Блог про блоги от Дмитрия Донченко

Внимание атака на Wordpress старых версий

Сегодня вечером прочитал два сообщения о том, что в Wordpress найдена новая уязвимость, которая ломает структуру ссылок ЧПУ и дает доступ к администрированию Wordpress блога.

На всех сайтах рекомендуется обновить ваши Wordpress блоги, до последней версии 2.8.4 и внимательно следить за обновлениями, в скором времени должны выпустить исправление безопасности которое устраняет эту уязвимость.

Сейчас рекомендуется сделать следующее:

1. Проверьте настройки ЧПУ вашего блога, нет ли там лишних символов?
2. Зайдите в раздел «Пользователи» и посмотрите на количество пользователей со статусом Администратор. Уязвимость позволяет создать пользователя с правами администратора, но невидимого в списке пользователей
3. Обновите блог до последней версии

Если ваш блог уже взломан, читайте здесь, как попробовать исправить данную проблему.

На некоторых сайтах рекомендуется вообще удалить базу данных Wordpress и восстанавливать из резервной копии. Поэтому если ваш блог не взломан, сделайте внеочередную копию базы данных.

А дальше можно не читать, здесь идет речь про морские перевозки, разных вещей типа cheap replica watches, ну или к примеру могут рассказать где купить яхты в одессе.

Продолжить чтение...

Уязвимость в плагине WP-Syntax

Wordpress плагин WP-Syntax, наиболее распространенный плагин, который используется для правильного и красивого отображения различного кода (PHP,HTML,CSS и тп) в записях блога.

В этом плагине была найдена уязвимость, которая позволяет злоумышленнику удаленное выполнение команд, в вашем Wordpress-блоге.

Уязвимы плагины версии <= 0.9.1, на данный момент актуальной версией этого плагина является WP-Syntax 0.9.8, поэтому если вы долго не обновляли плагины в вашем блоге, рекомендую обновить, как можно быстрее.

Спонсор поста: неизвестный человек, который знает как заработать в интернете.

Продолжить чтение...

Исправление безопасности Wordpress 2.8.4

Вышло еще одно исправление безопасности для Wordpress, теперь актуальная версия 2.8.4.

На этот раз, обнаружена уязвимость, которая позволяет злоумышленнику с помощью специальной ссылки, обойти проверку пользователя и запросить восстановление пароля. В результате пароль первого пользователя в базе пользователей Wordpress, как правило это администратор, будет сброшен, и отправлен на электронный ящик, указанный в профиле администратора.

Это не дает доступа злоумышленникам к блогу, но зато они целый день могут сидеть и менять Ваш пароль, к слову вчера мне его уже два раза поменяли. Поэтому данное обновление рекомендуется для всех пользователей, оно уже есть для русских версий Wordpress. Обновляемся!

Продолжить чтение...

Вышел Wordpress 2.8.3

Вышла новая версия Wordpress 2.8.3, по сути, это не новая версия а очередное исправление ошибок, которые найдены в версии 2.8.1.

Как и в прошлый раз, всем настоятельно рекомендуется обновить свои блоги до версии Wordpress 2.8.3.

Сделать это можно, через панель администрирования, воспользовавшись утилитой автоматического обновления.

Продолжить чтение...