منوي نرم‌افزارها

    منوی سخت افزارها

      پویش امنیتی

      ویژگی‌های پویش امنیتی WordPress

      با فرض اینکه بیش از 24 درصد وب سایت‌ها بر روی اینترنت WordPress را اجرا می‌کنند درحالی که WordPress 60 درصد سهم بازار سیستم مدیریت محتوا (CMS) را دارد، آنگاه امنیت آن فاکتوری مهم در برنامه امنیتی سازمان خواهد بود.

      به رغم اینکه هسته WordPress با فرض نکات امنیتی طراحی شده است، ولی این مسئله در مورد هزارها پلاگین موجود در اکوسیستم WordPress صدق نخواهد کرد. متاسفانه این هزارها پلاگین WordPress حاوی آسیب‌پذیری‌های بسیار جدی هستند. در صورت عدم به روز رسانی یا غیر فعال کردن پلاگین‌های آسیب‌پذیر، هکرها می‌توانند به سادگی یکپارچگی و دسترسی پذیری ساخت را به خطر اندازند، به واسط مدیریتی و پایگاه داده WordPress دسترسی یابند و سایت را تغییر دهند و حملات فیشینگ را علیه کاربران سایت انجام دهند یا از سایت به عنوان عامل توزیع بدافزارهایشان استفاده کنند.






      پویش پلاگین‌های آسیب‌پذیر WordPress

      پویش‌گر آسیب‌پذیری Acunetix موارد نصب WordPress را شناسایی می‌کند و تست‌های امنیتی لازم را برای بیش از 1200 پلاگین محبوب ان علاوه بر چند تست آسیب‌پذیری دیگر مربوط به آسیب‌پذیری‌های هسته WordPress انجام دهد. از این گذشته، پویش‌گر آسیب‌پذیری Acunetix دیگر تست‌های پیکربندی اختصاصی WordPress (مانند تست وجود کلمات عبور ضعیف مدیر WordPress، شمارش نام‌های کاربری WordPress، فایل‌های پشتیبان wp-config.php، بدافزارهایی که به شکل پلاگین طراحی شده اند و نسخه‌های قدیمی پلاگین‌ها) را نیز انجام می‌دهد.
      پلاگین‌های کشف شده WordPress در پایگاه دانش پلاگین‌ها (شامل بر توضیح، شماره نسخه کشف شده و آخرین نسخه پلاگین برای به روز رسانی) ذخیره می‌گردند. بررسی‌هایی از قبیل بر روی دیگر سیستم‌های مدیریت محتوا مانند Joomla! و Drupal نیز انجام می‌گیرد.


      آشکارسازی فایل پیکربندی WordPress

      علیرغم اینکه بیشتر تنظیمات پیکربندی معمول از طریق واسط مدیریت WordPress در دسترس قرار دارند، ولی مدیر WordPress باید برخی تنظیمات را از مستقیما از wp-config.php تغییر دهد. این کار اغلب ابتدا ایجاد نسخه پشتیبانی پیکربندی کاری شناخته شده و سپس، ادامه کار با تغییر دستی فایل در یک ویراستار متن انجام می‌گیرد. با این وجود فایل پشتیبان در دسترس هر کسی قرار خواهد گرفت که بتواند نام آن را حدس بزند.


      فهرست نام کاربری و حدس زدن کلمات عبور ضعیف

      پویش‌گر آسیب‌پذیری Acunetix تست‌هایی را در ارتباط با احتمال شمارش و فهرست نام کاربری حساب‌های WordPress انجام می‌دهد. شمارش و فهرست نام‌های کاربری به هکرها سرنخی برای آغاز کار در زمان حمله به WordPress را می‌دهد. در واقع با این کار هکر اطلاعات لازم را برای کشف کلمات عبور حساب‌های کاربری فهرست شده با استفاده از فرهنگ کلمات عبور خواهد داشت.
      براساس کاربران شناسایی شده در پویش، Acunetix نیز بررسی خواهد کرد که آیا براساس فهرست کلمات عبور دیگر ترکیبات (مانند استفاده از Leetspeak) کاربران از کلمات عبور ضعیف استفاده می‌کنند یا خیر؟








      شناسایی پوسته‌ها و پلاگین‌های مخرب

      WordPress نیز بدافزارهای مختص به خود را دارد، که عموما خود را به شکل پلاگین یا پوسته در می‌آورند. توصیف چنین بدافزارهایی کاربران WordPress را وسوسه می‌کند تا پلاگین یا پوسته بدافزار را نصب کنند. پویش‌گر آسیب‌پذیری Acunetix می‌تواند URL بدافزار داخل صفحات را براساس پایگاه‌های داده وب گردی امن Yandex و Google شناسایی کند.






      5.5.0.0
      گروه دورانV5.5.0.0