Facebook Google+ Twitter Вконтакте Одноклассники

Обратная связь

  • E-mail: raznoblog13@gmail.com
SEO. Продвижение сайтов.

Всё самое интересное и полезное на темы SEO и SMO на страницах "Разноблога". В нашем SEO-журнале мы обсудим все тонкости продвижения сайтов в поисковых системах. Мы расскажем, как правильно "раскрутить" Ваш интернет-ресурс в поисковых системах Google, Yandex, Rambler и др. Мы поделимся тонкостями и стратегиями качественной поисковой оптимизацией. Вы узнаете, как быстро и без санкций со стороны поисковиков, оказаться в ТОПе выдачи. Мы познакомим Вас с самыми необходимыми SEO-инструментами. С нами Вы всегда будете в курсе всемирных новостей из мира SEO.

В начало
Женский журнал
Мужской журнал
Про интернет
Страхование
О медицине
Новая уязвимость WordPress. SEO и безопасность.

Новая уязвимость WordPress. SEO и безопасность.

Сегодняшний пост будет посвящен вопросам безопасности, которым , мы, как правило, не уделяем должного внимания. А зря. И опять SEO пример из личной жизни. Наверно Вы уже слышали, а если – нет, то обязательно примите к сведению, что совсем недавно, одним из блоггеров, была обнаружена очередная уязвимость во всеми нами горячо любимом WordPress, включая версию 2.8.3.

Суть сей дыры заключается в том, что в метод по переустановке пароля администратора в качестве ключа активации передается массив, с которым код не умеет(умел) справиться. Таким образом, при помощи банального HTTP запроса можно одним движением мышки сбросить код администратора абсолютно любого блога на платформе WordPress. Разумеется, данный запрос, по этическим соображениям, я демонстрировать не буду.

Именно такой бесхитростной атаке подвергся один из моих буржуйских блогов, у которого и без этого полным полно недоброжелателей. Но суть не в этом, а в нашем обычном русском “авосе”. Про этот баг я слышала еще неделю назад, но вот до устранения онного все никак не доходили руки. За что я и поплатилась.

[php]include (TEMPLATEPATH . ‘/middle_article_ads.php’);[/php]

Сразу же хочется всех успокоить и сказать, что даже, если Вы и подвергнитесь данного рода злой шутки со стороны Ваших “друзей”, то в любом случае никому, кроме Вас узнать пароль не удастся. Ведь новый пароль высылается на e-mail администратора. Но вот, для людей, которые этого не знают, этот может здорово потрепать нервишки.

Кстати, буквально вчера вышел релиз WordPress 2.8.4, который устраняет эту уязвимость WordPress.
Для тех же, кто по каким-то причинам не хочет или не может в данный момент установить новую версию WordPress, я продемонстрирую, как за 6.5 секунд можно самостоятельно устранить данную неполадку, которая сэкономит Вам массу времени, а главное – нервов.

Итак, первым делом Вам необходимо получить доступ к файлу wp-login.php, который находится в корневой директории Вашего блога. Теперь, все, что Вам требуется, это открыть этот файл(предварительно сохранив старую версию, где-то в стороне, на всякий случай) любым текстовым редактором(хоть при помощи notepad) и найти а этом файле строчку:

if ( empty( $key ) )

(у меня это было на 191 строчке). Теперь Вы попросту меняете всю данную строчку на эту:

if ( empty( $key ) || is_array( $key ) )

Усе готово, враг не прорвется (до следующего бага) 😉

Теперь Вы поняли, что всего-навсего одна маленькая строчка, может стать источником серьезных проблем? Лично я для себя из этого инцидента вынесла одно простое правило: “Безопасность превыше всего!”, а все остальное может подождать.

Надеюсь Вы не будете повторять моих ошибок, ибо тогда зачем я это писала 😉

И помните, что говорят умные люди: “осведомлен – значит защищен”!

(автор: r a z n o b l o g . c o m)

[php]include (TEMPLATEPATH . ‘/after_article_ads.php’);[/php]

Комментарии

Комментариев (7) для этого поста.

  1. Artur Aynulin в August 17, 2009 8:08 am

    Уже читал об этом, хорошо что пароль только сбрасывается и у злоумышленника никак не получится изменить его. )

  2. zirocool в August 17, 2009 10:11 am

    спс за статейку 🙂

  3. vill в August 19, 2009 2:33 pm

    Прочитал. Мне кажется какая то пустышка это…..

  4. admin в August 19, 2009 2:56 pm

    vill, давайте Ваш блог проверим этой пустышкой 😉 ?

  5. Anton в August 24, 2009 11:22 am

    Спасибо за статью! Исправил исходный код.

  6. Alexey в August 25, 2009 8:59 pm

    Спасибо за статью. Исправлю новую версию WordPressa скачивать не буду. так как считаю, что там могут быть другие баги

  7. 2cb в September 10, 2009 9:55 am

    сейчас поглобальней уязвимость в вордпрессе появилась. появляется второй пользователь – администратор. и просто обновлением кода это не вылечить.- подробности у меня на блоге,если интересно.

Написать комментарий

Позвольте мне знать, что вы думаете?

Курсы для вас; лицеи для детей; английский для детей.