alireza crs 6 ارسال شده در مهر 91 گزارش بازنشر ارسال شده در مهر 91 با سلام،طی چند ماه اخیر شاهد نفوذ به سیستم های مدیریت محتوای Wordpress بودیم که hacker بدون داشتن رمز عبور مدیریت با ارسال درخواست های خاصی با متود POST به wp-admin قادر به دور زدن رمز عبور ( bypass ) و ورود به بخش مدیریت بوده و پس از آن به کل سیستم مدیریت محتوا و همچنین هاست دسترسی خواهد داشتاین حفره امنیتی خطرناک که در آخرین نسخههای wordpress نیز وجود دارد، هنوز به طور رسمی منتشر نشده و به شکل private میباشد و به همین دلیل wordpress هنوز patch و securirty fix رسمی جهت رفع این نقیصه ارائه نکردهبا توجه به اینکه این ضعف امنیتی میتواند منجر به دسترسی کامل hacker به کل هاست و سایت شود، جهت جلوگیری از هرگونه نفوذ و سوء استفاده اکیداً توصیه میشود از طریق cPanel بخش Password Protection حتماً روی مسیر wp-admin کلیه نسخههای wordpress خود یک رمز ثانویه قرار دهید، در این صورت hacker بدون داشتن آن رمز قادر به ارسال درخواست به wp-admin و نفوذ نخواهد بوداینو از یه سایت که که اینو برای اولین بار گذاشت برداشت کردم که تاریخش به 22 خرداد امسال برمی گشتدوستای من چند تا هک شدگی داشتند که من فکر میکنم مربوط باشهدوستان من متخصص وردپرس نیستم ایا به نظر شما این درست یانه؟ نقل قول لینک به ارسال
MohammadHossein 267 ارسال شده در مهر 91 گزارش بازنشر ارسال شده در مهر 91 سلاممن این خبر رو هیچوقت از یک منبع معتبر خارجی یا داخلی ندیدمبعد از این خبر هم فکر کنم وردپرس سه یا 4 بار آپدیت شده و اگر هم بوده در نسخه های جدید پچ شدهدر هر صورت شما برای اطمینان میتونید یه رمز دوم برای فایل wp-admin از طریق هاست بزارید 2 نقل قول لینک به ارسال
Black_Sky 6349 ارسال شده در مهر 91 گزارش بازنشر ارسال شده در مهر 91 البته اين دوستمون هم صحيح ميگويند اما همان طور كه خودتون گفتيد مال خرداد ماه استخوب اما اين اين بروز رساني ها كاملا باگ ها برطرف شده اما فقط 2 يا 3 تا مانده كه كار هر كسي نيستكه بهترين راه هم همان قرار دادن رمز دوم بر روي wp-admin هست كه دوستمون گفتند كه اين كار فقط با هاست انجام ميشود 3 نقل قول لینک به ارسال
مرتضی نظری 4182 ارسال شده در مهر 91 گزارش بازنشر ارسال شده در مهر 91 اما اين اين بروز رساني ها كاملا باگ ها برطرف شده اما فقط 2 يا 3 تا مانده كه كار هر كسي نيستشما از کجا میدونید فقط 2-3 تا باگ باقی مونده؟خب اگه باگ هاشو میدونید برید به وردپرس دات ارگ خبر بدین تا پچش کنند دیگه؟ 2 نقل قول لینک به ارسال
Black_Sky 6349 ارسال شده در مهر 91 گزارش بازنشر ارسال شده در مهر 91 من قصد جسارت به مديران ندارممن ئر سايت زير مطالعه كرئم و يه صري هم گذاشته بودلينك نقل قول لینک به ارسال
MohammadHossein 267 ارسال شده در مهر 91 گزارش بازنشر ارسال شده در مهر 91 من قصد جسارت به مديران ندارممن ئر سايت زير مطالعه كرئم و يه صري هم گذاشته بودلينكدوست عزیز باگ انتشار یافته از افزونه های وردپرس خیلی خیلی زیاده،همین دیروز یه باگ جدید از یکسری افزونه مثل wp-imagezon پیدا کردم که با اون میشه فایل کانفیگ رو خوند ماا این دلیل نمیشه که وردپرس مشکلی داشته باشه،وردپرس کلا باگ منتشر شده نداره و اگر هم داشته باشه منتشر نشده و زیاد هم نیست 2 نقل قول لینک به ارسال
عبدالماجد 3203 ارسال شده در مهر 91 گزارش بازنشر ارسال شده در مهر 91 بعضی وقتا از شنیدن حفره امنیتی یا باگ امنیتی مو به تن بعضیا سیخ میشه به این نکات دقت کنید :90 درصد اوقات یک باگ امنیتی به این سادگی ها پیدا نمیشه و حتما یک نفر یا یک گروه مدتها روی برنامه ای کار میکنند تا یک باگ با درجات امنیتی مختلف (زیاد متوسط یا کم ) پیدا میکنند و بعد از پیدا کردن باگ به این راحتی اونو منتشر نمیکنند بلکه اول خودشون استفاده ی کافی رو میبرن و بعد از یه مدت اون باگ رو منتشر میکنن که اکثر اوقات قبل از انتشار رسمی، نسخه ی جدید برنامه ی مورد دار که پچ شده منتشر میشه و در اینصورت کاربران به روز از شر اون باگ در امان خواهند بود ولی اگه قبل از پچ شدن باگ هم اون حفره منتشر بشه مطمئن باشید به زودی پچ میشه و کاربران میتونند به روز رسانی رو انجام بدن و خیالشون راحت باشه.اینو در نظر داشته باشید : امنیت صد در صد در دنیای مجازی خیال و توهمی بیش نیست !پس خودتون هم باید دست به کار بشید و یک سری فیلتر های اضافی برای سایت در نظر بگیرید تا در صورت وجود باگ ، خیالتون راحت باشه . 8 نقل قول لینک به ارسال
alireza crs 6 ارسال شده در مهر 91 مالک گزارش بازنشر ارسال شده در مهر 91 شما میگید که باید روی پوشه wp-admin رمز بذاریم.در حالی که با این که باید رمز رو با کاربرانی که عضو سایت هستند بدیم یا عضو گیری رو متوقف کنیم نقل قول لینک به ارسال
Morteza 34190 ارسال شده در مهر 91 گزارش بازنشر ارسال شده در مهر 91 برای افزایش امنیت کارهای خاصی میشه انجام داد.ولی برای امنیت پشوه wp-admin همیشه مشکلاتی وجود داشته 2 نقل قول لینک به ارسال
alireza crs 6 ارسال شده در مهر 91 مالک گزارش بازنشر ارسال شده در مهر 91 مشکلی که هست اینه که اگه روی پوشه wp-admin رمز بذاریم باید رمزو به کاربران عضو سایت هم بدیم تا بتونن وارد سایت بشن و این یعنی اینکه رمزو به هکر ها هم بدیم یا اینکه باید عضو گیری رو متوقف کنیمراه حل دیگه ای نیست؟ نقل قول لینک به ارسال
rezaonline 2655 ارسال شده در مهر 91 گزارش بازنشر ارسال شده در مهر 91 من توی جریان اون باگ نیستم دقیق اما شما یه افزونه کپچا برای قسمت لاگین بذار تا فعلاً از کرک کردن پسورد جلوگیری بشه ، به توجه به اینکه عضو گیری هم داری پس لازمه .برای رمز گذاشتن هم روی پوشه wp-admin ، من یکی نذاشتم ، یه شیر یا خط بنداز ببین چی میاد 3 نقل قول لینک به ارسال
imanfakhar 26231 ارسال شده در مهر 91 گزارش بازنشر ارسال شده در مهر 91 مشکلی که هست اینه که اگه روی پوشه wp-admin رمز بذاریم باید رمزو به کاربران عضو سایت هم بدیم تا بتونن وارد سایت بشن و این یعنی اینکه رمزو به هکر ها هم بدیم یا اینکه باید عضو گیری رو متوقف کنیمراه حل دیگه ای نیست؟می تونید اگر سایت ارزشمندی دارید کمی هزینه کنید و بخشی محدود را برای کاربری بسازید که کاربران با ادمین کاری نداشته باشند حتی بخش ارسال مطلب رو هم می شه آورد بیرون ومحدودش کرد به textonly اما اینکارها وقتی لازمه که برای مدیر سایت بصرفه ولی اگر برای مدیر نصرفید می شه یه نتیجه ی دیگه هم گرفت پس برای هکر ها هم نمی صرفه کسانی که وقت و انرزیشون رو برای هک می گذارند به دنبال تصاحب چیز های با ارزشند نه اسیب رسوندن به ما 6 نقل قول لینک به ارسال
rezaonline 2655 ارسال شده در مهر 91 گزارش بازنشر ارسال شده در مهر 91 اگر برای مدیر نصرفید می شه یه نتیجه ی دیگه هم گرفت پس برای هکر ها هم نمی صرفهاینو باید با آب طلا نوشت ! 3 نقل قول لینک به ارسال
alireza crs 6 ارسال شده در مهر 91 مالک گزارش بازنشر ارسال شده در مهر 91 می تونید اگر سایت ارزشمندی دارید کمی هزینه کنید و بخشی محدود را برای کاربری بسازید که کاربران با ادمین کاری نداشته باشند حتی بخش ارسال مطلب رو هم می شه آورد بیرون ومحدودش کرد به textonly اما اینکارها وقتی لازمه که برای مدیر سایت بصرفه ولی اگر برای مدیر نصرفید می شه یه نتیجه ی دیگه هم گرفت پس برای هکر ها هم نمی صرفه کسانی که وقت و انرزیشون رو برای هک می گذارند به دنبال تصاحب چیز های با ارزشند نه اسیب رسوندن به مامنظور شما رو نفهمیدم.یعنی کاری که وقتی عضو گیری میکردیم کاربران انجام میدادند بدون عضو گیری انجام دهند؟خوب اینجور که خیلی بد میشه.مثلاهر کس و بی کسی هرچه قدر خواست مطلب ارسال کنه و من نتونم جلوشو بگیرم.یا نتونم ادامه مطلب رو برای اعضا نشون بدممن پیشنهاد میکنم که یه پوشه جدا طراحی کنیم(مثل user)بعد هر کاربر عضوی رو اونجا ثبت کنیم به جز مدیر.همچنین هرکی خواست لاگین کنه باید اطلاعاتش یا تو پوشه wp-admin باشه یا پوشه جدیدبعد باید یه تغیراتی بدیم که هرکی عضو میشه اطلاعاتش تو پوشه جدید ثبت شه و مدیر هم تو پوشه قبلی موجود هست.فکر کنم بشه با تغییر موتور یا هسته وردپرس اینکارو کرد البته باید خیلی حرفه ای باشیم 1 نقل قول لینک به ارسال
Saeed Fard 4740 ارسال شده در مهر 91 گزارش بازنشر ارسال شده در مهر 91 درود ;اصلا تاپيك رو دنبال نكردم و نميدونم بحث سر چي هستش .. ولي در مورد پست اول و اين باگي كه ميگيد قبلا صحبت شده بود و من در اينجا گفتم كه اصلا چنين چيزي وجود نداره ..موفق باشيد ../. 4 نقل قول لینک به ارسال
rezaonline 2655 ارسال شده در مهر 91 گزارش بازنشر ارسال شده در مهر 91 جناب علیرضا ظاهراً شما با نحوه مدیریت محتوا در وردپرس آشنا نیستید .اطلاعات در دیتابیس ذخیره میشوند نه در دایرکتوری ها ! 3 نقل قول لینک به ارسال
Black_Sky 6349 ارسال شده در مهر 91 گزارش بازنشر ارسال شده در مهر 91 داداش من شما اگه رمز دوم روی ادمین بگذارید دیگه نباید به کسی بدید این فقط یه محافظ ساده هستفقط باید به ادمین ها بدیلینک زیر هم کار آمد هست ببینلینک 2 نقل قول لینک به ارسال
مرتضی نظری 4182 ارسال شده در مهر 91 گزارش بازنشر ارسال شده در مهر 91 سلاممنظور شما رو نفهمیدم.یعنی کاری که وقتی عضو گیری میکردیم کاربران انجام میدادند بدون عضو گیری انجام دهند؟نه منظور آقای فخار عزیز،این نبود،بلکه این بود که کاری بشه که کاربران نیاز به پوشه ادمین نداشته باشند.ببینید از اونجایی که کاربران از wp-login.php استفاده میکنند برای وردود.پس بنابر این اگه کاربران و نویسنده های معمولی به wp-admin دسترسی نداشته باشند بلکه یک پنل دیگری که محدود تر هست و کارهای زیادی نمیشه توش انجام داد اکتفا بشه.خیلی بهتره.البته بستگی به سطح دسترسی اون کاربر باید داشته باشه و داره...با این وجود میشه روی پوشه مدیریت رمز دوم هم گزاشت که کاربران نیازی به اون نداشته باشند...این کار شدنی هست.مثلا تو پوسته p2 که از کمپانی اتوماتیک ارائه شده،کاربری که وارد سایت شده میتونه از داخل خود سایت مطلب بنویسه(دقیقا مثل شبکه های اجتماعی)البته شبکه های اجتماعی هم مثال مناسبی هستند.چون بخش مدیریت خود کاربر با مدیریت ناظمین و بخش مدیریت مدیران کاملا فرق داره و از هم جداست... توی این طرح هم دقیقا اینچنین هست.یعنی هرکسی یک پنل خواصی داره که بستگی به سطح دسترسی خودش بهش امکانات داده میشه...البته بازم حرف آقا ایمیان رو تکرار میکنم.که فرمودند چنین کارهایی رو معمولا کسانی انجام میدهند که سایت هاشون خیلی ارزشمند باشه تا هکر وسوسه بشه...وگرنه کی میاد تا وبلاگ شخصیی منو هک کنه؟ اصلا هک کنه چی گیرش میاد؟ 2 نقل قول لینک به ارسال
imanfakhar 26231 ارسال شده در مهر 91 گزارش بازنشر ارسال شده در مهر 91 منظور شما رو نفهمیدم.یعنی کاری که وقتی عضو گیری میکردیم کاربران انجام میدادند بدون عضو گیری انجام دهند؟خوب اینجور که خیلی بد میشه.مثلاهر کس و بی کسی هرچه قدر خواست مطلب ارسال کنه و من نتونم جلوشو بگیرم.یا نتونم ادامه مطلب رو برای اعضا نشون بدممن پیشنهاد میکنم که یه پوشه جدا طراحی کنیم(مثل user)بعد هر کاربر عضوی رو اونجا ثبت کنیم به جز مدیر.همچنین هرکی خواست لاگین کنه باید اطلاعاتش یا تو پوشه wp-admin باشه یا پوشه جدیدبعد باید یه تغیراتی بدیم که هرکی عضو میشه اطلاعاتش تو پوشه جدید ثبت شه و مدیر هم تو پوشه قبلی موجود هست.فکر کنم بشه با تغییر موتور یا هسته وردپرس اینکارو کرد البته باید خیلی حرفه ای باشیماین پیشنهاد شما همون چیزیه که عرض کردم اگر براتون بصرفه می تونید با هزینه کردن ایجادش کنید نقل قول لینک به ارسال
arman100000 1264 ارسال شده در مهر 91 گزارش بازنشر ارسال شده در مهر 91 كلا زياد نگران هك نباشيد هكر ها معمولا سراغ سايت هاي بزرگ ميرن تا سايت هاي عادي ...حتي با اين احتمال كم اگر روزي سايت شما هك شود به جرئت ميگم 99.9% مشكل از هاست هست نه وردپرس !!!پس اگر سايت پر منفعتي داريد بر روي يك هاست خوب ميزباني كنيد (با بكاپ) و خيالتان راحت باشد !!!با برنامه havij (اگه اشتباه نكنم :دي) سايتتون رو اسكن كنيد تا از ضعف هاي اون با خبر بشيد !!! نقل قول لینک به ارسال
پست های پیشنهاد شده
به گفتگو بپیوندید
هم اکنون می توانید مطلب خود را ارسال نمایید و بعداً ثبت نام کنید. اگر حساب کاربری دارید، برای ارسال با حساب کاربری خود اکنون وارد شوید .