Архив | Безопасность RSS лента для этой рубрики

Уязвимость в плагине WPtouch

17 июля 2014

0 Comments

Найдена уязвимость в плагине WPtouch, позволяющая злоумышленнику загрузить посторонние файлы на сервер.

Плагин  WPtouch используется для создания мобильной версии вашего WordPress блога, если вы используете этот плагин, и не обновляли его с 12.07.2014 года, вам необходимо срочно обновить данный плагин, чтобы обезопасить свой блог.

Актуальная версия, в которой исправлена данная уязвимость 3.4.3, более подробно со списком изменений можете ознакомиться на странице плагина.

 

Продолжить чтение...

Очередная уязвимость в TimThumb скрипте

30 июня 2014

0 Comments

Найдена очередная уязвимость в скрипте TimThumb, который позволяет автоматически уменьшать картинки на блоге. Данная уязвимость находится в утилите WebShot и позволяет злоумышленникам выполнить произвольные команды на сервере жертвы, в частности можно создавать и удалять файлы в папках сайта, кроме этого есть другие возможности.

К великой радости тех, кто еще пользуется этим скриптом, функция WebShot изначально в нем отключена, для повышения безопасности, но задуматься о том, чтобы скачать обновленную версию скрипта, где эта уязвимость устранена необходимо прямо сейчас. В Google Code уже доступна новая версия, скачайте ее и замените на вашем сервере.

Сам же автор этого скрипта, рекомендует отказаться от его использования, т.к. сам не пользуется им с 2011 года. WordPress поддерживает функционал уменьшения картинок и превьюшек для записей в блоге, поэтому темы которые раньше использовали timthumb скрипт, могут быть переписаны для работы с встроенным функционалом WordPress.

Продолжить чтение...

Уязвимость в плагине All in One SEO Pack

5 июня 2014

0 Comments

Довольно неприятная новость, потому как данный плагин используется на многих блогах, для того, чтобы блог правильно индексировался поисковыми серверами.

Уязвимость плагина All in one seo pack

Уязвимостей безопасности в данном плагине нашли аж целых две сразу, первая уязвимость позволяет зарегистрированному пользователю, с любыми правами доступа изменять параметры настроек плагина, а точнее свойства записей такие как SEO Заголовок, описание и ключевые слова. Конечно не критично, но согласитесь и неприятно.

Вторая же уязвимость позволяет встроить выполнение некоего Java-скрипта, в панели управления блогом, что позволяет злоумышленнику изменить пароль администратора или оставить вредоносный код для дальнейшего вредительства вашему блогу.


Если у вас в блоге открыта регистрация, или есть другие пользователи кроме вас, необходимо срочным образом обновить этот плагин на более новую версию в которой этой уязвимости уже нет.

Обновить плагин можно в панели администрирования блогом, раздел «Обновления», либо скачайте новую версию плагина All in One SEO Pack и загрузите ее на сервер.

Продолжить чтение...

Атака на WordPress блоги

23 апреля 2013

8 комментариев

В сети появилось множество сообщений о атаке которая проводится на блоги и сайты под управлением WordPress. Суть атаки заключается в том, что огромное количество ботов более 90000 компьютеров со всего мира, пытаются подобрать пароль к пользователю admin.

Если у вас установлен очень простой пароль для этого пользователя, значит ваш блог может быть взломан. Для того чтобы уберечь свой сайт от плохих последствий этой атаки рекомендую:

  1. Почитайте статью 20 советов по безопасности WordPress.
  2. Смените имя пользователя admin на любое другое (это уже исключит вариант подбора пароля)
  3. Смените пароль на более сложный
  4. Установите плагины которые блокируют доступ к блогу, после нескольких неудачных попыток ввода пароля (Login Lockdown один из таких плагинов или Limit Login Attempts)
  5. Если у вас выделенный сервер, установите на него программу fail2ban с необходимыми настройками, которая будет блокировать доступ на сетевом уровне.

Также если ваш хостинг ограничивает ресурсы сервера, вы можете получить сообщение о том, что ваш сайт производит сильную нагрузку на сервер, связано это с тем, что множество компьютеров одновременно пытаются вводить пароли для доступа на ваш сайт,  в этом случае имеет смысл закрыть доступ к файлу wp-login.php с помощью дополнительного пароля (обратитесь в тех. поддержку если не знаете как это сделать).

Если у вас возникли какие-то вопросы или дополнения по данной теме, пишите в комментариях.

Продолжить чтение...