Hacking

ممنون اما میخوام از دیتابیس اسکریپت قبلی استفاده کنم نه این که پلاگین جدیدی نصب کنم و دوباره روزی از نوع ..

با سلام من مدتی از question2answer در ساب دامین استفاده میکردم حالا میخوام question2answer رو با وردپرس ست کنم

مثل همیار وردپرس http://hamyarwp.com/asks/

http://ask.fullsecurity.org

راهش چیه /؟

برای این که کل سایت https بشه وارد دیتابیس بشید و از تیبل wp-options ادرس سایت رو از http به https عوض کنید

سلام از چه پیوند یکتایی استفاده کردید /؟

سلام پلاگین های امنیتی خودشون دارای مشکل هستن و بعضی وقت ها هم خودشون اسیب پذیری دارن

نمونش

https://fullsecurity.org/acc/18/%D9%85%D8%B4%DA%A9%D9%84-%D8%A7%D9%85%D9%86%DB%8C%D8%AA%DB%8C-wp-security-scan-acunetix-%D9%88%D8%B1%D8%AF%D9%BE%D8%B1%D8%B3.html

https://fullsecurity.org/acc/08/%D8%AD%D9%81%D8%B1%D9%87-%D8%AE%D8%B7%D8%B1%D9%86%D8%A7%DA%A9-%D8%AF%D8%B1-%D9%BE%D9%84%D8%A7%DA%AF%DB%8C%D9%86-%D8%A7%D9%85%D9%86%DB%8C%D8%AA%DB%8C-wp-security-%D9%88%D8%B1%D8%AF%D9%BE%D8%B1%D8%B3.html

بعدش باعث میشن سرعت لود وب سایت کاهش پیدا کنه و cpu سرور رو الکی مشغول میکنن که حتی ممکنه سایتتون ساسپند بشه

از نسخه 4.4 استفاده کنید نسخه 4.3 اسیب پذیری sql injection در هسته داره

https://fullsecurity.org/acc/09/%D8%A2%D8%B3%DB%8C%D8%A8-%D9%BE%D8%B0%DB%8C%D8%B1%DB%8C-sql-injection-%D8%AF%D8%B1-wordpress-4-2-3.html

با سلام بهتره این مطلب رو مطالعه کنید.

https://fullsecurity.org/acc/20/%D8%A8%D8%A7-%D9%86%D8%B5%D8%A8-%D9%BE%D9%84%D8%A7%DA%AF%DB%8C%D9%86-%D9%87%D8%A7%DB%8C-%D9%86%D8%A7%D9%84-%D8%B4%D8%AF%D9%87-%D8%B1%D8%A7%D8%AD%D8%AA-%D9%87%DA%A9-%D9%85%DB%8C%D8%B4%D9%88%D8%AF.html

گوگل در اقدام جدید html 5 رو به جای فلش در سایت یوتیوپ مورد استفاده قرار داده همچنین فایرفاکس

فاش شدن آسیب پذیری ادوبی فلش توسط Hacking Team

چند قبل در وب سایت digiato خبر از هک شدن کمپانی Hacking Team در اینترنت منتشر شد تیم Hacking Team اقدام به نفوذ به کامپیوتر شهروندان و استخراج داده های آنها و گزارش پلیس کشورهای مختلف در ردیابی و دستگیری مجرمین کمک می کرد که با فاش و منتشر شدن اطلاعات مهم و منابع این سایت آسیب پذیری ادوبی فلش با عنوان Adobe Flash opaqueBackground Use After Free در سطح اینترنت منتشر شد.

آسیب پذیری جدید قابل استفاده توسط metasploit میباشد که اکسپلویت نوشته شده به زبان روبی Ruby میباشد که با استفاده از ابزار متااسپلویت میتوان اقدام به هک کردن ویندوز و گرفتن دسترسی administrator نمود.

در حال حاضر نسخه های زیر اسیب پذیر میباشند.

Windows 7 SP1 (32-bit), IE11 and Adobe Flash 18.0.0.203,

Windows 7 SP1 (32-bit), Firefox 38.0.5 and Adobe Flash 18.0.0.194,

Windows 7 SP1 (32-bit), IE9 and Adobe Flash Flash 18.0.0.203,

Windows 7 SP1 (32-bit), Firefox + Adobe Flash 18.0.0.194,

windows 8.1, Firefox and Adobe Flash 18.0.0.203,

Windows 8.1, Firefox and Adobe Flash 18.0.0.160, and

Windows 8.1, Firefox and Adobe Flash 18.0.0.194

اکسپلویت کامل و نحوه سو استفاده در سایت cxsecurity و دیگر سایت های امنیتی موجود میباشد

منبع : http://fullsecurity.org/acc/15/%D9%81%D8%A7%D8%B4-%D8%B4%D8%AF%D9%86-%D8%A2%D8%B3%DB%8C%D8%A8-%D9%BE%D8%B0%DB%8C%D8%B1%DB%8C-%D8%A7%D8%AF%D9%88%D8%A8%DB%8C-%D9%81%D9%84%D8%B4.html

بله میشه به جای

oldpage.html ادرس صفحه تو بزار مثلا site.com/wordpress/page2 ادرس دیگه هم ادرس سایتی هست که میخوای انتقال پیدا کنه

سلام بریز تو htaccess

Redirect 301 /oldpage.html http://www.example.com/newpage.html

با سلام شما میتونی بدی یکی برات کانفیگ امنیتی کنه

یا از اسکنر هایی همانند rips استفاده کنی سورس رو انالیز میکنن همچنین پوسته رو بدی به سایت های معروفی مثل virus total برای اسکن شلر و فایل مخرب که معمولا اگه شلر باشه شناسایی میکنه اگه بکدور باشه بهترین گزینه همون rips هست یا حق

سلام کاربر گرامی میتونید برای امنیت از من مشاوره بگیرید یا حق

با سلام دوستان کامل توضیح دادن

شما قالب اماده خریدی دلیل نمیشه که امن باشه و بی باگ خیلی از پلاگین ها پوسته های معروف وردپرس که توی خیلی از ورژن های وردپرس وجود داشته دارای حفره بودن به طور مثال حفره Cross Site Script در پوسته پیشفرض Twenty Fifteen وردپرس یا حفره های دیگه که در وردپرس وجود داشت

وردپرس امن هست ولی نه 100٪ هر نسخه هم اراءه میشه باگ های جدید رفع میشه به طور مثال نسخه 4.1 که باگ Csrf تو کامنت ها پیدا شد یا باگ Xss توی نسخه 4.2 و..

پلاگین امنیتی هم توصیه نمیشه

همون طور که مهدی عزیز گفت در باگ sql injection همیشه اخطار موجب فهمیدن باگ نمیشه

باگ sql injection گاهی اوقات ارور در خود صفحه مشاهده نمیشه و باید سورس صفحه رو برسی کرد حتی زمانی که اقدام به اجرای دستورات در کوئری میکنی خروجی توی سورس میاد که در صفحه قابل مشاهده نیست

شما میتونی سورس صفحه رو با rips اسکن کنی اموزشش در سطح اینترنت موجوده همچنین خودم قبلا اموزش تهیه کردم همچنین اسکنر هایی مثل اکانتیکس و vega استفاده کنید

عزیز مطلب زیر رو مطالعه کن

https://fullsecurity.org/acc/20/%D8%A8%D8%A7-%D9%86%D8%B5%D8%A8-%D9%BE%D9%84%D8%A7%DA%AF%DB%8C%D9%86-%D9%87%D8%A7%DB%8C-%D9%86%D8%A7%D9%84-%D8%B4%D8%AF%D9%87-%D8%B1%D8%A7%D8%AD%D8%AA-%D9%87%DA%A9-%D9%85%DB%8C%D8%B4%D9%88%D8%AF.html

https://fullsecurity.org/acc/18/%D9%85%D8%A7%D9%81%DB%8C%D8%A7%DB%8C-%D9%88%D8%B1%D8%AF%D9%BE%D8%B1%D8%B3-%D8%A8%DA%A9-%D8%AF%D9%88%D8%B1-%D8%AF%D8%B1-%D9%BE%D9%88%D8%B3%D8%AA%D9%87-%D9%87%D8%A7%DB%8C-%D8%B1%D8%A7%DB%8C%DA%AF%D8%A7.html

https://fullsecurity.org/acc/16/%DA%86%DA%AF%D9%88%D9%86%D9%87-%D8%B3%D8%A7%DB%8C%D8%AA-%D9%88%D8%B1%D8%AF%D9%BE%D8%B1%D8%B3-%D8%AE%D9%88%D8%AF-%D8%B1%D8%A7-%D8%A7%D9%85%D9%86-%D9%86%DA%AF%D9%87-%D8%AF%D8%A7%D8%B1%DB%8C%D9%85.html

سلام دوستان

من قالب سایتم را با کمک پلاگین

WP Antivirus Site Protection

اسکن کردم...الان نشون می ده که یک ویروس روی قالب هست

Malware Type

php.cryptophp.pnginclude.379

وقتی درخواست پاک کردن ویروس را می زنم.. وارد صفحه پلاگین می شه تو بخش فروش آکانتش یعنی پولی هست

با توجه به این مساله ایا باید اهمیت بدم ؟ آیا ممکنه بازار یابی برای کار خودش باشه؟

من از اون موقع که این قالب را نصب کردم توی گوگل وب مستر مرتب warning ارور 500 مربوط به سایت مپ را می گیرم...قبل از نصب این قالب از این نظر مشکلی نداشتم....با یک سایت دیگه هم که تست کردم مرتب internal error می داد.... آیا ممکنه این ارور به خاطر ویروس داخل قالب باشه؟

سلام فایلی که تشخیص داده مخربه رو بزارید چک کنم

از cpanel پوسته رو پاک کنید برای امنیت بیشتر پیشنهاد میکنم فایل های وردپرس رو مجدد اپلود و با دیتابیس ست کنید همچنین لیست مدیران رو برسی کنید ممکنه یوزر جدید با دسترسی ادمین اضافه شده باشه

internal error هم دلایل زیادی میتونه داشته باشه

با سلام

Acunetix v10 نرم افزاری برای اسکن و شناسایی اسیب پذیری های یک وب سایت میباشد که وبسایت های شما را اسکن میکند و اگر مشکلی در مقابل باگ های SQL Injection, XSS و سایر حفره ها بود به شما سریعاً اطلاع میدهد.

امروزه تقریبا 70 درصد سایت های اینترنتی باگ و راه های نفوذ دارند بدون آنکه خودشان اطلاعی داشته باشند.

ورژن جدید رو میتونید از لینک زیر دانلود کنید.

https://fullsecurity.org/acc/25/%D8%AF%D8%A7%D9%86%D9%84%D9%88%D8%AF-%D8%A7%D8%B3%DA%A9%D9%86%D8%B1-%D8%A7%D9%85%D9%86%DB%8C%D8%AA%DB%8C-acunetix-v10-%D9%88%D8%B1%DA%98%D9%86-10.html

منبع: فول سکوریتی

سلام در صورتی که نیازی به ثبت نام کاربر در وردپرس ندارید از تنضیمات wp-admin/options-general.php میتونید عضویت رو غیرفعال کنید

آسیب پذیری WordPress Revslider 4.2.2 XSS

آسیب پذیری جدیدی در Revslider وردپرس کشف شد که با سو استفاده از این حفره میتوان اقدام به اجرای دستورات جاوا اسکریپت نمود

Revslider در نسخه های قبلی هم از آسیب پذیری هایه Xss , LFD بهره مند بود که در نسخه 4.2.2 نیز حفره Cross Site Script کشف و اکسپلویت شد.

همون طور که در تصویر زیر مشاهده میکنید Revslider همچنان آسیب پذیر میباشد

https://fullsecurity.org/acc/19/%D8%A2%D8%B3%DB%8C%D8%A8-%D9%BE%D8%B0%DB%8C%D8%B1%DB%8C-wordpress-revslider-4-2-2-xss.html

<IfModule mod_rewrite.c>

RewriteEngine On
RewriteCond !{HTTPS} off
RewriteRule ^(.*)$ https://www.%{HTTP_HOST}%{REQUEST_URI} [L,R=301]
RewriteCond %{HTTP_HOST} !^www\.
RewriteRule ^(.*)$ https://www.%{HTTP_HOST}%{REQUEST_URI} [L,R=301]

</IfModule>

سلام وردپرس رو روی https ست کنید احتمالا حل شه

با سلام امنیت سرور شما 0 میباشد

http://www.zone-h.com/archive/ip=144.76.25.217

همچنین با رعایت موارد امنیتی میشه تا حدودی در مقابل سرور ناامن مقاومت کرد :wub:

برای رفع این مشکل وارد فایل منیجر هاستتان شوید. فایل که مربوط به تنظیمات ورد پرس است با نام wp-config.php را بیابید و سپس کد زیر را به انتهای فایل فوق اضافه کرده و آن را Save کنید

if(is_admin()) {
add_******('filesystem_method', create_function('$a', 'return "direct";' ));
define( 'FS_CHMOD_DIR', 0751 );
}

دادا شما خوندی مشکلات من رو ؟ شما نظری نداری ؟

آدرس هم اینه : http://www.mokamelshop.com

که البته سایت رو برای مشکلاتی که بوه فعلا صفحه اصلی رو بستم و گذاشتم در حال تعمیر

عزیز سایت رو باز کن ببینم مشکل چیه سرورت مشکلی نداره !

با بستن سایت چیزی عوض نمیشه

لینک زیر بهتون کمک میکنه

https://fullsecurity.org/acc/20/%db%b1%db%b0-%d8%b1%d9%88%d8%b4-%d8%a8%d8%b1%d8%a7%db%8c-%d8%a7%d9%81%d8%b2%d8%a7%db%8c%d8%b4-%d8%a7%d9%85%d9%86%db%8c%d8%aa-%d9%88%d8%b1%d8%af%d9%be%d8%b1%d8%b3.html

پوسته و همچنین وردپرس رو از کجا دانلود کردی؟

چند حالت داره یوزر جدیدی در دیتابیس سایت شما با دسترسی مدیریت اضافه شده که با ست کردن دیتابیس با وردپرس جدید دوباره سایت هک میشه !

اگر پوسته رو از سایت های خارجی غیر معتبر دانلود کردی با قرار دادن سورس شلر در پوسته یا عکس اقدام به دیفیس سایت میکنند چون Deface سایت شما بدردشون نخورده برای افزایش بازدید اقدام به Redirect میکنن