Andrian - blog, noutăţi, pc&it, media, divertisment, fun
|
-
-
Categorie - Webdesign 05.09.2009 - 03:40
Problema de securitate WordPress
Critical security bug,
must read this.
Dacă în 12 august s-a trecut de la versiunea 2.8.3 la 2.8.4 din cauza unei vulnerabilităţi care permitea cu un “crafted URL” resetarea parolei de admin de către oricine şi admin-ul primea un email cu noua parolă (mai mult o glumă proastă), de data asta e mult mai lată.
• Fii atent două minute, nu vorbesc prostii sau poveşti din auzite, am văzut cu ochii mei că se poate.
Să zicem că un oarecare îşi face cont de subscriber de exemplu (că aşa e bifat default) la tine pe blog prin accesarea wp-register.php
Tu, ca şi administrator primeşti un email de la wordpress ca X şi-a făcut cont la tine pe blog cu adresa de email cutare.
X care şi-a facut cont primeşte la rândul lui un email cu o parola de la wordpress cu care se poate loga la tine în wp-admin, dar cu drepturi limitate, NU în calitate de admin.
Până aici OK, aici vine faza tare. El se loghează la tine în wp-admin în calitate de subscriber, şi mai departe tot printr-un “crafted URL” poate intra în mod admin, pe româneşte spus preia controlul asupra blogului.
Pentru a evita posibile neplăceri, dute în wp-admin/Settings/General şi DEbifează “Membership – Anyone can register”.
90% din voi nu aveţi nevoie de acest feature. Cel putin pînă când WordPress va rezolva şi acest bug într-un update viitor, dacă se prinde ce şi cum.Etichete: bug, critical, fail, hack, php, security, sql injection, wordpress
Dacă ţi-a plăcut, trimite mai departe:
-
Alte articole interesante
Loading...
-
Web conections
Reclamă
Categorii
Alte articole
- Twitter subliniază importanţa listelor printr-un widget
De săptămâna trecută de când s-au introdus listele, multora pare sa le placă dar... - 3D Live Pool - biliard
Computer games, play against computer or two players mode. ... - Top 20 cele mai căutate femei în google.ro
După cum am văzut că se practică şi la străini, am alcătuit un top al primelor 2... - Reţele sociale pe mapamond
Popularitatea retelelor sociale in lume Utilizând date de la motoarele de căuta...
Comentarii recente
- Imi plac la nebunie motoarele, dar mi-e frica de d...
- @yooo - absolut toate detaliile sunt descrise aman...
- Daaaa m-am convins.....si eu am primit unul din pl...
- Salut all...am si eu o intrebare...cum fac sa moni...
- @Dyeve - si mie imi place vintage-ul, o lume facin...
- Awwww! Ce mistoace sunt! Benefice sau nu aceste re...
- @Versuri - se spune Hayabusa, aia le da clasa la t...
- Le-am mai vazut:)).Caterinci pe acolo.
Blogroll
- Achilianu
- Andain
- Andi
- BadPisi
- Bancuri 2010
- Bancuri Tari
- Blogatu
- Blogu' lu' Cipy
- Cipri blog
- Containere metalice
- Cristian Manafu
- Dispecer Blogosfera
- Dyeve
- Filme Noi
- Filme Online
- Generatoare electrice
- Goldies
- InCuvinte
- Îngheţată
- Mihai Gaspar
- Needitat
- Niggerul
- Ordinary Stuff
- Paulierco
- Poze Haioase
- Radio Come4Me
- Realitatea Online
- Roxy's blog
- Sabotorul
- Seriale Online
- Tony Adax's Blog
- yo9fah
Cipri a spus la: 05 09 2009 ora 13:54
Felicitări pentru articol.
“Membership – Anyone can register” sau “Oricine se poate înregistra” pentru cei care au blogul În limba română.
Niciodată nu am lăsat bifat această opţiune.
Săptămânal încearcă câte unu’ să “se joace” pe la mine, deocamdată n-a reuşit niciunul.
Baftă!
yo9fah a spus la: 28 09 2009 ora 23:39
Interesant, … la mine a fost debifat, implicit, dar am verificat când am instalat.
Windows pentru începători » Vulnerabilitate Wordpress, version 2.8.4 FAIL a spus la: 28 09 2009 ora 23:46
[...] Articol preluat de pe, Adrian.ro. Categories: Securitate Tags: planet-ubuntu Comentarii (0) Trackbacks (0) Lasă un [...]