اتک از سایت های هک شده وردپرسی

[yastheme]

باسلام
راه حل برای رفع ارایه میدهید؟
یا لینک درصورت امکان.
باتشکر

راه حل این متود بسیار ساده است

http://www.ddos-guard.ir/%D8%A7%D9%8...7%D9%88%D9%84/

[jahromweb]

راه حل این متود بسیار ساده است

http://www.ddos-guard.ir/%D8%A7%D9%8...7%D9%88%D9%84/

باتشکر
برای جلوگیری از این که این حملات توسط سایت های روی سرور ایجاد نشود چه راه حلی است؟

[Ashkankamangar.ir]

Test Yourself

You can test to see if your site was used in the WordPress Pingback Botnet by using Sucuri’s WordPress DDoS scanner. This is what I got back:

Protect Yourself

Sucuri posted a code snippet which will get you out of the woods:
add_filter( ‘xmlrpc_methods’, function( $methods ) { unset( $methods['pingback.ping'] ); return $methods; } );

1 2 3 4

add_filter( ‘xmlrpc_methods’, function( $methods ) { unset( $methods['pingback.ping'] ); return $methods; } );

And then Jeff, over at the Tavern, cleaned it up a bit to make it work with more versions of PHP.
But I was still not happy.
This bit of code is too important to be part of your functions.php file! When you change themes at some point in the future, you can unknowingly open yourself up to become part of the next WordPress Pingback DDoS Botnet.
So I created a simple little plugin with this same code and posted the code on GitHub. It is also available on the WordPress.org plugin repo : Remove XMLRPC Pingback Ping.
Download the zip of the plugin now and activate it.
Test Yourself Again!

If you are paranoid like me, I wanted to make absolutely sure that even after I activated my Remove XMLRPC Pingback plugin, that I was protected. So after a little digging, I managed to figure out how to test my site.
Follow these steps and replace http://YOUR-SITE-URL.com with the URL of your site:

1. Install the Chrome extension PostMan
   
2. As your request URL, enter http://YOUR-SITE-URL.com/xmlrpc.php
   
3. Make sure you are doing a POST
   
4. Set your request body to be RAW with the following content:
   <methodCall>
   <methodName>pingback.ping</methodName>
   <params>
   <param><value><string>http://YOUR-SITE-URL.com</string></value></param>
   <param><value><string>http://YOUR-SITE-URL.com/hello-world/</string></value></param>
   </params>
   </methodCall>
   
5. Make sure the second param is a valid blog post URL that exists in your WordPress site
   
6. Send the request!

If you get back a response saying the pingback from http://YOUR-SITE-URL.com to http://YOUR-SITE-URL.com/hello-world/ was registered, then your site is wide open. Here is a screenshot from POSTMAN:

After activating this plugin, sending through the same request as above should result in an error response from the website server error. requested method pingback.ping does not exist., as seen in this screenshot:

[yastheme]

نسخه 4 به بعد وردپرس این باگ رو ندارن؛
وردپرس ها را به روز کنید

- - - Updated - - -

البته یه مورد هم در خصوص روش بستن رکوئست هایی که User agent خالی دارن بگم؛تمامی مرورگر ها و اکثر بات ها از گوگل گرفته تا حتی اسپیمر ها برای خودشون Use agent دارن؛ اما سایت e Namad نداره
برای همین آی پی ای نماد رو تو وایت لیست بزارید تا کاربرانتون برای تاییدنماد به مشکل برنخورند؛
حد اقل یه User agent خشک و خالی براش انتخاب می کردند.

[Yas-Host]

نسخه 4 به بعد وردپرس این باگ رو ندارن؛
وردپرس ها را به روز کنید

- - - updated - - -

البته یه مورد هم در خصوص روش بستن رکوئست هایی که user agent خالی دارن بگم؛تمامی مرورگر ها و اکثر بات ها از گوگل گرفته تا حتی اسپیمر ها برای خودشون use agent دارن؛ اما سایت e namad نداره
برای همین آی پی ای نماد رو تو وایت لیست بزارید تا کاربرانتون برای تاییدنماد به مشکل برنخورند؛
حد اقل یه user agent خشک و خالی براش انتخاب می کردند.

برای جلوگیری از ***** شدن اینجوری زدن

[مینا-صیفی]

کاری به این موضوع ندارم اما این اسکریپت وردپرس که این همه معروف و پذیرنده داره جهانی هست و این ها و خارجی هست و خیلی خوب هست چرا هر ورژن یا نسخه میده باگ توش کشف میشه و داره چقدر بی امنیت هست این بائید هست از اینچور اسکریپت ها که 1 روز ندیدم تو سایت های امنیتی باگ جدید کشف نکنن همش تو سایت های امنیتی میبینم باگ وردپرس 4 باگ وردپرس 4.1 باگ وردپرس 4.2 نمیدونم 4.4 نمیدونم 3 فلان جریانش چیه این اسکریپت خوب جهانی فوق معروف و کار امد اصلا امنیت اوکی نیست هر چی جلو میره باگ جدید میاد واسش با تشکر

[SamaN DL]

کاری به این موضوع ندارم اما این اسکریپت وردپرس که این همه معروف و پذیرنده داره جهانی هست و این ها و خارجی هست و خیلی خوب هست چرا هر ورژن یا نسخه میده باگ توش کشف میشه و داره چقدر بی امنیت هست این بائید هست از اینچور اسکریپت ها که 1 روز ندیدم تو سایت های امنیتی باگ جدید کشف نکنن همش تو سایت های امنیتی میبینم باگ وردپرس 4 باگ وردپرس 4.1 باگ وردپرس 4.2 نمیدونم 4.4 نمیدونم 3 فلان جریانش چیه این اسکریپت خوب جهانی فوق معروف و کار امد اصلا امنیت اوکی نیست هر چی جلو میره باگ جدید میاد واسش با تشکر

دیگه شما زیاد جوش نزن ♥

[us12]

کاری به این موضوع ندارم اما این اسکریپت وردپرس که این همه معروف و پذیرنده داره جهانی هست و این ها و خارجی هست و خیلی خوب هست چرا هر ورژن یا نسخه میده باگ توش کشف میشه و داره چقدر بی امنیت هست این بائید هست از اینچور اسکریپت ها که 1 روز ندیدم تو سایت های امنیتی باگ جدید کشف نکنن همش تو سایت های امنیتی میبینم باگ وردپرس 4 باگ وردپرس 4.1 باگ وردپرس 4.2 نمیدونم 4.4 نمیدونم 3 فلان جریانش چیه این اسکریپت خوب جهانی فوق معروف و کار امد اصلا امنیت اوکی نیست هر چی جلو میره باگ جدید میاد واسش با تشکر

برای اینکه اسکریپت رایگان و معروفی است افراد بیشماری آنرا نصب کرده اند و برای هکر ارزش داره ماه ها وقت بگذاره و باگ پیدا کنه ، با پیدا کردن یک باگ انبوهی سایت مشابه را میتونه هک کنه .

توجه داشته باشید امنیت 100 درصدی فقط وقتی تمام کامیپوتر ها خاموش و تکه تکه شده باشند وجود داره !

[مینا-صیفی]

برای اینکه اسکریپت رایگان و معروفی است افراد بیشماری آنرا نصب کرده اند و برای هکر ارزش داره ماه ها وقت بگذاره و باگ پیدا کنه ، با پیدا کردن یک باگ انبوهی سایت مشابه را میتونه هک کنه .

توجه داشته باشید امنیت 100 درصدی فقط وقتی تمام کامیپوتر ها خاموش و تکه تکه شده باشند وجود داره !

اسکریپت های دیگه هم رایگان هست مثله این نیست هر روز باگ داشته باشه و تعداد هک شده هاش روز به روز رو به افزایش هست و میدونم وقتی یک راهی پیدا میکنی میتوانید با همان توسط bing که هکرا استفاده و سرچ میکنند 10000 ران سایت را با همان شل یا راه قربانی میکنند .

- - - Updated - - -

دیگه شما زیاد جوش نزن ♥

جوش نیست وقتی برنامه نویس های این اسکریپت خلاصه حرفه ای هستند اما یک ادم 15 یا 18ساله میاد از توش xss در میاره خیلی هست که چطور برنامه نویس اسکریپت با اون حرفه ای بودنش و غیره وقتی ورژن جدید میده تو همون اخه ؟ .... من فکر میکنم این مدیر این اسکریپ چیزی از امنیت نمیدونه میاد 100000 نفر که هک شدند بعد گزارش میدند بعد اقا هم ورزن جدید میده دوباره باگ حالا sql پس فردا CSRF پس فردا remoter نمیدونم uploader و غیره هر نوع باگی هر نوع نفوذی در دنیا روی همین اسکریپت شده بس کنه بابا .

[InterServer.ir]

به نظرم وردپرس امنیت مطلوبی داره نسبت به امکانات اسکریپتش
امکانات و ابزار و راحتی بیشتر = افزایش مشکلات امنیتی

50 درصد امنیت اسکریپت هست 50 دانش و تجربه وبمستر هست
هستند سایت هایی که قدیمی هستند و با وجود صد ها بار حملات هک در روز هک هم نشدند.