Обнаружен веб-сервис, позволяющий автоматизировать процесс взлома паролей WordPress
Хакеры разработали схему распределенного взлома паролей администраторов к аккаунтам WordPress, применение которой не сулит ничего хорошего тем блогам, чьи владельцы используют небезопасные пароли. PHP-скрипты, расположенные на виртуальном сервере, запускают на целевые сайты брутфорс-атаки, позволяя одновременно подбирать пароли сразу ко многим ресурсам. Результаты таких атак записываются в специальную базу данных. SANS Internet Storm Centre отмечает, что читать далее ..
Защита от перебора паролей в WordPress
Для того, чтобы обезопасить свой блог, от взлома путем перебора паролей, необходимо установить ограничение количества неправильных логинов, в этом случае бот или человек, который задумает подобрать пароль к Вашему блогу, после определенного количества неправильных логинов, будет забанен на определенное время. Сделать это можно очень легко, достаточно просто скачать и установить WordPress плагин Limit Login Attempts. читать далее ..
Уязвимость усечения данных в SQL WordPress 2.6.1
Найдена новая уязвимость в WordPress 2.6.1 которая заключается в ошибке усечения данных в базе SQL. Идем по ссылке server.com/wp-login.php?action=register Регистрируемся как пользователь "admin x" и Ваш email Логин выглядит как admin[55 пробелов]х После регистрации дубликата логина администратора, идем по ссылке восстановления пароля: server.com/wp-login.php?action=lostpassword В форме восстановления пароля вводим email на который регистрировали дубликат логина администратора. читать далее ..
Уязвимость секретного ключа в wordpress 2.5
Очень важно при обновлении или установке WordPress обратить внимание на параметр "SECRET_KEY", с этим параметром связана безопасность паролей в вашем блоге. В новых версиях WordPress этот ключ стали использовать для усиления алгоритма криптования паролей md5, поэтому очень важно иметь в качестве этого параметра какую-то длинную строчку с различными символами, дабы усложнить процесс расшифровки вашего пароля, читать далее ..
Не сохраняйте пароли в ФТП программах.
Если вы самостоятельно работаете с файлами вашего блога, наверняка для удобства вы используете FTP протокол, и какую-нибудь программу для работы с ним, например Total Commander или другие программы для работы с FTP. Как правило такие программы, опять же для удобства, дают возможность пользователю сохранить пароль, на доступ к серверу, что бы не вводить его при читать далее ..
