رفتن به مطلب

حفره امنیتی خطرناک


پست های پیشنهاد شده

با سلام،

طی چند ماه اخیر شاهد نفوذ به سیستم های مدیریت محتوای Wordpress بودیم که hacker بدون داشتن رمز عبور مدیریت با ارسال درخواست های خاصی با متود POST به wp-admin قادر به دور زدن رمز عبور ( bypass ) و ورود به بخش مدیریت بوده و پس از آن به کل سیستم مدیریت محتوا و همچنین هاست دسترسی خواهد داشت

این حفره امنیتی خطرناک که در آخرین نسخه‌های wordpress نیز وجود دارد، هنوز به طور رسمی منتشر نشده و به شکل private می‌باشد و به همین دلیل wordpress هنوز patch و securirty fix رسمی جهت رفع این نقیصه ارائه نکرده

با توجه به اینکه این ضعف امنیتی می‌تواند منجر به دسترسی کامل hacker به کل هاست و سایت شود، جهت جلوگیری از هرگونه نفوذ و سوء استفاده اکیداً توصیه میشود از طریق cPanel بخش Password Protection حتماً روی مسیر wp-admin کلیه نسخه‌های wordpress خود یک رمز ثانویه قرار دهید، در این صورت hacker بدون داشتن آن رمز قادر به ارسال درخواست به wp-admin و نفوذ نخواهد بود

اینو از یه سایت که که اینو برای اولین بار گذاشت برداشت کردم که تاریخش به 22 خرداد امسال برمی گشت

دوستای من چند تا هک شدگی داشتند که من فکر میکنم مربوط باشه

دوستان من متخصص وردپرس نیستم ایا به نظر شما این درست یانه؟

لینک به ارسال

سلام

من این خبر رو هیچوقت از یک منبع معتبر خارجی یا داخلی ندیدم

بعد از این خبر هم فکر کنم وردپرس سه یا 4 بار آپدیت شده و اگر هم بوده در نسخه های جدید پچ شده

در هر صورت شما برای اطمینان میتونید یه رمز دوم برای فایل wp-admin از طریق هاست بزارید

لینک به ارسال

البته اين دوستمون هم صحيح ميگويند اما همان طور كه خودتون گفتيد مال خرداد ماه است

خوب اما اين اين بروز رساني ها كاملا باگ ها برطرف شده اما فقط 2 يا 3 تا مانده كه كار هر كسي نيست

كه بهترين راه هم همان قرار دادن رمز دوم بر روي wp-admin هست كه دوستمون گفتند كه اين كار فقط با هاست انجام ميشود

لینک به ارسال
اما اين اين بروز رساني ها كاملا باگ ها برطرف شده اما فقط 2 يا 3 تا مانده كه كار هر كسي نيست

شما از کجا میدونید فقط 2-3 تا باگ باقی مونده؟خب اگه باگ هاشو میدونید برید به وردپرس دات ارگ خبر بدین تا پچش کنند دیگه؟

لینک به ارسال

من قصد جسارت به مديران ندارم

من ئر سايت زير مطالعه كرئم و يه صري هم گذاشته بود

لينك

لینک به ارسال

من قصد جسارت به مديران ندارم

من ئر سايت زير مطالعه كرئم و يه صري هم گذاشته بود

لينك

دوست عزیز باگ انتشار یافته از افزونه های وردپرس خیلی خیلی زیاده،همین دیروز یه باگ جدید از یکسری افزونه مثل wp-imagezon پیدا کردم که با اون میشه فایل کانفیگ رو خوند ماا این دلیل نمیشه که وردپرس مشکلی داشته باشه،وردپرس کلا باگ منتشر شده نداره و اگر هم داشته باشه منتشر نشده و زیاد هم نیست

لینک به ارسال

بعضی وقتا از شنیدن حفره امنیتی یا باگ امنیتی مو به تن بعضیا سیخ میشه ;)

به این نکات دقت کنید :

90 درصد اوقات یک باگ امنیتی به این سادگی ها پیدا نمیشه و حتما یک نفر یا یک گروه مدتها روی برنامه ای کار میکنند تا یک باگ با درجات امنیتی مختلف (زیاد متوسط یا کم ) پیدا میکنند و بعد از پیدا کردن باگ به این راحتی اونو منتشر نمیکنند بلکه اول خودشون استفاده ی کافی رو میبرن و بعد از یه مدت اون باگ رو منتشر میکنن که اکثر اوقات قبل از انتشار رسمی، نسخه ی جدید برنامه ی مورد دار که پچ شده منتشر میشه و در اینصورت کاربران به روز از شر اون باگ در امان خواهند بود ولی اگه قبل از پچ شدن باگ هم اون حفره منتشر بشه مطمئن باشید به زودی پچ میشه و کاربران میتونند به روز رسانی رو انجام بدن و خیالشون راحت باشه.

اینو در نظر داشته باشید : امنیت صد در صد در دنیای مجازی خیال و توهمی بیش نیست !

پس خودتون هم باید دست به کار بشید و یک سری فیلتر های اضافی برای سایت در نظر بگیرید تا در صورت وجود باگ ، خیالتون راحت باشه .

لینک به ارسال

برای افزایش امنیت کارهای خاصی میشه انجام داد.

ولی برای امنیت پشوه wp-admin همیشه مشکلاتی وجود داشته

لینک به ارسال

مشکلی که هست اینه که اگه روی پوشه wp-admin رمز بذاریم باید رمزو به کاربران عضو سایت هم بدیم تا بتونن وارد سایت بشن و این یعنی اینکه رمزو به هکر ها هم بدیم یا اینکه باید عضو گیری رو متوقف کنیم

راه حل دیگه ای نیست؟

لینک به ارسال

من توی جریان اون باگ نیستم دقیق اما شما یه افزونه کپچا برای قسمت لاگین بذار تا فعلاً از کرک کردن پسورد جلوگیری بشه ، به توجه به اینکه عضو گیری هم داری پس لازمه .

برای رمز گذاشتن هم روی پوشه wp-admin ، من یکی نذاشتم ، یه شیر یا خط بنداز ببین چی میاد ;)

لینک به ارسال

مشکلی که هست اینه که اگه روی پوشه wp-admin رمز بذاریم باید رمزو به کاربران عضو سایت هم بدیم تا بتونن وارد سایت بشن و این یعنی اینکه رمزو به هکر ها هم بدیم یا اینکه باید عضو گیری رو متوقف کنیم

راه حل دیگه ای نیست؟

می تونید اگر سایت ارزشمندی دارید کمی هزینه کنید و بخشی محدود را برای کاربری بسازید که کاربران با ادمین کاری نداشته باشند حتی بخش ارسال مطلب رو هم می شه آورد بیرون ومحدودش کرد به textonly

اما اینکارها وقتی لازمه که برای مدیر سایت بصرفه ولی اگر برای مدیر نصرفید می شه یه نتیجه ی دیگه هم گرفت پس برای هکر ها هم نمی صرفه

کسانی که وقت و انرزیشون رو برای هک می گذارند به دنبال تصاحب چیز های با ارزشند نه اسیب رسوندن به ما

لینک به ارسال
اگر برای مدیر نصرفید می شه یه نتیجه ی دیگه هم گرفت پس برای هکر ها هم نمی صرفه

اینو باید با آب طلا نوشت !

لینک به ارسال

می تونید اگر سایت ارزشمندی دارید کمی هزینه کنید و بخشی محدود را برای کاربری بسازید که کاربران با ادمین کاری نداشته باشند حتی بخش ارسال مطلب رو هم می شه آورد بیرون ومحدودش کرد به textonly

اما اینکارها وقتی لازمه که برای مدیر سایت بصرفه ولی اگر برای مدیر نصرفید می شه یه نتیجه ی دیگه هم گرفت پس برای هکر ها هم نمی صرفه

کسانی که وقت و انرزیشون رو برای هک می گذارند به دنبال تصاحب چیز های با ارزشند نه اسیب رسوندن به ما

منظور شما رو نفهمیدم.یعنی کاری که وقتی عضو گیری میکردیم کاربران انجام میدادند بدون عضو گیری انجام دهند؟

خوب اینجور که خیلی بد میشه.مثلاهر کس و بی کسی هرچه قدر خواست مطلب ارسال کنه و من نتونم جلوشو بگیرم.یا نتونم ادامه مطلب رو برای اعضا نشون بدم

من پیشنهاد میکنم که یه پوشه جدا طراحی کنیم(مثل user)بعد هر کاربر عضوی رو اونجا ثبت کنیم به جز مدیر.همچنین هرکی خواست لاگین کنه باید اطلاعاتش یا تو پوشه wp-admin باشه یا پوشه جدید

بعد باید یه تغیراتی بدیم که هرکی عضو میشه اطلاعاتش تو پوشه جدید ثبت شه و مدیر هم تو پوشه قبلی موجود هست.فکر کنم بشه با تغییر موتور یا هسته وردپرس اینکارو کرد البته باید خیلی حرفه ای باشیم

لینک به ارسال

درود ;

اصلا تاپيك رو دنبال نكردم و نميدونم بحث سر چي هستش .. ولي در مورد پست اول و اين باگي كه ميگيد قبلا صحبت شده بود و من در اينجا گفتم كه اصلا چنين چيزي وجود نداره ..

موفق باشيد ../.

لینک به ارسال

جناب علیرضا ظاهراً شما با نحوه مدیریت محتوا در وردپرس آشنا نیستید .

اطلاعات در دیتابیس ذخیره میشوند نه در دایرکتوری ها !

لینک به ارسال

داداش من شما اگه رمز دوم روی ادمین بگذارید دیگه نباید به کسی بدید این فقط یه محافظ ساده هست

فقط باید به ادمین ها بدی

لینک زیر هم کار آمد هست ببین

لینک

لینک به ارسال

سلام

منظور شما رو نفهمیدم.یعنی کاری که وقتی عضو گیری میکردیم کاربران انجام میدادند بدون عضو گیری انجام دهند؟

نه منظور آقای فخار عزیز،این نبود،بلکه این بود که کاری بشه که کاربران نیاز به پوشه ادمین نداشته باشند.ببینید از اونجایی که کاربران از wp-login.php استفاده میکنند برای وردود.پس بنابر این اگه کاربران و نویسنده های معمولی به wp-admin دسترسی نداشته باشند بلکه یک پنل دیگری که محدود تر هست و کارهای زیادی نمیشه توش انجام داد اکتفا بشه.خیلی بهتره.البته بستگی به سطح دسترسی اون کاربر باید داشته باشه و داره...با این وجود میشه روی پوشه مدیریت رمز دوم هم گزاشت که کاربران نیازی به اون نداشته باشند...

این کار شدنی هست.مثلا تو پوسته p2 که از کمپانی اتوماتیک ارائه شده،کاربری که وارد سایت شده میتونه از داخل خود سایت مطلب بنویسه(دقیقا مثل شبکه های اجتماعی)

البته شبکه های اجتماعی هم مثال مناسبی هستند.چون بخش مدیریت خود کاربر با مدیریت ناظمین و بخش مدیریت مدیران کاملا فرق داره و از هم جداست... توی این طرح هم دقیقا اینچنین هست.یعنی هرکسی یک پنل خواصی داره که بستگی به سطح دسترسی خودش بهش امکانات داده میشه...

البته بازم حرف آقا ایمیان رو تکرار میکنم.که فرمودند چنین کارهایی رو معمولا کسانی انجام میدهند که سایت هاشون خیلی ارزشمند باشه تا هکر وسوسه بشه...وگرنه کی میاد تا وبلاگ شخصیی منو هک کنه؟ اصلا هک کنه چی گیرش میاد؟

لینک به ارسال

منظور شما رو نفهمیدم.یعنی کاری که وقتی عضو گیری میکردیم کاربران انجام میدادند بدون عضو گیری انجام دهند؟

خوب اینجور که خیلی بد میشه.مثلاهر کس و بی کسی هرچه قدر خواست مطلب ارسال کنه و من نتونم جلوشو بگیرم.یا نتونم ادامه مطلب رو برای اعضا نشون بدم

من پیشنهاد میکنم که یه پوشه جدا طراحی کنیم(مثل user)بعد هر کاربر عضوی رو اونجا ثبت کنیم به جز مدیر.همچنین هرکی خواست لاگین کنه باید اطلاعاتش یا تو پوشه wp-admin باشه یا پوشه جدید

بعد باید یه تغیراتی بدیم که هرکی عضو میشه اطلاعاتش تو پوشه جدید ثبت شه و مدیر هم تو پوشه قبلی موجود هست.فکر کنم بشه با تغییر موتور یا هسته وردپرس اینکارو کرد البته باید خیلی حرفه ای باشیم

این پیشنهاد شما همون چیزیه که عرض کردم اگر براتون بصرفه می تونید با هزینه کردن ایجادش کنید

لینک به ارسال

كلا زياد نگران هك نباشيد هكر ها معمولا سراغ سايت هاي بزرگ ميرن تا سايت هاي عادي ...

حتي با اين احتمال كم اگر روزي سايت شما هك شود به جرئت ميگم 99.9% مشكل از هاست هست نه وردپرس !!!

پس اگر سايت پر منفعتي داريد بر روي يك هاست خوب ميزباني كنيد (با بكاپ) و خيالتان راحت باشد !!!

با برنامه havij (اگه اشتباه نكنم :دي) سايتتون رو اسكن كنيد تا از ضعف هاي اون با خبر بشيد !!!

لینک به ارسال

به گفتگو بپیوندید

هم اکنون می توانید مطلب خود را ارسال نمایید و بعداً ثبت نام کنید. اگر حساب کاربری دارید، برای ارسال با حساب کاربری خود اکنون وارد شوید .

مهمان
ارسال پاسخ به این موضوع ...

×   شما در حال چسباندن محتوایی با قالب بندی هستید.   حذف قالب بندی

  تنها استفاده از 75 اموجی مجاز می باشد.

×   لینک شما به صورت اتوماتیک جای گذاری شد.   نمایش به صورت لینک

×   محتوای قبلی شما بازگردانی شد.   پاک کردن محتوای ویرایشگر

×   شما مستقیما نمی توانید تصویر خود را قرار دهید. یا آن را اینجا بارگذاری کنید یا از یک URL قرار دهید.

×
×
  • اضافه کردن...