مرجع مقالات رسمی طراحی سایت مرجع مقالات رسمی طراحی سایت .

مرجع مقالات رسمی طراحی سایت

باگ امنیتی در پلاگین داپلیکیتور


باگ امنیتی در پلاگین داپلیکیتور Duplicator وردپرس و ضرورت مبادرت فوری

طراحی سایت در مشهد
طی ماه پیشین ایراد امنیتی در پلاگین بک‌آپ‌گیری و انتقال پر اسم و رسم Duplicator وردپرس کشف و شناسایی شده‌است. این آیتم سبب به وجود داخل شدن اختلالات گسترده درتمامی وبسایت­‌ها وردپرسی از گزاره در وبسایت­‌های یوزرها اهل ایران شده‌است. طی اطلاعیه منتشر گردیده بوسیله کمپانی Synacktiv درین خصوص مشخص و معلوم شد که ایراد امنیتی اینک با patch ارائه گردیده قابل رفع می­‌باشد و یوزرها بی تردید بایستی مبادرت به بروزرسانی این پلاگین نمایند.

در اینجا مقداری در زمینه‌ی ایراد در پلاگین Duplicator وردپرس توضیح خوا‌هیم اعطا کرد:

حفره امنیتی ذکر شده
کدی که دارنده ایراد امنیتی هست در بنا شده در خویش دایرکتوری افزونه قرار ندارد. اختلال هنگامی نمایان می‌­شود که استفاده کننده مبادرت به انتقال محتویات وردپرس و با بازگردانی آن می‌­نماید.

بک‌آپ‌گیری از تارنما ۲ فولدر خروجی دارااست که هر دو برای بازگردانی تارنما مایحتاج میباشند: یکی‌از فولدر بایگانی .zip و دیگری اسکریپتی با اسم installer.php که برای بازگردانی محتویات از آن استعمال می­‌شود.

این فولدر­‌ها می­‌توانند به سرور جدیدی منتقل شوند و در دایرکتوری مربوطه قرار گیرند. آنگاه ادمین می‌­تواند از روش مرورگر خویش فولدر installer.php را مشاهده نماید و مراحل بازگردانی و انتقال تارنما را ابتدا نماید.

پلاگین duplicator - خطاها پلاگین duplicatore و حفره امنیتی

 

بعداز اینکه بازگردانی صورت پذیرد، پیغامی بر پایه ی فراهم بودن تارنما و قابلیت و امکان ورود به آن نشان داده می‌­شود.

 

پلاگین duplicator - ابزار duplicatote

 

درین برگه یک لیست از قدم­‌های آخرین موجود هست که به استفاده کننده یادآوری می­‌نماید که بایستی پوشه­‌های طولانی تر و باقیمانده را به عارضه ها امنیتی حذف نماید. در واقع این پیغام به شکل مستمر در داشبورد وردپرس اکران داده می­‌شود تازمانیکه استفاده کننده مبادرت به حذف پوشه­‌ها کرده و یا این که Duplicator را uninstall نماید.

 

پلاگین duplicator - حذف کردن پوشه های مازاد در ابزار duplicator

 

به یادماندنی بودن این پیغام استدلال بسیار مهم و موجهی داراست، باقی ماندن فولدر­ها و اسکریپت­‌ها در دایرکتوری­‌هایی که که از روش اینترنت قابل دسترس می‌باشند فعالیت بسیار خطرناکی میباشد. در پیشین نیز این فرمان سبب ساز به وجود داخل شدن اختلالات امنیتی در وردپرس بوده می‌باشد.

 

خلل از آنجا به جانور می­‌آید که فولدر installer.php مقادیر محل ورود که از استفاده کننده می‌­گیرد را مستقیما وارد فولدر wp-config.php می­نماید و این فرمان سبب به وجود داخل شدن حفره امنیتی برای تزریق کد می­‌شود.

 

اینک patch ارائه گردیده از سوی کمپانی Synacktiv دو عمل گوناگون انجام داده هست:
۱) رفع خلل امنیتی پوشه installer.php و پرهیز از تزریق کد به وسیله این فولدر

۲)‌ اضافه کردن قابلیت و امکان ایمن سازی از روش تعریف و تمجید کردن سر برای پوشه­‌های installer

این فعالیت سبب می­‌شود که در زمان به کار گیری از پوشه installer استفاده کننده امنیت بیشتری داشته باشد و فرد سو‌مین به صورت کل بدین پوشه­‌ها دسترسی نداشته باشد.

 

 

پلاگین duplicator - رفع نقص‌ پوشه installer.php

هشدار

با اینکه patch ارائه گردیده اقدامات امنیتی لازم جهت ایمن سازی افزونه Duplicator را تا حد متعددی انجام می­‎دهد، می بایست دقت داشت که حذف کردن پوشه­‎های installation بعداز انتها عمل از اهمیت بسیار بالایی شامل است و تاکید شدیدی بر آن می­‎شود.

فعلا با وجود اینکه داده ها محل ورود استفاده کننده در حین به کار گیری از افزونه پیشین از داخل شدن به پوشه wp-config امن می­‎شود، هم چنان ممکن هست مقادیری که از قبلی در‌این پوشه­‎ها مانده‎اند سبب ساز بروز ایراد شوند. برای مثال ممکن می باشد ربات­‎ها با دادن داده ها دیتابیس غلط منجر از دسترس بیرون شدن وبسایت و بروز ارور تحت در تارنما شوند‌:‌

رفع خطای در پلاگین duplicator


برچسب: ،
امتیاز:
 
بازدید:

+ نوشته شده: ۲۵ شهریور ۱۳۹۸ساعت: ۰۹:۲۹:۴۲ توسط:علی پور موضوع: نظرات (0)