رفتن به مطلب

هشدار امنيتي فوق العاده


alikhani98

پست های پیشنهاد شده

عزيزان لطفا به نا به دلايل امنيتي همگي اين دو افزونه را بر روي سايت زيباي وردپرسي خود نصب كنيد

در غير اين صورت منتظر باشيد تا ياست شما هك شود

https://wordpress.org/extend/plugins/bet...-security/

https://wordpress.org/extend/plugins/lim...-attempts/

در صورت امكان بر روي پوشه مديريت پسوردگذاري كنيد

با تشكر پارسايي

و

متاسفانه نسخه 3.5.1 اجازه مي ده كه از ما بتونيم از پسوردهاي تصادفي استفاده كنيم و پسورد مديريت هك مي شه

نظر خود من اينه كه روي مديريت پسورد بذارين و از هيچ كدوم از اين افزونه ها استفاده نكنيد

ولي سايت وردپرس اين دو افزونه را معرفي كرده

منتظر نسخه 3.5.2 يا نسخه 3.6 باشيد

تنها میخواستم اطلاع رسانی کنم!

منبع

لینک به ارسال

آره خوندم، منظورم این بود که آخرش افزونه ها رو نصب کنیم یا پسورد بذاریم؟ حالا اصلا ایشون اصلا از کجا این رو گفتند؟ دوستان آیا تأیید می کنند؟

لینک به ارسال

تا جایی که من میدونم اینطور هک ها رو از طریق یه دیتابیس پسورد ، که مدام میاد و پسورد ها رو جایگزین میکنه تا اینکه یکیش درست در بیاد انجام میدن و در تمام مراحل نام کاربری رو پیشفرض که همون admin هست میزارن چون نمیدونن نام کاربری چیه ! به همین دلیل اگه نام کاربری تون رو عوض کردین و admin نیست زیاد نگران نباشید .

لینک به ارسال

من از قبلا همین افزونه محدود کردن ورود که تعداد وارد کردن رمز رو محدود می کنه رو نصب دارم، ولی تا حالا چند بار بهم ایمیل داده که یه یاروی سمجی می خواسته پسورد سایتت رو هک کنه که 24 ساعت آی پیش بسته شده، با اینکه یوزر من admin نیست!

آیا رباتها این کار رو می کنن، یا کار همین بازدید کننده های شیطونه؟ از شماها هم اینطور میشه و آیا می تونه تهدیدی باشه برای هک شدن سایت؟

لینک به ارسال

هدف این حمله وردپرس‌هایی هست که از نام کاریری admin با رمز آسون استفاده میکنن. افزونه‌ی مربوط به لیمیت کردن آی‌پی تاثیری در جلوگیری از حمله نداره چون تعداد آی‌پی‌ها بسیار بسیار زیاده.

اگر از نام کاربری admin استفاده میکنین با روش‌هایی که تو همین انجمن هم گفته شده تغییرش بدین و رمزتونم کلمات انگلیسی موجود در دیکشنری نباشه. به زبان ساده‌تر وقتی رمز شما چیزی شبیه به این باشه کاری از هکر ساخته نیست:

agha4tachaibebar2unotagh

;)

لینک به ارسال

میتونه هکر باشه،احتمالش هستش

نمونه اش سایت یک ادمین دوماه پیش هک شده بود!

تا جایی که من میدونم و خوندم برای پیدا کردن یه رمز 5 رقمی یه هکر اگه cpu اینتل core i7 داشته باشه فقط چند ساعت طول میکشه!

اما اگر رمز 7 رقمی باشه هکره ده روز کارشه پسورد را پیدا کنه! ^_^

لینک به ارسال

من که رمزم 17 رقمی هست و هیچ واژه معنادار انگلیسی هم توش نیست، فک کنم تا آخر عمرش باید بگرده :D

راستی مگه اصلا کاری داره بخوایی یوزر ادمین یه سایت رو تشخیص بدی؟ <_<

راستی اگه رمزمون قوی باشه و هاستمون هم درست و حسابی باشه باز هم جای ترس داره که هک شیم؟ ;)

لینک به ارسال

اول ببینید چه چیزی با چه ارزشی رو هکر می تونه از سایت شما به دست بیاره

بعد به اندازه ارزش اون اطلاعات برای حفظش هزینه کنید

این تنها راه مطمئنه ولی به غیر از این راه در همین حدی که دوستان گفتند در مورد تغییر نام کاربری ادمین و رمز های ترکیبی و طولانی و ترجیحا با استفاده از کارکترهای !@#$%&*?: بهترین راه حفاظت

لینک به ارسال

نمیشه کاری کرد که ورود ادمین فقط محدود بشه به یک یا چند آی پی خاص؟؟

فکر اونجاش رو هم کردم، اگه مشکل اضطراری پیش اومد بشه از دیتابیس آی پی ورود رو عوض کرد :D

لینک به ارسال

با سلام من چند روز پیش به دلیل عدم نصب دو مورد بالا هک و ساسپند!! شدم :)

لینک به ارسال

و چندتا نکته دیگر

از رمز هاس مشتکر استفاده نکنید چراکه با لـــــو رفتن یکی از رمز اکانت شما مثلاً آی دی یاهو شما ، دیگر اکانت ها و.... شما در خطر ها بود.

از اسم و فامیل و تاریخ تولد در هیچ صورت توی پسورد استفاده نکنید

استفاده از حروف بزرگ و کوچیک توی پسورد را هم پیشنهاد میکنم

از برنامه مدیریت پسورد استفاده کنید،همیشه فلاش پلیرت را بروز کن چون اکثر هک ها از سوی این برنامه هستش و......

نمیشه کاری کرد که ورود ادمین فقط محدود بشه به یک یا چند آی پی خاص؟؟

فکر اونجاش رو هم کردم، اگه مشکل اضطراری پیش اومد بشه از دیتابیس آی پی ورود رو عوض کرد :D

روی پوشه wp-admin در سی پنلت رمز بزار!

اینکار هم خوبه

لینک به ارسال

آخه سایت نویسنده و یوزرهای زیادی داره، اونا چی میشن؟

حالا اگه این کاری رو که گفتم بکنیم فک کنم تأثیر خوبی داشته باشه، چون من به جز لپ تاپ خودم با چیز دیگه ای نمی خوام وصل شم، خب اگه محدود به همین باشه خیلی عالی میشه

لینک به ارسال

شما آی پی اختصاصی داری ؟

اگه آی پی اختصاصی داری و ممکن هست که چند ماه همین آی پی رو داشته باشی ، دسترسی رو توسط htaccess به آی پی خودتون اختصاص بدید که تو بخش نویسنده ها به مشکل برمیخورید.

معمولا توی اینجور هک ها با یه سری دورک طرف رو پیدا میکنند ولی اگه سایتتون دشمن - رقیب داشته باشه این روش هک میتونه برای سایتتون خطرناک باشه ولی همونطور که دوستان گفتند این نوع حمله پسورد رو حدس میزنه و اگه پسورد مشکل باشه خیالتون راحت ;) .

لینک به ارسال
  • 1 ماه بعد...

من که نه یوزرم admin بود و نه پسوردم ساده. مشخص هم هست که هکر وارد مدیریت نشده چون هیچ مطلبی تغییر نکرده ولی سایت که میخواستم باز کنم پیغام هک شدن رو میداد. و ان اتفاق فقط برای سایت های وردپرسی افتاده بود پس مشخصه یه باگی یه جای وردپرس هست که رفع نشده چون چند سال قبل هم دقیقا همین اتفاق برام افتاده بود.

لینک به ارسال

البته بیشتر هک ها از طریق هاستتون هست و خیلی به شما مربوط نمیشه، هاستتون رو از جای معتبری باید تهیه کنید، اگر از افزونه یا قالب نال شده یا به روز نشده استفاده می کنید باز هم احتمالش هست که به خاطر اونا باشه

لینک به ارسال

به گفتگو بپیوندید

هم اکنون می توانید مطلب خود را ارسال نمایید و بعداً ثبت نام کنید. اگر حساب کاربری دارید، برای ارسال با حساب کاربری خود اکنون وارد شوید .

مهمان
ارسال پاسخ به این موضوع ...

×   شما در حال چسباندن محتوایی با قالب بندی هستید.   حذف قالب بندی

  تنها استفاده از 75 اموجی مجاز می باشد.

×   لینک شما به صورت اتوماتیک جای گذاری شد.   نمایش به صورت لینک

×   محتوای قبلی شما بازگردانی شد.   پاک کردن محتوای ویرایشگر

×   شما مستقیما نمی توانید تصویر خود را قرار دهید. یا آن را اینجا بارگذاری کنید یا از یک URL قرار دهید.

×
×
  • اضافه کردن...