با سلام،
طی چند ماه اخیر شاهد نفوذ به سیستم های مدیریت محتوای Wordpress بودیم که hacker بدون داشتن رمز عبور مدیریت با ارسال درخواست های خاصی با متود POST به wp-admin قادر به دور زدن رمز عبور ( bypass ) و ورود به بخش مدیریت بوده و پس از آن به کل سیستم مدیریت محتوا و همچنین هاست دسترسی خواهد داشت
این حفره امنیتی خطرناک که در آخرین نسخه‌های wordpress نیز وجود دارد، هنوز به طور رسمی منتشر نشده و به شکل private می‌باشد و به همین دلیل wordpress هنوز patch و securirty fix رسمی جهت رفع این نقیصه ارائه نکرده
با توجه به اینکه این ضعف امنیتی می‌تواند منجر به دسترسی کامل hacker به کل هاست و سایت شود، جهت جلوگیری از هرگونه نفوذ و سوء استفاده اکیداً توصیه میشود از طریق cPanel بخش Password Protection حتماً روی مسیر wp-admin کلیه نسخه‌های wordpress خود یک رمز ثانویه قرار دهید، در این صورت hacker بدون داشتن آن رمز قادر به ارسال درخواست به wp-admin و نفوذ نخواهد بود
جهت مشاهده آموزش تصویری Password Protection در cPanel اینجا (http://www.cpanel.net/media/tutorials/passwdprotect.htm) کلیک کنید
با تشکر

چند روزیست که سایت های هاستینگ معتبر از جمله هاست دی ال، میهن وب هاست و .... درباره یک باگ خطرناک در وردپرس تذکراتی را داده اند
از دوستان کسی اطلاعات دقیق تری دارد؟

چناچه از پلاگین های زیر استفاده می کنید سریعا به آخرین نسخه آپدیت کنید



Annonces plugin vulnerability in Version 1.2.0.1
Security fixed in Version 1.2.0.2 on 06/20/2012
Download: WordPress › Annonces � WordPress Plugins (http://wordpress.org/extend/plugins/annonces/)
Changelog: WordPress › Annonces � WordPress Plugins (http://wordpress.org/extend/plugins/annonces/changelog/)
Evarisk plugin vulnerability in Version 5.1.5.4
Security fixed in Version 5.1.5.5 on 06/20/2012
Download: WordPress › Evarisk � WordPress Plugins (http://wordpress.org/extend/plugins/evarisk/)
Changelog: WordPress › Evarisk � WordPress Plugins (http://wordpress.org/extend/plugins/evarisk/changelog/)
Front End Upload plugin vulnerability in 0.5.3 (free version only, not pro)
Security fixed in Version 0.5.4.3 on 06/10/2012
Download: WordPress › Front End Upload � WordPress Plugins (http://wordpress.org/extend/plugins/front-end-upload/)
Changelog: WordPress › Front End Upload � WordPress Plugins (http://wordpress.org/extend/plugins/front-end-upload/changelog/)
kk Star Ratings plugin vulnerability in Version 1.7
Security fixed in Version 1.7.1. Current version 1.7.2 on 06/19/2012
Download: WordPress › kk Star Ratings � WordPress Plugins (http://wordpress.org/extend/plugins/kk-star-ratings/)
Changelog: WordPress › kk Star Ratings � WordPress Plugins (http://wordpress.org/extend/plugins/kk-star-ratings/changelog/)
Nmedia MailChimp Widget plugin vulnerability in Version 3.1
Security fixed in Version 3.2 on 06/13/2012
Download: WordPress › Nmedia MailChimp Widget � WordPress Plugins (http://wordpress.org/extend/plugins/nmedia-mailchimp-widget/)
Changelog: WordPress › Nmedia MailChimp Widget � WordPress Plugins (http://wordpress.org/extend/plugins/nmedia-mailchimp-widget/changelog/)
Nmedia WordPress Member Conversation plugin vulnerability in Version 1.3
Security fixed in Version 1.4 on 06/10/2012
Download: WordPress › Nmedia WordPress Member Conversation � WordPress Plugins (http://wordpress.org/extend/plugins/wordpress-member-private-conversation/)
Changelog: WordPress › Nmedia WordPress Member Conversation � WordPress Plugins (http://wordpress.org/extend/plugins/wordpress-member-private-conversation/changelog/)
NS Utilities plugin vulnerability in Version 1.0
Security fixed in Version 1.1 on 06/13/2012
Download: WordPress › NS Utilities � WordPress Plugins (http://wordpress.org/extend/plugins/ns-utilities/)
Changelog: WordPress › NS Utilities � WordPress Plugins (http://wordpress.org/extend/plugins/ns-utilities/changelog/)
Omni Secure files plugin vulnerability in Version 0.1.13
Security fixed in Version 0.1.15 on 06/12/2012
Download: WordPress › Omni Secure Files � WordPress Plugins (http://wordpress.org/extend/plugins/omni-secure-files/)
Changelog: WordPress › Omni Secure Files � WordPress Plugins (http://wordpress.org/extend/plugins/omni-secure-files/changelog/)
PDW Media File Browser plugin vulnerability in Version 1.1
Security fix in Version 1.2. Current version 1.3 on 06/21/2012
Download: WordPress › PDW Media File Browser � WordPress Plugins (http://wordpress.org/extend/plugins/pdw-file-browser/)
Changelog: WordPress › PDW Media File Browser � WordPress Plugins (http://wordpress.org/extend/plugins/pdw-file-browser/changelog/)
TheCartPress eCommerce Shopping Cart plugin vulnerability in Version 1.1.9.2
Security fixed in Version 1.1.9.3 on 06/21/2012
Download: WordPress › TheCartPress eCommerce Shopping Cart � WordPress Plugins (http://wordpress.org/extend/plugins/thecartpress/)
Changelog: WordPress › TheCartPress eCommerce Shopping Cart � WordPress Plugins (http://wordpress.org/extend/plugins/thecartpress/changelog/)
WordPress Mac Photo Gallery plugin vulnerability in Version 2.7
Security fixed in Version 2.10 on 06/20/2012
Download: WordPress › MAC PHOTO GALLERY � WordPress Plugins (http://wordpress.org/extend/plugins/mac-dock-gallery/)
Trac: http://plugins.trac.wordpress.org/log/mac-dock-gallery
WassUp Real Time Analytics plugin vulnerability in Version 1.8.3
Security fixed in Version 1.8.3.1
Download: WordPress › WassUp Real Time Analytics � WordPress Plugins (http://wordpress.org/extend/plugins/wassup/)
Changelog: WordPress › WassUp Real Time Analytics � WordPress Plugins (http://wordpress.org/extend/plugins/wassup/changelog/)

همچنین پلاگین های زیر بدلیل مشکلات امنیتی از سایت مرجع وردپرس پاک شدند
اگر از این افزونه ها استفاده می کنید افزونه مناسبی را جایگزین کنید



Easy Contact Forms Export plugin vulnerability in Version 1.1.0
Old URL: http://wordpress.org/extend/plugin/easy-contact-forms-exporter/
Trac: easy-contact-forms-exporter (log) – WordPress Plugin Repository (http://plugins.trac.wordpress.org/log/easy-contact-forms-exporter) (last update 04/02/2012)
FCChat Widget plugin vulnerability in Versions 2.2.12.2 through 2.2.13.1
Old URL: http://wordpress.org/extend/plugins/fcchat/
Trac: fcchat (log) – WordPress Plugin Repository (http://plugins.trac.wordpress.org/log/fcchat) (last update 06/13/2012)
Front File Manager plugin vulnerability in Version 0.1
Old URL: http://wordpress.org/extend/plugins/front-file-manager/
Trac: front-file-manager (log) – WordPress Plugin Repository (http://plugins.trac.wordpress.org/log/front-file-manager) (last update 01/24/2012)
Hungred Post Thumbnail plugin vulnerability in Version 2.1.9
Old URL: http://wordpress.org/extend/plugins/hungred-post-thumbnail/
Trac: hungred-post-thumbnail (log) – WordPress Plugin Repository (http://plugins.trac.wordpress.org/log/hungred-post-thumbnail) (last updated 06/26/2012)
Plugin: Newsletter plugin vulnerability in Version 1.5
Old URL: http://wordpress.org/extend/plugins/plugin-newsletter/
Trac: plugin-newsletter (log) – WordPress Plugin Repository (http://plugins.trac.wordpress.org/log/plugin-newsletter) (last update 11/23/2011)
WordPress Schreikasten plugin vulnerability in Version 0.14.13
Old URL: http://wordpress.org/extend/plugins/schreikasten/
Trac: schreikasten (log) – WordPress Plugin Repository (http://plugins.trac.wordpress.org/log/schreikasten) (last update 09/16/2011)
WORDPRESS VIDEO GALLERY plugin vulnerability in Version 1.3
Old URL: http://wordpress.org/extend/plugins/contus-video-galleryversion-10/
Trac: contus-video-galleryversion-10 (log) – WordPress Plugin Repository (http://plugins.trac.wordpress.org/log/contus-video-galleryversion-10/) (last update 12/28/2011)

در رابطه با موضوع فوق قبلاً تاپيك زده شده.

http://www.webhostingtalk.ir/f139/50849/



http://www.webhostingtalk.ir/f139/51325/

ممنون از اطلاع رسانی شما
اما در این باره قبلا بحث شده و نسخه 3.4 این مشکل برطرف شده.
البته درباره افزونه ها بله درسته. باید به روز بشن. متاسفانه بیشتر کاربرای ایرانی از افزونهایی که ار لیست وردپرس حذف شدن هنوز دادن استفاده میکنن که این خودش یک مشکل اساسیه