رفتن به مطلب

حفره امنیتی خطرناک در wordpress


mob-98

پست های پیشنهاد شده

با سلام،

طی چند ماه اخیر شاهد نفوذ به سیستم های مدیریت محتوای Wordpress بودیم که hacker بدون داشتن رمز عبور مدیریت با ارسال درخواست های خاصی با متود POST به wp-admin قادر به دور زدن رمز عبور ( bypass ) و ورود به بخش مدیریت بوده و پس از آن به کل سیستم مدیریت محتوا و همچنین هاست دسترسی خواهد داشت

این حفره امنیتی خطرناک که در آخرین نسخه*های wordpress نیز وجود دارد، هنوز به طور رسمی منتشر نشده و به شکل private می*باشد و به همین دلیل wordpress هنوز patch و securirty fix رسمی جهت رفع این نقیصه ارائه نکرده

با توجه به اینکه این ضعف امنیتی می*تواند منجر به دسترسی کامل hacker به کل هاست و سایت شود، جهت جلوگیری از هرگونه نفوذ و سوء استفاده اکیداً توصیه میشود از طریق cPanel بخش Password Protection حتماً روی مسیر wp-admin کلیه نسخه*های wordpress خود یک رمز ثانویه قرار دهید، در این صورت hacker بدون داشتن آن رمز قادر به ارسال درخواست به wp-admin و نفوذ نخواهد بود

جهت مشاهده آموزش تصویری Password Protection در cPanel
کلیک کنید

با تشکر

منبع: هاست دی ال |

دوستان حقیقت داره؟

لینک به ارسال

دوست عزيز شما اگه اين مطلب رو بخونيد


http://www.yekweb.com/security-on-the-wordpress/

كه من در مهر ماه 90 نوشتم ، كاملا اين موضوع رو گفتم و متذكر شدم ، يعني اين مسئله از همون ابتدا بود و الان يك چيزه خيلي پيش پا افتاده هستش و هر كسي كه از وردپرس استفاده ميكنه بايد اين رو بدونه و اينكار رو براي دايركتوري wp-admin انجام بده .. هاستينگ‌ها هم براي اينكه به مشكل نخورند و اتفاقايي نظير هك براي سروراشون پيش نياد كه اعتبارشون زير سوال نره مجبورند اسمش رو حفره‌ي امنيتي ( باگ ) بزارند كه كاربران از ترس سريعا عمل كنند ، واگر نه چنين باگي وجود نداره ، از طرفي هم هيچ اطلاعي از منابع رسمي وجود نداره واگر نه تا به اينجا رفع ميشد ..

موفق باشيد ../.

لینک به ارسال
  • 1 ماه بعد...

آقا یه مشکلی دارم من وقتی روی این پوشه wp-admin رمز می ذارم ورودی های موتور جستجو هم دیگر رمز می خوان همه جا سایت رمزی میشه باید چی کرد

؟

لینک به ارسال

دايركتوري wp-admin چه ربطي به نتايج جستوجوي سايت شما داره ؟ اصلا بايد پوشه‌ي wp-admin توسط robots.txt بسته بشه تا ايندكس نشه ..


Disallow: /wp-admin/

لينك آنلاين بديد تا ببينيم دقيقا مشكل چي هستش ..

لینک به ارسال

آقا سعید دیگه ما که بی خود نمی گیم که بفرماید این آدرس نتایج گوگل مثلا این من امتحان کردم هروقت رمز رو از روی wp-admin بر می دارم به طور کاملا صحیح کار می کنه و هر وقت می گذارم همین صفحه رمز می آید حالا اگر هم خواستین آدرس هاست و یوزر رو برایتان پیام خصوصی می کنم...در نتایج جستجو tazeh.org سایت بنده هست.

لینک به ارسال

این موضوع ربطی به کد بالا نداره.

احتمالا مشکل شما از جای دیگه ایی هست.

لطفا مشکل رو در یک تاپیک جدید مطرح و پیگیری کنید.

لینک به ارسال

دوستان حقیقت داره؟

سلام. دقیقا یه نفر همین مشکل رو.حدود یه ماه پیش توی انجمن.وردپرس فارسی مطرح کرده بعد چند نفری تائیدش کردن اما آقای گناهکار گفته:" نه حقیقت نداره. یک منبع معتبر انگلیسی بگید." حالا چی می گید؟

حتی خودم بعضی از سایت های تقریبا محبوب ایرانی رو دیدم که این شاخه اش بازه و رمزی نداره. چطور طرف این قدر مطمئنه که هک نمیشه و رمزی نذاشته؟

لینک به ارسال

آقا یه مشکلی دارم من وقتی روی این پوشه wp-admin رمز می ذارم ورودی های موتور جستجو هم دیگر رمز می خوان همه جا سایت رمزی میشه باید چی کرد

؟

شما با فایل robots.txt می تونید موتورهالی جستجو را راهنمایی کنید

سایت اصلی

همچنین یک مقاله در مورد ساختش بخوانید

آقا سعید دیگه ما که بی خود نمی گیم که بفرماید این آدرس نتایج گوگل مثلا این من امتحان کردم هروقت رمز رو از روی wp-admin بر می دارم به طور کاملا صحیح کار می کنه و هر وقت می گذارم همین صفحه رمز می آید حالا اگر هم خواستین آدرس هاست و یوزر رو برایتان پیام خصوصی می کنم...در نتایج جستجو tazeh.org سایت بنده هست.

موضوع دروغ گفتن نیست ولی اگر درحالت اولیه موتورهای جستجو داخل پوشه ی ادمین شما را می گردند این نقص و ضعفه سایت شماست و همین می تونه باعث مشکلات زیادی بشه

لینک به ارسال

آقا سعید دیگه ما که بی خود نمی گیم که بفرماید این آدرس نتایج گوگل مثلا این من امتحان کردم هروقت رمز رو از روی wp-admin بر می دارم به طور کاملا صحیح کار می کنه و هر وقت می گذارم همین صفحه رمز می آید حالا اگر هم خواستین آدرس هاست و یوزر رو برایتان پیام خصوصی می کنم...در نتایج جستجو tazeh.org سایت بنده هست.

شما وقتی در وردپرس لوگین باشید و admin bar هم فعال باشه و روی wp-admin رمز گذاشته باشید هر وقت به صفحه های معمولی سایت خود بروید چون ادمین بار را نیز بالای آن لود می کند از شما رمز می خواهد. اگر لوگین نباشید رمزی نخواهد خواست. احتمالا مشکل شما همین است....

لینک به ارسال

آقا سعید دیگه ما که بی خود نمی گیم که بفرماید این آدرس نتایج گوگل مثلا این من امتحان کردم هروقت رمز رو از روی wp-admin بر می دارم به طور کاملا صحیح کار می کنه و هر وقت می گذارم همین صفحه رمز می آید حالا اگر هم خواستین آدرس هاست و یوزر رو برایتان پیام خصوصی می کنم...در نتایج جستجو tazeh.org سایت بنده هست.

دوست عزيزم منم كه يه وقت خدايي نكرده نميگفتم شما دروغ ميگي ، آقا ايمان عزيز هم گفتن ، لينك آنلاين خواستم تا متوجه موضوع بشم .. بهتره اين مورد رو در يك تاپيك جدا مطرح كنيد تا به كمك دوستان بررسي بشه ..

سلام. دقیقا یه نفر همین مشکل رو.حدود یه ماه پیش توی انجمن.وردپرس فارسی مطرح کرده بعد چند نفری تائیدش کردن اما آقای گناهکار گفته:" نه حقیقت نداره. یک منبع معتبر انگلیسی بگید." حالا چی می گید؟

حتی خودم بعضی از سایت های تقریبا محبوب ایرانی رو دیدم که این شاخه اش بازه و رمزی نداره. چطور طرف این قدر مطمئنه که هک نمیشه و رمزی نذاشته؟

دوست عزيز اگه تاپيك رو خونده باشيد متوجه ميشيد منم همين حرفارو زدم و رد كردم ، چنين چيزي وجود نداره و اصلا مشكل از وردپرس نيست و به سرور برميگرده .. يكبار ديگه بخونيد :

هاستينگ‌ها هم براي اينكه به مشكل نخورند و اتفاقايي نظير هك براي سروراشون پيش نياد كه اعتبارشون زير سوال نره مجبورند اسمش رو حفره‌ي امنيتي ( باگ ) بزارند كه كاربران از ترس سريعا عمل كنند ، واگر نه چنين باگي وجود نداره ، از طرفي هم هيچ اطلاعي از منابع رسمي وجود نداره واگر نه تا به اينجا رفع ميشد ..

اين مسئله حل شده هستش و به بحث احتياج نداره ، بعضي‌ها گذر واژه قرار ميدند و بعضي‌ها هم خير .. اوني هم كه رمز نذاشته از سرور مطمئن هستش ..

موفق باشيد ../.

لینک به ارسال

به گفتگو بپیوندید

هم اکنون می توانید مطلب خود را ارسال نمایید و بعداً ثبت نام کنید. اگر حساب کاربری دارید، برای ارسال با حساب کاربری خود اکنون وارد شوید .

مهمان
ارسال پاسخ به این موضوع ...

×   شما در حال چسباندن محتوایی با قالب بندی هستید.   حذف قالب بندی

  تنها استفاده از 75 اموجی مجاز می باشد.

×   لینک شما به صورت اتوماتیک جای گذاری شد.   نمایش به صورت لینک

×   محتوای قبلی شما بازگردانی شد.   پاک کردن محتوای ویرایشگر

×   شما مستقیما نمی توانید تصویر خود را قرار دهید. یا آن را اینجا بارگذاری کنید یا از یک URL قرار دهید.

×
×
  • اضافه کردن...