رفتن به مطلب
سیدرضا بازیار

install.php را حذف کنیم؟

پست های پیشنهاد شده

توی پوشه wp-admin من یه فایل به نام install.php هست

این فایل خطر نداره؟

به اشتراک گذاری این ارسال


لینک به ارسال

برعکس اسکریپت ها و cms های دیگر نه مهم نیست اگر حذف هم بکنید با آپدیت جدید خودش ایجاد میشه پس بهترین کار برای امنیت

پایین آوردن سطح دسترسی اون ها بر روی 000 میباشد

به اشتراک گذاری این ارسال


لینک به ارسال

امروز سایتم رو آنالیز کردم. توی اون متوجه شدم که این فایل یه خطر امنیتی شناخته شده

اگه دسترسی اون رو تغییر ندم, خطرناکه؟؟؟

چون توی نصب اسکریپت ها حتما باید این فایل حذف بشه...

ویرایش شده توسط سیدرضا بازیار

به اشتراک گذاری این ارسال


لینک به ارسال

توی وردپرس با اون فایل نمیشه کار زیادی کرد سطح دسترسی کم کنی مشکل برطرف میشه

اسکریپت ها بله میشه دسترسی گرفت و یه دیتابیس جدید متصل کنه به اون اما وردپرس نه

به اشتراک گذاری این ارسال


لینک به ارسال

سطح دسترسی 0000 هیچ اثری نداشت

باز هم نمایش داده میشه

به اشتراک گذاری این ارسال


لینک به ارسال

اسکنرها یک ابزار هستند که با یک الگو کار میکنند و هر فایلی با این اسم ببینند فکر میکنند خطرناک است و اخطار میدهند

زمانی که شما سطح دسترسی 000 میکنید برای شما چیزی نمیشود اما اگر هکر بخواهد با شلر روی سرور شما دسترسی بگیرد دچار مشکل میشود و باید به دنبال Bypass برای اینکار باید درضمن لینک های زیر هم ببینید»

http://wordpress.org/support/topic/delete-files-after-install

http://wordpress.org/support/topic/should-we-delete-installphp-after-finishing-installation

به اشتراک گذاری این ارسال


لینک به ارسال

این فایل کار خاصی انجام نمی ده اگر هم می داد یک هکر برای استفاده ازش نیازی به فایل شما نداشت می تونست آخرین نسخه وردپرس رو دانلود کنه و فایل رو استخراج کنه و از روی هاست خودش با اکشن سایت شما اجراش کنه اما تاثیری نداره

سایت شما با نعرفی دیتابیستون ایجاد می شه که اطلاعات ورودش در wp-config.php است سطح دسترسی این فایل روی 444 باشه کافیه

به اشتراک گذاری این ارسال


لینک به ارسال

در تکمیل حرف های استاد

هکر باید به wp-confog.php دسترسی بگیره و به صورت اتوماتیک به دیتابیس متصل بشه چون یوزر و پسورد دیتابیس داره و بقیش هم معلومه

اما اگر دیتابیس فیک داشته باشید و یک wp-config.php فیک کلا داستان هک شدن به مشکل میخورد

به اشتراک گذاری این ارسال


لینک به ارسال

در تکمیل حرف های استاد

هکر باید به wp-confog.php دسترسی بگیره و به صورت اتوماتیک به دیتابیس متصل بشه چون یوزر و پسورد دیتابیس داره و بقیش هم معلومه

اما اگر دیتابیس فیک داشته باشید و یک wp-config.php فیک کلا داستان هک شدن به مشکل میخورد

چجوری دیتابیس فیک و فایل کانفیگ فیک ایجاد کنیم؟؟

به اشتراک گذاری این ارسال


لینک به ارسال

به گفتگو بپیوندید

هم اکنون می توانید مطلب خود را ارسال نمایید و بعداً ثبت نام کنید. اگر حساب کاربری دارید، برای ارسال با حساب کاربری خود اکنون وارد شوید .

مهمان
ارسال پاسخ به این موضوع ...

×   شما در حال چسباندن محتوایی با قالب بندی هستید.   حذف قالب بندی

  تنها استفاده از 75 اموجی مجاز می باشد.

×   لینک شما به صورت اتوماتیک جای گذاری شد.   نمایش به صورت لینک

×   محتوای قبلی شما بازگردانی شد.   پاک کردن محتوای ویرایشگر

×   شما مستقیما نمی توانید تصویر خود را قرار دهید. یا آن را اینجا بارگذاری کنید یا از یک URL قرار دهید.


×
×
  • اضافه کردن...