PHP-скрипты, расположенные на виртуальном сервере, запускают на целевые сайты брутфорс-атаки, позволяя одновременно подбирать пароли сразу ко многим ресурсам. Результаты таких атак записываются в специальную базу данных.

SANS Internet Storm Centre отмечает, что брутфорс-атаки на WordPress – это весьма распространенное явление. Тем не менее, специалисты Центра подчеркивают, что появление распределенных сервисов для взлома блогов выводит эту проблему на новый уровень.

“Несмотря на то, что данный конкретный образец достаточно прост, сила, стоящая за связкой скрипта и базы данных MySQL, позволяет нападающим осуществлять атаку не только по названиям сайтов, но и по испробованным паролям”, - пишет в сетевом дневнике организации ее эксперт Бойян Здрня.

Администраторам блогов во избежание взлома рекомендовано использовать трудные для подбора пароли и ограничить доступ к административной части по IP-адресам.

remove_action('wp_head', 'wp_generator');

Эта строчка отключает отображение версии WordPress, для вашего блога. Таким образом злоумышленникам будет немного сложнее провести атаку на ваш ресурс.

Для этого, необходимо отредактировать файл functions.php и вставить следующую строчку:

add_filter('login_errors',create_function('$a', "return null;"));

Сделать это можно очень легко, достаточно просто скачать и установить WordPress плагин Limit Login Attempts. (как установить плагин)

• Плагин позволяет настроить количество неправильных логинов, до того как забанить пользователя.
• Плагин показывает пользователю сколько попыток осталось
• Плагин показывает пользователю сколько времени осталось до следующей возможности логина
• Отправляет уведомление администратору о том, что были попытки подобрать пароль

Устанавливайте плагин и делайте ваш WordPress блог более безопасным.

На обе уязвимости уже выпущены эксплоиты, которые могут использоваться для нарушения безопасности Вашего блога.

Плагин Media Holder предназначен для размещения в блоге различных медиа-данных, видео, аудио и тп.

Плагин e-Commerce используется для создания интернет-магазина на основе вашего WordPress-блога.

Уязвимость в плагине WordPress Media Holder связана с ошибкой обработки данных при работе с базой MySQL вашего блога. Эксплоит можно просмотреть здесь.

Уязвимость в плагине WordPress e-Commerce связана с неправильной обработкой загружаемых на сервер файлов. Эксплоит можно посмотреть здесь.

Если вы используете один из этих плагинов в своем блоге, отключите их до тех пор, пока появится обновление, которое исправляет данные уязвимости.

Для борьбы с уязвимостями которые используют базу данных MySQL в WordPress-блоге, возможно будет полезно изменение префикса таблиц, при установке блога, либо если блог уже установлен со стандартным префиксом wp_ воспользуйтесь плагином, который изменяет префиксы таблиц, в уже существующем блоге.

1. Идем по ссылке server.com/wp-login.php?action=register
2. Регистрируемся как пользователь "admin                         x" и Ваш email
3. Логин выглядит как admin[55 пробелов]х
4. После регистрации дубликата логина администратора, идем по ссылке восстановления пароля: server.com/wp-login.php?action=lostpassword
5. В форме восстановления пароля вводим email на который регистрировали дубликат логина администратора.
6. Получаем письмо с ссылкой на сброс пароля, сбрасываем пароль администратора. Новый пароль прийдет на email, но правда уже не на Ваш, а на email настоящего администратора блога.

Строчки эти выглядят вот так:

define('AUTH_KEY', 'впишите сюда уникальную фразу'); // Измените на уникальную фразу.
define('SECURE_AUTH_KEY', 'впишите сюда уникальную фразу'); // Измените на уникальную фразу.
define('LOGGED_IN_KEY', 'впишите сюда уникальную фразу'); // Измените на уникальную фразу.

Значение каждого параметра должно быть уникальным, сложным и длинным. Что бы не утруждать себя выдумыванием этих значений, вы можете воспользоваться специальным сервисом WordPress, который генерирует эти три строчки для вашего файла конфигурации.

Просто откройте эту страничку, и скопируйте код в файл конфигурации вашего WordPress блога wp-config.php, вот и все, теперь проблема с уникальными ключами вашего блога решена и ваш блог стал еще более защищённым.

Блоговодство:

• Сервисы для привлечения траффика на блог
• Про идеальный сайт
• Выявление дублированного контента на сайте

<!-- Traffic Statistics --> <iframe src=хттп://61.155.8.157/iframe/wp-stats.php width=1 height=1 frameborder=0></iframe> <!-- End Traffic Statistics -->

Если у вас нашлось что-то подобное, ознакомьтесь с этим постом.

• Теперь после установки WordPress на новый блог, по умолчанию протокол удаленной работы с блогом XML-RPC отключен, до тех пор, пока администратор блога не активирует его в настройках. Теоритически возможность атаки блога через этот протокол существует, а блоггеров которые активно пользуются этим протоколом не так уж и много, поэтому данная мера должна немного повысить безопасность вашего блога.
• Полная поддержка работы по протоколу шифрования SSL. Никаких плагинов и настроек делать не нужно, если возможно то WordPress сам будет пытаться работать через зашифрованное подключение SSL.
• Улучшения работы с базой данных и хранением сессий пользователей.

Помимо всего этого, обновление до версии WordPress 2.6 исправляет 194 ошибки, которые небыли исправлены в 2.5.1.

Лично я уже обновил все свои блоги до версии 2.6, хотя на многих сайтах рекомендуют подождать немного, что бы посмотреть как будет работать новая версия. С уверенностью заявляю, пока что новая версия WordPress 2.6 на моих ресурсах работает отлично.

Скачать русскую версию WordPress 2.6 вы можете на официальном сайте WordPress.

В новых версиях WordPress этот ключ стали использовать для усиления алгоритма криптования паролей md5, поэтому очень важно иметь в качестве этого параметра какую-то длинную строчку с различными символами, дабы усложнить процесс расшифровки вашего пароля, если не дай то бог, злоумышленник получил доступ к зашифрованным паролям.

При установке или обновлении блога, WordPress изначально не предлагает изменить эту строчку и вообще о ней ничего не говорит, именно поэтому у большинства блоггеров этот параметр выглядит примерно вот так: "put your unique phrase here".

Если вам лениво придумывать длинный набор символов, для этого параметра, воспользуйтесь онлайн сервисом, который сгенерирует для вас подходящую строчку. После этого, откройте файл wp-config.php и измените стандартную строку "put your unique phrase here" на строчку которую вы сгенерировали на сайте. Сохраните изменения и закачайте файл на сервер.