július 22 2010
Kategorizálva: blog hack, egyéb
Egyik blogomban a minap WordPress 3.0 ra való frissÃtéskor kaptam egy szép hibát:
Call to a member function add_rewrite_tag() on a non-object in /wp-includes/taxonomy.php on line 289
Kicsit megállt bennem az ütő hogy az oldal egyáltalán nem tölt be sehogy se.
De megtaláltam a megoldást:
1.Nyisd meg a /wp-includes/taxonomy.php fájlt szövegszerkesztővel(Pl:Notepad Plus)
2.Kommentezd ki a 289 és 290 es sort // jellel, Ãgy:
// $wp_rewrite->add_rewrite_tag(“%$taxonomy%”, ‘([^/]+)……
//$wp_rewrite->add_permastruct($taxonomy…….
3.A blogod Ãgy már müködÅ‘képes, lépj be az admin felületre ,és frissÃtsd az összes plugint.
4.Menj vissza a taxonomy fájlba és vedd ki a kommentelést “//”.
5.Mentsd el a fájlt és töltsd vissza.
Kész is.Müködik a blogod.A problémát a régi pluginok okozzák, Ãgy frissÃtenünk kell azokat. Ennyi:)
május 10 2010
Kategorizálva: blog hack, egyéb
Már elég régóta foglalkoztat a google keresés lekérésének szintaktikája, találtamis egy doksit amit közzé fogok tenni kövektezp bejegyzésembe, de most szeretnék megosztani veletek egy nagyon érdekes dolgot.
Nos tegyük fel hogy blokkoljuk a google cookiekat a gépünkön,ezáltal google nem tud meg semmit a keresési szokásainkról, és arról hogy mire mikor milyen cÃmszóval kerestünk rá,tehát nem adunk ki információt magunkról konkrétan.
És itt jön képbe az fp és a javascript.Google bácsiéknál kitalálták hogy létrehoznak egy egyszerű kódot amivel nyomon lehet követni a lekéréseket akkor is ha blokkolva vannak a cookie-k.
Ha megnézzük az “fp=” után mindig egy egyedileg generált azonosÃtó áll, amit nemtudunk eltűnteni se cookie törléssel,se semmivel, ha kitöröljük a lekérésbÅ‘l, és Ãgy indÃtunk keresést, újra kitöltÅ‘dik ez a változó…
Érdekes minden esetre….
és ha linkeltek google oldalakat én ajánlom személy szerint ennek a kis változónak a kitörlését a linkből.
április 13 2010
Kategorizálva: blog hack, blogseo, eszközök, pluginok
WordPress blogunk feltörését legkönnyebben olyan parancsokkal tudják megtenni a rosszindulatú felhasználók melyeket a blogunk urlje után illesztenek.Ezek a parancsok lehetnek PHP és SQL parancsok melyek bizonyos blogmotor hiányosságok miatt lefutnak majd visszadnak egy értéket a kártevőnek.Innentől pedig szabad utat kap a blogunk manipulálására.
Erre itt egy kisebb plugin amelyyel megakadályozhatjuk a rosszindulatú parancsok lefuttatását.
Forrása:
<?php
/*
Plugin Name: Block Bad Queries
Plugin URI: http://perishablepress.com/press/2009/12/22/protect-wordpress-against-malicious-url-requests/
Description: Protect WordPress Against Malicious URL Requests
Author URI: http://perishablepress.com/
Author: Perishable Press
Version: 1.0
*/
global $user_ID; if($user_ID) {
if(!current_user_can('level_10')) {
if (strlen($_SERVER['REQUEST_URI']) > 255 ||
stripos($_SERVER['REQUEST_URI'], "eval(") ||
stripos($_SERVER['REQUEST_URI'], "CONCAT") ||
stripos($_SERVER['REQUEST_URI'], "UNION+SELECT") ||
stripos($_SERVER['REQUEST_URI'], "base64")) {
@header("HTTP/1.1 414 Request-URI Too Long");
@header("Status: 414 Request-URI Too Long");
@header("Connection: Close");
@exit;
}
}
} ?>
Mint láthatjuk nagyon egyszerü de hatásos védelmet nyújt.
Letölthető innen: Block Bad Requests By Perishable Press
forrás: Perishable Press
december 17 2009
Kategorizálva: blog hack
Na gondolom sokan vagyunk ugy hogy zavar ha a forrásunkban kutatnak vagy képet akarnak letölteni az oldalunkról. Erre itt egy megoldás:
A kódot az oldal forrásába kell berakni a <body> után:
<script type="text/javascript">// <![CDATA[
 //Disable right click script III- By Renigade (renigade@mediaone.net) //For full source code, visit http://www.dynamicdrive.com var message=""; /////////////////////////////////// function clickIE() {if (document.all) {(message);return false;}} function clickNS(e) {if (document.layers||(document.getElementById&&!document.all)) { if (e.which==2||e.which==3) {(message);return false;}}} if (document.layers) {document.captureEvents(Event.MOUSEDOWN);document.onmousedown=clickNS;} else{document.onmouseup=clickNS;document.oncontextmenu=clickIE;} document.oncontextmenu=new Function("return false")
// ]]></script>
Â
Megjegyzem hogy ez csak az átlagfelhasználót fogja vissza. Aki kicsit is érti a dolgát az bármit letud szedni és a forrásba is beletud nézni mivel azok letöltÅ‘dnek a gépünkre… csak hogy egy megoldást emlitsek:)
április 2 2009
Kategorizálva: blog hack, egyéb
Nemrég olvastam egy kis meglepetésről a WordPress 2.6 os változatában:
-Szerkessz egy bejegyzést
-Legalul az elÅ‘zÅ‘ állapotok összehasonlÃtásánál kattintsd be a bejegyzés önmagával való összehasonlÃtást
Ezután pedig ezt kapjuk:
Danger !
Self-comparison detected.
Initiating infinite loop eschewal protocol.
Self destruct in… 3
2
1
Wake up, Donncha…
The Matrix has you…
Don’t let this happen again. Go Back.
jó szórakozást!:)
január 7 2009
Kategorizálva: blog hack, egyéb
Nemrég olvastam egy érdekes cikket a wordpress motorokról.Mivel már eléggé kezdenek átállni az emberek 2.7 verzióra melyben már javÃtva van a szóban forgó hiba Ãgy merészelem megosztani ezt veletek.
Az elsÅ‘ hiba a 2.3 mas verziótól a 2.3.5 ös verzióig volt kihasználható.Ebben a hibában az volt a probléma,hogy a komment listát végignézve ha valakiolyan névvel Ãrt kommentet ami már megjelent és moderálva lett az oldalon egyszer akkor az most moderálás nélkül kikerült a webre.
Persze ezt kilehetett használni rendesen és ki is használták, gondolok itt a spammelőkre.Gondolom senkinek nem kell bemutatni őket:)
A legnagyobb probléma igazándiból, hogy a verziószám kiderÃtése igy teljesen egyszerü wordpress blogoknál , mert ugye a forrásba belekerül a motor verziószáma is.
Nézzük az újabb verziókat 2.6.x.Itt a motor a legsebezhetöbb márcsak azért is mert SQL injektálással bekerülhetünk az admin részlegbe.Ennek módját nem részletezném:)
Hogy hogyan védheted meg a blogodat feltörések és spamelés ellen?FrissÃts 2.7 es verzióra.Bár mindig lesznek lyukak de az újabb verzióval kisebb az esélye hogy feltörnek vagy kárt tesznek a blogodban.
És amit még megtehetsz ha még nem tetted volna a pluginek könyvtárjába rakj egy üres index.html , tedd ezt bele minden plugin könyvtárba is, ezzel megelőzöd azt hogy ha engedélyezve van a könyvtár listázás akkor látható legyen a fájlok listája, másodszor nem ad ki semmilyen információt arról hogy létezik e a plugin a blogodban vagy sem!
november 19 2008
Kategorizálva: blog hack, általános
Headers already sent by probléma elég sokszor jöhet elő.Az oka pedig nem más mint egy rosszul kódolt php fájl.(Például a WIndows Notepad ja is belefűzi a fájl elejére azokat a szükségtelen karaktereket amelyek a gondot okozzák)
Egy példa:
Warning: Cannot modify header information – headers already sent by (output started at /var/webroot/wp-config.php:1) in /var/webroot/wp-admin/install.php on line 12
Ahogy láthatjuk kiÃrja az elsÅ‘ fájlnál hogy hol a hiba.Amint látjuk a wp-config.php elsÅ‘ sora , ami az install.php 12.sorában okozott problémát.
Na nézzük csak meg közelebbrÅ‘l azt a wp-config.php fájlt…
1.Szerezzünk egy hexeditort és nyissuk meg benne a fájlunkat (pl:LINK1 , LINK2 , LINK3 ) lényegében bármilyen hexben szerkesztő megfelel a célnak.
2.Töltsük le az oldalunkról a hibás fájlt (jelen esetben wp-config.php) és nyissuk meg a hex szerkesztővel amit letöltöttünk.
3.A hiba üzenetben kapott sorhoz (output started at /var/webroot/wp-config.php:1) ugorjunk a szerkesztőben.Jelen esetben ez az első sor.
4.Itt látnunk kell a <?php elött sok sok kriksz krakszot..Na ez okozza a problémát, mert elindit egy kimenetet mielött a php kimenete elindulna (na ezt jól megaszontam de szerintem érthető):)Nos ezt a sok kriksz krakszot a <?php elöl töröljük ki, és mentsük a fájlt.
5.Töltsük vissza a módosÃtott fájlt felülÃrva az oldalunkon levÅ‘ régi fájllal.Ezután frissÃtsük a böngészÅ‘nket és kész is!Élvezzük az eredményt:)
Az itt leÃrtak minden headers already sent problémánál müködik tapasztalataim szerint csak a hex szerkesztÅ‘vel az elsÅ‘ fájl megadott sorába kell mennünk és megnéznünk mi van ott.Ha felesleges karakter töröljük és kész is!
Remélem rövid érthetÅ‘ megoldást tudtam nyújtani 5 lépésben minden kedves olvasónak aki napok óta szÃvózik ezzel a problémával.Ugyhogy hajrá!Ha problémába ütközöl irj!
október 20 2008
Kategorizálva: blog hack
Mai napon abba a problémába ütköztem ,hogy a legutolsó bejegyzések mennyisége korlátozva lett belsőleg 15-re.Az okát nem értem de találtam rá egy jó megoldást melyet megosztok most itt az oldalon.
ElsÅ‘ lépésben töltsük le számÃtógépünkre a /wp-includes/ könyvtárból a widgets.php fájlt. Majd nyissuk meg egy szövegszerkesztÅ‘vel (ajánlom a Notepad++-t mert itt legalább normálisan látjuk a tagolásokat).
Miután megnyitottuk keressünk rá erre a sorra:
$options = get_option(‘widget_recent_entries’);
majd ezalatt nemsokkal kell találnunk két ilyen sort:
else if ( $number > 15 )
$number = 15;
ezeket irjuk át a nekünk megfelelÅ‘ számra amennyit megszeretnénk jelenÃteni a késÅ‘bbiekben, mentsük el a fájlt és töltsük vissza a /wp-includes/ könyvtárba, felülÃrva a régit.
Most menjünk az admin felület Megjelenés – Widget fülre:

Ezen a fülön Utolsó bejegyzések szerkesztésre kattintva máris beállithatjuk a maximális mennyiségét a megjelenithető bejegyzéseknek az oldalsó menüben.
Mentsük a beállÃtásokat és élvezzük az eredményt:)
-wbadmin-