• Categorie - Webdesign 05.09.2009 - 03:40

    Problema de securitate WordPress

    Critical security bug,

    must read this.

    Dacă în 12 august s-a trecut de la versiunea 2.8.3 la 2.8.4 din cauza unei vulnerabilităţi care permitea cu un “crafted URL” resetarea parolei de admin de către oricine şi admin-ul primea un email cu noua parolă (mai mult o glumă proastă), de data asta e mult mai lată.

    Fii atent două minute, nu vorbesc prostii sau poveşti din auzite, am văzut cu ochii mei că se poate.

    Să zicem că un oarecare îşi face cont de subscriber de exemplu (că aşa e bifat default) la tine pe blog prin accesarea wp-register.php

    Tu, ca şi administrator primeşti un email de la wordpress ca X şi-a făcut cont la tine pe blog cu adresa de email cutare.

    X care şi-a facut cont primeşte la rândul lui un email cu o parola de la wordpress cu care se poate loga la tine în wp-admin, dar cu drepturi limitate, NU în calitate de admin.

    Până aici OK, aici vine faza tare. El se loghează la tine în wp-admin în calitate de subscriber, şi mai departe tot printr-un “crafted URL” poate intra în mod admin, pe româneşte spus preia controlul asupra blogului.

    Pentru a evita posibile neplăceri, dute în wp-admin/Settings/General şi DEbifează “Membership – Anyone can register”.
    90% din voi nu aveţi nevoie de acest feature. Cel putin pînă când WordPress va rezolva şi acest bug într-un update viitor, dacă se prinde ce şi cum.

    Etichete: , , , , , , ,

    Dacă ţi-a plăcut, trimite mai departe:

    Twitter FaceBook YM eMail
    Lenjerie.ro - 16% comision
  • Alte articole interesante

    Loading...

  • 3 comentarii

    WP_Modern_Notepad

    • Cipri

      Felicitări pentru articol.
      “Membership – Anyone can register” sau “Oricine se poate înregistra” pentru cei care au blogul În limba română.
      Niciodată nu am lăsat bifat această opţiune.
      Săptămânal încearcă câte unu’ să “se joace” pe la mine, deocamdată n-a reuşit niciunul.
      Baftă!


    • yo9fah

      Interesant, … la mine a fost debifat, implicit, dar am verificat când am instalat.


    • Windows pentru începători » Vulnerabilitate Wordpress, version 2.8.4 FAIL

      [...] Articol preluat de pe, Adrian.ro. Categories: Securitate Tags: planet-ubuntu Comentarii (0) Trackbacks (0) Lasă un [...]

    Scrie un comentariu!

  • Go to Top

Web conections

Alte articole

Comentarii recente

  • Imi plac la nebunie motoarele, dar mi-e frica de d... »
  • @yooo - absolut toate detaliile sunt descrise aman... »
  • Daaaa m-am convins.....si eu am primit unul din pl... »
  • Salut all...am si eu o intrebare...cum fac sa moni... »
  • @Dyeve - si mie imi place vintage-ul, o lume facin... »
  • Awwww! Ce mistoace sunt! Benefice sau nu aceste re... »
  • @Versuri - se spune Hayabusa, aia le da clasa la t... »
  • Le-am mai vazut:)).Caterinci pe acolo. »

Mie îmi plac filmele vechi!