wordpress biztonság

január 7 2009 Kategorizálva: blog hack, egyéb Nincs hozzászólás

Nemrég olvastam egy érdekes cikket a wordpress motorokról.Mivel már eléggé kezdenek átállni az emberek 2.7 verzióra melyben már javítva van a szóban forgó hiba így merészelem megosztani ezt veletek.

Az első hiba a 2.3 mas verziótól a 2.3.5 ös verzióig volt kihasználható.Ebben a hibában az volt a probléma,hogy a komment listát végignézve ha valakiolyan névvel írt kommentet ami már megjelent és moderálva lett az oldalon egyszer akkor az most moderálás nélkül kikerült a webre.

Persze ezt kilehetett használni rendesen és ki is használták, gondolok itt a spammelőkre.Gondolom senkinek nem kell bemutatni őket:)

A legnagyobb probléma igazándiból, hogy a verziószám kiderítése igy teljesen egyszerü wordpress blogoknál , mert ugye a forrásba belekerül a motor verziószáma is.

Nézzük az újabb verziókat 2.6.x.Itt a motor a legsebezhetöbb márcsak azért is mert SQL injektálással bekerülhetünk az admin részlegbe.Ennek módját nem részletezném:)

Hogy hogyan védheted meg a blogodat feltörések és spamelés ellen?Frissíts 2.7 es verzióra.Bár mindig lesznek lyukak de az újabb verzióval kisebb az esélye hogy feltörnek vagy kárt tesznek a blogodban.

És amit még megtehetsz ha még nem tetted volna a pluginek könyvtárjába rakj egy üres index.html , tedd ezt bele minden plugin könyvtárba is, ezzel megelőzöd azt hogy ha engedélyezve van a könyvtár listázás akkor látható legyen a fájlok listája, másodszor nem ad ki semmilyen információt arról hogy létezik e a plugin a blogodban vagy sem!

hozzászólások

Vélemény, hozzászólás?

Hozzászólás küldéséhez be kell jelentkezni.