Netman
آفلاین
عضو
تعداد نوشتهها: ۹
تشکر شده: ۱ بار
#
نوشته شده: ۱۴ سال پیش
۱۸ شهریور ۱۳۸۹ - ۰۰:۱۳
سلام
از وردپرس 3.0.1 برای راه اندازی دو تا سایت استفاده کردم.
اولی حدودا 4 روز پیش هم شد که به احتمال زیاد بدلیل ضعف پسوردم بود و دومی همین امروز عصر و علی رغم داشتن پسورد قوی هک شد. دومی رو کمتر از 24 ساعته که راه انداختم !!
در هر دو مورد پسورد ادمین عوض شده بود.
حدودا 7-8 تا از افزونه های امنیتی هم نصب و تنظیم کردم اما بهر حال اونا کا زیادی نمیتونن انجام یدن.
در مورد اولی به هاستینگم ایمیل زدم و اونا گفتن چون از اسکریپت مجانی استفاده میکنی ضعف داره.
اما امروز هکر یه شل آپلود کرده بود و جای single.php گذاشته بود که برای اینکه آنتی ویروس سرور نشناسه اونو رو با base64 encode کرده بود. روی about که میزدم هیچ اصلاعاتی ازش نمی آورد. ولی خب امکاناتش مثل c99 و بقیه شلهای از این دست بود.
من میحوام تعداد زیادی وب سایت بر پایه ورد پرس آپ کنم (حدودا 300-400 تا برای شروع). که بعضیاش برای شخصیتهای نسبتا مهم دولتی هست. برای ان کار هم ریسلری به قیمت گرونی خریداری شده (متاسفانه همکارم همچین هزینه ای رو تقریبا بدون تحقیق پرداخته). اگه قرار باشه هر روز یکی از دومینهام هک بشه خیلی افتضاح میشه.
درخواستی که از اساتید داشتم این بود که راهنمائیم کنید که چه باید بکنم؟ مشکل از وردپرسه؟ از هاستینگه؟...؟
چون بخوبی مشه فهمید هکر فرد حرفه ای نیست.
اگه لازم و مجاز باشه اسم شرکت هاستینگم رو می گم به همراه اطلاعاتی که مورد نیازه.
پیشاپیش ممنونم
گناهکار
آفلاین
کلیددار
تعداد نوشتهها: ۳۵۳۵
تشکر شده: ۲۵۴۵ بار
#
نوشته شده: ۱۴ سال پیش
۱۸ شهریور ۱۳۸۹ - ۰۰:۳۹
مطمئناً اگه وردپرس مشکلات امنیتی جدی داشت اینقدر مورد استقبال قرار نمیگرفت. شاید شما پوشهای با سطح دسترسی ۷۷۷ دارین و هکر از اون طریق وارد میشه. یا شاید ایراد از سرویسدهنده باشه.
کاربران زیر بهخاطر این نوشته تشکر کردهاند:
Mostafa
Netman
آفلاین
عضو
تعداد نوشتهها: ۹
تشکر شده: ۱ بار
#
نوشته شده: ۱۴ سال پیش
۱۸ شهریور ۱۳۸۹ - ۰۱:۰۳
نخیر !
حداکثر ۷۵۵ هست این رو چک کردم. ضمن اینکه یکی از افزونه های امنیتی هم که پر میشن فولدرهای مهم رو چک میکنه همه پرمیشنها رو تائید کرد.
Farsweb
آفلاین
عضو
تعداد نوشتهها: ۲۹
تشکر شده: ۱۳ بار
#
نوشته شده: ۱۴ سال پیش
۲۰ شهریور ۱۳۸۹ - ۰۳:۴۸
هاستتون رو با برنامه web security scanner اسکن کنین کاملا ، توسط این برنامه هر مشکلی داشته باشه نشون میده
هم هاست و هم سورس برنامتون .
مطمئن شین در هاست شما mod_security نصب باشه .
هاست شما آنتی ویروس داره ؟
حتما برای ورود به ادمین ورود پرس یه محافظ بزارین ، روی wp-login
پسوند دیتا بیس ورد پرس رو قبل از نصب از wp_ به چیزیه دیگه تغییر بدین ، این کار برای جلوگیری از حملات sql injection
هست .
مطمئن شید اگر هکر از ضعف سرور استفاده می کنه ، منظورم از شل ، پس فاتحه اون هاست خوندس ، هاست خوب آنتی ویروس داره همراه با فایروال قوی ، آخرین ورژن mod_security ، و ...
موفق باشید
Mostafa
آفلاین
ناظم
تعداد نوشتهها: ۵۲۷۶
تشکر شده: ۵۷۷۷ بار
#
نوشته شده: ۱۴ سال پیش
۲۰ شهریور ۱۳۸۹ - ۰۹:۵۱
کجای دنیا گفته 6-7 تا فقط افزونه امنیتی نصب کنید؟
اگر همه موارد بالا رو رعایت کنید و هاستینگتون هم مورد نداشته باشه کسی نمی تونه به وردپرس نفوذ کنه
taher67
آفلاین
عضو
تعداد نوشتهها: ۱۶
تشکر شده: ۱ بار
#
نوشته شده: ۱۴ سال پیش
۲۲ شهریور ۱۳۸۹ - ۰۹:۵۰
سلام دوست عزیز
امروز یه پست جدید بودم که اگه اینجا هم مطرح کنم بد نیست
من احتمال زیاد میدم که سایت شما از طریق باگ Xss در دز وردپس 3.0.1 وجود داره هک شده .
من دارم روش کار میکنم شاید بتونم پچ کنم .
موفق باشد .
بای
bazm
آفلاین
عضو
تعداد نوشتهها: ۲
#
نوشته شده: ۱۴ سال پیش
۲۳ شهریور ۱۳۸۹ - ۱۶:۰۶
عزیزان من یک پروژه سنگین میخوام با این وردپرس 9.0.1 انجام بدم. اگه مشکلی داره تورو خدا بگید تو چا نیفتیم حیثیتیه.
Farsweb
آفلاین
عضو
تعداد نوشتهها: ۲۹
تشکر شده: ۱۳ بار
#
نوشته شده: ۱۴ سال پیش
۲۴ شهریور ۱۳۸۹ - ۰۰:۰۸
مشکل هک تا ۹۹ درصد از ضعف سرور هستش ، منظورم هاست های 2000 تومنی اشتراکی !! بعضی وقتها تا 3 دست
هاست می چرخه تا به دست یک طراح می رسه ، منظورم 3 نفر نمایندگی زیر مجموعه هم میشن !! خوب واضح هست چه بلایی سره سورس و غیره می یاد ، اگر هاست شما فایروال قوی ، آنتی ویروس ، ... و غیره داشته باشه بعید هست از سرور هک بشه ، اگر ورد پرس مشکل داشت بزرگترین سایت دنیا در ضمینه seo با ورد پرس طراحی نمی شد برید خودتون ببینید .www.seo.com
iman
آفلاین
عضو
تعداد نوشتهها: ۱۷۶
تشکر شده: ۴۲ بار
#
نوشته شده: ۱۴ سال پیش
۲ مهر ۱۳۸۹ - ۰۰:۰۴
سلام آقا وردپرس(ع) هیچ مشکلی نداره من خودم با هاست ***** کار می کنم و حتی هیچ افزونه ای نصب ندارم اما سایت از امنیت بالایی برخوردار اگه تا به حال می خواست مشکل داشته باشه سایت سامسونگ ازش استفاده نمی کرد.
بـ.ر تـ.ر یـ.ـن
آفلاین
عضو
تعداد نوشتهها: ۴۸
تشکر شده: ۱۹ بار
#
نوشته شده: ۱۴ سال پیش
۴ مهر ۱۳۸۹ - ۱۳:۲۶
وردپرس خود مشکل امنیتی ندارد هر چه هست از بی توجهی ماست!
Netman
آفلاین
عضو
تعداد نوشتهها: ۹
تشکر شده: ۱ بار
#
نوشته شده: ۱۴ سال پیش
۸ مهر ۱۳۸۹ - ۰۲:۰۵
mohsen8750 گفت:
هاستتون رو با برنامه web security scanner اسکن کنین کاملا ، توسط این برنامه هر مشکلی داشته باشه نشون میده
هم هاست و هم سورس برنامتون .
مطمئن شین در هاست شما mod_security نصب باشه .
هاست شما آنتی ویروس داره ؟
حتما برای ورود به ادمین ورود پرس یه محافظ بزارین ، روی wp-login
پسوند دیتا بیس ورد پرس رو قبل از نصب از wp_ به چیزیه دیگه تغییر بدین ، این کار برای جلوگیری از حملات sql injection
هست .
مطمئن شید اگر هکر از ضعف سرور استفاده می کنه ، منظورم از شل ، پس فاتحه اون هاست خوندس ، هاست خوب آنتی ویروس داره همراه با فایروال قوی ، آخرین ورژن mod_security ، و ...
موفق باشید
عالی بود ممنونم. یادداشت میکنم که همیشه داشته باشم.
بجای نصیحت و جبهه گیری الکی کمک کردید.
راستی به توصیه دوستان (در انجمن دیگه ای) فایل کانفیگ رو encode هم کردم. (بیشترشون براحتی decode میشن اما کاچی بعض هیچی!!)
یه هکر هم ناموس اون سرور رو در عرض 20 دقیقه واسم کشید بیرون (لیست userها passwordها accountها و IPها) - ضمن اینکه توی zone-h هم 20 تا از اکانتهای هک شدش رو پیدا کردم(کلا روی این سرورشون 87 تا اکانت داشتن) !
باز هم از شخص شما ممنونم :)
Farsweb
آفلاین
عضو
تعداد نوشتهها: ۲۹
تشکر شده: ۱۳ بار
#
نوشته شده: ۱۴ سال پیش
۸ مهر ۱۳۸۹ - ۲۱:۴۷
با سلام خوشحال میشم کمکی کرده باشم ، دوستان شما می تونید رو فایل wp-login از طریق فایل htaccess محافظ
بزارین از طریق این لینک
من کمتر سایتی با ورد پرس دیدم که رو این فایل پسورد بزاره این کار برای جلوگیری از حملات sql injection هستش
چون مسیر پیش فرض ورود به ادمین در ورد پرس wp-login هستش .
افزونه فایروال ورد پرس هم بد نیست ، همچنین افزونه wp security scanner
فایروال
برای جلوگیری از شل میشه از .htaccess استفاده کرد در پوشه ها البته من کاملا اطلاع ندارم اگر کسی به طریق آشنا هست توضیح بده .
با تشکر از همه دوستان
کاربران زیر بهخاطر این نوشته تشکر کردهاند:
Mostafa
حلنشده
