رفتن به مطلب

آیا این مشکل امنیتی تو وردپرس نسخه جدید برطرف شده یا نه؟؟؟؟


md3848

پست های پیشنهاد شده

سلام خدمت دوستان

والا من هنوز تو سایتم مدیر ندارم ولی اگه داشته باشم از طریق صفحه زیر فکر کنم بشه حکش کرد و پسورد اون مدیر رو به دست ابرد و بعد از طریق افزودن افزونه یا قالب بشه شلر تو سایت آپلود کرد و....>>>> :wacko:

http://dmf313.ir/wp-login.php?action=lostpassword

صفحه موبوط فراموش کردن رمز عبور>>>>>>حالا به این روش حک چی میگن من نمیدنم>>>شما میدونید؟؟؟؟؟

حالا من نمیدونم این مشکل تو نسخه های جدید پردپرس حل شده است یا نه؟؟؟؟؟؟؟؟؟؟

برای حلش باید چیکار کنم من؟؟؟؟؟؟؟؟؟؟؟ :blink: >>>>>>>>> :wub:

لینک به ارسال

توی این برگه، اولاً که رمز رو به کاربر نمیده، و اصلاً چنین چیزی غیرممکنه، چرا که پسورد به صورت Hashed توی دیتابیس ذخیره میشه و حتی خود وردپرس هم نمیدونه رمز چیه، فقط هربار که رمزعبوری وارد میشه، وردپرس اونم هش میکنه و با پسورد دیتابیس چک میکنه.

توی صفحه ای که شما میفرمایید، وردپرس یه رمز تصادفی انتخاب میکنه و سیوش میکنه و بعد رمزجدید رو به ایمیل اون کاربر میفرسته. بنابراین هک شدن از این طریق فقط با دسترسی به ایمیل طرف ممکنه. خیالتون راحت، هیچکس اینطوری نمیتونه هکتون کنه.

لینک به ارسال

درسته حرف شما ولی من فیلم حک یه سایت وردپرسی رو دیدم که نام کاربری رو وارد کرد و بعد پسوردی که به ایمیل طرف ارسالب شده بود رو به وسیله ی نرم افزار به دست ابرد و بعد سایت رفت رو هوا.... :wacko:

پس این همه میگن نام کاربری مدیر سایت رو مخفی کنید برا چی میگن؟؟؟؟؟

لینک به ارسال

سلام

اول از همه اون حکی که شما میگید معناش حک کردن از قبیل حکاکی هست!!(مثل اینکه روی سنگ قبر حک میکنند) و هک درست هست.

دوم: نام کاربری مدیر رو میگن مخفی کنید تا هکر بتونه نام کاربری رو هم حدس بزنه و یکم براش سخت تر بشه...

دوم: با یه نرم افزار گرفت هک کرد مشکل ضعف رمز کاربر بود.. اینهمه میگن رمز قوی انتخاب کنید رمز قوی انتخاب کنید دقیقا برای همین مشکل بوده...

سوم: برای اینکه نرم افزار هم نتونه عمل کنه باید تعداد دفعات لاگین کردن رو محدود کنید(به طور پیشفرض نیست) یعنی مثلا اگر 5 بار اشتباه وارد کرد سیستم قفل بشه تا 15 دقیقه... یا در صورت اشتباه وارد کردن رمز تا 5 بار آی پی بن بشه و...

نامکاربری ادمین رو هم یه چیز خیلی تابلو مثل admin نزارید که البته موارد دو و سه رو رعایت کنید مشکل خاصی پیش نمیاد...

در ضمن بهتره که روی پوشه wp-admin هم رمز بزارید...(اگر سیستم عضویتی ندارید، یعنی کاربران عمومی ندارید)

لینک به ارسال

نه شما دقیق حرف من رو متوجه نشدین

من میگم مثلا طرف میره تو صفحه مربوط به "فراموشی رمز عبور">>>بعد نام کاربری یا ایمیل یکی از مدیر ها(مدیر و نه مدیر کل سایت) رو میزنه و حالا باید رمز جدید به ایمیل طرف ارسال بشه در همون حین رمز عبوری که برا ایمیل طرف ارسال میشه رو توسط یه نرم افزار پیدا میکنه و میفمه که چه چیزی به ایمیل طرف ارسال شده....

ok???

به املا من گیر وگرنه تا شب باید ازم غلظ املایی بگیری <_<

لینک به ارسال

عزیز این حرف شما جک هست... اینجوری که میشه نصف سایت های جهان رو از بزرگ تا کوچیکش رو درجا هک کرد که!!!

اولا رمزی ارسال نمیشه به ایمیل... دوما یه لینک فرستاده میشه به ایمیل که اگه روش کلیک بشه میشه از داخل اون لینک پسورد رو ریست کرد... سوما بله اگه ایمیل طرف هک شده باشه سایتش رو میشه درجا هک کرد...

درضمن برای همین هست که از یک ایمیل عمومی برای سایتتون استفاده نکنید.. یک ادرس ایمیلی استفاده کنید که هیچکس ادرسش رو نداره غیر خودتون...

لینک به ارسال

آقا جک میگی یعی چی حرف دهنتون و بفهمید- همش ما هیچی نمیگیم شما هم هرچی از دهنت میاد به ما میگی

لینک به ارسال

آقا جک میگی یعی چی حرف دهنتون و بفهمید- همش ما هیچی نمیگیم شما هم هرچی از دهنت میاد به ما میگی

دوست عزسز ایشان به کسی بی احترامی نکردن

اگه ممکنه لینک فیلم آموزش هک رو بزارید تا بررسی کنیم

اما غیر ممکنه...!

لینک به ارسال

آقا جک میگی یعی چی حرف دهنتون و بفهمید- همش ما هیچی نمیگیم شما هم هرچی از دهنت میاد به ما میگی

البته من نمیدونم کجای این حرفم توهین آمیز بود... ولی قصد جسارت نداشتم، هدف رسوندن مطلب بود که نرسید... من عذر میخوام از شما و امیدوارم دوستان بتونن بهتون کمک کنند. :wub:

لینک به ارسال

البته من نمیدونم کجای این حرفم توهین آمیز بود... ولی قصد جسارت نداشتم، هدف رسوندن مطلب بود که نرسید... من عذر میخوام از شما و امیدوارم دوستان بتونن بهتون کمک کنند.

:wub:

ای بابا این شکلک ها چقدر کم هستن>>>شکلک مورد نظرم نبود>>>> نه بابا این چه حرفیه.... :wub:>>> منم وقتی میبنم که سایتی که مثلا پشتیبانی وردپرس هستش این طور ما رو پشتیبانی میکنه ... میشم>>> بعد با یه حرف سریع عکس العمل نشون میدم>>>....

حالا ایمیل از خود هاست باشه بهتره یا گوگل یا یاهو یا ایرانی ها(مثلا چاپار میل و...) یا خارجی های یگه(مثلا هات میل و...)

یاهو با توجه به این که ایران رو تحریم کرده>>>ملی باز میشه ایمیل ساخت>>ولی اگه پسوردش رو گم کردی دیگه :wacko: >>> با توجه به این که هنگام وارد کردن شماره موبایل >>ایران رو نداره>>>حالا کاری ندارم شاید هم من بلد نیستم پسوردش رو ریست کنم>>>البته برا ایمیل قبلیم(قبل تحریم ساخته شده)>>> تو ریست کردن پسورد مشکلی ندارم ولی ایمیل های بعد تحریم ساخته شده رو نمیتونم... :angry:

لذا اگه یه وقت پسورد وردپرس رو یادم رفت دیگه....>>>> البته فکر کنم بشه پسورد رو از طریق دیتابیس پیدا کرد>>ولی یه سوال اون MD5 تو ستون فانکشن

(تو دیتابیس و تو wp-user)چی هستش و چرا باید انتخابش کنیم؟؟؟؟؟

ویرایش شده توسط md3848
لینک به ارسال

درسته حرف شما ولی من فیلم حک یه سایت وردپرسی رو دیدم که نام کاربری رو وارد کرد و بعد پسوردی که به ایمیل طرف ارسالب شده بود رو به وسیله ی نرم افزار به دست ابرد و بعد سایت رفت رو هوا.... :wacko:

پس این همه میگن نام کاربری مدیر سایت رو مخفی کنید برا چی میگن؟؟؟؟؟

در نسخه های قبلی میشد که key از database برداشت و تغییر داد اما پچ شده

نام کاربری میزدند و فراموشی رمز عبو هم میزدند بعد در نسخه های قدیمی یک key تولید میشد که به ادرس بار اضافه میکردید میتونستی رمز مدیر عوض کنید اما الان اینطور نیست و random تولید میشن و باگ پچ

------

سعی کنید تا احترام یکدیگر داشته باشید تا این جمع دوستانه از بین نرود

موفق و پایدار باشید

لینک به ارسال

دقیقا روشش همین طور بود. :D >>>>>از نسخه چند به بعد وردپرس این مشکل برطرف شده؟؟؟؟؟

لینک به ارسال

دقیقا روشش همین طور بود. :D >>>>>از نسخه چند به بعد وردپرس این مشکل برطرف شده؟؟؟؟؟

بله در نسخه 3.8 به بالا پچ شد و key ها مغیر تولید میشوند و بر حسب الگوریتم خاص

لینک به ارسال

به گفتگو بپیوندید

هم اکنون می توانید مطلب خود را ارسال نمایید و بعداً ثبت نام کنید. اگر حساب کاربری دارید، برای ارسال با حساب کاربری خود اکنون وارد شوید .

مهمان
ارسال پاسخ به این موضوع ...

×   شما در حال چسباندن محتوایی با قالب بندی هستید.   حذف قالب بندی

  تنها استفاده از 75 اموجی مجاز می باشد.

×   لینک شما به صورت اتوماتیک جای گذاری شد.   نمایش به صورت لینک

×   محتوای قبلی شما بازگردانی شد.   پاک کردن محتوای ویرایشگر

×   شما مستقیما نمی توانید تصویر خود را قرار دهید. یا آن را اینجا بارگذاری کنید یا از یک URL قرار دهید.

×
×
  • اضافه کردن...