حفره امنیتی خطرناک در wordpress

[siavash20]

با سلام،
طی چند ماه اخیر شاهد نفوذ به سیستم های مدیریت محتوای Wordpress بودیم که hacker بدون داشتن رمز عبور مدیریت با ارسال درخواست های خاصی با متود POST به wp-admin قادر به دور زدن رمز عبور ( bypass ) و ورود به بخش مدیریت بوده و پس از آن به کل سیستم مدیریت محتوا و همچنین هاست دسترسی خواهد داشت

این حفره امنیتی خطرناک که در آخرین نسخه‌های wordpress نیز وجود دارد، هنوز به طور رسمی منتشر نشده و به شکل private می‌باشد و به همین دلیل wordpress هنوز patch و securirty fix رسمی جهت رفع این نقیصه ارائه نکرده
با توجه به اینکه این ضعف امنیتی می‌تواند منجر به دسترسی کامل hacker به کل هاست و سایت شود، جهت جلوگیری از هرگونه نفوذ و سوء استفاده اکیداً توصیه میشود از طریق cPanel بخش Password Protection حتماً روی مسیر wp-admin کلیه نسخه‌های wordpress خود یک رمز ثانویه قرار دهید، در این صورت hacker بدون داشتن آن رمز قادر به ارسال درخواست به wp-admin و نفوذ نخواهد بود

منبع

پ ن : دیدم کسی اطلاع رسانی نکرده ، گفتم اطلاع بدم ...

 

[mamad711]

برای دایرکت ادمین ها هم این آموزشش
http://www.netafraz.com/datut/passwordprotect.swf

جریان این استفاده از کد HTML در تصاویر چیه من متوجه نشدم؟؟؟؟؟

 

[Mehdi]

لطفا منبع معتبر بزار , این چیزی که میگی معنی نمیده زیاد , فقط یه ادعا میتونه باشه !

دیدم با استفاده از اسکریپت تیم تامب این کار رو میکنن ولی دراین مورد چیزی نشنیدم

 

[siavash20]

لطفا منبع معتبر بزار , این چیزی که میگی معنی نمیده زیاد , فقط یه ادعا میتونه باشه !

دیدم با استفاده از اسکریپت تیم تامب این کار رو میکنن ولی دراین مورد چیزی نشنیدم

حتما می گردم ببینم جای دیگه ای هم این مورد رو گفتن یا خیر ، پیدا کردم به پست اول اضافه می کنم ...

پ ن : ولی به نظر شما چه علتی داره که هاست دی ال یا نت افراز همچین ادعایی بخوان بکنند ! ؟!
به هرحال بررسی می کنم ببینم موارد مشابه هست یا خیر ...

برای دایرکت ادمین ها هم این آموزشش
http://www.netafraz.com/datut/passwordprotect.swf

جریان این استفاده از کد HTML در تصاویر چیه من متوجه نشدم؟؟؟؟؟

دقیقا متوجه سوالتون نشدم ...

 

[mamad711]

تمامی هاستینگا هشدار دادن چطور نشنیدید؟؟؟

 

[mamad711]

حتما می گردم ببینم جای دیگه ای هم این مورد رو گفتن یا خیر ، پیدا کردم به پست اول اضافه می کنم ...

پ ن : ولی به نظر شما چه علتی داره که هاست دی ال یا نت افراز همچین ادعایی بخوان بکنند ! ؟!
به هرحال بررسی می کنم ببینم موارد مشابه هست یا خیر ...




دقیقا متوجه سوالتون نشدم ...

ببینید شما به لینک زیر که برید قابلیت های جدید و مشاهده میکنید

وردپرس فارسی

این قابلیت منظورم است

پشتیبانی از المان‌های HTML در بخش عنوان تصاویر

 

[TehranNet]

پریروز تو بخش نظرات سایت داشتم میگشتم متوجه شدم یه نظر بدون اینکه من تایید کنم در حال نمایش هست(نظر هم تبلیغاتی بود)
شک کردم که شاید یه باگ جدید باشه
اما نمیدونم به موضوع این تاپیک ربط داره یا نه

 

[siavash20]

پریروز تو بخش نظرات سایت داشتم میگشتم متوجه شدم یه نظر بدون اینکه من تایید کنم در حال نمایش هست(نظر هم تبلیغاتی بود)
شک کردم که شاید یه باگ جدید باشه
اما نمیدونم به موضوع این تاپیک ربط داره یا نه

اگه نسخه اخر نصب باشه یه سری مشکلات توش هست
که فکر کنم تا چند وقت دیگه نسخه جدید مجبور بشن بدن بیرون ...
ولی این مشکلی که داری نمی دونم ولی بعید می دونم ربطی داشته باشه ...
شاید تنظیمات دیدگاهها مشکل داره شایدم خودت تایید ...

 

[Mon_hareF]

الان شما پیشنهاد میدی آپدیت کنیم به 3.4 یا نه؟

اون مشکل تگ ها که نات فاند میخورد حل شده یا نه؟

 

[siavash20]

الان شما پیشنهاد میدی آپدیت کنیم به 3.4 یا نه؟

اون مشکل تگ ها که نات فاند میخورد حل شده یا نه؟

من خودم هنوز آپدیت نکردم ببین برطرف شده یا نه ...

برای این موردی هم که اینجا مطرح شد باید رو پوشه wp-admin پسورد بزارید ...


پ ن : من سایت های زیادی رو بررسی کردم ولی همه جا منبع رو نت افراز و هاست دی ال زده بودن و سایت های خارجی هم
که خبری نبود ! ولی برای اینکه خیالتون راحت باشه بهتر این مورد رو هم رعایت کنید ...

 

[TehranNet]

اگه نسخه اخر نصب باشه یه سری مشکلات توش هست
که فکر کنم تا چند وقت دیگه نسخه جدید مجبور بشن بدن بیرون ...
ولی این مشکلی که داری نمی دونم ولی بعید می دونم ربطی داشته باشه ...
شاید تنظیمات دیدگاهها مشکل داره شایدم خودت تایید ...

هنوز آپدیت نکردم
تعداد نظرات زیر 20 تاست و آمارش رو کامل دارم یادم نمیاد خودم تایید کرده باشم

 

[amd2]

من یه جا دیگه پیدا کردم که مربوط به 4 ماه پیش هست:

نت افراز - اخبار

 

[Mon_hareF]

این پسورد گذاشتن دردسر داره ! موقع ورود به ادمین مدام پسورد میخواد !!

وارد هم که میکنی لود نمیکنه !

 

[balabala]

برای اینکه پسورد روی ادمین مشکلی برای سایت ایجاد نکنه در فایل htaccess. واقع در پوشه wp-admin خطوط زیر رو اضافه کنید:

<Files admin-ajax.php>
    Order allow,deny
    Allow from all
    Satisfy any 
</Files>
<Files ~ "\.(css)$">
    Order allow,deny
    Allow from all
    Satisfy any 
</Files>
<Files ~ "\.(js)$">
    Order allow,deny
    Allow from all
    Satisfy any 
</Files>
<Files ~ "\.(jpg|jpeg|png|gif)$">
    Order allow,deny
    Allow from all
    Satisfy any 
</Files>

منبع خودم :د

 

[Unforgiv3N]

وردپرس خالی هیچ مشکل امنیتی نداره .. بیشتر سایتها Wordpress برای این هک میشن که از سایتهایی مثل Scriptmafia و ... Theme و Plugin دانلود میکنند که اینها همشون داخل اش Root Script هست .. و از این طریق سایت سه سوته هک میشه ..

 

[Mehdi]

ولی به نظر شما چه علتی داره که هاست دی ال یا نت افراز همچین ادعایی بخوان بکنند ! ؟!

دلیل که زیاد داره , کلی تبلیغ میشه براشون , هزارتا سایت کپی پیست کردن لینک دادن به اینا که هاست میفروشن .

پریروز تو بخش نظرات سایت داشتم میگشتم متوجه شدم یه نظر بدون اینکه من تایید کنم در حال نمایش هست(نظر هم تبلیغاتی بود)
شک کردم که شاید یه باگ جدید باشه
اما نمیدونم به موضوع این تاپیک ربط داره یا نه

اگه نظر اون شخص رو قبلا تایید کرده باشی , دیگه دفعه دوم ازت نمیپرسه دوباره (بسته به تنظیماتی که انتخاب کردی)

 

[TehranNet]

اگه نظر اون شخص رو قبلا تایید کرده باشی , دیگه دفعه دوم ازت نمیپرسه دوباره (بسته به تنظیماتی که انتخاب کردی)

آره
قبلاً یکی از نظراتش رو تایید کرده بودم

 

[siavash20]

دلیل که زیاد داره , کلی تبلیغ میشه براشون , هزارتا سایت کپی پیست کردن لینک دادن به اینا که هاست میفروشن .

درست می گید الان n تا سایت به نققل از هاست دی ال و نت افراز این مطلب رو ثبت کردن ! در حالیکه هیچ کدوم منبع معتبری هم ندارن !

 

[Mahiar0]

من رو پوشه wp-admin پسورد گذاشتم روی بقیه قسمت ها مشکل ایجاد نکنه
کاربر بخواد مطلبی عکسی چیزی ببینه پیغام این پنجره بعدا براش بیاد

 

[Mehdi]

فقط با بعضی پلاگین ها ممکن هست این مشکل پیش بیاد , که فکر نکنم نصب کرده باشیش ,چون هر پلاگینی از این پوشه استفاده نمیکنه.