با سلام
چطوری میشه متوجه شد که هکر ها میتونن به سایت نفوذ کنن یا خیر!
تو نت پر شده از کانال ها و گروه هایی که فایل ها و آموزش های غیر رایگان رو که مدت ها براش وقت گذاشته شده رو به رایگان به اشتراک میگذارن
چطوری میشه سایت رو چک کرد و غیر قابل نفوذش کرد؟
راه های هک سایت چیه؟ چطوری میشه جلوشو گرفت
سلام
می تونید از وب سایت virustotal برای تست سایت و همچنین تست افزونه و یاقالب ها استفاده کنید!
ممنون از پاسخ شما
اگر اشتباه نکنم این سایت سایت و افزونه رو از نظر آلوده بودن چک میکنه.
چطوری میشه فهمید سایت قابل هک شدن هست یا خیر ؟
راه های نفوذ به یک سایت چیه؟
بله درسته
خبر اگر مورد خواصی باشه نشون میده و اگر هم سبز بود میشه گفت موردی نداره و لی بازم می تونید از افزونه های افزایش سرعت استفاده کنید
در این مورد خیلی آشنا نیستم ولی حتی میشه از خطا های 404 هم به فایل های سایت دسترسی پیدا کنند و اختلال ایجاد کنن با افزونه میتونید این موارد حل کنید
مفوق باشید!
سلام
هیچ سایت و سرور و و هر چیزی که بر بستر اینترنت هست دارای امنیت 100% نیست.
جدیدترین و بزرگترین موردی که میشه ازش گفت که چند روز پیش هم اتفاق افتاد ، دسترسی به دیتابیس یک سایت دولتی ایرانی و برداشتن تمام اطلاعات و… ( خبر رسمی با منبع زیر )
https://www.irna.ir/news/83736305/اطلاعات-ثبت-احوال-هک-نشده-است
نمونه های خارج از ایران و بزرگتر هم سال های دور برای گوگل و … رخ داده است.
این نمونه هارو گفتم که تاکید کنیم امنیت 100% غیر ممکنه.
برای تشخیص آسیب پذیری یک سیستم ، فقط و فقط یک تیم امنیتی یا نهایت کسی که در مسائل امنیت فعال هست میتونه کمک کنه.
به جرات میشه گفت حداقل بالای 70% سایت های ایرانی که با وردپرس ساخته شدن آسیب پذیر هستن ، دلایل زیادی هم هست برای این مورد. اگر هم اتفاقی براشون نیفتاده جز سایت های بزرگ نیستن که بخواد برای کسی جذاب باشه که روش کار کنه.
خلاصه اینکه اگه نیاز دارید آسیب پذیری سایت خودتون رو بسنجید باید خرج کنید و یک متخصص امنیت برای خودتون داشته باشید.
ارادت
منظورتون از ۷۰ درصد سایت های ورد پرس از کرک پسورد و عدم تغییر صفحه لاگین ادمین هست؟
یا وردپرس باگ خاصی داره ک اینقدر راحت ۷۰ درصدشون قابل نفوذ هست؟
نه وردپرس مشکلی نداره ، چون سیستم محبوب دنیا شده زوم هم روش بیشتر شده و هر ازگاهی موارد امنیتی توش دیده میشه که سریعا آپدیت براش میاد ، اما نمیشه اسمشو گذاشت سیستم آسیب پذیر ( شاید هر سیستم دیگه ای جز وردپرس بود و انقدر محبوب و قابل استفاده بود تا الان منفجر شده بود )
تغییر صفحه ادمین ، تغییر پیشوند جداول وردپرس و … اینا راه های خوبی هست که خوبه انجام دادنش ، اما هیچ تضمینی برای عدم آسیب پذیری سایت ما نیست ، در صورتی موثر هست که روشی که پایین میگم رو تو دستور کارمون قرار نداده باشیم.
دلیل اون حرفم بخاطر رفتار ما ادمین های سایت های وردپرسی تو ایران هست ، هرچی از هرجا گیرمون میاد سوار سایت میکنیم ، پلاگین ، قالب ، بدون حتی هیچ ترسی
نمیخوام بحث به جای دیگه بره اما مثلا پلاگین WP Bakery Page Builder با دلار 15000 تومنی که نزدیک 1 میلیون قیمتش میشه ، چطوری میتونه تو ایران با قیمت 15000 تومن فروخته بشه و برچسب اورجینال بودن بخوره پشتش؟
این یک مثال بود فقط ، چند درصد ادمین های سایت های وردپرسی با چیزی به اسم شل ( Shell ) آشنایی دارن؟ چند درصدشون میتونن تشخیص بدن فلان فایل در فلان فولدر در این پلاگین دقیقا برای چی هست؟
و دلایل متعدد دیگه باعث میشه که بشه گفت سایت های زیادی هستن تو ایران که حامل فایل های مخرب و دسترسی پذیر هستند.
و اما مهمترین نکته در کنار موارد بالا ، انتخاب یک شرکت حرفه ای در زمینه هاست و سرور ، فراموش نکنیم که خونه سایت ما سروور هست و قرار هست روی یک سرور قرار بگیره ، پس خونه سایت ما باید خودش تا چند ریشتر زلزله رو بتونه به خوبی ساپورت کنه.
البته دوستان بسیار قدرتمندتری تو بحث امنیت تو انجمن هستن که بیشتر میتونن کمک کنن ، بنده فقط در حد سواد کم خودم مواردی رو ذکر کردم.
ارادتمند
سلام
محمد توی دومین پیام کامل همه چیز رو بیان کرد ، ببینید من تقریبا با خیلی از همین ادمین هایی ک میگی فایل هارو اشتراک میزارن در ارتباط هستم ، این فایل هارو به دو حالت به دست میارن
- سایت هایی ک ssl ندارن یا لینک سایت بدون ssl باز میشه ک میتونن نفوذ کنن !
- لینک های دانلودی که ثابت هستن و کاربر خرید میکنه و لینک رو میده دوستاش !
- گروه هایی ک برای تبادل این فایل ها ایجاد کردن و با یک خرید صدبار جابجا میشه !
- که از همه مهمتره و محمد هم اشاره خوبی بهش کرد هاستینگ هایی هستن که کاربرا میرن میگن خوب این 3 تومانه فایل میخوام روش باشه دیگه میزاره و از اونطرف هم دوتا بچه ک نشستن پشت سیستم و بقول خودشون هاستینگ درست کردن فایل رو برمیدارن میدن کل عاللم و میان میگن ک هک کردیم و فلان سایت رو دیتاش رو آوردیم پایین و …
من خودم شخصا پنلمو چک کنید چهل پنجاه تا زیر مجموعه دارم تو سون هاست و بیشتر از اونم افرادی هستن ک کشوندمشون توی این مجموعه ، میدونید چرا ؟ اول از همه مطمئن ترین سرویس هاستینگ ایرانی بوده ، حالا بعدش میره کیفیت و سرعت و خدمات ، عین چشمام اعتماد دارم بهش
کل بحث رو همین جا گرد میکنم کل بیرون درز کردن این فایل ها روی همین حالت هست چون راه های دیگه لو رفتن اطلاعات طرفی ک اون کار رو میکنه و اون دانش رو داره دنبال در آوردن فایل آموزشی نیست بدون شک اما باز هم باید تمام جوانب امنیتی رعایت بشه
این سایت ها هم برای تست نفوذ و حفره های امنیتی کمک های بزرگی هستن
webcookies.org
sitecheck.sucuri.net
webscan.upguard.com
ssllabs.com/ssltest
quttera.com
با تشکر از پاسخ شما دوستان
با این اوصاف
راهکار های شما عزیزان
1-تغییر صفحه ی لاگین مدیر
2-تغییر پیشوند جداول وردپرس
3-بستن بخش ویرایش قالب از پیشخوان وردپرس میگن یک راه نفوذ به هاست همینه
4-حفاظت از لینک دانلود محصول
5-شناسایی بک دور هایی که با هیچ افزونه و سایتی قابل شناسایی نیست
6-هاستینگ معتبر
7-ssl فعال
8-حفاظت از نام کاربری و کلمه عبور مشتری
9-انتخاب پسوردی که کرک نشه
10-این افزونه ها یا قالب هایی که از مارکت های داخلی تهیه میشه چطوری راه ارتباطشون به سایت رو بگیریم؟ ایا میتونن به پنل کاربری ادمین و هاست دسترسی داشته باشن؟ اگر جواب بله هست چطوری جلوی این کار رو بگیریم؟
سوال چطوری میشه این تغییرات رو انجام داد؟
با این جمله موافق هستم ولی از نظر من برای سایت ها تازه تاسیس که هنوز به رتبه خوبی نرسیدن فقط با نصب افزونه های قدرتمند و بستن رخی از راها مثل خطا های 404 بیش از مثلا 15 بار بستن دسترسی ویرایش قالب و افزونه از وردپرس از طریق وردپرس انتخاب رمز قوی حداقل 32 رقم و…
اگر هم برای ورود به کار بر و یا خودتون به پیشخوان وردپرس از کپچا استفاده کنید هم خوبه
موفق باشید! این مسایل هزنیه زیادی نداره و می تونی خیلی مفید باشه!
Wordfence Login Security
افزونه امنیتی iThemes
سون هاست
اس اس ال رو فعال کنید و بعد از داخل انجمن افزونه Really Simple SSL pro رو دان و نصب و فعال کنید
جدا از این رمز یکبار مصرف بزارید با افزونه ای ک بالا گفتم Wordfence Login Security
در حالت عادی اینکار رو انجام نمیدن اگر اینکار رو کنن خوب مخرب وارد کردن و مجرم شناخته میشن اما پیشنهاد همیشه من این بوده قالب ارجینال رو ترجمه کنید خودتون یه فون فقط باید اضافه بشه به قالب ها این روزا همشون راست چین ساپورت هستن
ممنون از پاسخ شما
مورد ۴ و ۵ یادتون رفت احتمالا
و اینکه بدون افزونه هم امکانش هست این موارد رو برطرف کرد؟
برخی از موارد با استفاده از کد میشه ولی بهتره از افزونه استافده کنید
خواهش میکنم حسین جان
ببین برای لینک های دانلود گفتم توی اون تاپیک محافظتت ازش بهترین راه این هست ک دراپ باکس فایل هارو آپ کنید و لینک ها رو زمان دار و پریوایت کنید به همین سادگی
بله هست اما باید دانش فنی اون رو داشته باشید ، ببینید افزونه ای مثل آی تمز سکوریتی میاد تمام بخش هایی ک نقص دارن رو کدهاشو تغییر میده مثل htaccess یا فایل کانفیگ و پرمیژن ها و نقص توی هدر و … ک دستی امکان پذیر هست اما دانش فنیش رو باید داشته باشید ک درست انجام بشه وگرنه کوچکترین اشتباهی میتونی ضرر زیادی داشته باشه برای همین من همیشه افزونه هارو پیشنهاد میدم (نه هز افزونه ای افزونه های مطمئن)
تایپیک جالبیه! من دو سال پیش هاستم رو یه شرکت دیگه بود، مجبور شدم اون موقع روی پوشه ی wp-admin پسورد بذارم. هر موقع میخواستم وارد بشم باید اول یوزر و پسورد پوشه رو میزدم بعد یوزر و پسورد ادمین سایت رو.