک هست... اینجوری که میشه نصف سایت های جهان رو از بزرگ تا کوچیکش رو درجا هک کرد که!!!

اولا رمزی ارسال نمیشه به ایمیل... دوما یه لینک فرستاده میشه به ایمیل که اگه روش کلیک بشه میشه از داخل اون لینک پسورد رو ریست کرد... سوما بله اگه ایمیل طرف هک شده باشه سایتش رو میشه درجا هک کرد...

درضمن برای همین هست که از یک ایمیل عمومی برای سایتتون استفاده نکنید.. یک ادرس ایمیلی استفاده کنید که هیچکس ادرسش رو نداره غیر خودتون...

2

به اشتراک گذاری این پست


لینک به پست

آقا جک میگی یعی چی حرف دهنتون و بفهمید- همش ما هیچی نمیگیم شما هم هرچی از دهنت میاد به ما میگی

0

به اشتراک گذاری این پست


لینک به پست

آقا جک میگی یعی چی حرف دهنتون و بفهمید- همش ما هیچی نمیگیم شما هم هرچی از دهنت میاد به ما میگی

دوست عزسز ایشان به کسی بی احترامی نکردن

اگه ممکنه لینک فیلم آموزش هک رو بزارید تا بررسی کنیم

اما غیر ممکنه...!

1

به اشتراک گذاری این پست


لینک به پست

آقا جک میگی یعی چی حرف دهنتون و بفهمید- همش ما هیچی نمیگیم شما هم هرچی از دهنت میاد به ما میگی

البته من نمیدونم کجای این حرفم توهین آمیز بود... ولی قصد جسارت نداشتم، هدف رسوندن مطلب بود که نرسید... من عذر میخوام از شما و امیدوارم دوستان بتونن بهتون کمک کنند. :wub:

2

به اشتراک گذاری این پست


لینک به پست

البته من نمیدونم کجای این حرفم توهین آمیز بود... ولی قصد جسارت نداشتم، هدف رسوندن مطلب بود که نرسید... من عذر میخوام از شما و امیدوارم دوستان بتونن بهتون کمک کنند.

:wub:

ای بابا این شکلک ها چقدر کم هستن>>>شکلک مورد نظرم نبود>>>> نه بابا این چه حرفیه.... :wub:>>> منم وقتی میبنم که سایتی که مثلا پشتیبانی وردپرس هستش این طور ما رو پشتیبانی میکنه ... میشم>>> بعد با یه حرف سریع عکس العمل نشون میدم>>>....

حالا ایمیل از خود هاست باشه بهتره یا گوگل یا یاهو یا ایرانی ها(مثلا چاپار میل و...) یا خارجی های یگه(مثلا هات میل و...)

یاهو با توجه به این که ایران رو تحریم کرده>>>ملی باز میشه ایمیل ساخت>>ولی اگه پسوردش رو گم کردی دیگه :wacko: >>> با توجه به این که هنگام وارد کردن شماره موبایل >>ایران رو نداره>>>حالا کاری ندارم شاید هم من بلد نیستم پسوردش رو ریست کنم>>>البته برا ایمیل قبلیم(قبل تحریم ساخته شده)>>> تو ریست کردن پسورد مشکلی ندارم ولی ایمیل های بعد تحریم ساخته شده رو نمیتونم... :angry:

لذا اگه یه وقت پسورد وردپرس رو یادم رفت دیگه....>>>> البته فکر کنم بشه پسورد رو از طریق دیتابیس پیدا کرد>>ولی یه سوال اون MD5 تو ستون فانکشن

(تو دیتابیس و تو wp-user)چی هستش و چرا باید انتخابش کنیم؟؟؟؟؟

ویرایش شده در توسط md3848
0

به اشتراک گذاری این پست


لینک به پست

درسته حرف شما ولی من فیلم حک یه سایت وردپرسی رو دیدم که نام کاربری رو وارد کرد و بعد پسوردی که به ایمیل طرف ارسالب شده بود رو به وسیله ی نرم افزار به دست ابرد و بعد سایت رفت رو هوا.... :wacko:

پس این همه میگن نام کاربری مدیر سایت رو مخفی کنید برا چی میگن؟؟؟؟؟

در نسخه های قبلی میشد که key از database برداشت و تغییر داد اما پچ شده

نام کاربری میزدند و فراموشی رمز عبو هم میزدند بعد در نسخه های قدیمی یک key تولید میشد که به ادرس بار اضافه میکردید میتونستی رمز مدیر عوض کنید اما الان اینطور نیست و random تولید میشن و باگ پچ

------

سعی کنید تا احترام یکدیگر داشته باشید تا این جمع دوستانه از بین نرود

موفق و پایدار باشید

1

به اشتراک گذاری این پست


لینک به پست

دقیقا روشش همین طور بود. :D >>>>>از نسخه چند به بعد وردپرس این مشکل برطرف شده؟؟؟؟؟

0

به اشتراک گذاری این پست


لینک به پست

دقیقا روشش همین طور بود. :D >>>>>از نسخه چند به بعد وردپرس این مشکل برطرف شده؟؟؟؟؟

بله در نسخه 3.8 به بالا پچ شد و key ها مغیر تولید میشوند و بر حسب الگوریتم خاص

2

به اشتراک گذاری این پست


لینک به پست

برای ارسال نظر یک حساب کاربری ایجاد کنید یا وارد حساب خود شوید

برای اینکه بتوانید نظر ارسال کنید نیاز دارید که کاربر سایت شوید

ایجاد یک حساب کاربری

برای حساب کاربری جدید در انجمن ما ثبت نام کنید. عضویت خیلی ساده است !


ثبت نام یک حساب کاربری جدید

ورود به حساب کاربری

دارای حساب کاربری هستید؟ از اینجا وارد شوید


ورود به حساب کاربری