حفره امنیتی خطرناک در wordpress

[AriyaDownload]

با سلام،
طی چند ماه اخیر شاهد نفوذ به سیستم های مدیریت محتوای Wordpress بودیم که hacker بدون داشتن رمز عبور مدیریت با ارسال درخواست های خاصی با متود POST به wp-admin قادر به دور زدن رمز عبور ( bypass ) و ورود به بخش مدیریت بوده و پس از آن به کل سیستم مدیریت محتوا و همچنین هاست دسترسی خواهد داشت
این حفره امنیتی خطرناک که در آخرین نسخه‌های wordpress نیز وجود دارد، هنوز به طور رسمی منتشر نشده و به شکل private می‌باشد و به همین دلیل wordpress هنوز patch و securirty fix رسمی جهت رفع این نقیصه ارائه نکرده
با توجه به اینکه این ضعف امنیتی می‌تواند منجر به دسترسی کامل hacker به کل هاست و سایت شود، جهت جلوگیری از هرگونه نفوذ و سوء استفاده اکیداً توصیه میشود از طریق cPanel بخش Password Protection حتماً روی مسیر wp-admin کلیه نسخه‌های wordpress خود یک رمز ثانویه قرار دهید، در این صورت hacker بدون داشتن آن رمز قادر به ارسال درخواست به wp-admin و نفوذ نخواهد بود.

پ.ن: در مورد صحت این خبر و این باگ در وردپرس اطلاعاتی ندارم، فقط خواستم یک اطلاع رسانی بکنم تا دوستانی که از وردپرس استفاده می کنن حداقل این مورد رو انجام بدن تا مشکلی براشون پیش نیاد. (در صورت صحت این خبر)

برگرفته شده از هاست دی ال

[sina_mech]

در تکمیل حرف شما، دوستان از طریق ویرایش htaccess هم میتونن پسورد بذارن. برید داخل فولدر wp-admin و فایل .htaccess ایجاد کنید با این محتوا:

کد:

AuthUserFile /home/USERESHOMA/FOLDER/.htpasswd
AuthType Basic
AuthName restricted
Order Deny,Allow
Deny from all
Require valid-user
Satisfy any

فایلی با عنوان .htpasswd در داخل مسیر /home/USERESHOMA/FOLDER بسازید و داخلش چنین چیزی رو بنویسید:

کد:

USER:PASSWORD

این روشم جواب میده

[m3hdi]

با سلام،
طی چند ماه اخیر شاهد نفوذ به سیستم های مدیریت محتوای Wordpress بودیم که hacker بدون داشتن رمز عبور مدیریت با ارسال درخواست های خاصی با متود POST به wp-admin قادر به دور زدن رمز عبور ( bypass ) و ورود به بخش مدیریت بوده و پس از آن به کل سیستم مدیریت محتوا و همچنین هاست دسترسی خواهد داشت
این حفره امنیتی خطرناک که در آخرین نسخه‌های wordpress نیز وجود دارد، هنوز به طور رسمی منتشر نشده و به شکل private می‌باشد و به همین دلیل wordpress هنوز patch و securirty fix رسمی جهت رفع این نقیصه ارائه نکرده
با توجه به اینکه این ضعف امنیتی می‌تواند منجر به دسترسی کامل hacker به کل هاست و سایت شود، جهت جلوگیری از هرگونه نفوذ و سوء استفاده اکیداً توصیه میشود از طریق cPanel بخش Password Protection حتماً روی مسیر wp-admin کلیه نسخه‌های wordpress خود یک رمز ثانویه قرار دهید، در این صورت hacker بدون داشتن آن رمز قادر به ارسال درخواست به wp-admin و نفوذ نخواهد بود.

پ.ن: در مورد صحت این خبر و این باگ در وردپرس اطلاعاتی ندارم، فقط خواستم یک اطلاع رسانی بکنم تا دوستانی که از وردپرس استفاده می کنن حداقل این مورد رو انجام بدن تا مشکلی براشون پیش نیاد. (در صورت صحت این خبر)

برگرفته شده از هاست دی ال

جسارت به شما نباشه
طبق این نوشته کسی که دسترسی ادمین داشته باشه می تونه به هاست دسترسی پیدا کنه
این موضوع صحت نداره و این مورد تنها و تنها به کانفیگ سرور برمیگرده که آیا بشه از مدیریت سیستمی مثل wp دسترسی به هاست (که البته فکر کنم منظورشون فایل هست) داشته باشیم ، این مورد رو معمولا از طریق ادیتور قالب میان و شلر رو به جای کد قالب رایت می کنند که کاملا به کانفیگ apache و php سرور برمیگرده و به هیچ عنوان نمیشه گفت که در همه ی سرورها به طور یکسان قابل به اجراست.

[IranHosting]

عزیز از راه wp admin شل آپ میکنه و بعد هم دسترسی به هاست

[php.online]

نسخه 3.4 وردپرس تازه منتشر شده. من تو یه سایت خارجی خوندم مشکل حل شده. به روز کنید. بعدش هم همونطور که دوستمون گفتن بستگی به سرور داره

[sazsaz]

بله مشکل حل شده البته من پیگیری کردم زیاد مهم نبود یعنی جوجه هکر ها و مرغ هکر ها نمی تونستند هک کنن
همیشه کل اخبار را می تونید در انجمن راهنمای وردپرس فارسی پیگیری کنید

[navid2zp]

توی گوگل هم یک پیام مبندی بر وجود یه باگ امنیتی برام ارسال شده بود
که بعد وردپرس رو آپدیت کردم به 3.4