0

هیچ محصولی در سبد خرید نیست.

طراحی سایت در اصفهان, سئو سایت اصفهان, ساخت سایت اصفهان, طراحی سایت حرفه ای اصفهان, بهینه سازی سایت , بازاریابی و دیجیتال مارکتینگ 09133886881 احمدپور

امنیت وردپرس در لوگین

نویسنده پشتیبانی وب یار
امتیاز مطلب
تعداد بازدید 664
تاریخ بروزرسانی ۱۱ آبان ۱۳۹۴

 امنیت وردپرس در لوگین » هسته وردپرس , با توجه به متن باز بودن آن , یکی از ایمن ترین هسته های سایت ساز است .(امنیت وردپرس در لوگین) اما این در حالتی است که کاربران وردپرس , هیچ لوازم یدکی را ( مانند قالب یا افزونه یا هک و کد ) بر روی آن سوار نکنند . این البته غیر ممکن است , چرا که بخشی از کاربرد و قدرت وردپرس , وابسته به این یدک هاست . یک نفوذگر نیز این را به خوبی میداند و بسیار کم هستند نفوذگرانی که برای نفوذ به یک وبسایت وردپرسی , وقت خود را صرف اسکن هسته سایت نمایند ( مخصوصا اگر هسته مرتبا به روز شده و از نسخه های روز استفاده کند ) .

امنیت وردپرس در لوگین

نفوذگران معمولا برای نفوذ به یک وردپرس , در ابتدا اقدام به اسکن بخش لاگین و سپس افزونه ها و در نهایت قالب وبسایت میکنند . اینها تماما بخش هایی هستند که افزونه ها بر آن سوار میشوند . ممکن است مدیر وب سایت , با هدف دیزاین بخش لاگین , از افزونه استفاده کرده باشد , افزونه ای که در اسکنهای Acunetix مشخص میشود که بیشتر از امنیت , فقط بر زیبایی تکیه کرده است و موجودیت وبسایت را به خطر انداخته است . مدیر دیگر , بدون توجه به امنیت و کد نویسی صحیح در یک قالب , اقدام به نصب و سوار کردن امکاناتی بر روی آن کرده است که مجموعا باعث میشود که لبخند رضایتی بر لب نفوذگران بنشیند و امیدوار به سرقت از وبسایت مورد نظر شوند ( اغلب فروشگاه های محصولات دانلودی ) .

گاهی اوقات , برنامه نویس به علت تنبلی یا اهمیت ندادن و سهل انگاری یا هر مورد دیگری , از آزمودن درست و محکم متغیرها غافل میشود . برنامه نویس , متغیرها را آزمایش نمیکند و متوجه نیز نیست که اسکنرهای نفوذگران این کار را به خوبی و با دقت انجام میدهند . معمولا مقداردهی متغیرها توسط نفوذگر برای دور زدن صفحات ورود و تعیین هویت انجام میشود . مفسر PHP به صورت پیش فرض , ثابت هایی مانند GET و POST و گاهی اوقات نیز پارامتر COOKIE را توسط درخواست های Http ارسال میکند . اگر متغیرهایی که توسط این نوع درخواستها مقداردهی میشوند به درستی ارزیابی نشوند , میتوانند زمینه خوبی را برای یک نفوذ بی نقص فراهم آوردند . اجرای آن بدین صورت است که نفوذگر , بدون دانستن رمز عبور ادمین میتواند صفحه تعیین هویت را فریب داده و خود را مدیر سایت معرفی کند . به مثال زیر توجه کنید :

نفوذ در وردپرس

همانطور که مشاهده میکنید , اگر صفحه را به صورت عادی اجرا کنید , تنها با دانستن مقادیر درست رمز عبور میتوانید با پیغام Welcome to system مواجه شوید . آیا نفوذگر میتواند رمز عبور درست را از میان هزاران رمز دیگر , حدس بزند ؟ این به واقع غیر ممکن به نظر میرسد . چرا ؟ زیرا طراح خوب , رمز عبور را توسط الگوریتم MD5 , هش کرده است و امتحان کردن رمزهای پیاپی نیز کمکی به نفوذگر نمیکند و حتی اسکنرهای قدرتمند Netsparker نیز که مخصوص اسکن web application ها هستند نیز دچار سردرگمی و ارسال اطلاعات اشتباه به نفوذگر میشوند . 

همانطور که مشاهده میکنید , پس از مقداردهی درست , رمز عبور متغیر Admin برابر با ۱ شده و ادمین , تایید هویت میشود و پس از بررسی این متغیر , در صورت درست بودن ( برابر با ۱ بودن ) پیام خوشامدگویی ظاهر میشود و در غیر این صورت , پیام رمز اشتباه است دیده میشود . مساله روشن میشود , تنها کاری که نفوذگر باید انجام دهد این است که مقدار ۱ را به متغیر ادمین بدهد . چگونه ؟ به تصویر زیر دقت کنید :

امنیت در وردپرس

نفوذگر با نوشتن کدی مانند کد بالا , و دادن حتی رمز اشتباه و فقط با فهماندن مقدار ۱ به متغیر ادمین میتواند به عنوان مدیر سایت , وارد شود . نفوذگر این کد و اغلب کدهایی را که هدف آن , قبولاندن اطلاعات فیک و جعلی به متغیرهای معیوب است , با استفاده از روش POST و مقداردهی مقادیر به متغیرها , مقادیری را به سمت Login . Php ارسال میکند . صفحه Login . Php ابتدا رمز عبور ارسالی را بررسی میکند و به سرعت درمیابد که رمز عبور اشتباه است و متغیر ادمین نیز مقداردهی نمیشود . در خطوط بعدی , مقدار متغیر ادمین مورد بررسی قرار میگیرد که برابر با ۱ میشود . زیرا بعد از اجرای کد , exploit.php , در یکی از خطوط به صورت مخفی , متغیری با نام Admin , مقدار ۱ را با خود حمل میکند و این مقدار را به Login . Php میرساند . در صفحه Login . Php نیز , متغیر ادمین بدون توجه به مقدار رمز وارد شده , برابر ۱ میشود و سیستم نیز پیغام Welcome to system را به نفوذگر هدیه میدهد .

در نمونه بالا , تنها یک مثال از صفحه لاگین وردپرس را مشاهده کردیم که چگونه در اثر ضعف متغیرها میتواند آسیب پذیر باشد . این موضوع در خط به خط کدنویسی افزونه ها و قالب ها نیز صدق میکند . یکی دیگر از موارد مهم در این زمینه را در ادامه بررسی میکنیم که اهمیت آن به واقع بیشتر بوده و دامنه کاربرد آن نیز بیشتر است چرا که اغلب طراحان , توجهی به این مساله ندارند و آن چیزی نیست جز مساله نشست ها در کدنویسی . برای درک بهتر مساله نشست ها , نگاهی به درخواست های Http ارسال شده توسط کدهای مخرب میاندازیم .

نشست ها در کد نویسی

همانطور که مشاهده میکنید , در خط آخر دو متغیر pass و Admin مقدار دهی شده اند و همین اقدام باعث دور زدن و فریب صفحه لاگین توسط نفوذگر شده است . برای جلوگیری از این نوع حملات و خرابکاریها , راهکارهای زیادی پیشنهاد شده است اما در وردپرس , هیچکدام از راهکارها نیازی به اجرا شدن ندارند تا زمانی که صفحه لاگین توسط خود ادمین , با هر هدفی ( دیزاین و تغییر فیدها و … ) دستکاری نشود و افزونه های لاکین که اغلب معیوب هستند , بر روی این صفحه سوار نشود , صفحه لاگین وردپرس از امن ترین صفحات لاگین است .

مورد دیگری که میتوان به آن اشاره کرد , پیمایش دایرکتوری ها هستند که یکی از خطرناکترین موارد امنیتی در وردپرس و تمام CMC های PHP است . هدف اصلی پیمایش دایرکتوری , فراخوانی و خواندن فایلها و مقادیری است که نفوذگر به صورت عادی از دیدن و خواندن آنها محروم است . با استفاده از این نوع آسیب پذیریها میتوان به هدف بزرگتری مانند CMD.EXE نیز دست یافت . توابعی که با مقداردهی نامناسب میتوانند بستری مناسب برای این اقدام را ایجاد نمایند , عبارت هستند از : Require و , Require_once و include once و include و Fopen و More .

به طور حتم شما نیز با این توابع از دور و نزدیک آشنا هستید . اگر بخواهیم به معانی این توابع دقت کنیم , به مفاهیمی مانند شامل شدن و فراگرفتن برخورد میکنیم . این توابع در PHP و در وردپرس و سیستم های تابع , کار و وظایفی را به عهده دارند که با معانی آن بی ارتباط نیست . این توابع , یک آرگومان به عنوان ورودی را دریافت میکنند و مقدار مشخص شده در آرگومان را فراخوانی میکنند . آنچه مشخص است این است که فراخوانی این آرگومان ها به راحتی میتوانند توسط نفوذگرها فراخوانی شوند و این آسیب پذیری امروزه از وردپرس و PHP در ISS5 نیز قابل اجراست که نفوذگر میتواند از ضعف امنیتی استفاده کرده و با پیمایش دایرکتوری ها به CMD برسد . تمامی این توابع و پوشه ها در وردپرس باید در فایل Robotext قرار گرفته و از دسترس خزنده های موتورهای جستجوگر مخفی شده و آنان را بلاک کند . در سایر سیستم های مبتنی بر PHP نیز میتوان مقادیر نال بایت را فیلتر نمود و مقادیر حاوی نال بایت را نیز سرکوب کرد .

مورد دیگر را میتوان به حملات اجرای فرمان اختصاص داد . همانطور که از نام آن نیز پیداست , اساس کار آن , اجرای فرامین تحت خط فرمان بر روی سرور قربانی است . این مشکلات نیز زمانی نمایان میشود که برنامه نویس و طراح سایت یا افزونه , مقادیر فراخوانی را در فایلهای لاگ ذخیره میکند ( به علت تنبلی یا اهمال کاری ) که به طور مستقیم اقدام به اجرای فرمان کند . این در حالیست که استفاده از توابعی که به طور مستقیم فرامین را اجرا میکنند , دیوانگی محض است .

یک وبمستر با محتوای فروشگاهی و محصولات مختلف و یا هر محتوای قابل سرقت مانند تصاویر و کتاب و هر چیز دیگری که میتواند ارزشمند باشد , باید در استفاده از افزونه ها و قالبهای سیستم خود , علاوه بر زیبایی و چشم نوازی , به مقوله امنیت و ضعف های آن نیز توجه نموده و در رابطه با نوع کدنویسی و برنامه نویسی و تهیه آن , با طراح مشورت نماید . متاسفانه اغلب نفوذگران با استفاده از ضعف های امنیتی در قالب ها و افزونه ها , اقدام به حملاتی با اهداف مختلف به سیستمها میکنند که اغلب نیز موفقیت آمیز است . یک افزونه و یا یک پوسته بسیار زیبا و کاربردی , اما از لحاظ امنیتی , ضعیف و شکننده , میتواند موجودیت کل یک وبسایت را در معرض خطر قرار دهد .

منبع » ماندگار وب

0/5 (0 Reviews)
مطالب مرتبط
نحوه ی ایجاد دسته بندی های سفارشی در وردپرس
مطالعه : 6 دقیقه

افزودن دسته بندی به پست تایپ های سفارشی وردپرس امروز تیم طراحی سایت اصفهان یه مقاله ی آموزشی عالی و جذاب رو براتون آماده کرده. این مقاله در مورد افزودن دسته بندی به پست تایپ های سفارشی وردپرس هست. ایجاد دسته بندی های سفارشی کار راحت و آسونیه که قراره باهم یاد بگیریم. دوستان، اول از همه باید براتون بگم شما در ابتدای کار باید کدنویسی لازم رو برای ایجاد کردن پست تایپ سفارشی (نحوه ی ساخت پست تایپ سفارشی در وردپرس) در وردپرس در قالب سایتتون اضافه کرده باشید تا برسیم به آموزشی که تو این مقاله میخوایم خدمتتون ارائه کنیم. تا آخر مقاله همراهمون باشید و نظر وسوالاتتون رو در قسمت نظرات برامون بفرستید.       شاید تا حالا براتون این سوال پیش اومده باشه که آیا در پست تایپ های سفارشی هم امکان دسته بندی فراهم هست یا خیر؟ در پاسخ به این سوال باید براتون بگم که تو دنیای وردپرس هیچ کاری نشد نداره و براتون کامل توضیح میدیم که چطوری این کار قابل انجامه. طبقه بندی در وردپرس از اون چیزاییه که اکثر افراد از اون استفاده می کنند. ولی خودشون از استفاده از اون آگاهی ندارن. درواقع می تونیم بگیم راهی برای گروه بندی نوشته ها باهم دیگه هست. شما می تونید برای ایجاد کردن گروه های سفارشی از دسته بندی سفارشی استفاده […]

آموزش دیجیتال مارکتینگ
مطالعه : 8 دقیقه

آموزش دیجیتال مارکتینگ اصفهان همواره دنیا، دنیای آموزش دیجیتال مارکتینگ، رقابت و تجارت بوده و هست. امروزه با پیشرفت تکنولوژی و ظهور عصر ارتباطات و گره خوردن زندگی مردم با اینترنت، این رقابت به عرصه‌ای تنگاتنگ برای جذب مشتری به‌وسیله‌ی دیجیتال مارکتینگ بدل شده است. اگر این سوال برای تان پیش آمده که دیجیتال مارکتینگ چیست و چه تاثیری بر کسب و کارتان دارد، یا چگونه می توانم پا به این عرصه بگذارم و از این دست سوال ها نگران نباشید، در این مقاله سعی شده است بهترین پاسخ برای پرسش های شما را، به امید آنکه سهم کوچکی در پیشرفت شما داشته باشیم، بیاوریم.    دیجیتال مارکتینگ چیست؟ دیجیتال مارکتینگ را می توان به بیان ساده مجموعه فعالیت هایی که به وسیله ابزارهای دیجیتال با هدف معرفی برند و محصولاتتان و البته کمک به پیشبرد کسب و کارتان انجام می گیرد، تعریف کرد. با محبوبیت روزافزون شبکه‌های اجتماعی و استفاده‌ی میلیونی از اینترنت، دیجیتال مارکتینگ به منظور بازاریابی و تبلیغ محصولات، گسترش یافت. بازاریابی دیجیتال با منطبق ساختن خود با اصول مارکتینگ توانسته توجه کسب و کارها از کوچک تا بزرگ را به خود جلب کند. تاریخچه دیجیتال مارکتینگ دیجیتال مارکتینگ در اوایل دهه 2000 آغاز شد و در حال حاضر یک استراتژی عمده برای بازاریابی اینترنتی است. علاوه ­بر اینکه به نام بازاریابی مبتنی ­بر اطلاعات نیز شناخته […]

ویروس مارکتینگ چیست؟
مطالعه :

ویروس مارکتینگ چیست؟ چه تأثیری روی تجارت من می گذارد؟ آیا ممکن است ویروس مارکتینگ به افزایش فروش و کسب درآمدم کمک کند؟ شاید شما نیز با شنیدن نام ویروس مارکتینگ یا بازاریابی ویروسی از این دست سؤالات و هزاران سؤال دیگر برای تان پیش آمده باشد. در این مقاله از وب یار سعی کرده ایم به راحت ترین صورت ممکن این نوع بازاریابی را برای شما عزیزان توضیح دهیم.   ویروس مارکتینگ چیست؟ ویروس مارکتینگ یا بازاریابی ویروسی نوعی از بازاریابی و دیجیتال مارکتینگ است که به کمک خلاقیت، نوآوری، اینترنت و شبکه های اجتماعی، شناخت رفتار و علایق مردم و ابزارهای مختلف به دیده شدن یک محتوای متنی، عکسی و ویدئو در بستر اینترنت می رسیم. به زبان راحت تر شما محتوای خود را به گونه ای تولید می کنید که مردم با به اشتراک گذاری محتوای شما به شیوه‌ای دهان به دهان باعث دیده شدن تان شود.در این نوع از بازاریابی به سرعت محتوای شما در اینترنت گسترش می‌یابد و شما بهترین فرصت را برای شناساندن خود وکسب و کارتان به افراد را به دست می‌آورید. انتخاب عنوان بازاریابی ویروسی نیز بر همین اساس است. ویروس ها به سرعت تکثیر می‌یابند و در میان افراد پخش می شوند. شما نیز با صرف هزینه‌ای به نسبت کم می توانید محتوایتان را در سطح اینترنت پخش و به سرعت […]

مطالعه :

در خصوص ارزهای دیجیتال قولی به شما داده بودیم که با مفاهیم کلی این بازار شما را آشنا کنیم و راه کسب درآمد از آن را به شما نشان دهیم. در این مقاله  با یک موضوع جذاب دیگر در خدمت شما هستیم. مقاله در مورد دسته بندی ارزهای دیجیتال می باشد. همانطور که در مقالات قبل گفتیم ارزهای دیجیتال به وجود آمده اند تا خدمتی را جامعه بشری انجام دهند. بر اساس این خدمات ما این ارزها را دسته بندی می‌کنیم.     دسته بندی ارزهای دیجیتال: ارزهای دیجیتال شامل ۶ دسته می شوند: ارز های دیجیتال ارز های خصوصی ارزهای خدماتی ارزهای ثابت توکن های خاص توکن های ایمن در بالا شش دسته ارزهای دیجیتال را برای شما نام بردیم. در ادامه می خواهیم آنها را تک به تک مورد بررسی قرار دهیم.  ارزهای دیجیتال: این دسته از ارزهای دیجیتال برای دریافت و پرداخت استفاده می شوند. برخلاف تصوری که الان در ذهن شما ایجاد شد بیت کوین نسبت به ارزهای دیجیتال دیگر مانند اتریوم از سرعت کمتری برای دریافت و پرداخت برخوردار است. سعی کنید از ارزهای دیگر ای که بلاک چین سریعتری دارند استفاده کنید. ارز های خصوصی: ارزهای خصوصی یا در اصطلاح privacy coin  ها برای حریم خصوصی شما به وجود آمده اند. این دسته از ارز ها مورد توجه بسیاری از خلافکارها و قاچاقچیان میباشند. […]

زمینه دلخواه چیست ؟
مطالعه :

در این مقاله در ابتدا با زمینه دلخواه در وردپرس آشنا شده و در پایان نحوه اضافه کردن آن به قالب وردپرس آموزش داده می شود. زمینه دلخواه چیست ؟     زمینه های دلخواه یا زمینه های سفارشی (Custom Fields) یک ویژگی در وردپرس است که به کاربران اجازه می دهد هنگام نوشتن یک پست اطلاعات بیشتری اضافه کنند. وردپرس این اطلاعات را به عنوان متا داده ذخیره می کند. برای مثال تصور کنید شما محتوایی در رابطه با یک کتاب نوشته و به نقد آن می پردازید. در پایان محتوا قصد دارید تعداد صفحات کتاب و یا قیمت کتاب را نیز بیان کنید. این اطلاعات اضافی را می توان به راحتی با Custom Fields یا همان زمینه های سفارشی وردپرس نمایش داد. لازم به ذکر است زمینه های سفارشی بصورت پیش فرض پنهان هستند و باید آن ها را فعال کنید که در ادامه به آن می پردازیم. آموزش اضافه کردن زمینه های سفارشی به قالب وردپرس برای استفاده از زمینه های دلخواه در وردپرس به هیچ افزونه ایی نیاز ندارید و تنها با اضافه کردن دو قطعه کد ساده می توانید از آن ها استفاده کنید. در ابتدا باید کد زیر را در فایلی که می خواهید زمینه دلخواه در آن جا نمایش داده شود اضافه کنید. به عنوان مثال قصد داریم قیمت کتاب را در صفحه single.php […]

مطالعه :

تا به حال اسم UX را شنیده اید؟ تفاوت آن را با UI  می دانید؟ چرا باید در طراحی های خود از متخصصین UX کمک بگیریم؟ با ما همراه باشید تا پاسخ سوالات خود را دریافت کنید. در ابتدا باید با مفاهیم UX آشنا شویم. پس مطلب اول را برای شما عنوان می کنیم: UX چیست؟ UX برگرفته از کلمه User experience می باشد. در معنای لغوی این کلمه به معنای تجربه کاربر می باشد. اما در دنیای کامپیوتر در زمینه هایی مانند طراحی اپلیکیشن های ویندوز،موبایل و در طراحی وب سایت ها معنای کمی متفاوت دارد. User eXperience در واقع همان تجربه ای است که کاربر از طریق کار کردن با سامانه یا وب سایتی که شما طراحی کردید بدست می آورد. فرایند UX از آنجایی شروع خواهد شد که کاربر اسم برند شما را خواهد شنید. پس از آن مهم است که از چه طریقی شما را بشناسد.از طریق وب سایت ، ایمیل، تلفن گویا و مواردی از این قبیل. مثال : در قرار های کاری نیز وقتی شخصی برای بار اول شما را ملاقات می کند، رفتار شما بسیار در طرز فکر او نسبت به شما تاثیر دارد. در دنیای طراحی وب یا اپلیکیشن نیز به همین گونه می باشد. فرض کنید شما یک فروشگاه اینترنتی دارید. کاربر به سایت شما می آید. اولین بازدید از سایت […]

دیدگاه ها

دیدگاهتان را بنویسید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *