حمله‌ی بزرگ به وب‌گاه‌های وردپرس و ایجاد ابربات‌نتی عجیب

کارشناسان امنیتی هشدار داده‌اند که مجموعه‌ای از حملات شدید ۱ به منظور شکستن وب‌لاگ‌های ناامن وردپرس طراحی شده و به رشد بات‌نت۲ قدرتمند غیرمعمولی که در حال حاضر از بیش از ۹۰۰۰۰ کارگزار وب ساخته شده، کمک می‌کند.
در طول هفته‌ی گذشته تحلیل‌گرانِ چندین شرکت امنیتی شاهد رشد نگران‌کننده‌ی حمله‌ای موسوم به «حمله‌ی جستجوی فراگیر»بودند که در وب‌گاه‌هایی که توسط وردپرس طراحی شده، اتفاق افتاده است. وردپرس تقریباً محبوب‌ترین سامانه‌ی مدیریت محتوای وب‌گاه‌ در حال حاضر است؛ از این رو خطر این آسیب‌پذیری بسیاری از افراد را تهدید می‌کند.
به گفته‌ی شرکت امنیت وب Incapsula، مسئولان این جنایت اینترنت را به منظور جستجوی نصب‌های وردپرس پویش کرده و سپس سعی می‌کنند با استفاده از فهرستی از ترکیب ۱۰۰۰ نام کاربری و گذرواژه‌ی رایج در بخش مدیریت این وب‌گاه‌ها ورود پیدا کنند.

راهکارهایی ساده برای در امان ماندن از بات‌نت جدید وردپرس

استفاده از وردپرس آسان است. به همین دلیل کاربران زیادی آن را دوست دارند. راه‌اندازی یک وب‌گاه ساده و مدیریت حجم زیادی از محتوا با استفاده از آن تنها در عرض چند دقیقه انجام می‌شود؛ نیازی هم به دانستن برنامه‌نویسی وب ندارید، چرا که لشکری از برنامه‌نویسان داوطلب در حال نوشتن افزونه‌های مورد نیاز شما هستند.

از طرف دیگر نفوذ به وردپرس نیز آسان است. به هر حال در کنار هر فهرستی از مزایا، معایبی نیز وجود دارد. وقتی همه چیز آسان باشد، کاربران هوش کمتری به خرج داده و مرتکب اشتباهاتی می‌شوند. اشتباهاتی مانند استفاده از نام کاربری «admin»، انتخاب گذرواژه‌های واضح و همچنین به‌روز نکردن نرم‌افزار وب‌گاه.

همانطور که قبلاً نیز در خبری اعلام شد، این نقطه‌ضعف‌های امنیتی به گروهی از نفوذگران امکان داده تا با استفاده از روش‌های حدس گذرواژه و با استفاده از بات‌نت عظیمی متشکل از کارگزارهای آلوده، وب‌گاه‌هایی را که از وردپرس استفاده می‌کنند، مورد حمله قرار دهند.

اگر دارای وب‌گاهی هستید که از وردپرس استفاده می‌کند باید دو نکته را مد نظر قرار دهید. اول این‌که باید از حمله‌ی نفوذگران به وب‌گاه خود جلوگیری کنید؛ دوم این‌که در صورت آلوده‌شدن نه تنها خود شما دچار مشکل می‌شوید، بلکه به مشکلات دیگران نیز اضافه می‌کنید. مثل کودکی که سرما‌خورده و در مدرسه دیگر کودکان را نیز آلوده می‌کند.

خوشبختانه توصیه‌های ساده‌ای وجود دارند که می‌توانند به میزان چشمگیری از احتمال آلوده‌شدن وب‌گاه شما بکاهند:

نصب وردپرس بر روی لوکال‌هاست

وردپرس یک نرم افزار متن‌باز است که با زبان php نوشته شده است و برای ذخیره اطلاعات از مدیریت پایگاه داده MySql  استفاده می‌کند که معمولا از وب سرور آپاچی برای اجرا استفاده می‌شود که برای استفاده از وردپرس بر روی کامپیوتر شخصیتان باید این سه مورد را نصب داشته باشید اما نصب و تنظیمات این برنامه‌ها برای همه کار ساده‌ای نیست، به همین منظور و برای راحتی بیشتر یک سری برنامه‌ها ساخته شده‌اند که به راحتی اینها را برای شما نصب و پیکربندی می‌کند از جمله مشهورترین های آن می‌توان : Xampp، WampServer، easyPHP و … را نام برد. ما در این آموزش نصب وردپرس را با کمک xampp را دنبال می‌کنیم چرا که یکی از پراستفاده ترین آن‌ها است و برای هر سه سیستم‌عامل ویندوز، لینوکس و مک ارائه می‌شود که برای کاربران غیر ویندوزی نیز قابل استفاده است.

خوب ابتدا xampp را از سایتش دانلود نمایید(http://www.apachefriends.org/en/xampp.html)  حالا برنامه نصب را که دانلود کردید اجرا کنید، روند نصب xampp مثل اکثر برنامه‌های دیگر است اما در ادامه تصاویر مراحل نصب به همراه توضیحاتی کوتاه آورده‌ام تا احیانا اگر با مشکلی در حین برخوردید راحت از پسش بر بیاید.

نصب وردپرس بر روی DirectAdmin

نصب وردپرس

ابتدا آخرین نسخه وردپرس را با توجه به راهنمایی‌های این صفحه دانلود کنید و در کامپیوتر خود نگه دارید. سپس به پنل کاربری هاست برید و از لینکی که برای دسترسی به کنترل پنل دایرکت ادمین تعبیه شده وارد دارکت ادمین شوید معمولا این لینک عنوان کنترل پنل در سرویس دهنده‌های هاست دارد. راه دیگر برای دسترسی به دایرکت ادمین اضافه کردن port ۲۲۲۲ در آخر آدرس سایت است که تقریبا در همه هاست‌ها میشه از این پرت استفاده کرد مثلا اگر آدرس سایت شما yoursite.com باشد کافی است به آخر آن دو نقطه و ۲۲۲۲ اضافه کنید که به طور مثال میشود : http://yoursite.com:2222 بعد پنجره وارد کردن نام کاربری و رمز عبور برای شما باز می‌گردد که بعد از وارد کردن اطلاعات خواسته شده وارد دایرکت ادمین می شوید.
خوب تا الان حتما وارد دایرکت ادمین شدید کلی تنظیمات و لینک به قسمت های مختلف در صفحه دایرکت ادمین می‌بینید از بین این‌ها گزینه file manager را انتخاب کنید تا در مرحله بعد وردپرس را آپلود کنیم.

نصب وردپرس بر روی هاست

نصب وردپرس شروع میشود
خب برای شروع کار ابتدا با کلیک بر روی این قسمت آخرین نسخه وردپرس فارسی را دانلود نمایید.

در مرحله بعد به مدیریت هاست خود مراجعه کنید ( مثلا آدرس www.example.com/cpanel )

خب پس از وارد نمودن رمز کاربری و پسور خود و مشاهده داشبورد سی پنل خود گزینه File manager را انتخاب نمائید.

به چه چیزهایی برای نصب وردپرس نیاز دارید؟

به چه چیزهایی برای نصب وردپرس نیاز دارید؟
وب سرور ·
ویرایشگر متن ·
FTP کلاینت ·
مرورگر وب ·
وب سرور
نسخه 4.3 یا بالاتر : وردپرس توسط برنامه نویسان زیادی به PHP ·
نوشته شده است و در نتیجه مطمئن شوید که بر روی وب PHP زبان
نصب است. PHP سرور شما
یک پایگاه داده است و MySQL : نسخه 4.0 یا بالاتر MySQL ·
وظیفه ذخیره تمام اطلاعات وبلاگ شما را بر عهده دارد. نظیر تمام پست
ها، نظرات ارسالی، تنظیمات کاربران و ...

ویرایشگر متن
شما قبل از اینکه اطلاعات را بر روی وب سرور خود منتقل کنید می باید یک سری
تغییرات جزئی را در فایل وردپرس ایجاد کنید، برای این منظور می توانید به
راحتی فایل های وردپرس را با کمک یک نرم افزار ویرایشگر متن مشاهده کنید،
تغییرات را در آنها اعمال کنید و سپس ذخیره کنید.
Notepad کاربران ویندوز : نرم افزار ·
TextEdit : OS X کاربران مک

یک پروتکل ارتباطی برای ارسال و دریافت فایل است. شما FTP : FTP کلاینت
برای اینکه اطلاعات خود را از کامپیوترتان به یک سرور منتقل کنید نیاز به داشتن
دارید. FTP یک کلاینت
یک نرم افزار رایگان و متن باز است که برای سیستم FileZilla : ویندوز ·
عامل های ویندوز، مک و لینوکس مورد استفاده قرار می گیرد. برای
مراجعه کنید. http://filezilla-project.org دریافت آن به آدرس
یک نرم افزار متن باز با امکانات کامل CyberDuck : OS X مک ·
مراجعه http://cyberduck.ch است. برای دریافت آن به آدرس
کنید

مرورگر وب
مرورگر وب همان نرم افزاری است که شما با آن به گشت و گذار در اینترنت می
پردازید.
http://www.google.com/chrome : گوگل کروم
http://www.mozilla.com/en-US/firefox : فایرفاک

هشدار بسیار مهم: حمله سایبری به تمام وب‌گاه‌های دروپال به‌روز‌نشده

مدیران وب‌گاه‌هایی که بر پایه‌ی دروپال ۷ هستند، و هنوز وصله‌ی دو هفته پیش دروپال را در وب‌گاه‌های خود نصب نکرده‌اند، و یا با تاخیر زیادی (بیش‌تر از هفت ساعت) به‌روز‌رسانی‌ها را اعمال کرده‌اند، فرض کنند مهاجمان از آسیب‌پذیری تزریق SQL وب‌گاه آن‌ها سوء‌استفاده کرده و باید اقدامات امنیتی را انجام دهند.

این آسیب‌پذیری با شناسه‌ی CVE-۲۰۱۴-۳۷۰۴ دقیقاً دو هفته‌ی پیش کشف و گزارش شد، مطابق گزارش محققان، «حملات خوکار برنامه‌ریزی‌شده» از همان روز اول و در عرض چند ساعت شروع به حمله به وب‌گاه‌های آسیب‌پذیر دروپال کرده‌اند و تنها وب‌گاه‌هایی که در ساعات اولیه نسخه‌ی ۷.۳۲ دروپال را دریافت کرده‌اند از این خطر در امان هستند. 

 

وصله شدن آسیب‌پذیری خطرناک XSS در ورد‌پرس

آخرین نسخه‌ی سامانه‌ی مدیریت محتوای ورد‌پرس روز گذشته منتشر شد، نسخه‌ی ۴.۰.۱ این سامانه آسیب‌پذیری خطرناک XSS که مربوط به بخش ثبت نظرات است را تحت تاثیر قرار می‌دهد.

پیش فرض همه چیز درباره ورد پرس (حتما بخوانید)

وردپرس یک پلت فرم قدرتمند برای انتشار محتوی شما در اینترنت می باشد که با ویژگی های بسیار مفید و کارامد عرضه می شود. وردپرس همیشه به استاندارد بودن سیستم، سریع، سبک، رایگان، هسته بسیار قدرتمند و قابل شخصی کردن و همچنین آزاد بودن کاربرانش معروف بوده است که اینها می تواند شما را به انتخاب آن سیستم سوق دهد.
در ادامه به معرفی برخی از ویژگی های وردپرس می پردازیم؛ به یاد داشته باشید این ویژگی ها تنها استانداردهایی هستند که با وردپرس خواهند آمد چون اگر قرار بر این باشد تمام ویژگی های وردپرس را معرفی کرد با هزاران پلاگین موجود برای این سیستم باید هزاران ویژگی را نیز بیان کرد

آموزش نصب ورد پرس

اینم آموزش نصب ورد پرس
برای دیدن آموزش به ادامه برید...
برای نصب ورد پرس شما به سرور لینوکس (ترجیحا آپاچی نسخه +2 ) با پشتیبانی PHP و بانک MYSQL نیاز دارید.

1- آخرین نسخه وردپرس را از سایت وردپرس .org دانلود کنید و بعد از بازکردن فایل zip ، تمام فایل های داخل آن را به روی ریشه سرور خود منتقل کنید.