Блог про блоги от Дмитрия Донченко

Новая версия WordPress 2.8.5

Вчера я писал о том, что в WordPress найдена уязвимость, с помощью которой злоумышленники могут провести DOS-атаку на ваш блог. Сегодня выпущена новая версия WordPress, в которой эта уязвимость устранена.

Эта версия возможно последняя из ветки 2.8 (если конечно не найдется еще какой-то баг) следующая должна быть уже 2.9, которую многие ждут с нетерпением.

На момент написания поста, админка блога еще не кричит о том, что выпущена новая версия и на русской версии сайта wordpress.org, скачивать русскоязычный архив пока не дают. Так что, если вы не хотите обновлять сайт вручную, ожидайте пока в панели администрирования появится соответствующее сообщение о том что вышла новая версия.

Данное обновление рекомендовано разработчиками WordPress, т.к. закрывает важную уязвимость в движке.

DOS аттака на WordPress через файл wp-trackback.php

Найдена новая уязвимость, которая позволяет провести DOS-атаку на ваш блог, с помощью файла wp-trackback.php.

Используя специальный скрипт злоумышленник может провести DOS-атаку на ваш блог. В результате чего блог перестанет отвечать на запросы пользователей, либо будет делать это слишком медленно из-за загруженности сервера хостинга.

Для того, чтобы обезопасить блог от данной атаки необходимо добавить следующие строчки в файл functions.php в папке шаблона вашего блога:

function ft_stop_trackback_dos_attacks(){
       global $pagenow;
       if ( 'wp-trackback.php' == $pagenow ){
               // DoS attack fix.
               if ( isset($_POST['charset']) ){
                       $charset = $_POST['charset'];
                       if ( strlen($charset) > 50 ) {  die; }
               }
       }
}
add_action('init','ft_stop_trackback_dos_attacks');

Если вы не хотите или не имеете возможности редактировать файлы шаблона, вашего блога, необходимо скачать и установить плагин, который обезопасит ваш блог от данной уязвимости.

Если вы ничего не боитесь, просто ожидайте, пока выйдет версия исправляющая данную уязвимость, теоретически это будет версия 2.8.5, и выйдет она либо сегодня ночью, либо завтра утром.

Безопасность WordPress: Находим зараженные записи

Если ваш WordPress-блог подвергся атаке, или на ваш компьютер попал вирус, который может встраивать вредоносный код или скрытые ссылки на другие ресурсы с вашего блога. Понадобится очень много времени, чтобы найти где именно спряталась ссылка на чужой сайт или вредоносный код, который загружает всякую гадость на компьютер посетителя.

После того, как вы нашли скрытых администраторов, которые могли появится в результате атаки WordPress-червя и удалили их. Воспользуйтесь следующим советом, который позволит быстро найти все записи в блоге содержащие скрытые ссылки.

Для этого необходим доступ к базе данных вашего блога, с помощью утилиты phpMyAdmin.

Перед тем, как мы начнем, сделайте резервную копию базы данных блога.

Выполните следующий запрос, к MySQL базе:

SELECT * FROM wp_posts WHERE post_content LIKE '%<iframe%'
UNION
SELECT * FROM wp_posts WHERE post_content LIKE '%<noscript%'
UNION
SELECT * FROM wp_posts WHERE post_content LIKE '%display:%'

Этот запрос, покажет все записи, которые содержат вредоносный код, после чего их необходимо отредактировать и найти скрытые ссылки.

Для поиска скрытых ссылок и вредоносного кода в шаблоне WordPress-блога, вы можете воспользоваться отличной утилитой, которая называется Антивирус для WordPress. Просто установите плагин, и просканируйте файлы шаблона.

Если что-то не получилось, задавайте вопросы в комментариях.

Сегодня в выпуске бредовых заметок, встретил странное название НОВА ТЕК, очень часто упоминается фраза продвижение сайта одесса, наверное это намного выгоднее чем шить и продавать вечерние и выпускные платья.

Находим скрытых администраторов WordPress

Если вы подозреваете что ваш WordPress блог был атакован и взломан, этот способ поможет вам найти посторонних пользователей с правами администратора, которые могли быть созданы в результате атаки на ваш блог.

Для выполнения этого действия, вам необходим доступ к базе MySQL вашего WordPress блога. Это может быть сделано через панель управления хостингом, с помощью инструмента phpMyAdmin либо с помощью плагина по управлению базой данных WordPress.

Запрос который необходимо выполнить к базе данных блога выглядит вот так:

      SELECT u.ID, u.user_login
      FROM wp_users u, wp_usermeta um
      WHERE u.ID = um.user_id
      AND um.meta_key = 'wp_capabilities'
      AND um.meta_value LIKE '%administrator%';

Этот запрос покажет всех пользователей блога, которые имеют права администратора. Если Вы найдете там кого-то кроме себя, наверняка у вас возникнет желание удалить этого пользователя, с помощью phpMyAdmin это сделать очень легко, просто удалите строчку с лишним пользователем и все.

А здесь вы конечно же можете не читать про салоны красоты одессы. Потому что иногда в этих салонах встречаются очень странные odessa wohnung которых интересует только одна услуга — пластическая хирургия фото.