Архив | Плагины RSS лента для этой рубрики

Уязвимость в Timthumb.php

21 декабря 2011

8 комментариев

В последнее время все чаще обращаются люди у которых взломали WordPress блог, выглядит это всегда по разному, иногда появляется какая-то непонятная реклама на блоге, иногда просто ссылки которые вы не проставляли, иногда это вообще не заметно, но через сервер на котором расположен блог проводят рассылку спама и прочие всякие гадости.

Самый популярный способ взлома блога на данный момент является уязвимость в скрипте timthumb.php который отвечает за автоматическое создание иконок или превьюшек для записей в вашем блоге. Если в вашем шаблоне существует такая функция, значит с вероятностью 99% она реализована именно с помощью этого скрипта.

Чаще всего он находится в папке с темой вашего блога /wp-content/themes/название темы/ и называется или thumb.php или timthumb.php.

О уязвимости в этом файле писалось уже довольно давно и много, но тем не менее и сейчас происходят взломы с помощью этого файла.

Что делать, чтобы обезопасить свой блог?

  1. Убедитесь в том, что этот скрипт у вас самой новой версии, на данный момент актуальная 2.8.4, скачать можно здесь.
  2. Если вы не знаете что и как, где искать и что качать, просто установите плагин, который называется Timthumb Vulnerability Scanner, после установки и активации плагина, он проверяет папку с темами вашего блога и сообщает если найдены уязвимые файлы скрипта timthumb.php, а также предлагает обновить их.

Работа плагина выглядит примерно так:

Надеюсь у вас все получится, если не получается, обращайтесь будем решать проблему вместе. Если ваш блог уже взломали, также обращайтесь попробуем все исправить. Не забывайте делать резервные копии и следить за безопасностью блога.

Продолжить чтение...

Проблема с плагином Quick Cache

17 августа 2011

3 комментария

Перепробовав кучу плагинов кэширования, сейчас остановился на плагине Quick Cache, дает отличный прирост к производительности блога и снижает нагрузку. Плагин легко устанавливается и настраивается, там не так много функций и настроек как в плагине Total Cache но их в принципе хватает для среднестатистического блога с посещаемостью 2 — 3 тысячи человек в сутки.

При работе с одним из клиентов, возникла проблема с установкой этого плагина. При активации плагин выдавал ошибку доступа к файлу wp-config.php папке wp-content и  wp-content/cache. И рекомендовал установить права доступа на файлы 755 или выше, т.е. 777 что означает что любой пользователь на сервере сможет произвести запись в этот файл или папку.

И что самое интересное даже при установке прав на файл wp-config.php в 777, ошибка не исчезала и плагин продолжал писать о том, что он не может произвести запись в файл.

После долгих эксперементов и недолгого общения с технической поддержкой хостинга, выяснилось что данную проблему можно исправить, если в настройках сервера установить режим  PHP не как модуль Apache, а как Fast-CGI. Проблема эта возникла у клиента который арендует выделенный виртуальный сервер, возможно на обычном хостинге такой проблемы и не будет.

Возможно вы когда-то столкнетесь с похожей проблемой, и вам поможет этот пост. Также похожая проблема с режимом PHP возникает с плагином Better WP Security.

А если сами не справитесь, то возможно вам понадобится обратиться в компанию которая предоставляет ит услуги, либо как другой вариант обратиться ко мне и мы вместе разберемся с данной проблемой.

Продолжить чтение...

Ошибка плагина Popularity Contest на WordPress 3.2

11 августа 2011

8 комментариев

Почему-то именно в версии WordPress 3.2.1 я снова столкнулся с проблемой, когда плагин Popularity Contest отказывается активироваться после установки, выдавая ошибку Incorrect table name '' on line: 255.

Поискал в Google, проблема оказывается знакомая и уже даже описывалась на моем блоге, и заключается она в том, что плагин при установке по какой-то причине не может создать таблицы, необходимые ему для работы.

Для решения проблемы, необходимо создать эти таблицы самостоятельно, воспользовавшись интерфейсом для работы с базой данных который называется phpMyAdmin, найти его можно чаще всего в панели управления вашим хостингом.

После того как вы подключились к базе данных, необходимо нажать на вкладку SQL и ввести следующий код:

Если до этого, в целях безопасности блога, вы изменяли префикс базы данных и вместо wp_ у вас прописан другой префикс, то и в командах к MySQL необходимо заменить названия таблиц wp_ak_popularity и wp_ak_popularity_options и вместо wp_ прописать свое значение.

Если у вас все равно не получилось, обращайтесь обязательно помогу.

А в постовом сегодня, целый мега портал тематика которого интернет-магазины, в основном конечно Украинские, но их там много и можно выбрать лучшую цену для вашего товара.

Продолжить чтение...

Очередные проблемы с безопасностью WordPress.Org

22 июня 2011

3 комментария

Сегодня рано утром команда WordPress обнаружили что в нескольких популярных плагинах (AddThis, WPtouch, и W3 Total Cache) содержатся умело замаскированные бэкдоры. Они также определили что эти бэкдоры были внедрены не авторами плагинов. К плагинам выпустили обновления и закрыли доступ к каталогу плагинов (скачать и установить что-то можно, опубликовать новый плагин нельзя) и занимаются поисками других подозрительных плагинов.

Пока ведутся поиски подозрительных плагинов и выясняется каким образом в эти плагины были внедрены бэкдоры, в целях безопасности Wodpress.Org решили сбросить все пароли пользователей. Теперь для того чтобы пользоватся форумами и другими сервисами WordPress.Org вам необходимо получить новый пароль.

Также в очередной раз команда WordPress напоминает пользователям о том, что в целях повышения безопасности, необходимо для разных сервисов использовать разные пароли.

Также если вы используете один из этих плагинов (AddThis, WPtouch, и W3 Total Cache), обязательно зайдите в панель администрирования блога, и установите обновления для каждого из них.

(Конечно приятно, что команда WordPress так быстро реагирует на появляющиеся уязвимости, но не очень приятно что они возникают таким глупым образом. Совсем не могу придумать каким образом в коде плагинов, без участия авторов, появились бэкдоры. От себя скажу, что если один из этих плагинов установлен на вашем блоге, обновлятся нужно уже сейчас.)

Продолжить чтение...