رفتن به مطلب

جلوگیری از هک شدن سایت


mojtaba662007

پست های پیشنهاد شده

سلام دوستان ، توی تمام انجمن ها گشتم اما موضوع به درد بخوری پیدا نکردم و فقط توی سایت های خارجی چیزهایی پیدا شد، تو سایت های ایرانی تماما محتویاتی رو آموزش میدن که به کل منسوخ شده. این موضوع رو راه انداختم تا تمام دوستان دانش خودشون رو در اختیار بزارن تا کسی ضرر نکنه

چند روز قبل سایتی که برای یکی از مشتریان ساخته بودم هک شد

برای امنیت سایت هر راهی رو که تو سایت ها آموزش داده بودند از قبل انجام داده بودم و طرف اما تونسته بود سایت رو هک کنه و خدا رو شکر 3 روز قبل بک آپ گرفته بودم وگرنه اطلاعات 140تا کاربر  که بعد از فراخوان تا پایان تاریخ مقرر ثبت نام کرده بودند رو به کل از دست میدادیم

حالا بحثم اینجاست که برام جالب بود چطور تونسته هک کنه

تمام راه ها رو بسته بودم و از طریق فایروال پولی هم داشت مثلا محافظت میشد.

افزونه های روش هیچ کدوم نال شده نبود

ورودی رو تغییر داده بودم و خلاصه کلی کار انجام داده بودم.

اما بعد که هک شد و ایمیل رو تغییر داده بود نتونم بازیابی کنم با یه سری کد تونستم پسورد رو تغییر بدم و وارد شدم متوجه شدم از طریق باگ افزونه mailpoet که اکثرا داریم استفاده می کنیم وارد شده بود که این رو تونستم از منابع خارجی متوجه بشم و هنوز آپدیتی براش نیومده که مشکل رو حل کنه

----------------

حالا بحثم اینجاست ، دوستانی که تجربه دارند تو این تاپیک عنوان کنند که چطور امنیت سایت وردپرسی رو بالا ببریم و اگر از روش های جدید هک کردن مطلع میشن بهمون اعلام کنند تا همه بتونند استفاده کنند

اینطوری نگید که پسورد سخت بزار، لاگین رو تغییر بده، فایروال نصب کن و... بگید فلان افزونه یا فلان جا یه باگ داره و اینطوری هک میشه و اینطوری هم جلو هکش گرفته میشه و دوستان دیگه حواسشون جمع باشه زمانی که استفاده می کنند.

لینک به ارسال

بنده با آخرین ورژن mailpoet هک شدم 

روش کارش هم اینطوریه که تو یکی از فرم ها نظر میده ، نظر برای شخص ارسال میشه و همزمان با یه ربات که سایت رو زیر نظر داره چک میکنه نظر از چه طریقی میره

بعدش آدرس رو وارد میکنه و بخش مایل رو پاک میکنه و به جاش کد نمایش کاربر رو میزنه و بعد از اون اطلاعات کاربر رو راحت با پسوردش میبینه

اگر این کار نکنه به ادمین پیام میده و فقط کافیه اکانت نامبر ادمین رو متوجه بشه 

--------

برای حل این مشکل پیشنهاد داده بودند اکانت نامبر یا id مدیران سایت رو زیاد بزارید

مثلا اینطوری که صد تا کاربر فیک بسازید و بعد کاربر ادمین رو بسازید که بشه شماره 101 و بعد طرف که بخواد هک کنه باید 101 آی دی رو امتحان کنه (البته در صورتی که فرم تماس با ما به اکانت ادمین پیام نده)

لینک به ارسال

دوستان اینم یه مشکل امنیتی که خیلی راحت اجازه میده هکرها بدون لاگین کردن اطلاعات xss رو دریافت کنند 

این مشکل امنیتی تقریبا یک هفته قبل گزارش شده و هکرها با استفاده از فیلدهای سفارشی که خودمون رو سایت میزاریم به راحتی میتونن هک کنند.

لینک گزارش

https://www.bleepingcomputer.com/news/security/hackers-target-wordpress-plugin-flaw-after-poc-exploit-released/

گشتم تو اینترنت تعداد۱۳۰۰۰ تا ۸۰۰۰سایت تا قبل اعلام رسمی با این روش هک شده

لینک به ارسال

سلام

ببینید هیچ چیزی غیر قابل نفوذ نیست

اما وردپرس از لحاظ امنیتی واقعا در سطح بالایی قرار داره، سروری که استفاده می‌کنید، پیکربندی درست سرور این موارد می‌تونن تاثیر گذار باشن

در کل به نظر بنده اگر از محصولات استاندارد استفاده بشه، نه نیازی به افزونه امنیتی دارید نه مورد دیگه‌ای

  • پسندیدن 1
لینک به ارسال
در 8 ساعت قبل، asadiy4n گفته است :

سلام

ببینید هیچ چیزی غیر قابل نفوذ نیست

اما وردپرس از لحاظ امنیتی واقعا در سطح بالایی قرار داره، سروری که استفاده می‌کنید، پیکربندی درست سرور این موارد می‌تونن تاثیر گذار باشن

در کل به نظر بنده اگر از محصولات استاندارد استفاده بشه، نه نیازی به افزونه امنیتی دارید نه مورد دیگه‌ای

ممنونم ازتون ، وردپرس به تنهایی قوی هست و یه گروه نود و چهار نفره برای امنیت داره 

اما به قول هکرها اول ویروس میاد بعد آنتی ویروس

اولین چیزی که گذاشتم دقیقا برای خود وردپرس بود که یه باگ پیدا شده بود و به راحتی اطلاعات رو در اختیار هکرها قرار میداد، وردپرس آپدیت نداد اما فایروالها بستندش و بعد تو آپدیت وردپرس درست شد و تقریبا سه هفته طول کشید که آمار سایت های هک شده هم خیلی زیاد بود، اگر اونجا کسی سرچ میکرد متوجه میشد با وارد کردن سه خط کد خودش میتونست مشکل رو از بین ببره و نیاز نبود وایسته تا آپدیت بیاد و نگران باشه

بازم هر چقدر تو انجمن همه بیشتر اطلاع رسانی کنیم از باگ های جدید و مشکلات پیدا شده ، به نفع همه هست که سریعتر تنظیمات رو طوری بچینند تا اون مشکل از بین بره

  • پسندیدن 1
لینک به ارسال

باگ ورژن جدید المنتور که ۱۴ می )هفته ی قبل ) آپدیت داده و نزدیک ۷ میلیون نفر آپدیت کردند

مشکل و توضیحش تو لینک زیر 

لینک مطلب

  • پسندیدن 1
لینک به ارسال

لطفا برای ارسال دیدگاه وارد شوید

شما بعد از اینکه وارد حساب کاربری خود شدید می توانید دیدگاهی ارسال کنید



ورود به حساب کاربری
×
×
  • اضافه کردن...