.................................................. .............اصلاح شد.............................................. ...........................

سلام.این اولین پست آموزشی منه.امیدوارم که مفید واقع بشه.راستش این رو در جواب یکی از دوستان که سوالی مطرح کرده بود دادم.دیدم بد نشد.گفتن اینجا هم دوباره بزنم.شاید دو نفر به دردشون خورد

ابتدا به توضیح برخی مسایل می پردازیم:

آی پی چیست : اعدادی است که شناسه ی کاربری ما تو اینترنت هستش مثل آدرس خونه و ....
ما هر زمان که به اینترنت وصل میشیم باید یه آدرس داشته باشیم که از طریف آن هم اطلاعات به آن آدرس فرستاده شود هم دریافت که, به آن آدرس آی پی می گویند. آی پی یک عدد 32 بیتی(هر 8 بیت = یک بایت) است مثل 000.000.000.000 که هر کدام از قسمت ها می تونه از 0 تا 255 باشد.بجز آی پی سرور هایی که سایت روشون قرار دارد و بعضی از اینترنت ها که آی پی ها متغیر هست.شما هر بار که به اینترنت وصل می شوید با دیال آپ و Adsl آی پی که به شما تعلق میگیرد فقط در آن رنج که در Isp دارد وجود تغیر می کند.

Port چیست: پرت مثل پنجره های یک خونه می مونه که هوا از آن داخل و خارج می شود. پورت رو می توان اینطوری تعریف کرد که داده ها و خروجی ها را وارد و خارج میکیند.Port ها را ما معمولا به عدد میشناسم.
مثل
Port 25 Email
Port 80 Http
Port 22 Ssh
Port 21 Ftp
Port 13 DateTime
و ....

سرور چیست : سرور ها کامپیوتر های معمولا قدرتمند ی هستند که با سرعت بالا به اینترنت وصل هست. هر سرور یک سیستم عامل داره که میتونه Linux یا Windows باشه ویا ... روی هر کدام از این سیستم عامل ها چند تا برنامه سرویس دهنده وصل هست مثل Apache یا Iis.

هاست چیست : به فضای روی وب رو میگن هاست حالا این فضا ها از کجا اومده این فضا ها از جایی نیومده بلکه همان هارد دیسک های روی سرور هستند.

دامین چیست : دامین رو میشه این جوری تعریف کرد که آدرس روی اینرنت رو دامین میگین.هر دامین یک آی پی هست در اصل که ما وقتی آدرس سایت رو وارد مرورگر میکنیم اون رو تبدیل به آی پی میکنه و ما سایت را میبینیم.

لینوکس چیست : لینوکس یه سیستم عامل از خانواده ی یونیکس هست که به خاطر امنیت بالا در بیشتر سرور ها استفاده میشه.

باگ چیست : باگ یعنی حفره ی امنیتی یا مشکل امنیتی که از آن طریق میتوان نفوذ کرد اکثر باگ هام توسط اشتباهات در برنامه نویسی رخ میدهد. ما باگ های زیادی در موارد مختلف داریم که مهمترین آنها در وب محدود میشه به :
Xss
Sql Injection
Lfi
Rfi
که به ترتیب نوشتنشون بیشتر دیده میشن

WebAppliction چیست : وب اپلیکیشن به سیستم های مدریت محتوا میگن یعنی مثل Php Nuke و Joomla وVbulletin , ...

Remote چیست : به طور کلی میشه دسترسی از راه دور رو ریموت تعریف کرد.

Local چیست : لوکال را می توان به دسترسی نزدیک و کامل تر از Remote تعریف کرد.

هک کردن روش های مختلفی دارد :

1 - sql injection :

همان طور که مشاهده کردید sql injection یا تزریق کد یکی از باگ هایی هست که هر سایت ممکنه داشته باشد.
در این حالت هکر با وارد کردن کارکتر های غیر مجاز به دیتابیس باعث به وجود آمدن خطا هایی می شود که هکر با استفاده از این خطا ها می تواند اطلاعات دیتابیس را در آورده و در بعضی مواقع وارد و در بعضی مواقع یک فایل بسازد(Shell). (در زیر شل توضیح داده خواهد شد)

ما چندین نوع دیتابیس داریم که روش Inject کردن هر کدام با دیگری فرق داره
مانند Mysql , Mssql ,Access,Oracle,db2, و غیره.
که هر کدام از این دیتابیس ها خود دارای چندین ورژن مختلف هستن!
برای مثال mysql :
همان طور که در بالا ذکر گردید هکر با وارد کردن بعضی کارکتر های غیر مجاز باعث رخ دادن خطا در دیتابیس می شود و اگر برنامه نویس هنگام فرستادن دستورات کاربر به دیتابیس هیچ کنترلی روی کارکتر های ورودی صورت ندهد دیتابیس خطا میده و هکر با استفاده از این خطا ها بدون دسترسی داشتن اطلاعات رو بیرون می کشد.
همان طوری که دوستان اطلاع دارن اطلاعات سایت که با بانک ارتباطی در ارتباط هست در اطلاعات سایت در دیتابیس ذخیره میشه حالا هکر می تواند این اطلاعات را با استفاده از خطا هایی که به وجود میاره بخواند یا وارد کند.
چند نکته :

1 - هکر با استفاده از کارکتر های غیر مجاز مثل (') باعث به وجو امدن خطا میشیم.
2 - هکر از قسمت های مختلفی می تواند اینجکت کنیم مثل آدرس Url که با بانک اطلاعاتی در ارتباط باشه یا لاگین پیج یا هر جایی که باگ داشته باشه!
3 - هکر برای بدست آوردن اطلاعات داخل دیتابیس یا وارد کردن آن باید نام جداول یا فیلد ها رو بداند بعد اطلاعات را به دست یا وارد کند. اسم تیبل و فیلد را نیاز دارد برای اینکه بتواند اطلاعات اونها رو بخواند مثل این میمونه که ما باید آدرس یه شخصی رو بدونیم که بریم دم خونش !

برای شماهده ی یک نمونه به سایت زیر بروید
هک سایت با SQL Injection - انجمن های تخصصی ترفندستان |‌ Tarfandestan Forums (http://www.tarfandestan.com/forum/thread17557.html)
منبع هک نه هک (http://www.bia2dar2del.gigfa.com/index.php?tid=12)
آموزش هک از مبتدی تا پیشرفته (http://www.bia2dar2del.gigfa.com/index.php?tid=69)

2 - LFI

همان طور که در بالا توضیح داده شد یکی از باگ ها باگ rfi هست.این باگ با بی احطیاتی برنامه نویس در استفاده از توابع Include و ... به وجود میاد.
در اصل این توابع (include , require ... ) فایل یا صفحه ای رو فراخوانی میکنن که اگر روی این درخواست کنترلی نباشه میتونه منجر به باگ Rfi یا حتی Lfi بشه.
هک Lfi یا Local File Inclusion یک نوع دسترسی لوکال به هکر برای مشاهده ی فایل های سرور مورد نظر میده (یعنی به همه چیز روی سایتتون "نه سرورتون" دسترسی پیدا می کنه!). که همانطور که ذکر شد باگ Lfi بیشتر در اشتباهات برنامه نویس در استفاده از توابعی مثل Include ,require() و غیره رخ میده.
با استفاده از این باگ حرکت های زیادی میشه کرد از جمله

1 - تبدیل آن به اجرای دستورات از راه دور با استفاده از لوگ های Apache
2 - خواندن فایل های مهم سیستمی با فایل های config
و ...........



Xss چیست : این باگ که یکی از فراون ترین باگ های موجود میباشد که طبق آمار 69 درصد وبسایت ها این باگ را دارن. از نظر امنیتی باگ مهمی به حساب نمیاد با استفاده از این باگ میشه روی سیستم قربانی انواع اقسام نفوذ رو انجام داد.(در قسمتی از سایت که باگ دارد شما قادر به اجرا کردن کد های JavaScript هستید که با استفاده از کد های جاوا اسکریپ کار های زیادی میشه انجام دارد!!!) . در حقیقت این باگ کمک می کنه تا هکر به سیستم نفوذ کند و سپس توسط یکی از همین روش هایی که توضیح داده شد (LFI و sql injection) سایت را هک کند.



استفاده از شل یا c99 :در این روش هکر از یک اسکریپت به نام شل استفاده می کند.ابتدا به مثال زیر جهت درک بهتر قدرت "شل" (shell) توجه نمایید:

مثلا شما امنیت سایتتون در حد بینهایت زیاده و هکر کاملا از نفوذ مستقیم به سایت شما نا امید شده.پس تصمیم می گیره که شما رو دور بزنه .به این صورت کار خود را آغاز می کند که با یک جستجوی ساده نام میزبان شما را در می آورد.مثلا میزبان شما شرکت X است.بعد چک می کند و می بیند که میزبان شما علاوه بر سایت شما 100 سایت دیگر را هم میزبانی می کند.خب شروع می کند به جستجو و با کمی جستجو اون 100 سایت را پیدا می کند.حالا نوبت به هک کردن می رسد.منتها این بار نه سایت شما.بلکه سایت همسایه ی شما!اون سایت که احتمالا ادمین آن یادش رفته اصلا حتی پسورد بیشتر از 6 کاراکتر بگذارد به راحتی هک می شود.خلاصه بعد از هک سایت همسایه ی شما ، با یک شل مخصوص که خودش اون رو دی کد کرده (نا خوانا توسط آنتی ویروس) از سرور شما دسترسی روت می گیرد (یعنی به تمام فایل های موجود در کامپیوتر سرور که میزبانی سایت شما و اون 100 سایت دیگر را بر عهده دارد دسترسی پیدا می کند) و سایت شما را هک می کند.یک دماغ سوخته هم براتون می فرستد و کلی حال می کند.این هم نمونه ی این حمله!
http://www.webhostingtalk.ir/f41/19642/
برای مطالعه ی بیشتر در این زمینه به اینجا مراجعه فرمایید
p30ebook (http://www.p30ebook.com/ebook/article534.html)
دقت کنید که استفاده از شل نیز یک روش کمکی هست.یعنی ابتدا هکر باید توسط یکی از دو روش گفته شده (ال اف آی و تزریق کد) سایت را هک کند و سپس می تواند از شل برای وسعت دادن به تخریب خود استفاده کند.لازم به ذکر است که هکر می تواند توسط شل حتی آنتی ویروس را از کار بیندازد و به سیستم ویروس تزریق کند یا یک حفره نامریی در سیستم ایجاد کند که هر وقت خواست دوباره برگردد و سایت را هک کند ، دسترسی روت از سرور بگیرد (یعنی به تمام فایل های سیستم عامل دسترسی پیدا کند و بتواند هر آنچه دوست دارد را تغییر دهد) و به بقیه ی سایت های روی اون سرور حمله کند و ...


بهتر است بدانید - حمله ها : یکی از متداول ترین روش ها برای توقف سرویس دهی از راه دور حمله به وسیله بسته های نا متعارف است(یعنی سایت شما سر جاش می ماند و اطلاعاتتان حفظ می شود ولی سروری که سایت روی آن قرار دارد را به زانو در می آورد و دیگر سایت شما از دسترس کاربران خارج می شود!).این نوع حمله،در یکی از پروسه های TCP/IP ایجاد اشکال میکند و اگر سرویس دهنده هدف در یکی از پروسه ها دارای مشکل،ضعف و یا آسیب پذیری باشد ؛ قطعاً در هم شکسته خواهد شد .معمولاً در این نوع حملات حمله کنندگان در هاله امنیتی خود قرار گرفته و کمترین ردپایی از خود به جا می گذارد.در ادامه معروفترین حملات از این قسم را بیان می کنم.
(در حقیقت به این روش هک کردن گفته نمی شود چرا که نفوذی انجام نشده است!)

Ping of Death
در این نوع حمله یک بسته Ping با ظرفیتی بیش از 64 کیلوبایت برای هدف(قربانی) ارسال می شود .با توجه به اینکه ارسال بسته های Ping بزرگ تر از 64 کیلوبایت مجاز نمی باشد، پروسه Icmp با دریافت چنین بسته ای مختل خواهد شد.تا انجا که من اطلاع دارم بسیاری از سیستم های Unix و Windows و چابگر های شبکه در مقابل این نوع حمله آسیب پذیر هستند.

Winnuke
این نوع از حمله از اشتراک پورت بر روی Port tcp 139 ویندوز استفاده میکند.وقتی داده به پورتی که طبق پروتکل SMB مجاز فرمت نشده ، فرستاده می شود و در نتیجه سیسم دچار اختلال خواهد شد.

Land
در این نوع حمله ، یک بسته SPOOF شده به جایی که در آدرس IP مبدا و IP مقصد و همچنین پورت هایی یکسان در 2 سر ارتباط موجود است، فرستاده می شود.ماشین قربانی این بسته را گرفته و تحویل پروسه TCP می دهد ؛چون آدرس مبدا و مقصد یکی است این روال در چرخه افتاده و سیستم دچار سردرگمی شده که در نسخه های قدیمی TCP/IP سیستم دچار اختلال می گردد.

Latierra
تز خانواده حملات Land است، با این قابلیت اضافی که بسته های Land برای چند پورت باز بر روی ماشین هدف ارسال می شود.

Joh2
این نوع از حمله محصول سال 2000 از کشفیات نسبتاً جدیدتر است.امروزه Patch های این چنینی (Exploite) در دنیای زیر زمینی کامپیوتر کشف شده و به اشتراک گذاشته می شوند.
از جمله ابزار نیرومند چنین حملاتی می توان به TARGA نوشته Mixter و Spike نوشته Spikeman اشاره نمود.

حملات گروهی DOS مخفف Denial Of Service به معنی تکذیب سرویس

الف ) حملات گروهی Dos که به اختصار به آن DDos گفته می شود نوعی از حملات هوشمند و زیرکانه Dos هست که نه تنها مشکلات قبلی حملات Dos را نداشته بلکه مزایایی چون پنهان بودن هویت نفوذگر ، عدم امکان مبارزه توسط قربانی و امکان موفقیت بسیار بالا برای یک حمله کننده را به ارمغان می آورد.
این نوع حمله برای اولین بار درتابستان 1999 در اینترنت ظاهر شد و سپس به طور فزاینده ای اینترنت را به یک میدان تمام عیار جنگ مبدل کرد به صورتی که سایت های بزرگی همچون :
Yahoo,Ebay,CNN,ADMet,Etrade از این نوع از حملات در امان نماندند و خبر هایی از ناتوانی آن ها برای مقابله و سپس فروپاشی آن ها گزارش شد.
در حملات DDos حمله کننده سعی می کند از ماشین هایی که در اینترنت پراکنده اند برای حمله یک هدف مشخص بهره ببرد(این ماشین ها چیزی نیست بجز سایت شما و امثال شما!!!!).
به عنوان مثال اگر حمله کننده قصد حمله به یک هدف مشخص به روش sys-flood را داشته باشد چندین ماشین را برای حمله به یک هدف مشخص بسیج میکند.مثلا اگر حمله کننده از 100 ماشین که هرکدام پهنای باند مفید 15Kbps برای کار او داشته باشند استفاده کند ، قربانی با سیل عظیمی معادل 1/5Mbps مواجه خواهد شد.
حمله کننده برای بدست آوردن این پهنای باند از ماشین های مختلف با نرم افزار های زامبی استفاده می کند (این نرم افزار ها معمولاً در قالب برنامه های جذاب و زیبا و رایگان ولی آلوده در سرتاسر اینترنت پراکنده میکند.)(برای مثال می توان یک افزونه ی پر کاربرد وردپرس را با این آلودگی منتشر کرد).به طور معمول نرم افزار های زامبی پس از اجرای ان در یک ماشین(کامپیوتر) منتظر فرمان می مانند و وقتی تعداد ماشین های زامبی زیاد باشد حمله کننده قادر به کنترل همه آنها نمی باشد .بنابر این در حمله به طریق DDos ماشین های زامبی در قالب "گروه" دسته بندی شده و سپس در این حالت هر گروه از ماشین های زامبی توسط یک "سرگروه" هدایت میشوند که خود سر گروه ها تحت کنترل ماشین حمله کننده می باشند.

ب ) حملات SYN Flood: حمله اخیر به سرورهای SCO از نوع DOS و حملات موسوم به SYN Flood بود.در این نوع از حمله با ارسال بسته های اطلاعاتی سعی می شود یک اتصال کامل میان ماشین ارسال کننده و سرور اصلی به طور مصنوعی برقرار شود. دیتای ارسالی با ظاهری کاملاً قانونی از طریق پروتکل های موجود رد می شود؛ اما دیتا مستقیماً پردازشگر سرور را مورد حمله قرار می دهد . بدین معنی که برای دریافت، خواندن و پاسخ به هر بسته اطلاعاتی به عنوان Request سرور نیاز به استفاده از Processor های خود دارد تا آن را آنالیز کند.در حالت عادی پردازشگر سرور یک بسته را نگه داشته و بعد از عملیات به آن جواب می دهد.هنگام نگه داشتن بسته اطلاعاتی، حافظه اشغال می شود .
در این میان هرچه تعداد بسته ها بیشتر بوده و بیشتر به صورت ناگهانی و سیل آسا به طرف حافظه حمله ور شود، حافظه سیستم را بیشتر اشغال کرده و سرور دچار تنگی شده و پردازش کند می شود.
حال اگر سرور ها بدین ترتیب Request مصنوعی دریافت کنند، آنقدر به سرور فشار می آید که ماشین هنگ می کند و بعد یا Restart می شود و یا راهبر آن را خاموش می کند.
سایت نت کرافت با مانیتور کردن SCO گزارش داد وجود حفره روی خط اینترنت و سرورهای SCO حملات بیشتر و متعددی را ایجاد کرد. آنالیز دیتای موسوم به BackScatter نشان از ترافیک بالا و غیر طبیعی روی میل سرور و فایل سرور و نیز اف.تی.پی سرور (FTP Server) سایتSCO داشت.به حدی که بر اساس گزارش نت کرافت 50 هزار بسته اطلاعاتی(Packet) در هر ثانیه سرور SCO را مورد هدف قرار داد و بعد میزان بسته ها کمتر شد و در هر ثانیه مقدار آن به 3هزار بسته در هر ثانیه رسید که در این میان از هر سه Request برای باز شدن سایت یکی از آنها پاسخ مثبت دریافت می کرد . دیوید کنراد مدیر Nominum در این باره گفت : مسئولان SCO می توانستند با نصب Syncookies جلوی حملات را روی سرور خود بگیرند.این برنامه IP های جعلی را که حافظه را با ارسال بسته های تقلبی پر می کند، شناسایی کرده و جلوی آن را میگیرد.

منبع آموزش امنیت شبکه قسمت اول { انواع روش هاي هك كردن } - MajidOnline Forums (http://forum.majidonline.com/showthread.php?t=33186)


برای مطالعه ی بیشتر به لینک زیر مراجعه فرمایید

دانلود کتاب - آموزش هک اکسپلویت exploit نفوذ پذیری امنیت سایت مدیریت محتوا (http://www.aryapdf.com/381-%D8%AF%D8%A7%D9%86%D9%84%D9%88%D8%AF-%DA%A9%D8%AA%D8%A7%D8%A8/)

خب همان طور که می بینید دو روش نوذ به سیستم (هک) ال اف آی و تزریق اس کیو ال هست.
الف ) برای LFI وردپرس هکر باید به فایل کانفیگ که یکی از فایل های اصلی وردپرس است (در پوشه ی اصلی اون جایی که وردپرس را ذخیره کرده اید )موجوده نفوذ کند.


فایل کانفیگ در وردپرس قلب امنیتی سایت شما محسوب می شود و هر کسی که به این فایل دست یابد دیگه تمومه.
روش های مختلفی برای دور کردن این فایل از دست هکران وجود دارد


می توان این فایل را فقط قابل خواندن کرد (آسان ترین روش)(که معمولا به صورت پیشفرض رعایت می شود)
می توان این فایل را دی کد کرد (ناخوانا کرد.مثلا فکر کنید هکر فارسی زبانه و جز فارسی زبان دیگری بلد نیست.حالا اگر شما این فایل را به زبان هندی بنویسید هکر ازش چیزی سر در نمیاره!کد کردن یعنی اینکه به یک زبانی بنویسید که فقط خودتون و سایتتون اون رو می شناسد!)
می توانید نام این فایل را از طریق ویرایش هسته وردپرس تغییر داد
می توان از این فایل نسخه ی تقلبی ساخت و مثلا هکر وقتی وارد شد با فایل کانفیگ تقلبی با اطلاعات نادرست رو به رو شود و ساعت ها با همان مشغول شود!

ولی نکته ی قابل توجه این است که همه ی این کار ها یعنی دست بردن در هسته ی امن وردپرس که امنیتش شهره خاص و عام است.در حقیقت شما اگر فیلم جومونگ رو دیده باشید ، دیدید که وقتی قلعه گوکنی توسط قوای شورشی محاصره شده بود ، فرمانده موهیول از یک راه مخفی خیلی راحت از قلعه خارج شد و این در حالی بود که قوای شورشی پشت دروازه های این قلعه بودند.نکته همین جاست.همیشه راههای مخفی برای ورود و خروج به یک سایت وجود دارد.و وای به حال اون وبمستری که هکر این راه ها را بشناسد.در حقیقت بدی وردپرس همین است.امنیت وردپرس خیلی بالاست ولی از اونجایی که به صورت متن باز دست هر ننه قمری هست پس در عمل نقشه ی سایت شما با تمام راه های مخفی اش دست همه هست و این برگ برنده ی هکر است.شما با تغییر در هسته وردپرس عملا به امنیت سایت خود اضافه نمی کنید.بلکه با عوض کردن نام فایل ها و پوشه ها و ... نقشه ی سایت خود را تغییر می دهید تا هکر با یک چیز غیر منتظره رو به رو شود و برنامه هایی که از قبل چیده شکست بخورد.
منتها وقتی در هسته ی وردپرس تغییر ایجاد می کنید عملا دیگر فقط اسم اون اسکریپت وردپرس باقی می ماند.ولی در عمل شما یک اسکریپت دست ساز ساخته اید.پس احتمالا در آپدیت کردن و یا نصب افزونه ها به شدت به مشکل بر می خورید.لذا این کار ها کار بسیار تخصصی است و از عهده ی هر کسی بر نمی آید.کسی این کار ها را انجام می دهد که کاملا با طرز کار وردپرس و تمام دستوراتش آشنا باشد و بداند پیامد هر دستوری که می دهد چیست.بیخودی که 200 تومن 200 تومن بابت منیج یک سایت نمی گیرند.همین کار ها رو می کنند دیگر!

ب ) روش دیگر تزریق کد هست که همانطور که در بالا گفته شد ، قبل از حمله هکر باید از فرمت جداول بانک اطلاعاتی شما و همچنین نام این جداول آگاه باشد.پس یک راه خیلی ساده برای جلوگیری از این حمله ها تغییر نام جداول بانک اطلاعاتی پیش فرض وردپرس هست.به این صورت که قبل از نصب وردپرس باید به فایل کانفیگ رفته و در همان جایی که اطلاعات بانک اطلاعاتی mysql خود را وارد می کنید ، نام پسوند این جداول را هم به یک نام دلخواه تغییر دهید.

حملات
ج)برای جلوگیری از حملات اکسپلوییت (exploit) کاری از دست شما روی هاست اشتراکی (میزبانی وب) بر نمی آید و شما باید هاست خود را از یک جای معتبر و مطمئن که مرتبا سرور ها را مانیتور می کند تهیه کنید.سخت افزار هایی برای جلوگیری از این حمله ها ساخته شده که گران هستند و همه ی میزبانان وب از آن ها استفاده نمی کنند.بالاخره یک فرقی بین هاست ارزان و گران هست دیگر.(این کار ها هزینه دارد!مانیتور و آنتی دی داس سخت افزاری)

شما علاوه بر ساختن دیوار های دفاعی این چنینی یک راه دیگر هم دارید و اون حمله ی متقابل است.این کار شبیه به مین گذاری سایتتون هست.اگر هکر بی احتیاطی کند و روی این مین ها برود سرور شما متقابلا به کامپیوتر هکر حمله می کند و اینجا واقعا هکر عاجز خواهد شد.
مثلا شما جای پوشه ی ادمین (wp-admin)را عوض کرده اید.حالا یک پوشه ی ادمین تقلبی می سازید!توی این پوشه یک فایل با نام index می گذارید که با "الگوریتم شناور دایمانورس" نوشته شده است.خصوصیت این الگوریتم این است که با بازشدن صفحه ی لوگین-ادمین توسط هکر این الگوریتم به کار افتاده و کامپیوتر هکر مورد حمله ی بار اضافی قرار می گیرد و مژینگای سیستم هکر به درجه ی اشتعال می رسد!!!!!!!! :79:

برای مطالعه ی بیشتر می توانید به اینجا مراجعه فرمایید
اموزش منفجر کردن یستم نفوذگران به مای بی بی (http://community.mybbiran.com/thread-3098.html)

در آخر هم این نکته رو بگم که شما هرچقدر روی امنیت هزینه و تلاش کنید ممکنه نتیجه ندهد.ولی اگر همان تلاش و هزینه رو روی بک آپ گرفتن بکنید حتما نتیجه می دهد.اصلا هکر بیاید کل دیتابیس رو جمع بکند هم شما عین خیالتان نخواهد بود.می تونید بک آپتان را بغل کنید و تا صبح راحت بخوابید.برای روش بک آپ از وردپرس به این پست من مراجعه فرمایید


آسوده بخوابید که وردپرس بیدار است (http://www.cmscloob.ir/showthread.php?tid=793&pid=3448#pid3448)



با تشکر از توجه شما:53:

100% اطلاعات غلط.
LFI رو با SQL Injection قاطی کردی، بقیشم یک نگاه سری انداحتم، کلا مطالب غلط و به درد نخور.

بهتر هست تا اطلاع کامل از یک موضوع نداریم، پست ندیم که باعث گمراهی دیگران بشیم:)

100% اطلاعات غلط.
LFI رو با SQL Injection قاطی کردی، بقیشم یک نگاه سری انداحتم، کلا مطالب غلط و به درد نخور.

بهتر هست تا اطلاع کامل از یک موضوع نداریم، پست ندیم که باعث گمراهی دیگران بشیم:)

خب چرا شما کاملش نکردید که ما هم استفاده کنیم؟من توی نت خیلی گشتم.این ها بهترین توضیحات بودند!تمام منابع رو زیر هر موضوعی ذکر کردم.
من چند روز وقت گذاشتم تا این رو نوشتم.حالا که شما ایرادش رو گرفتید بهتر بود شما هم چند دقیقه وقت می ذاشتید و اصلاحش می کردید تا همه استفاده کنند.
به هر حال مرسی از نظرتون

دقیقا اشتباه کردین.یکی درستش رو بزاره چون من فعلا سرم شلوغه وگرنه میزاشتم

آقا اشتباه هست که هست به من و شما چه؟ منظورم اینه که اگه بلادین درستشو بزارین
بیچاره وقت گذاشته آخه
نمک نشناسین چرا؟
آقا مرسی<):)
هر کی میتونه و بلد و بلبل زبانی میکنه بیاد کامل کنه و یا اشکالات رو بگه نه اینکه بگه اشتباهه
اشتباه بگو اشتباهش کجاست تا ما قنع شیم و هم یاد بگیریم دیگه
ممنون

آقا اشتباه هست که هست به من و شما چه؟ منظورم اینه که اگه بلادین درستشو بزارین
بیچاره وقت گذاشته آخه
نمک نشناسین چرا؟
آقا مرسی<):)
هر کی میتونه و بلد و بلبل زبانی میکنه بیاد کامل کنه و یا اشکالات رو بگه نه اینکه بگه اشتباهه
اشتباه بگو اشتباهش کجاست تا ما قنع شیم و هم یاد بگیریم دیگه
ممنون

مرسی از شما.با توجه به نکته ای که ناشناس گفت من این پست را ویرایش کردم و فکر کنم که این بار درست شد!البته امیدوارم:)

مرسی بهتر شد.خیلی وقت گذاشتین ممنون.ایشالاه استفاده کنن دوستان

یه پیشنهاد ... بهتر نبود عنوان تاپیک رو میذاشتید مثلا " موارد امنیتی در خصوص وردپرس " ؟

البته پیشنهاد بود ... امیدوارم مفید بوده باشه ;)

به این میگن Lfi ، نه Sql injection !




نحوه ی استفاده از این نوع اسکریپت نویسی :

این روش اغلب بر روی سایت هایی که با ای اس پی نوشته می شوند بسیار کارکرد دارد.اما قبل از پیدایش زبان برنامه نویسی ASP اغلب هکر ها این نوع کد نویسی را بیشتر برای سایت هایی که با HTML نوشته شده بود استفاده می کردند چون ضعف در این نوع زبان برنامه نویسی بسیار زیاد بوده و هکر ها به راحتی می توانستند از آنها استفاده کنند اما بعد از پیدایش ای اس پی که زبان برنامه نویسی قوی بوده و امنیت در آن زیاد شده است کدهایی که بر روی اچ تی ام ال کار کرد داشت نتوانستند بر روی ای اس پی هم جواب بدهد به همین دلیل این نوع زبان sql injection نیز پیشرفت کرد ..... ما در ادامه مثالی می زنیم که هم بر روی صفحات اچ تی ام ال کارکرد دارد و هم بر روی ای اس پی

مثال : شما می توانید با اضافه کردن این کدها به آخر اسم سایت مورد نظر یوزر و پسورد سایت را به دست بیاورید . "در ضمن یاد آور شوم که شاید این نوع کدها دیگر کارکرد نداشته باشند"
حال مثلا شما می خواهید سایت www.Saiedhacker.com (http://www.saiedhacker.com/) با این روش آزمایش کنید پس به صورت زیر عمل می کنید
www.Saiedhacker.com/samples/search/queryhit.html (http://www.saiedhacker.com/samples/search/queryhit.html)
www.Saiedhacker.com/etc/passwd (http://www.saiedhacker.com/etc/passwd)
www.Saiedhacker.com/cgi-bin/htmlscript?../../../../etc/passwd (http://www.saiedhacker.com/../etc/passwd)
www.Saiedhacker.com/~root (http://www.saiedhacker.com/%7Eroot)
www.Saiedhacker.com/../cgi-bin (http://www.saiedhacker.com/cgi-bin)
حال اگر سایت مورد نظر شما بسته بود و شما می خواستید برای دلخوشی خودتون هم که شده یه سایت رو هک کنید و صفا کنید می تونید به سایت گوگل رفته و عبارت های زیر را جستجو کنید
samples/search/gueryhit.html
etc/passwd
cgi-bin/htmlscript?../../../../etc/passwd
root~/
/../cgi-bin
و سپس از سایت ها پیدا شده یکی را انتخاب کرده و سپس ببینید آیا این مشکل روی آنها صدق می کند یا خیر در صورت جواب مثبت آن سپس شما به دایرکتوری آن سایت رفته و می توانید پسورد و یوزر سایت را اگر دی کود نشده باشد را در فایل نوت پدی notepad مشاهده کنید.

حال آزمایش این اسکریپ نویسی بر روی صفحات ای اس پس
شما اگر در اینترنت اکسپلورر یا نت اسکیپ یا فایر فکس و ... در قسمت آدرس سایتی را که با صفحات ای اس پی مشاهده کرده باشید و به صفحه ی بعدی آن بروید نشانی مانند شکل زیر مشاهده می کنید
http://www.persianblog.com/post.asp?id=۶۵ (http://www.persianblog.com/post.asp?id=%DB%B6%DB%B5)
حال ما می خواهیم به وسیله ی این آدرس به دایرکتوری سایت مورد نظر برویم سپس ما تمامی علایمی که بر روی کیبورد(/ و؛ و : و ...) وجود دارد را بعد از قسمت id= و قبل از شماره ی مذکور یعنی ۶۵ آزمایش می کنیم
مانند اشکال زیر
http://www.persianblog.com/post.asp?id='۶۵ (http://www.persianblog.com/post.asp?id=%27%DB%B6%DB%B5)

http://www.persianblog.com/post.asp?id=/۶۵ (http://www.persianblog.com/post.asp?id=/%DB%B6%DB%B5)
http://www.persianblog.com/post.asp?id=;۶۵ (http://www.persianblog.com/post.asp?id=;%DB%B6%DB%B5)
http://www.persianblog.com/post.asp?id=:۶۵ (http://www.persianblog.com/post.asp?id=:%DB%B6%DB%B5)
http://www.persianblog.com/post.asp?id=.۶۵ (http://www.persianblog.com/post.asp?id=.%DB%B6%DB%B5)
http://www.persianblog.com/post.asp?id=\۶۵ (http://www.persianblog.com/post.asp?id=%5C%DB%B6%DB%B5)
http://www.persianblog.com/post.asp?id=|۶۵ (http://www.persianblog.com/post.asp?id=%7C%DB%B6%DB%B5)
http://www.persianblog.com/post.asp?id=[۶۵ (http://www.persianblog.com/post.asp?id=[%DB%B6%DB%B5)
http://www.persianblog.com/post.asp?id=-۶۵ (http://www.persianblog.com/post.asp?id=-%DB%B6%DB%B5)
http://www.persianblog.com/post.asp?id=_۶۵ (http://www.persianblog.com/post.asp?id=_%DB%B6%DB%B5)
و غیره......
حال مانند روش قبل به فایل نتد پد آن رفته و یوزر و پسورد آن را مشاهده نمایید.
اما گاهی بعد از اجرای این نوع کدها بر روی صفحات ای اس پی مشاهده می شود متنی انگلیسی ظاهر می شود و به دایرکتوری آن سایت وارد نمی شود این پیغام نه پیغام پیدا نکردن صفحات است بلکه پیغام دیگری است.برای یک مثال که ببینید نحوه ی کار به چه صورت است می توانید به لینک زیر بروید:
هک سایت با SQL Injection - انجمن های تخصصی ترفندستان |‌ Tarfandestan Forums (http://www.tarfandestan.com/forum/thread17557.html)

به این میگن Lfi ، نه Sql injection !

مرسی اصلاح شد.بالاخره یکی پیدا شد راهنمایی کرد.ایول دمت گرم:79:

این مقاله که کماکان پر از غلط هست، برای مثال، DOS متد هک نیست، Denial Of Service ، به معنی تکذیب سرویس هست، هدفش از کار انداختن سرویس هاست، نه هک، همچنین SYN Flood که ذکر شده، باز هم از دسته DOS ها هست، باز هم در این موارد، "هک" به معنی نفوذ و دیفیس انجام نمی شه، بلکه سرویس مورد نظر بر روی سرور قربانی مورد حمله قرار می گیره.

وردپرس سیستم امنی هست، آسیب پیذیری ای هایی هم که ازش در میاد، معمولا خیلی عجیب هست، و به این آسونی ها باگ نمی ده، به طور کل می شه گفت سیستم امنی هست.


http://www.exploit-db.com/search/?action=search&filter_page=1&filter_description=wordpress&filter_exploit_text=&filter_author=&filter_platform=0&filter_type=0&filter_lang_id=0&filter_port=&filter_osvdb=&filter_cve=


اما...
امنیت چیزی نیست که بشه اون رو در یک تاپیک و چند تاپیک جمع کرد، امنیت تمومی نداره.
هکینک هم همینطور.
بهتر هست بخشی برای این موضوع باشه، تا این که تاپیک های متفرقه و پراکتده ایجاد بشه، و از آخر هم بی نتیجه بمونه.

این مقاله که کماکان پر از غلط هست، برای مثال، DOS متد هک نیست، Denial Of Service ، به معنی تکذیب سرویس هست، هدفش از کار انداختن سرویس هاست، نه هک، همچنین SYN Flood که ذکر شده، باز هم از دسته DOS ها هست، باز هم در این موارد، "هک" به معنی نفوذ و دیفیس انجام نمی شه، بلکه سرویس مورد نظر بر روی سرور قربانی مورد حمله قرار می گیره.خب من که همون اول توضیحات نوشتم "در این روش اطلاعات و سایت سالم می ماند . ولی سروری که سایت روش قرار دارد به زانو در می آید و سایت شما از دسترس کاربران خارج می شود" . ولی حق با شماست .از کلمه ی "هک " نباید استفاده می شد.

اصلاح شد.syn flood رو هم اوردم در زیر مجموعه داس ها


بهتر هست بخشی برای این موضوع باشه، تا این که تاپیک های متفرقه و پراکتده ایجاد بشه، و از آخر هم بی نتیجه بمونه. معمولا کسانی که در این زمینه اطلاعات بالایی دارند از دادن اطلاعاتشون به دیگران خودداری می کنند.در حقیقت تاپیک های آموزشی و پر محتوی مربوط به این موضوع همیشه ، در قسمت کاربران خاص انجمن ها مطرح می شود و هر کسی نمی تواند به آن ها دسترسی داشته باشد.من که به شخصه از خدامه یکی بیاد یک جایی مثل همین جا همه ی این ها رو ریشه ای آموزش بده.

ممنون که زحمت کشیدی>:D<
فقط یه چندتا سوال





استفاده از شل یا c99 :در این روش هکر از یک اسکریپت به نام شل استفاده می کند.ابتدا به مثال زیر جهت درک بهتر قدرت "شل" (shell) توجه نمایید:

مثلا شما امنیت سایتتون در حد بینهایت زیاده و هکر کاملا از نفوذ مستقیم به سایت شما نا امید شده.پس تصمیم می گیره که شما رو دور بزنه .به این صورت کار خود را آغاز می کند که با یک جستجوی ساده نام میزبان شما را در می آورد.مثلا میزبان شما شرکت X است.بعد چک می کند و می بیند که میزبان شما علاوه بر سایت شما 100 سایت دیگر را هم میزبانی می کند.خب شروع می کند به جستجو و با کمی جستجو اون 100 سایت را پیدا می کند.حالا نوبت به هک کردن می رسد.منتها این بار نه سایت شما.بلکه سایت همسایه ی شما!اون سایت که احتمالا ادمین آن یادش رفته اصلا حتی پسورد بیشتر از 6 کاراکتر بگذارد به راحتی هک می شود.خلاصه بعد از هک سایت همسایه ی شما ، با یک شل مخصوص که خودش اون رو دی کد کرده (نا خوانا توسط آنتی ویروس) از سرور شما دسترسی روت می گیرد (یعنی به تمام فایل های موجود در کامپیوتر سرور که میزبانی سایت شما و اون 100 سایت دیگر را بر عهده دارد دسترسی پیدا می کند) و سایت شما را هک می کند.یک دماغ سوخته هم براتون می فرستد و کلی حال می کند.این هم نمونه ی این حمله!
چطور سایت هک شده رو برگردونم ؟ (http://www.webhostingtalk.ir/f41/19642/)
برای مطالعه ی بیشتر در این زمینه به اینجا مراجعه فرمایید
p30ebook (http://www.p30ebook.com/ebook/article534.html)
دقت کنید که استفاده از شل نیز یک روش کمکی هست.یعنی ابتدا هکر باید توسط یکی از دو روش گفته شده (ال اف آی و تزریق کد) سایت را هک کند و سپس می تواند از شل برای وسعت دادن به تخریب خود استفاده کند.لازم به ذکر است که هکر می تواند توسط شل حتی آنتی ویروس را از کار بیندازد و به سیستم ویروس تزریق کند یا یک حفره نامریی در سیستم ایجاد کند که هر وقت خواست دوباره برگردد و سایت را هک کند ، دسترسی روت از سرور بگیرد (یعنی به تمام فایل های سیستم عامل دسترسی پیدا کند و بتواند هر آنچه دوست دارد را تغییر دهد) و به بقیه ی سایت های روی اون سرور حمله کند و ...

1) با این حساب خرج کزدن برای امنیت سایت بی فایده است؟؟:39:
چون اگه از سایت خودمون نتونست وارد بشه
از سایت های دیگه که رویه سرور هستن، وارد می شه


ب ) روش دیگر تزریق کد هست که همانطور که در بالا گفته شد ، قبل از حمله هکر باید از فرمت جداول بانک اطلاعاتی شما و همچنین نام این جداول آگاه باشد.پس یک راه خیلی ساده برای جلوگیری از این حمله ها تغییر نام جداول بانک اطلاعاتی پیش فرض وردپرس هست.به این صورت که قبل از نصب وردپرس باید به فایل کانفیگ رفته و در همان جایی که اطلاعات بانک اطلاعاتی mysql خود را وارد می کنید ، نام پسوند این جداول را هم به یک نام دلخواه تغییر دهید.

2) این کار فقط قبل از نصب ورد پرس امکامن پذیر هست؟؟
یعنی باید وردپرس رو دوباره نصب کنم#-o
3) بعدا با تغییر دادن این هیچ مشکلی پیش نمی یاد؟ (منظورم همونی هست که گفتین در هسته وردپرس تغیرات ایجاد نمی کنه)


مثلا شما جای پوشه ی ادمین (wp-admin)را عوض کرده اید.حالا یک پوشه ی ادمین تقلبی می سازید!توی این پوشه یک فایل با نام index می گذارید که با "الگوریتم شناور دایمانورس" نوشته شده است.خصوصیت این الگوریتم این است که با بازشدن صفحه ی لوگین-ادمین توسط هکر این الگوریتم به کار افتاده و کامپیوتر هکر مورد حمله ی بار اضافی قرار می گیرد و مژینگای سیستم هکر به درجه ی اشتعال می رسد!!!!!!!! :79:

این قسمت باحال بود:71:=P~
4) ولی گفتین که تغییر در هسته ی وردپرس امنیت رو میاره پایین؟
5) با این چی کار کنیم؟

راستی
6) برای اینکه یه هکر (کلاه سفید) سایت رو از لحاظ امنیتی چک کنه و مشکلات رو برطرف کنه، معمولا چقدر پول می گیرن؟ (از چقدر تا چقدر)

7) اینجا کسی هست این کار رو انجام بده؟ (قیمت بگه)

-----------------------
پ.ن: در صورت امکان لطفا به هفت سوال جواب کامل بدین
ممنونم از لطفتون

دوست عزیز امن کردن سایت روی یک سرور نا امن هیچ ارزشی نداره ، شما بهتره دنبال یک سرور امن بگردید وگرنه وردپرس از نظر امنیتی هیچ مشکلی نداره

1) با این حساب خرج کزدن برای امنیت سایت بی فایده است؟؟:39:
چون اگه از سایت خودمون نتونست وارد بشه
از سایت های دیگه که رویه سرور هستن، وارد می شه



بی فایده نیست.ببینید آپلود شل روی سرور کار هر کسی نیست . آنتی ویروس های سرور به راحتی شل را شناسایی می کنند.در حقیقت اگر کسی بخواد روی یک سرور درست و حسابی که مدیریت سرور با تخصص و هزینه ی کافی انجام شده باشد و لایسنس به روز آنتی ویروس را خریده باشد (نه اینکه از آنتی ویروس کرک شده مجانی استفاده کند ) و آنتی ویروس به روز باشد شل آپلود کند ، باید از غولی مثل کسپراسکای یا نود باهوش تر و دانا تر باشد که این یعنی خیلی!!!!!!!!!!!!.تازه همه ی این ها مال بعد از هک سایت و توانایی آپلود فایل است که خود آپلود فایل باز یعنی خیلی!!من در آخر نوشتم که تازه اگر هک با موفقیت صورت بگیرد هکر می تواند بعضی مواقع وارد و در بعضی مواقع یک فایل بسازد.
پس این واقعا کار هر کسی نیست.کار یکی دو روزه هم نیست.من فقط می خواستم قدرت یک هکر و اینکه تا کجاها می تونه پیش بره رو نشون بدهم.
البته این مورد برای هاست های رایگان صدق نمی کنه.چون در هاست رایگان هکر لازم نیست یک سایت رو هک کند.خب خیلی محترمانه از در وارد می شود و فایل ها رو آپلود می کند!


2) این کار فقط قبل از نصب ورد پرس امکامن پذیر هست؟؟

یعنی باید وردپرس رو دوباره نصب کنم#-o

کار نشد نداره.ولی من فقط اینجوریش رو بلدم.دوستان دیگه لطف کنن و کمک کنن

3) بعدا با تغییر دادن این هیچ مشکلی پیش نمی یاد؟ (منظورم همونی هست که گفتین در هسته وردپرس تغیرات ایجاد نمی کنه)

خیر . تغییر نام جداول هیچ مشکلی به همراه ندارد.به وردپرس چه مربوطه شما دوست دارید هر اسمی که دلتون خواست رو به جداول بدهید.مثل انتخاب پسورد ورود به مرکز مدیریته که هر چیزی می تونه باشه


4) ولی گفتین که تغییر در هسته ی وردپرس امنیت رو میاره پایین؟

5) با این چی کار کنیم؟


خب این مورد خیلی تخصص می خواهد.همان طوری که گفتم برای هک (نه حمله) هکر باید یک باگ در سیستم پیدا کنه.وردپرس به خودی خود خییییلی امنه به طوری که هر کی می خواد امنیت مثال بزنه می گه وردپرس.حتما اون هم کلی باگ داره.ولی نسبت به بقیه فوق العادست.از این رو با این کار ها احتمال زیاد باگ به وجود میاد.همچنین وردپرس مرتبا برای کاهش باگ های خود راه به راه آپدیت می ده بیرون.و کسی که این کار رو بکنه خودش رو از این آپدیت ها محروم می کنه و یا باید به صورت دستی خودش با فایل ها هسته را آپدیت کند.

جواب 6 و 7 رو نمی دونم.ولی می دونم که می تونید در انجمن های هک و امنیت گروه آشیانه هم این مورد رو مطرح کنید.البته جای شما بودم اونجا کلمه ی "هکر کلاه سفید" رو نمی گفتم.چون ممکنه براتون گرون تموم شه:دی:114:

در آخر هم این نکته رو بگم که شما هرچقدر روی امنیت هزینه و تلاش کنید ممکنه نتیجه ندهد.ولی اگر همان تلاش و هزینه رو روی بک آپ گرفتن بکنید حتما نتیجه می دهد.اصلا هکر بیاید کل دیتابیس رو جمع بکند هم شما عین خیالتان نخواهد بود.>:)می تونید بک آپتان را بغل کنید و تا صبح راحت بخوابید.برای روش بک آپ از وردپرس به این پست من مراجعه فرمایید

آسوده بخوابید که وردپرس بیدار است (http://www.cmscloob.ir/showthread.php?tid=793&pid=3448#pid3448)

موفق باشید:53::103:

می شه زحمت بکشین ولطف کنید
تغییر جداول وردپرس به صورت تصویری یاد بدین
می خوام وردپرس رو دوباره نصب کنم
ارزشش رو داره
ممنون می شم:x

می شه زحمت بکشین ولطف کنید
تغییر جداول وردپرس به صورت تصویری یاد بدین
می خوام وردپرس رو دوباره نصب کنم
ارزشش رو داره
ممنون می شم:x

لازم نیست دوباره تصب کنید
اول.از دیتابیس خود یک نسخه پشتیبان با پسوند SQL تهیه کن

دوم. فایل SQL را در سیستم خود با استفاده از Notepad باز کن

سوم.حالا تمامی عبارات _wp را با نام دلخواه عوض کن به طور مثال _tizbook
برای این کار می باید از دستور Replace استفاده کنی . اگر از notepad ویندوز استفاده میکنی از کلیدهای ترکیبی Ctrl+H استفاده کن .

پس از پایان عملیات Replace فایل را ذخیره کن .


چهارم. سپس به phpmyAdmin در کنترل پنل هاست برو و تمامی table های موجود در دیتابیس وردپرس خود را حذف کن . (توجه داشته باش خود دیتابیس را حذف نکنی)


پنجم. سپس فایل Sql که بر روی هارد دیسک خود داشتی و آن را ویرایش کرده بودی را از بخش Import وارد دیتابیس خود در phpmyAdmin‌ کن .


ششم.بعد باید تغییر کوچکی در فایل wp-config.php وردپرس خود بدی . این فایل دقیقا در Root شاخه ای است که وردپرس خود را نصب کردی و اگر وردپرس را خودت نصب کردی حتما با آن اشنایی داری . فایل را ویرایش کرده و در خطی که عبارت :

$table_prefix = ‘wp_’;

نوشته شده است را با نامی که تغییر داده بودی عوض کن . به طور مثال با توجه به مثالی که در بالا زدم به جای خط بالا باید عبارت زیر را به کار بری :

$table_prefix = ’tizbook_’;
هفتم. پس از انجام این کار به صورت اتوماتیک وردپرس تمامی پلاگینهای Active را غیر فعال (Deactivate) می کند . پس به بخش پلاگین وردپرس مراجعه کرده و مجدداً پلاگینهای مورد نیاز را فعال کن
کار تمام است .

لازم نیست دوباره تصب کنید
اول.از دیتابیس خود یک نسخه پشتیبان با پسوند SQL تهیه کن

دوم. فایل SQL را در سیستم خود با استفاده از Notepad باز کن

سوم.حالا تمامی عبارات _wp را با نام دلخواه عوض کن به طور مثال _tizbook
برای این کار می باید از دستور Replace استفاده کنی . اگر از notepad ویندوز استفاده میکنی از کلیدهای ترکیبی Ctrl+H استفاده کن .

پس از پایان عملیات Replace فایل را ذخیره کن .


چهارم. سپس به phpmyAdmin در کنترل پنل هاست برو و تمامی table های موجود در دیتابیس وردپرس خود را حذف کن . (توجه داشته باش خود دیتابیس را حذف نکنی)


پنجم. سپس فایل Sql که بر روی هارد دیسک خود داشتی و آن را ویرایش کرده بودی را از بخش Import وارد دیتابیس خود در phpmyAdmin‌ کن .


ششم.بعد باید تغییر کوچکی در فایل wp-config.php وردپرس خود بدی . این فایل دقیقا در Root شاخه ای است که وردپرس خود را نصب کردی و اگر وردپرس را خودت نصب کردی حتما با آن اشنایی داری . فایل را ویرایش کرده و در خطی که عبارت :

$table_prefix = ‘wp_’;

نوشته شده است را با نامی که تغییر داده بودی عوض کن . به طور مثال با توجه به مثالی که در بالا زدم به جای خط بالا باید عبارت زیر را به کار بری :

$table_prefix = ’tizbook_’;
هفتم. پس از انجام این کار به صورت اتوماتیک وردپرس تمامی پلاگینهای Active را غیر فعال (Deactivate) می کند . پس به بخش پلاگین وردپرس مراجعه کرده و مجدداً پلاگینهای مورد نیاز را فعال کن
کار تمام است .

متاسفانه وردپرس و اس کیو ال رو پاک کردم
میشه اموزش قبل از نصب رو بگین که چطوری تغییر بدم
ممنون می شم

باید تغییر کوچکی در فایل wp-config.php وردپرس خود بدی . این فایل دقیقا در Root شاخه ای است که وردپرس خود را نصب کردی و اگر وردپرس را خودت نصب کردی حتما با آن اشنایی داری . فایل را ویرایش کرده و در خطی که عبارت :

$table_prefix = ‘wp_’;

نوشته شده است را با نامی که تغییر داده بودی عوض کن . به طور مثال با توجه به مثالی که در بالا زدم به جای خط بالا باید عبارت زیر را به کار بری :

$table_prefix = ’tizbook_’;
بعد مراحل نصب رو انجام بده


---------- Post added at 12:34 AM ---------- Previous post was at 12:32 AM ----------

کانفیگ رو بزار برات درست کنم
اگه خواستی

بی فایده نیست.ببینید آپلود شل روی سرور کار هر کسی نیست . آنتی ویروس های سرور به راحتی شل را شناسایی می کنند.در حقیقت اگر کسی بخواد روی یک سرور درست و حسابی که مدیریت سرور با تخصص و هزینه ی کافی انجام شده باشد و لایسنس به روز آنتی ویروس را خریده باشد (نه اینکه از آنتی ویروس کرک شده مجانی استفاده کند ) و آنتی ویروس به روز باشد شل آپلود کند ، باید از غولی مثل کسپراسکای یا نود باهوش تر و دانا تر باشد که این یعنی خیلی!!!!!!!!!!!!.تازه همه ی این ها مال بعد از هک سایت و توانایی آپلود فایل است که خود آپلود فایل باز یعنی خیلی!!من در آخر نوشتم که تازه اگر هک با موفقیت صورت بگیرد هکر می تواند بعضی مواقع وارد و در بعضی مواقع یک فایل بسازد.
پس این واقعا کار هر کسی نیست.کار یکی دو روزه هم نیست.من فقط می خواستم قدرت یک هکر و اینکه تا کجاها می تونه پیش بره رو نشون بدهم.
البته این مورد برای هاست های رایگان صدق نمی کنه.چون در هاست رایگان هکر لازم نیست یک سایت رو هک کند.خب خیلی محترمانه از در وارد می شود و فایل ها رو آپلود می کند!



کار نشد نداره.ولی من فقط اینجوریش رو بلدم.دوستان دیگه لطف کنن و کمک کنن


خیر . تغییر نام جداول هیچ مشکلی به همراه ندارد.به وردپرس چه مربوطه شما دوست دارید هر اسمی که دلتون خواست رو به جداول بدهید.مثل انتخاب پسورد ورود به مرکز مدیریته که هر چیزی می تونه باشه



خب این مورد خیلی تخصص می خواهد.همان طوری که گفتم برای هک (نه حمله) هکر باید یک باگ در سیستم پیدا کنه.وردپرس به خودی خود خییییلی امنه به طوری که هر کی می خواد امنیت مثال بزنه می گه وردپرس.حتما اون هم کلی باگ داره.ولی نسبت به بقیه فوق العادست.از این رو با این کار ها احتمال زیاد باگ به وجود میاد.همچنین وردپرس مرتبا برای کاهش باگ های خود راه به راه آپدیت می ده بیرون.و کسی که این کار رو بکنه خودش رو از این آپدیت ها محروم می کنه و یا باید به صورت دستی خودش با فایل ها هسته را آپدیت کند.

جواب 6 و 7 رو نمی دونم.ولی می دونم که می تونید در انجمن های هک و امنیت گروه آشیانه هم این مورد رو مطرح کنید.البته جای شما بودم اونجا کلمه ی "هکر کلاه سفید" رو نمی گفتم.چون ممکنه براتون گرون تموم شه:دی:114:

در آخر هم این نکته رو بگم که شما هرچقدر روی امنیت هزینه و تلاش کنید ممکنه نتیجه ندهد.ولی اگر همان تلاش و هزینه رو روی بک آپ گرفتن بکنید حتما نتیجه می دهد.اصلا هکر بیاید کل دیتابیس رو جمع بکند هم شما عین خیالتان نخواهد بود.>:)می تونید بک آپتان را بغل کنید و تا صبح راحت بخوابید.برای روش بک آپ از وردپرس به این پست من مراجعه فرمایید

آسوده بخوابید که وردپرس بیدار است (http://www.cmscloob.ir/showthread.php?tid=793&pid=3448#pid3448)

موفق باشید:53::103:



عین خیالتان نخواهد بود!!؟ شما رو نمیدونم ولی من به اطلاعات و عدم دسترسی افراد و اطلاعاتم خیلی اهمیت میدم!