mojtaba662007 93 ارسال شده در اردیبهشت 02 گزارش بازنشر ارسال شده در اردیبهشت 02 سلام دوستان ، توی تمام انجمن ها گشتم اما موضوع به درد بخوری پیدا نکردم و فقط توی سایت های خارجی چیزهایی پیدا شد، تو سایت های ایرانی تماما محتویاتی رو آموزش میدن که به کل منسوخ شده. این موضوع رو راه انداختم تا تمام دوستان دانش خودشون رو در اختیار بزارن تا کسی ضرر نکنه چند روز قبل سایتی که برای یکی از مشتریان ساخته بودم هک شد برای امنیت سایت هر راهی رو که تو سایت ها آموزش داده بودند از قبل انجام داده بودم و طرف اما تونسته بود سایت رو هک کنه و خدا رو شکر 3 روز قبل بک آپ گرفته بودم وگرنه اطلاعات 140تا کاربر که بعد از فراخوان تا پایان تاریخ مقرر ثبت نام کرده بودند رو به کل از دست میدادیم حالا بحثم اینجاست که برام جالب بود چطور تونسته هک کنه تمام راه ها رو بسته بودم و از طریق فایروال پولی هم داشت مثلا محافظت میشد. افزونه های روش هیچ کدوم نال شده نبود ورودی رو تغییر داده بودم و خلاصه کلی کار انجام داده بودم. اما بعد که هک شد و ایمیل رو تغییر داده بود نتونم بازیابی کنم با یه سری کد تونستم پسورد رو تغییر بدم و وارد شدم متوجه شدم از طریق باگ افزونه mailpoet که اکثرا داریم استفاده می کنیم وارد شده بود که این رو تونستم از منابع خارجی متوجه بشم و هنوز آپدیتی براش نیومده که مشکل رو حل کنه ---------------- حالا بحثم اینجاست ، دوستانی که تجربه دارند تو این تاپیک عنوان کنند که چطور امنیت سایت وردپرسی رو بالا ببریم و اگر از روش های جدید هک کردن مطلع میشن بهمون اعلام کنند تا همه بتونند استفاده کنند اینطوری نگید که پسورد سخت بزار، لاگین رو تغییر بده، فایروال نصب کن و... بگید فلان افزونه یا فلان جا یه باگ داره و اینطوری هک میشه و اینطوری هم جلو هکش گرفته میشه و دوستان دیگه حواسشون جمع باشه زمانی که استفاده می کنند. لینک به ارسال
mojtaba662007 93 ارسال شده در اردیبهشت 02 مالک گزارش بازنشر ارسال شده در اردیبهشت 02 بنده با آخرین ورژن mailpoet هک شدم روش کارش هم اینطوریه که تو یکی از فرم ها نظر میده ، نظر برای شخص ارسال میشه و همزمان با یه ربات که سایت رو زیر نظر داره چک میکنه نظر از چه طریقی میره بعدش آدرس رو وارد میکنه و بخش مایل رو پاک میکنه و به جاش کد نمایش کاربر رو میزنه و بعد از اون اطلاعات کاربر رو راحت با پسوردش میبینه اگر این کار نکنه به ادمین پیام میده و فقط کافیه اکانت نامبر ادمین رو متوجه بشه -------- برای حل این مشکل پیشنهاد داده بودند اکانت نامبر یا id مدیران سایت رو زیاد بزارید مثلا اینطوری که صد تا کاربر فیک بسازید و بعد کاربر ادمین رو بسازید که بشه شماره 101 و بعد طرف که بخواد هک کنه باید 101 آی دی رو امتحان کنه (البته در صورتی که فرم تماس با ما به اکانت ادمین پیام نده) لینک به ارسال
mojtaba662007 93 ارسال شده در اردیبهشت 02 مالک گزارش بازنشر ارسال شده در اردیبهشت 02 دوستان اینم یه مشکل امنیتی که خیلی راحت اجازه میده هکرها بدون لاگین کردن اطلاعات xss رو دریافت کنند این مشکل امنیتی تقریبا یک هفته قبل گزارش شده و هکرها با استفاده از فیلدهای سفارشی که خودمون رو سایت میزاریم به راحتی میتونن هک کنند. لینک گزارش https://www.bleepingcomputer.com/news/security/hackers-target-wordpress-plugin-flaw-after-poc-exploit-released/ گشتم تو اینترنت تعداد۱۳۰۰۰ تا ۸۰۰۰سایت تا قبل اعلام رسمی با این روش هک شده لینک به ارسال
asadiy4n 2807 ارسال شده در اردیبهشت 02 گزارش بازنشر ارسال شده در اردیبهشت 02 سلام ببینید هیچ چیزی غیر قابل نفوذ نیست اما وردپرس از لحاظ امنیتی واقعا در سطح بالایی قرار داره، سروری که استفاده میکنید، پیکربندی درست سرور این موارد میتونن تاثیر گذار باشن در کل به نظر بنده اگر از محصولات استاندارد استفاده بشه، نه نیازی به افزونه امنیتی دارید نه مورد دیگهای 1 لینک به ارسال
mojtaba662007 93 ارسال شده در اردیبهشت 02 مالک گزارش بازنشر ارسال شده در اردیبهشت 02 در 8 ساعت قبل، asadiy4n گفته است : سلام ببینید هیچ چیزی غیر قابل نفوذ نیست اما وردپرس از لحاظ امنیتی واقعا در سطح بالایی قرار داره، سروری که استفاده میکنید، پیکربندی درست سرور این موارد میتونن تاثیر گذار باشن در کل به نظر بنده اگر از محصولات استاندارد استفاده بشه، نه نیازی به افزونه امنیتی دارید نه مورد دیگهای ممنونم ازتون ، وردپرس به تنهایی قوی هست و یه گروه نود و چهار نفره برای امنیت داره اما به قول هکرها اول ویروس میاد بعد آنتی ویروس اولین چیزی که گذاشتم دقیقا برای خود وردپرس بود که یه باگ پیدا شده بود و به راحتی اطلاعات رو در اختیار هکرها قرار میداد، وردپرس آپدیت نداد اما فایروالها بستندش و بعد تو آپدیت وردپرس درست شد و تقریبا سه هفته طول کشید که آمار سایت های هک شده هم خیلی زیاد بود، اگر اونجا کسی سرچ میکرد متوجه میشد با وارد کردن سه خط کد خودش میتونست مشکل رو از بین ببره و نیاز نبود وایسته تا آپدیت بیاد و نگران باشه بازم هر چقدر تو انجمن همه بیشتر اطلاع رسانی کنیم از باگ های جدید و مشکلات پیدا شده ، به نفع همه هست که سریعتر تنظیمات رو طوری بچینند تا اون مشکل از بین بره 1 لینک به ارسال
mojtaba662007 93 ارسال شده در اردیبهشت 02 مالک گزارش بازنشر ارسال شده در اردیبهشت 02 باگ ورژن جدید المنتور که ۱۴ می )هفته ی قبل ) آپدیت داده و نزدیک ۷ میلیون نفر آپدیت کردند مشکل و توضیحش تو لینک زیر لینک مطلب 1 لینک به ارسال
پست های پیشنهاد شده
لطفا برای ارسال دیدگاه وارد شوید
شما بعد از اینکه وارد حساب کاربری خود شدید می توانید دیدگاهی ارسال کنید
ورود به حساب کاربری