• اطلاعیه ها

    • Saeed Fard

      آگهی استخدام برنامه نویس و پشتیبان وردپرس   13/12/95

      آگهی استخدام برنامه نویس و پشتیبان وردپرس
       
      2 نفر پشتیبان سایت وردپرسی
      ⁃ آشنا به برنامه نویسی قالب و پلاگین وردپرس 
      ⁃ توانایی راه اندازی سایت، قالب و افزونه های وردپرسی 
      ⁃ توانایی برنامه نویسی PHP در حد متوسط 
      ⁃ اطلاعات عمومی وب بالا 
      ⁃ توانایی پاسخگویی نوشتاری به سوالات انگلیسی با گرامر ساده 
      ⁃ آشنایی با HTML/CSS/jQuery 
      ⁃ دارای روحیه کار تیمی، خلاق، مسئولیت‌پذیر و پشتکار بالا ——— ۲ نفر برنامه نویس قالب وردپرس
      ⁃ تسلط به HTML/CSS/jQuery و Bootstrap
      ⁃ توانایی تبدیل HTML به قالب وردپرس
      ⁃ توانایی برنامه نویسی PHP و پلاگین نویسی وردپرس در حد متوسط
      ⁃ آشنایی به اصول سئو 
      ⁃ آشنایی با Git/subversion مزیت محسوب می‌شود.
      ⁃ دارای روحیه کار تیمی، خلاق، مسئولیت‌پذیر و پشتکار بالا ——— ۱ نفر طراح UI/UX
      ⁃ طراحی خلاقه وب سایت
      ⁃ طراحی با جدیدترین استایل‌های طراحی سایت
      ⁃ مسلط به تایپوگرافی انگلیسی و طراحی وب سایت انگلیسی
      ⁃ انتقاد پذیری و قبول بازخوردهای تیم و مشارکت با دیگر اعضاء تیم برای سرعت بخشیدن به فرایند انجام پروژه
      ⁃ آشنایی و درک HTML/CSS/jQuery
      ⁃ دارای روحیه کار تیمی، خلاق، مسئولیت‌پذیر و پشتکار بالا
      ⁃ امکان همکاری به صورت پروژه‌ای و دورکاری در این موقعیت شغلی فراهم است ——— مزایای کار در مجموعه گرودیا
      ⁃ تجربه ناب کار در سطح یک جهانی
      ⁃ محیط کار بسیار دوستانه و آرام
      ⁃ پرداخت های مناسب و سر وقت
      ⁃ کلاس های آموزشی داخلی به جهت بالا بردن دانایی و توانایی همه اعضا   از علاقه‌مندان و نیازمندان تقاضا می‌شود لطفا رزومه کاری خود را با قید موقعیت شغلی به ایمیل info@grodea.co ارسال نمایید.
    • Morteza

      سال 1396 خورشیدی مبارک   29/12/95

      سال 1396 خورشیدی مبارک
rasivell

سايتمان هك شد و سوال ها....

15 پست در این موضوع قرار دارد

سلام ، ببخشيد دوستان عزيز ،‌ بنده با همين نام كاربري از سال 85 تا 87 توي پروژه نيوك مشهد تيم روي بخش سئو و بخشي از قسمت هاي ديگه فعاليت داشتم ،‌ بعد از اون هم به سمت مووبل تايپ رفتم و تو اونجا هم همين نام كاربري روداشتم و روي پروژشون در بخش سئو و همچنين بخش هاي ديگه كمي فعاليت كردم !‌ و بعد از اون هم به سمت وردپرس امدم و خب اين سيستم خيلي كامله و افراد فوق حرفه اي روش كار ميكنن كه نيازي به اين نبوده كه بنده بخوام كاري بكنم.

سالهاست كه با هاست ها و سرور ها كار ميكنم ولي با سرور به صورت مستقيم توي امنيتش در ارتباط نبودم. ، رشته ام اي تي هستش و در مقطع كار داني هستم.

تجربياتم زياد بودن و براي اين اينها رو گفتم كه بدونيد اگر ميگم سايت هك شده بود يه وقت دوستان نگن كه اشتباه ميكني و هك نبوده و......

داشتيم پست ميداديم كه متوجه شدم ارور از فانگشن ها داره ميده ، يه لحظه رفتم توي صفحه اصلي و با كمال نا باوري ديدم بله يه صفحه مشكي رنگه كه نامرداي نا مسلمان به پيامبرمان بي احترامي كرده بودن چون تو اسم سايت ما نام ايران هم هست ، و خب عكسا و فيلم هاي .... از يوتيوپ و كلي توضيح از كاري كه كردن و.... نميخوام امنيت وردپرس بره زير سوال كه بي شك از بي توجهي شركت هاستينگ هم بوده ولي خب ميشه گفت امنيت هيچ اسكيريپتي 100 درصد نيست

من وارد هاست شدم ديدم بله يه اسكريپت نوشته متشكل از چند صفحه PHP و تو روت اپلودشون كرده از طريق يه فايلي به نا (اسمش زشته) كه تو بخش پوشه ها اپلود كرده بوده تونسته اون فايل رو اپلود كنه و به كمك اون فايل ها داره چيزي رو كه ميخواد وارد روت ميكنه و همه چي رو تغير ميده! پوشه اينكلود رو حذف كرده و جنگ ما شروع شد!!! ايشون تا ساعت 2 صبح فقط فايل اپلود ميكرد و ما حذف ميكرديم و از اونجا كه عرض كردم بنده تو امنيت مستقيما دخيل نبودم تو سرورها ،‌ لذا نميدونستم واقعا بايد چيكار كنم! متوجه شدم كه ايشون تو چند تا از فولدر ها فايل هايي رو اپلود كرده و توسط اونه كه داره اينطوري سايت و هاست رو مديريت ميكنه براي خودش! خب من سريع رمز هاست رو عوض كردم! ديدم نام ديتابيس رو تغير داده ، اونم درستش كردم و يه بكاپ گرفتم ازش ، و بعد سريع تمام روت رو با هرچي فايل توش بود رو پاك كردم! اپلود ها قطع شد و گويا دسترسيش ديگه رو سايت نبود! خب بعدش وردپرس رو اپلود كرده ،‌نام ديتابيس رو تغير دادم تو فايل كانفيگ هم همه چي رو درست كردم (تو پرانتز بگم كه تو اين پروسه حذف فايل ها از روت سايت ،‌ فولدر تمپ رو حذف نكردم فقط) بعد فولدر تمپ رو بردم تو بخش تمپ ها تا لود بشه و با هزار دردسر سايت لود شد ولي دوباره همون ارور هك رو سايت بود و اون عكسا و حرفا!!!!!!!!!!

خب حدس زدم به قالب نفوز كرده و ديدم بله چند فايل با اسم هاي خيلي زشت درست كره و تو ريشه اصلي قالب اپود كرده بوده و چون من فولدر قالب رو حذف نكرده بودم ، اونا سرجاش بود كه كلا اونم پاك كردم و از دوباره اپلود كردم و ميشه گفت اين تمام تجربه اي بود كه بنده كسب كردم ديشب!‌شب عيدي كلي حرص و غصه خورديم و رنج كشيديم!!! خيلي احساس ظعف ميكردم اون لحظه و وارد فروم ميشدم ببينم از شما دوستان كسي هست كمكم كنه ولي متاسفانه دير وقت بود و كسي نبود :( ، ولي الان احساس امنيت دارم كه شما دوستان هستد كه بنده رو راهنمايي كنيد :wub:

بنده به هر طريق بود همه چي رو درست كردم و كوچك ترين ضربه اي به اطلاعاتمون نخورده و شكر خدا فقط چون اون لحظه بالاي سايت بودم چيزيش نشد

چند تا سوال دارم و براي همين اين تاپيك رو ايجاد كردم:

(اول نظرتون رو كلا درباره گفته هاي فوق بگيد و اگر امكان داره به سوالات به ترتيب جواب بديد. البته لطفا و بنده شرمنده ام كه اين خواسته رو كردم.... )

1- يك هفته قبل تو پيشخوان بودم صفحه رو رفرش كردم ديدم لاگ اوت شدم و هر چي رمز رو دوباره وارد كردم ديدم نه وارد نميشه و سريع رمز رو بازيابي كردم و عوض كردم ! (من رمزهارو دستي وارد نميكنم و از قوي ترين برنامه جهان براي رمز سازي يعني كي پس استفاده ميكنم و دستي نيست! ) و خب اين مشكل چند باري رخ داد و همچنين ديشب قبل هك هم اتفاق افتاد! ميخوام بدونم حفره اي در وردپرس هست ، ؟؟ اگر هست گزارشي چيزي بديم چون ايشون راحت رمز من رو همش عوض ميكردم

2- من ميخوام بدونم ايشون با چه IP وارد سايت شده بوده و اون هك رو انجام داده بوده و IP اين شخص رو ببندم! حاضرم از مديران كسي اگر نياز داره اطلاعات پنل و هاست رو بدم كه اگر راهي داره IP اين شخص رو به دست بيارم... خيلي برام مهمه.

3- توصيه شما دوستان ومديران با تجربه در اين زمينه براي اينجانب با توجه به گفته ها چيه..؟ متشكرم

به اشتراک گذاری این پست


لینک به پست
به اشتراک گذاری در سایت های دیگر

1- بله همیشه وردپرس باگ هایی داره که عمومی نیست و بوسیله اون میشه سایت رو زد. بیشترینش از طریق خود بخش مدیریت هست.

متاسفانه خیلی از این باگ ها زمان میبره تا عمومی بشه و بعد عمومی شدن سریع پچ میشه.

2- شما به مدیر سرور اطلاع دادید؟ میتونه لاگ ها رو بازبینی کنه. سرور رو اسکن کنه. البته معمولا خود سرور باید کانفیگ هایی انجام بده تا به این راحتی روی سرور شل اجرا نشه.

3- شما هیچ وقت وردپرس رو نمیتونید صددرصد امن کنید. چون باگ ها رو نمیشناسید. پس بهترین کار استفاده از موارد امنیتی هست(که خیلی ها رو در بخش امنیت مطرح کردیم).

اما مهمتر از اونامنیت خود سرور هست.

به اشتراک گذاری این پست


لینک به پست
به اشتراک گذاری در سایت های دیگر

متشكرم....

خب ميشه لااق ادم بدونه اين حفره ها چي هستن كه مراقبش باشه؟؟ مثلا چطوري اينقدر راحت همش داشت رمز رو هي عوض ميكرد قبل هك !!

2- بله اطلاع دادم ولي جمعه است هنوز پاسخ ندادن! خودم پس نميتونم متوجه اون اي پي بشم درسته؟

كدام بخش دقيقا؟؟ ميشه لينكش رو بديد ممنونم

به اشتراک گذاری این پست


لینک به پست
به اشتراک گذاری در سایت های دیگر

من تاپيك زير رو پيدا كردم

چطوري ميتونم پسوند وردپرس رو توي جداول پايگاه داده عوض كنم؟؟؟ چند باري گفته شده بود! بلد نيستم!! و اينكه مشكلي پيش نمياد؟؟؟

و باز توي يه بخش اقا مرتضي گفتن كه اين فايل رو براي امنيت بيشتر به فايل htaccess اضافه كنيد چون خود وردپرس پيشنهاد داده و منبع هم داديد! خب چرا خودش پيشفرض اينارو نميزاره؟؟؟؟

به اشتراک گذاری این پست


لینک به پست
به اشتراک گذاری در سایت های دیگر

سلام

در مورد این هکی که گفتی طرف معلومه یکی از انواع شل رو روی هاستت آپ کرده مثلن c99 و میتونه همه جای سایت بچرخه و تغییر بده

+ حرف های آقا مرتضی که گفت باگ وجود داره و خب طبیعتن نباید انتشار پیدا کنه چون بعد از اون هرکی بلند میشه سایتارو درو میکنه

یکی از باگ هایی که از وردپرس 2.9 به بعد توی wp بود که تا 3.4.1 هم برطرف نشده و حالا بالاترو نمیدونم چون تست نکردم این بود که خیلی راحت میتونستی از طریق پوشه wp-admin یه سری دستورات رو اجرا کنی و ....

برای همین بود که خیلی توصیه میشد روی wp-admin پسورد بزارین

بحث امنیت خیلی مفصله و نیاز به وقت و حوصله داره اما چند تا کار مهم مثل همین رمز عبور رو پوشه و بستن دسترسی مستقیم به wp-config و حتی انکود کردن این فایل با انکدری مثل ioncube میتونه موثر باشه

وجود آنتی شل روی سرور و چک کردن دسترسی ها بهفایل ها و ... هم موثر هست

و در مورد اینکه شما میگی ip فرد رو به دست بیاری باید بگم که اینو مطمعن باش که طرف یا هر کسِ دیگه که هک میکنه هیچوخت با ip خودش اینکارو نمیکنه مگه اینکه مبتدی و تازه کار باشه

تو سایت های خارجی در مورد امنیت وردپرس خیلی مقاله های خوبی هست میتونی از اونا همکمک بگیری

موفق باشید

به اشتراک گذاری این پست


لینک به پست
به اشتراک گذاری در سایت های دیگر

سلام متشكرم...

روي اين پوشه رمز گذاشتم الان.. wp-admin

حالا براي اين فايل wp-config تغير دسترسي بدم؟ مشكلي پيش نمياد؟ و يا نه كار ديگه اي بكنم؟ چون از اينكدر كه گفتيد چيزي نميدونم

درمورد توضيحاتتونم بايد بگم كه متشكرم...

به اشتراک گذاری این پست


لینک به پست
به اشتراک گذاری در سایت های دیگر

خواهش میکنم وظیفست

نه نیازی نیست کاری کنید فقط این کد رو به htaccess. اضافه کنید :


<files wp-config.php>
order allow,deny
deny from all
</files>

به اشتراک گذاری این پست


لینک به پست
به اشتراک گذاری در سایت های دیگر

[احساس ميكنم اقا مرتضي با ما قهره :دي اخه من زياد مزاحمش ميشم]

خب متشكرم لطف كرديد..

اين كد رو هم كه اقا مرتضي گفته بودن رو ميخوام اضافه كنم ولي ميخوام بدونم ايا مشكلي پيش نمياد؟ مثلا اينكه توي اپديت هاي افزونه ها و... كلا خوبه اضافه كنيم يا خير:

http://forum.wp-pars...8%b3/#entry1506


# Block the include-only files.
RewriteEngine On
RewriteBase /
RewriteRule ^wp-admin/includes/ - [F,L]
RewriteRule !^wp-includes/ - [S=3]
RewriteRule ^wp-includes/[^/]+\.php$ - [F,L]
RewriteRule ^wp-includes/js/tinymce/langs/.+\.php - [F,L]
RewriteRule ^wp-includes/theme-compat/ - [F,L]

راستي بزرگ و كوچيك نوشتن حروف تفاوتي نداره توي اين فايلhtaccess. ؟؟؟

متشكرم

ویرایش شده در توسط rasivell

به اشتراک گذاری این پست


لینک به پست
به اشتراک گذاری در سایت های دیگر

کد بالا مشکلی ایجاد نمیکنه. بیشتر برای قطع دسترسی مستقیم (از طرف وب) به پوشه اینکلود هست.

بزرگی و کوچیکی هم حساسه.

[احساس ميكنم اقا مرتضي با ما قهره :دي اخه من زياد مزاحمش ميشم]

وقتی دوستان دارن درست راهنمایی میکنن چرا پست بدم؟ :)

به اشتراک گذاری این پست


لینک به پست
به اشتراک گذاری در سایت های دیگر

وقتی دوستان دارن درست راهنمایی میکنن چرا پست بدم؟ :)

راست میگه دیگه

راهنمایی شما کجا راهنمایی ماها کجا

فرق استاد و شاگرد همینه دیگه :P

به اشتراک گذاری این پست


لینک به پست
به اشتراک گذاری در سایت های دیگر

کد بالا مشکلی ایجاد نمیکنه. بیشتر برای قطع دسترسی مستقیم (از طرف وب) به پوشه اینکلود هست.

بزرگی و کوچیکی هم حساسه.

وقتی دوستان دارن درست راهنمایی میکنن چرا پست بدم؟ :)

متشكرم ... خب پس با اين وضعيت بايد گفت كه اونايي كه شما نوشتيد رو دقيقا كپي كنيم و بزرگ و كوچيكش رو عوض نكنيم درسته؟؟

بله حق با شماست من اشتباه فكر كرده بودم :)

به اشتراک گذاری این پست


لینک به پست
به اشتراک گذاری در سایت های دیگر

با یکی از دوستای هکر بحث سر مسابقه شد گفت تو یک سایت رو امن کن من سریعاً پایینش میارم . گفتم نکنه دیداس میکنی ؟ گفت آره !

خوب منم گفتم طبیعتا مقابله با دیداس قوی حتی کار خیلی از سرورهای مدعی هم نیست چه برسه که یک نفر که هیچ دسترسی به مدیریت سرور نداره بتونه ازش جلوگیری کنه .

ببینید یک هکر کارکشته همیشه میتونه برای نفوذ یک راه پیدا بکنه اگه وردپرس شما بالاترین امنیت رو هم داشته باشه هم طرف میتونه از طریق سرور نفوذ رو انجام بده.

ولی شما لااقل میتونی راه رو براش سخت کنی.

یادمه چند وقت پیش از یه سایت (مال دوستم بود برای تست) شل گرفتم ولی نتونستم به راحتی فایل ایندکسش رو عوض کنم چون روش فیلترهای زیادی گذشاته بود که به راحتی دیفیس نشه .

دوستان در مورد تایپیک آموزش قدم به قدم امنیت بگم سوالاتون رو توی تایپیک مربوطش بپرسید و حتما تایپیک رو تا آخر انجام بدید . روش تغییر دادن پیشوند جداول توی پست های بعدی توضیح داده شده .

به اشتراک گذاری این پست


لینک به پست
به اشتراک گذاری در سایت های دیگر

متشكرم... مطالعه ميكنم حتما. ديگه ترس وجودم رو فرا گرفته....

به اشتراک گذاری این پست


لینک به پست
به اشتراک گذاری در سایت های دیگر

خواهش میکنم وظیفست

نه نیازی نیست کاری کنید فقط این کد رو به htaccess. اضافه کنید :


<files wp-config.php>
order allow,deny
deny from all
</files>

اين كد چيكار ميكنه؟

به اشتراک گذاری این پست


لینک به پست
به اشتراک گذاری در سایت های دیگر

اين كد چيكار ميكنه؟

جلوگیری میکنه از اجرای مستقیم فایل کافیگ

به اشتراک گذاری این پست


لینک به پست
به اشتراک گذاری در سایت های دیگر

برای ارسال نظر یک حساب کاربری ایجاد کنید یا وارد حساب خود شوید

برای اینکه بتوانید نظر ارسال کنید نیاز دارید که کاربر سایت شوید

ایجاد یک حساب کاربری

برای حساب کاربری جدید در انجمن ما ثبت نام کنید. عضویت خیلی ساده است !


ثبت نام یک حساب کاربری جدید

ورود به حساب کاربری

دارای حساب کاربری هستید؟ از اینجا وارد شوید


ورود به حساب کاربری