Обнаружен веб-сервис, позволяющий автоматизировать процесс взлома паролей WordPress
Хакеры разработали схему распределенного взлома паролей администраторов к аккаунтам Wordpress, применение которой не сулит ничего хорошего тем блогам, чьи владельцы используют небезопасные пароли.
PHP-скрипты, расположенные на виртуальном сервере, запускают на целевые сайты брутфорс-атаки, позволяя одновременно подбирать пароли сразу ко многим ресурсам. Результаты таких атак записываются в специальную базу данных.
SANS Internet Storm Centre отмечает, что брутфорс-атаки на читать далее ..
Защита от перебора паролей в Wordpress
Для того, чтобы обезопасить свой блог, от взлома путем перебора паролей, необходимо установить ограничение количества неправильных логинов, в этом случае бот или человек, который задумает подобрать пароль к Вашему блогу, после определенного количества неправильных логинов, будет забанен на определенное время.
Сделать это можно очень легко, достаточно просто скачать и установить Wordpress плагин Limit Login Attempts. (как читать далее ..
Уязвимость усечения данных в SQL Wordpress 2.6.1
Найдена новая уязвимость в Wordpress 2.6.1 которая заключается в ошибке усечения данных в базе SQL.
Идем по ссылке server.com/wp-login.php?action=register
Регистрируемся как пользователь "admin x" и Ваш email
Логин выглядит как admin[55 пробелов]х
После регистрации дубликата логина администратора, идем по ссылке восстановления пароля: server.com/wp-login.php?action=lostpassword
В форме восстановления пароля вводим email на который регистрировали дубликат логина администратора.
Получаем письмо с ссылкой на сброс читать далее ..
Уязвимость секретного ключа в wordpress 2.5
Очень важно при обновлении или установке Wordpress обратить внимание на параметр "SECRET_KEY", с этим параметром связана безопасность паролей в вашем блоге.
В новых версиях Wordpress этот ключ стали использовать для усиления алгоритма криптования паролей md5, поэтому очень важно иметь в качестве этого параметра какую-то длинную строчку с различными символами, дабы усложнить процесс расшифровки вашего пароля, если читать далее ..
Не сохраняйте пароли в ФТП программах.
Если вы самостоятельно работаете с файлами вашего блога, наверняка для удобства вы используете FTP протокол, и какую-нибудь программу для работы с ним, например Total Commander или другие программы для работы с FTP.
Как правило такие программы, опять же для удобства, дают возможность пользователю сохранить пароль, на доступ к серверу, что бы не вводить его при каждом читать далее ..
