مشکل امنیتی در نسخه ۵ وردپرس

7

سلام خدمت کاربران محترم رسانه آموزشی لرن دی ال

پس از انتشار نسخه ۵ وردپرس حملات گسترده ای روی نزدیک ۲۰ هزار وب سایت وردپرس صورت گرفته که ناشی از چندین آسیب پذیری در این نسخه بود ، که با بررسی ها و گزارش های برخی از توسعه دهندگان وردپرس در سراسر دنیا و همچنین تیم افزونهSEO   Yoast این آسیب پذیری ها رفع و نسخه ۵.۰.۱ وردپرس منتشر شده که باید حتما به این نسخه وردپرس خودتان را بروز کنید.

طبق بررسی شرکت امنیتی Defiat که روی وب سایت های وردپرس آلوده صورت گرفته هکرها با هدف ترکیب نام کاربری و پسورد اقدام به حملات گسترده برای دسترسی به بخش مدیریت سایت های وردپرس کرده اند.

به گفته کارشناسان این شرکت این حملات از طریق فایل XML-RPC.php در وردپرس صورت گرفته که البته با توجه به گزارش های ثبت شده در سایت وردپرس میزان آسیب پذیری به دیگر بخش های وردپرس هم رخنه کرده است که البته خیلی جای نگرانی نیست و با بروزرسانی امنیتی وردپرس این مشکل حل خواهد شد .

اما فایل xml-RPC چیست ؟و عملا وظیفه این فایل در میان فایل های وردپرس چیست که در ادامه به بررسی آن می پردازیم . حتما ادامه مقاله را با ما همراه باشید.

به زبان ساده این فایل امکان دسترسی شما را از راه دور به سایت وردپرس فراهم می کند که این دسترسی به صورت ریموت انجام می شود و برای استفاده از اپلیکیشن وردپرس برای مدیریت سایت به این فایل نیاز دارید ، اما این فایل ، دسترسی با استفاده از نرم افزار هایی همچون Windows live writer به صورت ریموت برای ارسال محتوا به سایت را هم فراهم می کند و یا ابزارهایی مانند IFTTT که از این فایل برای اتصال ریموت استفاده می کنند.

تا به اینجا شاید برای شما جالب باشد که بتوان با استفاده از برخی نرم افزار ها وب سایت وردپرس را از راه دور مدیریت کرد اما همین فایل نقطه ی شروعی برای حملات وردپرس نظیر DDOS هم می شود که گاها این حملات هیچگونه اطلاع رسانی در بر ندارند تا اینکه سایت از دسترسی خارج شود ، اما چرا این حملات بیشتر از طریق این فایل صورت می گیرد مهم ترین علت عدم اجرای محدودیت برای تعداد درخواست ها روی این فایل است که از طرف فرستنده صورت می گیرد.

که این عدم محدودیت در در خواست به هکر اجازه می دهد در طول روز با ارسال درخواست های متعدد و ترکیب نام کاربری و رمز های عبور مختلف تلاشی برای پیدا کردن دسترسی مدیر کند.

توضیح زیاد جزئیات این حملات به شما برای ایمن کردن سایت کمک زیادی نمی کند اما شما برای جلوگیری از حملات اخیر و این دست از حملات باید چند کار مهم در وردپرس انجام دهید.

  • محصول
  • مشخصات محصول
  • ویدئو پیشنمایش
وردپرس بر پایه زبان قدرتمند PHP نوشته و توسعه داده شده است و از امنیت پایه ای برخوردار است،اما نیاز به تکنیک و پیاده سازی سیستم های امنیتی دیگری هم ...
افزودن به علاقمندی هاافزودن به لیست علاقمندیRemoved from wishlist ۱۱
مدرس دوره

مهندس اسماعیل فدائی

زبان دوره

فارسی

فایل پروژه

ندارد

زمان دوره

دو ساعت

تعداد ویدیوها

۱۲ ویدئو

نوع آموزش

آموزش ویدئویی با کیفیت HD

حجم دوره

۴۰۲ مگابایت

ناشر

لرن دی ال

بروزرسانی وردپرس

اولین اقدام بروز رسانی وردپرس به نسخه ۵.۰.۱ و همچنین توجه به بروزرسانی های امنیتی که معمولا این بروزرسانی ها به صورت اتوماتیک انجام می شوند ولی گاها به دلیل حجم بالا سایت و یا قطع برخی دسترسی ها این امکان برای وردپرس سایت شما وجود ندارد که به صورت اتوماتیک بروزرسانی شود که شما باید به صورت دستی این کار را انجام دهید.

غیرفعال کردن فایل Xml – RPC

توصیه می کنیم این فایل را غیر فعال کنید و اگر از اپلیکیشن وردپرس استفاده می کنید از این نرم افزار صرف نظر کنید ، غیرفعال کردن این فایل چند راه دارد که در ادامه به آن می پردازیم.

این افزونه به صورت رایگان در مخزن وردپرس وجود دارد و حجم کمی هم دارد که به راحتی می توانید نصب و فعال سازی کنید که تنظیمات هم ندارد . تنها نصب و فعالسازی این افزونه و نه فایل xml-RPC را غیرفعال کنید.

  • غیرفعال سازی از طریق فایل .htaccess

با استفاده از کد زیر و افزودن این کد به فایل .htaccess در روت اصلی هاست هم می توانید فایل xml-RPC را غیرفعال کنید.

# Prevent Access to xmlrpc.php File
<Files xmlrpc.php>
order deny,allow
deny from all
</Files>

نکته آخر : در نسخه ۵.۰.۱ هم همچنان یک مشکلی امنیتی دیگری وجود دارد که هکر از این مشکل می تواند برای دسترسی گرفتن از طریق رمزعبورکاربران استفاده کند،که باید منتظربمانید تا این مشکل برطرف و وردپرس بروز شود.

اسماعیل فدائی
اسماعیل فدائی

اسماعیل یک مدرس و نویسنده خلاق است،همچنین مدیر و توسعه دهنده لرن دی ال

ما از شنیدن دیدگاه های شما خوشحال خواهیم شد

دیدگاه شما

14000+

کاربران فعال سایت

730+

محصولات فارسی سایت

18000+

تیکت های مشتریان

6

سال فعالیت حرفه ای

لرن دی ال
Logo