0

هیچ محصولی در سبد خرید نیست.

طراحی سایت در اصفهان, سئو سایت اصفهان, ساخت سایت اصفهان, طراحی سایت حرفه ای اصفهان, بهینه سازی سایت , بازاریابی و دیجیتال مارکتینگ 09133886881 احمدپور

امنیت وردپرس در لوگین

نویسنده پشتیبانی وب یار
امتیاز مطلب
تعداد بازدید 583
تاریخ بروزرسانی ۱۱ آبان ۱۳۹۴

 امنیت وردپرس در لوگین » هسته وردپرس , با توجه به متن باز بودن آن , یکی از ایمن ترین هسته های سایت ساز است .(امنیت وردپرس در لوگین) اما این در حالتی است که کاربران وردپرس , هیچ لوازم یدکی را ( مانند قالب یا افزونه یا هک و کد ) بر روی آن سوار نکنند . این البته غیر ممکن است , چرا که بخشی از کاربرد و قدرت وردپرس , وابسته به این یدک هاست . یک نفوذگر نیز این را به خوبی میداند و بسیار کم هستند نفوذگرانی که برای نفوذ به یک وبسایت وردپرسی , وقت خود را صرف اسکن هسته سایت نمایند ( مخصوصا اگر هسته مرتبا به روز شده و از نسخه های روز استفاده کند ) .

امنیت وردپرس در لوگین

نفوذگران معمولا برای نفوذ به یک وردپرس , در ابتدا اقدام به اسکن بخش لاگین و سپس افزونه ها و در نهایت قالب وبسایت میکنند . اینها تماما بخش هایی هستند که افزونه ها بر آن سوار میشوند . ممکن است مدیر وب سایت , با هدف دیزاین بخش لاگین , از افزونه استفاده کرده باشد , افزونه ای که در اسکنهای Acunetix مشخص میشود که بیشتر از امنیت , فقط بر زیبایی تکیه کرده است و موجودیت وبسایت را به خطر انداخته است . مدیر دیگر , بدون توجه به امنیت و کد نویسی صحیح در یک قالب , اقدام به نصب و سوار کردن امکاناتی بر روی آن کرده است که مجموعا باعث میشود که لبخند رضایتی بر لب نفوذگران بنشیند و امیدوار به سرقت از وبسایت مورد نظر شوند ( اغلب فروشگاه های محصولات دانلودی ) .

گاهی اوقات , برنامه نویس به علت تنبلی یا اهمیت ندادن و سهل انگاری یا هر مورد دیگری , از آزمودن درست و محکم متغیرها غافل میشود . برنامه نویس , متغیرها را آزمایش نمیکند و متوجه نیز نیست که اسکنرهای نفوذگران این کار را به خوبی و با دقت انجام میدهند . معمولا مقداردهی متغیرها توسط نفوذگر برای دور زدن صفحات ورود و تعیین هویت انجام میشود . مفسر PHP به صورت پیش فرض , ثابت هایی مانند GET و POST و گاهی اوقات نیز پارامتر COOKIE را توسط درخواست های Http ارسال میکند . اگر متغیرهایی که توسط این نوع درخواستها مقداردهی میشوند به درستی ارزیابی نشوند , میتوانند زمینه خوبی را برای یک نفوذ بی نقص فراهم آوردند . اجرای آن بدین صورت است که نفوذگر , بدون دانستن رمز عبور ادمین میتواند صفحه تعیین هویت را فریب داده و خود را مدیر سایت معرفی کند . به مثال زیر توجه کنید :

نفوذ در وردپرس

همانطور که مشاهده میکنید , اگر صفحه را به صورت عادی اجرا کنید , تنها با دانستن مقادیر درست رمز عبور میتوانید با پیغام Welcome to system مواجه شوید . آیا نفوذگر میتواند رمز عبور درست را از میان هزاران رمز دیگر , حدس بزند ؟ این به واقع غیر ممکن به نظر میرسد . چرا ؟ زیرا طراح خوب , رمز عبور را توسط الگوریتم MD5 , هش کرده است و امتحان کردن رمزهای پیاپی نیز کمکی به نفوذگر نمیکند و حتی اسکنرهای قدرتمند Netsparker نیز که مخصوص اسکن web application ها هستند نیز دچار سردرگمی و ارسال اطلاعات اشتباه به نفوذگر میشوند . 

همانطور که مشاهده میکنید , پس از مقداردهی درست , رمز عبور متغیر Admin برابر با ۱ شده و ادمین , تایید هویت میشود و پس از بررسی این متغیر , در صورت درست بودن ( برابر با ۱ بودن ) پیام خوشامدگویی ظاهر میشود و در غیر این صورت , پیام رمز اشتباه است دیده میشود . مساله روشن میشود , تنها کاری که نفوذگر باید انجام دهد این است که مقدار ۱ را به متغیر ادمین بدهد . چگونه ؟ به تصویر زیر دقت کنید :

امنیت در وردپرس

نفوذگر با نوشتن کدی مانند کد بالا , و دادن حتی رمز اشتباه و فقط با فهماندن مقدار ۱ به متغیر ادمین میتواند به عنوان مدیر سایت , وارد شود . نفوذگر این کد و اغلب کدهایی را که هدف آن , قبولاندن اطلاعات فیک و جعلی به متغیرهای معیوب است , با استفاده از روش POST و مقداردهی مقادیر به متغیرها , مقادیری را به سمت Login . Php ارسال میکند . صفحه Login . Php ابتدا رمز عبور ارسالی را بررسی میکند و به سرعت درمیابد که رمز عبور اشتباه است و متغیر ادمین نیز مقداردهی نمیشود . در خطوط بعدی , مقدار متغیر ادمین مورد بررسی قرار میگیرد که برابر با ۱ میشود . زیرا بعد از اجرای کد , exploit.php , در یکی از خطوط به صورت مخفی , متغیری با نام Admin , مقدار ۱ را با خود حمل میکند و این مقدار را به Login . Php میرساند . در صفحه Login . Php نیز , متغیر ادمین بدون توجه به مقدار رمز وارد شده , برابر ۱ میشود و سیستم نیز پیغام Welcome to system را به نفوذگر هدیه میدهد .

در نمونه بالا , تنها یک مثال از صفحه لاگین وردپرس را مشاهده کردیم که چگونه در اثر ضعف متغیرها میتواند آسیب پذیر باشد . این موضوع در خط به خط کدنویسی افزونه ها و قالب ها نیز صدق میکند . یکی دیگر از موارد مهم در این زمینه را در ادامه بررسی میکنیم که اهمیت آن به واقع بیشتر بوده و دامنه کاربرد آن نیز بیشتر است چرا که اغلب طراحان , توجهی به این مساله ندارند و آن چیزی نیست جز مساله نشست ها در کدنویسی . برای درک بهتر مساله نشست ها , نگاهی به درخواست های Http ارسال شده توسط کدهای مخرب میاندازیم .

نشست ها در کد نویسی

همانطور که مشاهده میکنید , در خط آخر دو متغیر pass و Admin مقدار دهی شده اند و همین اقدام باعث دور زدن و فریب صفحه لاگین توسط نفوذگر شده است . برای جلوگیری از این نوع حملات و خرابکاریها , راهکارهای زیادی پیشنهاد شده است اما در وردپرس , هیچکدام از راهکارها نیازی به اجرا شدن ندارند تا زمانی که صفحه لاگین توسط خود ادمین , با هر هدفی ( دیزاین و تغییر فیدها و … ) دستکاری نشود و افزونه های لاکین که اغلب معیوب هستند , بر روی این صفحه سوار نشود , صفحه لاگین وردپرس از امن ترین صفحات لاگین است .

مورد دیگری که میتوان به آن اشاره کرد , پیمایش دایرکتوری ها هستند که یکی از خطرناکترین موارد امنیتی در وردپرس و تمام CMC های PHP است . هدف اصلی پیمایش دایرکتوری , فراخوانی و خواندن فایلها و مقادیری است که نفوذگر به صورت عادی از دیدن و خواندن آنها محروم است . با استفاده از این نوع آسیب پذیریها میتوان به هدف بزرگتری مانند CMD.EXE نیز دست یافت . توابعی که با مقداردهی نامناسب میتوانند بستری مناسب برای این اقدام را ایجاد نمایند , عبارت هستند از : Require و , Require_once و include once و include و Fopen و More .

به طور حتم شما نیز با این توابع از دور و نزدیک آشنا هستید . اگر بخواهیم به معانی این توابع دقت کنیم , به مفاهیمی مانند شامل شدن و فراگرفتن برخورد میکنیم . این توابع در PHP و در وردپرس و سیستم های تابع , کار و وظایفی را به عهده دارند که با معانی آن بی ارتباط نیست . این توابع , یک آرگومان به عنوان ورودی را دریافت میکنند و مقدار مشخص شده در آرگومان را فراخوانی میکنند . آنچه مشخص است این است که فراخوانی این آرگومان ها به راحتی میتوانند توسط نفوذگرها فراخوانی شوند و این آسیب پذیری امروزه از وردپرس و PHP در ISS5 نیز قابل اجراست که نفوذگر میتواند از ضعف امنیتی استفاده کرده و با پیمایش دایرکتوری ها به CMD برسد . تمامی این توابع و پوشه ها در وردپرس باید در فایل Robotext قرار گرفته و از دسترس خزنده های موتورهای جستجوگر مخفی شده و آنان را بلاک کند . در سایر سیستم های مبتنی بر PHP نیز میتوان مقادیر نال بایت را فیلتر نمود و مقادیر حاوی نال بایت را نیز سرکوب کرد .

مورد دیگر را میتوان به حملات اجرای فرمان اختصاص داد . همانطور که از نام آن نیز پیداست , اساس کار آن , اجرای فرامین تحت خط فرمان بر روی سرور قربانی است . این مشکلات نیز زمانی نمایان میشود که برنامه نویس و طراح سایت یا افزونه , مقادیر فراخوانی را در فایلهای لاگ ذخیره میکند ( به علت تنبلی یا اهمال کاری ) که به طور مستقیم اقدام به اجرای فرمان کند . این در حالیست که استفاده از توابعی که به طور مستقیم فرامین را اجرا میکنند , دیوانگی محض است .

یک وبمستر با محتوای فروشگاهی و محصولات مختلف و یا هر محتوای قابل سرقت مانند تصاویر و کتاب و هر چیز دیگری که میتواند ارزشمند باشد , باید در استفاده از افزونه ها و قالبهای سیستم خود , علاوه بر زیبایی و چشم نوازی , به مقوله امنیت و ضعف های آن نیز توجه نموده و در رابطه با نوع کدنویسی و برنامه نویسی و تهیه آن , با طراح مشورت نماید . متاسفانه اغلب نفوذگران با استفاده از ضعف های امنیتی در قالب ها و افزونه ها , اقدام به حملاتی با اهداف مختلف به سیستمها میکنند که اغلب نیز موفقیت آمیز است . یک افزونه و یا یک پوسته بسیار زیبا و کاربردی , اما از لحاظ امنیتی , ضعیف و شکننده , میتواند موجودیت کل یک وبسایت را در معرض خطر قرار دهد .

منبع » ماندگار وب

مطالب مرتبط
طراحی سایت وب یار
مطالعه :

چرا تیم طراحی سایت وب یار را انتخاب کنیم ؟ در این مطلب میخواهیم به این سوال پاسخ داده و مزایای کار با تیم وب یار را برای شما عزیزان یادآوری کنیم: – طراحی زیبا و حرفه ای قالب: وبــ یار پس از اخذ سفارش از شما به طراحی حرفه ای وایر فریم و قالب زیبا و رنگ بندی متناسب با موضوع وب سایت توسط کارشناسان گرافیک می پردازد. لازم به ذکر است که طراحی قالب از ابتدا با توجه به کدنویسی استاندارد انجام می شود و طراحی قالب قبل از شروع کدنویسی توسط مشتری قابل تغییر و ویرایش می باشد. -کدنویسی استاندارد و سئو شده: در مرحله کدنویسی برنامه نویسان تیم وب یار موظفند که از ابتدا کدها را استاندارد بنویسند و به همین دلیل سایت های طراحی شده توسط تیم ما از نظر سئو بسیار قدرتمندند و با تمامی مرورگرهای روز دنیا سازگار می باشند. -آموزش مدیریت سایت با پنل مدیریت فارسی: تیم وبــ یار پس از تحویل سایت مشتری در یک جلسه آموزش رایگان تمامی راه کارهای مدیریت سایت را همراه با تکنیک های اولیه سئو که یک مدیر سایت باید با آنها آشنا باشد را در اختیار مشتریان خود قرار می دهد. پنل مدیریت سایت  کاملا فارسی بوده و حتی برای اشخاصی که هیچ دانش فنی در خصوص وب ندارند کاملا ساده و راحت می باشد. […]

قالب فروشگاهی پرستاشاپPrestaShop-webyar
مطالعه :

تا به حال به این فکر کرده اید که چطور میشه از طریق اینترنت هم کسب درآمد کنید؟ تا به حال خواسته اید شما هم یک فروشگاه اینترنتی داشته باشید تا محصولات خودتان را ۲۴ ساعته در معرض دید مشتری بگذارید؟ هدف اصلی بسیاری از شرکت ها از حضور در اینترنت، کسب درآمد از طریق فروش محصولات، بدست گرفتن بازار آنلاین و ارائه خدمات بهتر به مشتریان و در نتیجه فروش بیشتر محصولات خود می باشد. به این صورت که با استفاده از این روش، خریدار علاوه بر صرفه جویی در وقت و هزینه ( خصوصا” هزینه های ایاب و ذهاب )، با آرامش کامل، کالاهای مورد نظر خود را انتخاب و خریداری نموده و بدون هیچ مشکلی آنها را درب منزل و یا محل کار تحویل می گیرد. فروشگاه اینترنتی چیست؟ فروشگاه آنلاین (فروشگاه اینترنتی) یک وب سایت است که مانند یک فروشگاه سنتی، اجناس مختلفی را برای فروش عرضه می‌کند. خریداران پس از ورود به سایت فروشگاه،کالاهای مورد نظر خود را سفارش می‌دهند. پس از تکمیل سفارش، هزینه‌ی آن به چند شیوه قابل پرداخت است: با کارت‌های بانکی،شیوه پرداخت نقدی به مأمور پست در زمان تحویل کالا، و یا واریز به حساب. پس از مشاهده و تأیید سفارش توسط مسئول فروشگاه، مأمور پست کالا را در محل فروشنده تحویل می‌گیرد و به دست خریدار می‌رساند. اداره‌ فروشگاه اینترنتی […]

طراحی-سایت
مطالعه :

مراحل طراحی وبسایت  اهمیت داشتن یک وبسایت چیست؟ در عصر کنونی ، موضوع ارتباطات و تکنولوژی های مربوط به آن به سرعت در حال پیشرفت است . به جرات می توان گفت یکی از موثرترین روشهای برقراری ارتباط با دیگران از طریق داشتن یک وبسایت است . با پیشرفت اینترنت و دسترسی اکثر مردم به آن دنیا به این سمت در حال حرکت بوده و تعبیر دهکده جهانی محقق شده است. امروزه افراد در سرتاسر دنیا با هم ارتباط داشته و بیشتر کارها با چند کلیک ساده انجام می شود. قطعا وب سایت ها سهم عظیمی در این برنامه دارند و باعث  ارتباط بین افراد می شوند. داشتن وب سایت شما را محدود به مکان و زمان نمی کند و در صورت ارائه خدمات خود در آن می توانید در هر ساعتی از شبانه روز و حتی فراتر از مرز شهر و کشور خود کسب درآمد کنید. هم چنین داشتن وب سایت برای هر کسب و کار و صنفی ایجاد برند کرده و باعث شناخت و شهرت آن می شود. داشتن وب سایت و ارائه ی خدمات در آن تحت تاثیر اتفاقات غیر مترقبه مانند سیل ، زلزله ، طوفان و.. قرار نمی گیرد و این اتفاقات نه تنها آسیبی به ارتباطات اینترنتی نمی زند حتی باعث محبوب شدن آن ها نیز می شود. ویروس COVID-19 این موضوع را به […]

افزایش بازدید سایت
مطالعه :

روش های افزایش بازدید از سایت امروزه صاحبان وب سایت ها به شدت در جستجوی روش های افزایش بازدید سایت و کسب رتبه بالا در گوگل و درمیان رقبایشان هستند،جدا از راههایی که سئو کاران و برنامه نویسان سایت ها برای افزایش بازدید سایت شما در نظر میگیرند خود شما نیز باید مهم ترین روش های افزایش بازدید سایت را بشناسید تا از این طریق بتوانید به جایگاه خوبی در میان سایت های رقبایتان و افزایش فروش و درآمد برسید. می دانید که افزایش رتبه سایت در گوگل روش های گوناگونی دارد اما در میان این روش ها تنها برخی از روش ها هستند که مورد تایید گوگل میباشند و تاثیر منفی بر سئو سایت شما نمیگذارند،در ادامه همراه ما باشید تا مروری به مهم ترین نکات افزایش بازدید ازسایت داشته باشیم.   1.خلاقیت در محتوا نقش محتوا در افزایش آمار بازدید کنندگان سایت را جدی بگیرید. اگر می‌خواهید آمار بازدید از سایت شما بالا برود از کپی کردن مطالب دیگران در سایتتان پرهیز کنید و خودتان سعی کنید یک محتوای خلاقانه تولید کنید. دقت کنید که محتوای شما باید به گونه‌ای باشد که مخاطب را جذب کند و برای خواندن ادامه‌ی مطالب شما راغب شود. برای داشتن یک محتوای با کیفیت شما باید علاقه و نیازهای مخاطبانتان را بشناسید. پس باید اطلاعات مورد نیاز آن‌ها را تهیه کنید و […]

طراحی سایت اصفهان
مطالعه :

مقایسه وبلاگ با وب سایت واهمیت داشتن سایت امروزه در دنیای وب، طراحی سایت مخصوصا طراحی سایت فروشگاهی  و وبلاگ بسیار رایج شده است. شاید برای شما هم این سوال پیش آمده باشد که تفاوت وبلاگ با وب سایت چیست؟ و یا چگونه وبلاگ را از وب سایت تشخیص دهیم؟ شاید برای شما هم  تشخیص وبلاگ از وب سایت هم از نظر نحوه‌ی عملکرد و هم از لحاظ ظاهر مشکل باشد برای مقایسه وبلاگ با وب سایت واهمیت داشتن سایت با ما همراه باشید. در مورد وبلاگ‌ها و وب سایت‌ها می‌توان گفت که در نگاه اول هر دو صفحات وب هستند که شباهت‌های زیادی با هم دارند اما در واقع باید گفت که از نظر ساختار و کاربرد با هم تفاوت دارند. در این مقاله به مقایسه وبلاگ با وب سایت می پردازیم . اگر شما هم علاقمند به درک تفاوت وب سایت با وبلاگ هستید خواندن این مقاله را از دست ندهید. وبلاگ چیست؟ وبلاگ متشکل از دو کلمه ی web و log است. وب به معنی تار یا شبکه جهانی اطلاعات است و لاگ از کلمه ایی یونانی به نام لوگاس  ریشه گرفته است، که در گذشته به معنای دفتر گزارش سفر کشتی ها بود! وبلاگ صفحه‌ای رایگان در اینترنت است که شما می‌توانید با قرار دادن مطالب خود در آن دانش و تجربه‌ی خودتان را در اختیار دیگران […]

« سئو و بهینه سازی سایت seo »
مطالعه :

سئو و بهینه سازی سایت seo   زمانی که شما در یک موتور جستجو به دنبال یک موضوع خاص می گردید حتما متوجه این موضوع شده اید که برخی از وب سایتها دارای رتبه های بالاتری می باشند و در صفحات اولیه نمایش داده می شوند و این یعنی تولید کردن صفحات وبی که برای موتورهای جستجو جالب و فریبنده هستند. بهینه سازی صفحات وب این است که شما در نتایج یک موتور جستجوی بزرگ بیشترین امتیاز را داشته باشید. اهمیت این موضوع از آنجا ناشی می شود که اکثر مردم از موتورهای جستجو برای رسیدن به مطلب یا محصول مورد نظر خود استفاده می کنند. بهینه سازی وب سایت برای موتورهای جستجوگر معروف شاید بتوان گفت که تقریبا همه افرادی که با وب آشنایی هر چند کمی دارند، حداقل برای یک بار هم که شده واژه SEO را شنیده اند. اما SEO چیست؟ معنای لغوی SEO که مخفف Search Engine Optimization است، بهینه سازی موتور جستجو می باشد. SEO یعنی تولید کردن صفحات وبی که برای موتورهای جستجو جالب و فریبنده هستند. بهینه سازی صفحات وب این است که شما در نتایج یک موتور جستجوی بزرگ بیشترین امتیاز را داشته باشید. اهمیت این موضوع از آنجا ناشی می شود که اکثر مردم از موتورهای جستجو برای رسیدن به مطلب یا محصول مورد نظر خود استفاده می کنند. به عنوان […]

دیدگاه ها

دیدگاهتان را بنویسید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *