Найдена уязвимость в плагине WPtouch, позволяющая злоумышленнику загрузить посторонние файлы на сервер.
Плагин WPtouch используется для создания мобильной версии вашего WordPress блога, если вы используете этот плагин, и не обновляли его с 12.07.2014 года, вам необходимо срочно обновить данный плагин, чтобы обезопасить свой блог.
Актуальная версия, в которой исправлена данная уязвимость 3.4.3, более подробно со списком изменений можете ознакомиться на странице плагина.
Продолжить чтение...
30 июня 2014
Найдена очередная уязвимость в скрипте TimThumb, который позволяет автоматически уменьшать картинки на блоге. Данная уязвимость находится в утилите WebShot и позволяет злоумышленникам выполнить произвольные команды на сервере жертвы, в частности можно создавать и удалять файлы в папках сайта, кроме этого есть другие возможности.
К великой радости тех, кто еще пользуется этим скриптом, функция WebShot изначально в нем отключена, для повышения безопасности, но задуматься о том, чтобы скачать обновленную версию скрипта, где эта уязвимость устранена необходимо прямо сейчас. В Google Code уже доступна новая версия, скачайте ее и замените на вашем сервере.
Сам же автор этого скрипта, рекомендует отказаться от его использования, т.к. сам не пользуется им с 2011 года. WordPress поддерживает функционал уменьшения картинок и превьюшек для записей в блоге, поэтому темы которые раньше использовали timthumb скрипт, могут быть переписаны для работы с встроенным функционалом WordPress.
Продолжить чтение...5 июня 2014
Довольно неприятная новость, потому как данный плагин используется на многих блогах, для того, чтобы блог правильно индексировался поисковыми серверами.
Уязвимостей безопасности в данном плагине нашли аж целых две сразу, первая уязвимость позволяет зарегистрированному пользователю, с любыми правами доступа изменять параметры настроек плагина, а точнее свойства записей такие как SEO Заголовок, описание и ключевые слова. Конечно не критично, но согласитесь и неприятно.
Вторая же уязвимость позволяет встроить выполнение некоего Java-скрипта, в панели управления блогом, что позволяет злоумышленнику изменить пароль администратора или оставить вредоносный код для дальнейшего вредительства вашему блогу.
Если у вас в блоге открыта регистрация, или есть другие пользователи кроме вас, необходимо срочным образом обновить этот плагин на более новую версию в которой этой уязвимости уже нет.
Обновить плагин можно в панели администрирования блогом, раздел «Обновления», либо скачайте новую версию плагина All in One SEO Pack и загрузите ее на сервер.
Продолжить чтение...23 апреля 2013
В сети появилось множество сообщений о атаке которая проводится на блоги и сайты под управлением WordPress. Суть атаки заключается в том, что огромное количество ботов более 90000 компьютеров со всего мира, пытаются подобрать пароль к пользователю admin.
Если у вас установлен очень простой пароль для этого пользователя, значит ваш блог может быть взломан. Для того чтобы уберечь свой сайт от плохих последствий этой атаки рекомендую:
Также если ваш хостинг ограничивает ресурсы сервера, вы можете получить сообщение о том, что ваш сайт производит сильную нагрузку на сервер, связано это с тем, что множество компьютеров одновременно пытаются вводить пароли для доступа на ваш сайт, в этом случае имеет смысл закрыть доступ к файлу wp-login.php с помощью дополнительного пароля (обратитесь в тех. поддержку если не знаете как это сделать).
Если у вас возникли какие-то вопросы или дополнения по данной теме, пишите в комментариях.
Продолжить чтение...
17 июля 2014
0 Comments