Archive for Октябрь, 2009
Уязвимость в плагине WordPress DM Albums 2.x
Найдена уязвимость в плагине WordPress DM Albums 2.x, которая позволяет провести XSS-атаку против вашего блога и получить доступ к файловой системе, с возможностью удаления папок. Из-за ошибки при проверке входных данных в параметре "delete_album" сценарием dm-albums/wp-dm-albums-ajax.php. Атакующий может удалить папки извне root директории альбомов. Эксплоит: http://someblogsite/wp-content/plugins/dm-albums/wp-dm-albums-ajax.php?delete_album=../../../public_htm Плагин обновлен 23.10.2009, с этим обновлением, исправлена и уязвимость, читать далее ..
Скрываем версию WordPress
Для повышения безопасности блога, часто рекомендуют отключить отображение версии WordPress. Инструкций как это сделать, огромное множество и все они могут использовать разные методы для отключения отображения версии, но самый просто и правильный вариант, это добавить в файл functions.php который находится в папке шаблона вашего блога, следующую строчку: remove_action('wp_head', 'wp_generator'); Эта строчка отключает отображение версии WordPress, читать далее ..
Скрываем сообщение о ошибке при логине.
Дабы усложнить перебор паролей к вашему WordPress-блогу, можно попросить его не показывать сообщения об ошибке при попытках неправильного входа в блог, таким образом злоумышленник не увидит в чем суть проблемы, несуществующий пользователь или неправильный пароль. Для этого, необходимо отредактировать файл functions.php и вставить следующую строчку: add_filter('login_errors',create_function('$a', "return null;"));
Уязвимость в файле wp-trackback.php
Свежая уязвимость в WordPress которая позволяет провести DOS атаку на блог жертвы используя файл wp-trackback.php Отключение трекбэков не избавляет от данной уязвимости, для того, чтобы обезопасить свой блог, необходимо установить плагин, который исправляет данную проблему. Плагин можно скачать здесь Эксплоит уязвимости: jarraltech.com/2009/10/new-0-day-wordpress-exploit/ Источник: blogproblog.com/wp-trackback_dos_attack/
