۵

حفره امنیتی خطرناک در Wordpress

hezarnevis.com – طی چند ماه اخیر شاهد نفوذ به سیستم های مدیریت محتوای Wordpress بودیم که Hacker بدون داشتن رمز عبور مدیریت با ارسال درخواست های خاصی با متود POST به wp-admin قادر به دور زدن رمز عبور (bypass) و ورود به بخش مدیریت بوده و پس از آن به کل سیستم مدیریت محتوا و همچنین هاست دسترسی خواهد داشت.این حفره امنیتی خطرناک که در آخرین نسخه‌های Wordpress نیز وجود دارد، هنوز به طور رسمی منتشر نشده و به شکل Private می‌باشد و به همین دلیل Wordpress هنوز patch و securirty fix رسمی جهت رفع این نقیصه ارائه نکرده است.با توجه به اینکه این ضعف امنیتی می‌تواند منجر به دسترسی کامل Hacker به کل هاست و سایت شود، جهت جلوگیری از هرگونه نفوذ و سوء استفاده اکیداً توصیه میشود حتماً روی مسیر wp-admin کلیه نسخه‌های Wordpress خود یک رمز ثانویه قرار دهید، در این صورت Hacker بدون داشتن آن رمز قادر به ارسال درخواست به wp-admin و نفوذ نخواهد بود. ادامه...
تصویری از Ataa
ارسال شده توسط Ataa ، داغ شده حدود ۵ سال قبل در بخش علم و فن آوری
راي هاي داد شده : Jinus Ataa ariya7 Mahshid Bluewave

دیدگاه ها

تصویری از Jinus

Jinus حدود ۵ سال پيش گفت:

۱

رمز گذاشتن روی دایرکتوری ادمین وردپرس باعث از کار افتادن بعضی از ماجول ها مثل پست ریتینگ خواهد شد. بایستی دسترسی به wp-login.php (که حتی لاگ-این ادمین از طریق این اسکریپت ثبت میشود) را محدود کرد.

من چند وقت پیش با htaccess دسترسی کلی رو بستم و به یک گروه آی پی دسترسی دادم.

البته هنوز شک دارم که این خبر واقعیت داشته باشد. در جای دیگری چیزی در این باره پیدا نکردم.

برای محدود کردن با آی پی این کد رو در htaccess قرار بدید :

<Files wp-login.php>
Order Deny,Allow
Deny from all
Allow from 192.168.10.1
</Files>