مشکل امنیتی خطرناک و حیاتی در پلاگین Slider Revolution - وردپرس

[secure_host]

مشکل امنیتی جدیدی در پلاگین WordPress Plugin Slider Revolution کشف شده است . که باعث می گردد تا نفوذگران به راحتی فایل های وب سایت شما را دانلود نمایند.
که از فایل های خطرناکی که میتوان از آن نام برد. فایل wp-config.php می باشد که اطلاعات بانک اطلاعاتی شما در آن ذخیره شده است . که نفوذگران با دانستن این اطلاعات می تواند به بانک اطلاعاتی شما متصل شده و اقدامات خرابکارانه خود نظیر دانلود بانک اطلاعاتی و یا تغییر در ساختار دیتابیس را انجام دهند.
و یا اگر شما نمی خواهید source وب سایت شما منتشر شود با سواستفاده از این مشکل امنیتی براحتی سورس فایل های شما در اختیار نفوذگران قرار می گیرد .
از اقدامات دیگران که می توان با بهره گیری و سوء استفاده از این مشکل امنیتی به آن دست یافت این است که پس از اتصال به بانک اطلاعاتی نفوذگران می توانند برای خود کاربر مدیر در وردپرس ایجاد کنند و سپس از طریق آن اقدام به آپلود فایل های مخرب خود نمایند.

برای جلوگیری از این مشکل امنیتی اقدامات زیر را انجام دهید.
۱- بروز رسانی پلاگین مربوطه
۲- کد کردن فایل wp-config.php
۳- ایجاد رمز اولیه برای صفحه wp-admin
۴- کنترل کاربران مدیر و حذف مدیران ایجاد شده
۵- برای اطمینان بیشتر و کنترل فایل های سایت که خود استفاده از اسکریپت CXS توصیه می گردد تا اگر نفوذگران فایل مخربی بر روی سایت شما آپلود نموده اند. فایل ها را شناسایی و حذف نماید.

جهت اطلاعات بیشتر در مورد این مشکل امنیتی . :
http://blog.securehost.ir/?p=10
https://www.facebook.com/SecureHost.ir
http://www.exploit-db.com/exploits/36554/

[se7en-host]

فکر کنم اموزش این 2 تا رو میزاشتید بهتر بود

۲- کد کردن فایل wp-config.php
۳- ایجاد رمز اولیه برای صفحه wp-admin
معمولا کاربران کم به خودشون زحمت میدن برن دنبال اموزش باشن :دی

[kool]

فکر کنم اموزش این 2 تا رو میزاشتید بهتر بود

۲- کد کردن فایل wp-config.php
۳- ایجاد رمز اولیه برای صفحه wp-admin
معمولا کاربران کم به خودشون زحمت میدن برن دنبال اموزش باشن :دی

کد کردن ساده باشه چندان به درد نمیخوره. بهتره با نرم افزار هایی نظیر ioncube کد شود.
و پوشه ادمین هم میتونن از (پسورد پروتکت دایرکتوری) رمز قرار بدن که البته این رو هر سایتی امکان قرار دادنش وجود نداره. چون در سایت هایی که نیازه تا کاربران لاگین کنن، نمیشه به تک تک کاربرا رمز رو ارسال کرد و...

[jahromweb]

سلام فکر کنم تغییر ادرس admin هم مناسب باشد درست میگویم ؟ با اگر اشتباه نکنم sf login move

[mchteh]

سلام
خیلیا دارن ازاین افزونه استفاده میکنند
کاش یه اموزش تکمیلی تر وجامع تر میذاشتید

[yourhosting]

خیلی ممنون که اطلاع رسانی کردید.تو 10 دقیقه براحتی با دورکش شد 5تا کانفیگ سایت هارو دانلود کرد!

[syncronet]

البته این مشکل امنیتی جدید نیست و از اواخر سال قبل میلادی باعث هک تعداد زیادی سایت وردپرسی شده:

http://blog.sucuri.net/2014/09/slide...exploited.html

البته مشکل فقط دسترسی برای دانلود فایلها نیست و امکان آپلود کد مخرب روی هاست قربانی هم از طریق حفره دیگر این افزونه وجود داره:

http://blog.sucuri.net/2014/12/revsl...ompromise.html

متاسفانه صاحبان وب سایت ها به این اصل ساده اولیه بروز رسانی cms ها و متعلقات اونها توجه نمی کنند. هنوز هم سایتهای زیادی هستند که بعد از گذشت چند ماه بروز رسانی انجام ندادن و سایتشون آسیب پذیر هست.

[Kian]

اگز سطح دسترسی فایل

wp-config.php را به 400 تغییر بدهیم، آیا مشکل برطرف خواهد شد؟