حفره امنیتی خطرناک در اسکریپت صبا کلیک

با سلام،

چند روزی است که در حال بررسی اسکریپت تبلیغات کلیکی صبا کلیک بوده ایم و در نهایت فهمیدیم این اسکریپت دارای باگ جدی است که شخصی آن را پیدا کرده و با جستجو در گوگل و پیدا نمودن سایتهایی که از این اسکریپت استفاده می کنند، اقدام به هک و نفوذ به سرور می نماید.

روش کار : شخص به عنوان مشتری در سایت ثبت نام می کند، یک آگهی بنری ایجاد می کنید و به جای عکس، یک فایل PHP که در آن اکسپلوت هست، بارگذاری میکنید ، مثلا : name.php.gif
با این روش، اسکریپت این فایل را بنر تلقی کرده و این موجب می شود، سایت شما و علاوه بر آن Hacker به سرور هاستینگ شما نفوذ کند.

لطفا، تحت هیچ شرایطی از این اسکریپت استفاده ننماید و لااقل باگ آن را برطرف نمایید.

با تشکر، تیم پشتیبانی هزارنویس

حفره امنیتی خطرناک در Wordpress

با سلام،

طی چند ماه اخیر شاهد نفوذ به سیستم های مدیریت محتوای Wordpress بودیم که Hacker بدون داشتن رمز عبور مدیریت با ارسال درخواست های خاصی با متود POST به wp-admin قادر به دور زدن رمز عبور ( bypass ) و ورود به بخش مدیریت بوده و پس از آن به کل سیستم مدیریت محتوا و همچنین هاست دسترسی خواهد داشت.

این حفره امنیتی خطرناک که در آخرین نسخه‌های Wordpress نیز وجود دارد، هنوز به طور رسمی منتشر نشده و به شکل Private می‌باشد و به همین دلیل Wordpress هنوز patch و securirty fix رسمی جهت رفع این نقیصه ارائه نکرده است.

با توجه به اینکه این ضعف امنیتی می‌تواند منجر به دسترسی کامل Hacker به کل هاست و سایت شود، جهت جلوگیری از هرگونه نفوذ و سوء استفاده اکیداً توصیه میشود از طریق cPanel بخش Password Protection حتماً روی مسیر wp-admin کلیه نسخه‌های Wordpress خود یک رمز ثانویه قرار دهید، در این صورت Hacker بدون داشتن آن رمز قادر به ارسال درخواست به wp-admin و نفوذ نخواهد بود.

 جهت مشاهده آموزش تصویری Password Protection در cPanel اینجا کلیک کنید.

با تشکر، تیم پشتیبانی هزارنویس