Archive for Февраль, 2008
Уязвимости в плагинах wp-people, Simple Forum, WP Photo Album, Search Unleashed, Sniplets
Очередная порция уязвимостей в нескольких плагинах WordPress. Если Вы используете какие-то из этих плагинов, рекомендую отключить их, до выхода новых версий плагинов с исправлениями уязвимостей. WP People <= 1.6 уязвимость SQL иньекция. Параметр person некорректно фильтруется. Это может быть использовано для нарушения работы базы данных WordPress блога. Simple Forum < 2.1 (Build 237) Параметры Forum читать далее ..
Уязвимость плагина WP-Photo-Album
Найдена уязвимость в плагине WP-Photo-Album, позволяющая злоумышленнику, делать удаленные запросы к MySQL базе данных блога. Рекомендуется отключить плагин, до выхода исправлений.
Обновлен плагин wp-no-version
Плагин предназначен для осложнения идентификации версии WordPress которая установлена на вашем блоге. В последнем релизе, плагин не убирает отображение версии WordPress для зарегистрированных пользователей. Это было сделано, для поддержки функции автоматической проверки обновлений WordPress. Скачать свежую версию плагина можно здесь. Работоспособность плагина, проверена на WordPress 2.3.3.
Не сохраняйте пароли в ФТП программах.
Если вы самостоятельно работаете с файлами вашего блога, наверняка для удобства вы используете FTP протокол, и какую-нибудь программу для работы с ним, например Total Commander или другие программы для работы с FTP. Как правило такие программы, опять же для удобства, дают возможность пользователю сохранить пароль, на доступ к серверу, что бы не вводить его при читать далее ..
Гостевой пост в блоге Антона Попова.
Вчера был размещен мой гостевой пост, на тему "Безопасность блогов WordPress" в блоге Антона Попова. Если вы совсем недавно заинтересовались безопасностью своего блога, обязательно ознакомьтесь. В дальнейшем планируется более подробно рассмотреть все пункты по увеличению безопасности вашего блога, так что подписывайтесь на RSS и ждите обновлений.
Обновление безопасности WordPress MU 1.3.3
Выпущена новая версия мультипользовательской версии WordPress, в которой исправлена уязвимость в работе протокола XML-RPC. Рекомендуется обновить движок или как минимум заменить файл xmlrpc.php
Уязвимости в плагинах dmsguestbook, st_newsletter, Wordspew, wp-footnotes
В плагине dmsguestbook 1.7.0 найдено несколько уязвимостей. Одна из них позволяет подменить ваш wp-config.php файл, таким образом злоумышленник может получить доступ к информации в вашей базе данных. Это связанно с плохой проверкой параметров папки/файла. Кроме этой, в плагине присутствуют еще несколько критических XSS уязвимостей. Настоятельно рекомендуется отключить и временно не использовать этот плагин, до выхода читать далее ..
Срочное обновление безопасности WordPress 2.3.3
Сегодня было объявлено о выходе новой версии WordPress, в которой исправлена критическая уязвимость в работе протокола XML-RPC. Скачать новую версию WordPress, можно на сайте разработчика. Если вы не хотите полностью обновлять свой блог, можно просто скачать и обновить файл xmlrpc.php.
Уязвимости в плагинах wp-calc и wp-adserv
WebLogTools сообщают о двух новых уязвимостях, найденных в WordPress плагинах: Сегодня найдена уязвимость SQL Иньекции в WordPress плагине WP-Cal версий 0.х Человек который называет себя "enter_the_dragon" сообщил об уязвимости в WordPress плагине Adserve Plugin version 0.2. Подробности читайте на сайте WebLogTools Для устранения уязвимости в плагинe AdServe скачайте и установите, новую версию плагина.
