[Безопасность] Список дырявых плагинов 2

Продолжаем публиковать список плагинов, которые стоит:
а) обновить до безопасной версии
б) отключить, если таковой не имеется.

Думаю конечному пользователю (т.е. тебе читатель) не столь интересно какими методами злоумышленники будут тебя ломать, а вот как от этого обезопасится — это уж всенепременно важно. Сегодня в список попали довольно популярные плагины (заодно сделаю мини-обзор), так что спешим обновляться:

  1. WP-People
  2. Плагин, который ищет в тексте поста имена, совпадающие с его базой и линкующий их на соответствующий профиль. Пример работы. Уязвимы версии до 1.6, с сайта же можно скачать Wp-People 1.6.1.
    Вообще пожалуй интересный плагин для создания некоего комьюнити на WordPress.

  3. Simple Forum
  4. simple forum plugin screenshot
    Плагин встраиваемого в WordPress форума. На сайте можно скачать помимо самого форума: локализации (русский язык для последней версии отсутствует, может кто посодействует автору, а?), скины и иконки.
    Если у вас стоит версия плагина «моложе» 2.1 build 237, то выключайте или обновляйте (текущую версию форума можно подглядеть в самом низу форумной страницы).

  5. WP Photo Album
  6. Одна из вариаций реализации фото-альбома для WordPress. Тут можно посмотреть как это работает (сайт автора).
    Уязвимы версии до 1.1, так что скачивайте и обновляйтесь.

  7. Search Unleashed
  8. Ещё один популярный плагин, на этот раз для реализации поиска по всему блогу, а не только постам. Русская версия у Кактуса.
    Взлом зарегистрирован во всех версиях до 2.11, причём забавно то, что на сайте плагина скачать можно только 2.10, зато в других местахрусский вариант) уже предлагают безопасные версии.

  9. Sniplets
  10. Это вообще какая-то мега тулза по замене текста в посте в зависимости от условий, добавление подсветки и т.д. БлогСекьюрити сообщают, что уязвимы версии до 1.1.2, но судя по Version History с сайта — багфикса нет и в текущей (1.2.2) версии, на это же указывает и, например, вот этот взлом.
    Так что, если вы его применяли, то отключаем и/или ищем замену.


Йех, наконец-то удалось что-то написать, а то почти неделю без интернета дома — это какой-то кошмар.
Успел за это время досмотреть аниме Death Note, одноименный фильм и Зеленую милю. Последнее настоятельно советую, если вдруг кто ещё не видел.

[Безопасность] Список дырявых плагинов

Все уже знают, что очередной релиз WordPress 2.3.3 в основном призван исправить бреши в безопасности (как обычно русскую версию можно скачать у Кактуса), но гарантирует ли это, что на ваш блог не смогут посягнуть?

Можно ответить «Нет», если вы не уверены в тех плагинах, которые у вас установлены.
Например, сами разработчики WordPress настоятельно рекомендуют не использовать плагин WP-Forum, а я несколько расширю этот список за счёт информации с сайта БлогСекьюрити.

  1. WP TextLinkAds
  2. Плагин для размещения ссылок от известной конторы TLA версии ниже 1.1.3 подвержен уязвимости, благодаря которой злоумышленник может получить доступ к БД и компрометировать весь блог.
    Для исправления советуют либо скачать новую версию, либо найти строку 512 ($postId = $postId;) и заменить её на $postId = (int) $postId;.

  3. dmsguestbook
  4. Гостевая книга dmsguestbook вообще одна сплошная дыра. Тут вам и возможность дефейса, получение доступа к данным из wp-config.php, управление файлами и папками на сервере, и даже множественные XSS-уязвимости в купе с различными SQL-инъекциями.
    БлогСекюрити советуют вообще нафиг отключить этот плагин, т.к. даже в последней (1.8) версии много багов и уязвимостей.

  5. st_newsletter 2.x
  6. Плагин рассылки st_newsletter позволяет, применив специальный запрос, содержащий SQL-инъекцию, получить список всех пользователей и хэши их паролей.
    Заплаток пока что нет, так что отключаем плагин от греха подальше.

  7. Wordspew
  8. Относительно известный Live-чат Wordspew тоже подвержен злостным инъекциям, и тоже пока что нет официальных (и не официальных) багфиксов. Отключаем.

  9. wp-footnotes 2.2
  10. Известная добавлялка подписей к постам wp-footnotes тоже обросла уязвимостью, из-за которой «злодей» получает доступ к админ.панели плагина, просто обратившись по определенному УРЛ к сайту. И, следовательно, может «добавить» свой текст к вашим постам.
    И этот плагин без фикса, так что используйте на свой страх и риск.

На этом всё. Надеюсь теперь вы чувствуете себя ещё более защищенными.

13 вопросов, которые следует задать себе перед публикацией в блог

Мой перевод прикольного списка от Даррена Роуза под названием «13 Questions to Ask Before Publishing a Post On Your Blog» или как я перевел это «13 вопросов, которые следует задать себе перед публикацией в блог».


  1. Какая основная цель поста? Достаточно чётко удалось её выразить?
  2. Что я хочу, чтобы читатель сделал по прочтении поста? Удалось ли мне побудить его к этому?
  3. Написал ли я нечто полезное?
  4. Написал ли я нечто уникальное?
  5. Написанное приблизило или отдалило меня от целей блога?
  6. Использовал ли я привлекающий внимание людей заголовок?
  7. Нет ли грамматических и орфографических ошибок в тексте?
  8. Мог бы я написать тоже самое более лаконично?
  9. Указал ли я источники цитат и вдохновения?
  10. Были ли у меня посты на похожую тему, на которые я мог бы поставить ссылку? Может кто-то другой писал об этом?
  11. Оставил ли я читателям возможность что-то добавить по теме поста? Предложил ли я им сделать это?
  12. По какому словосочетанию должны попадать люди на этот пост из поисковых систем? Оптимизировал ли я текст под это слово/словосочетание?
  13. Как я могу развить тему поста в своих дальнейших публикациях?

А какие вопросы помимо этих вы задаёте себе?

8 тем для админ панели WordPress

Пока народ тестит и вздыхает об «ужасной» админке WordPress 2.5, могу предложит немного видоизменить свою текущую админ панель.

Сам я, правда, пользуюсь Advanced-Admin-Menus, который покрывает все мои потребности в быстром администрировании, но думаю найдутся эстеты, которым по душе более «кавайно-милое» оформление.

Сразу предупреждаю — ставить все эти «админ-украшательства» я даже ради интереса не стану, поэтому воспользуюсь статьёй отсюда. Добавлю чуть побольше скриншотов, а уж если кто захочет потестить — прошу качать по ссылкам, ну и не забывайте отписываться в комментариях, если какая-то окажется действительно хорошей.

1. WP Tiger Admin Style

WP Tiger Admin Style Screenshot 1 WP Tiger Admin Style Screenshot 2 WP Tiger Admin Style Screenshot 3

Я уже упоминал в блоге об этом модификаторе админки. Давно уже перестал его использовать, но между тем он пользуется большой популярностью (более 40 000 загрузок). Прочитать о нём можно на странице плагина, скачать там же или по этой ссылке.
На сайте написано, что так как всё настроено на CSS2, то следовательно всеми любимый ослик IE не будет адекватно показывать админку, т.ч. ставьте, только если у вас нормальный браузер.

2. SpotMilk

Spotmilk admin dashboard Spotmilk admin manage post Spotmilk admin options

Симпатишная темка, вот только офф.сайт забыли проплатить и теперь там висит домен на продажу, поэтому только благодаря находчивости и запасливости Кактуса, вы имеете возможность скачать себе эту темку. Вот на странице плагина две ссылочки — на стандартную и модифицированную версию. Там же на странице хинт описан, как сделать из Spotmilk — Blackmilk версию оформления.

3. JS Style Admin

JS Style Admin Screenshot JS Style Admin Blue Version Screenshot JS Style Admin Green Version Screenshot

Измененная версия стандартного SpotMilk, главным (и возможно единственным) отличие является встроенный плагин для формирования меню в виду выпадающих списков, что пожалуй даже удобно. Скачать можно аж две версии со страницы JS Style Adminсинюю и зеленую. Страница что-то у меня жутко долго грузилась, видимо из-за фона, т.ч. советую качать прямо по ссылкам в этом посте.

4. Planet X7

Planet X7 Dashboard Screenshot Planet X7 Post Screenshot Planet X7 Theme Screenshot

Синяя строгая тема оформления, работающая со всеми браузерами (хотя в ИЕ6 наличествуют какие-то баги). Скачать можно тут, а почитать аж на двух языках тут.

5. afd wordpress2 admin theme

afd wordpress2 admin theme dashboard afd wordpress2 admin theme post afd wordpress2 admin theme write post

Похожа на стандартную тему, но, если я правильно понял, через меню можно настроить цветовую гамму шапки с навигацией, что может быть полезно владельцам нескольких блогов, станет проще различать, где именно в данный момент они находятся.
Скачать для 2.3.x версии, для владельцев более старых версий WordPress на странице плагина расположены другие ссылки для скачки.

6. NiceAdmin

NiceAdmin Screenshot

Очередная модификация Spotmilk. По словам ребят с WeLoveWp.com, эта тема одна из самых популярных среди их блоггеров. Качем или читаем (хотя это громко сказано — текста там и нет почти).

7. WordTunes 2

WordTunes Admin DashBoard Screenshot WordTunes Admin Presentation Screenshot WordTunes Admin Write Post Screenshot

Тема в стиле iTunes. Можно сказать для фанатов Mac, только загвоздка в том, что сайт плагина тоже не проплачен (да что вообще с людьми творится) и скачать полностью плагин не удалось. Но, для особо пытливых и находчивых, я нашёл в открытом доступе папку с плагином, где без проблем можно вытащить все картинки и CSS, а вот wordtunes.php придётся делать самим, взяв за основу из любой другой темы в этом списке. Если кто-то озаботится и сделает это, ну, или возможно у кого-то данная тема завалялась целиком, то поделюсь ссылкой на блоггера с этого поста, в обмен на ссылку на плагин:)

8. WP Barunio Administration

WP Barunio Administration Dashboard Screenshot WP Barunio Administration Write Post Screenshot WP Barunio Administration Plugins Screenshot

Яркая тема, я бы даже сказал летняя и немного женственная. Качать или посетить страничку плагина.


Ну вот собственно и всё. Понравившиеся темы скачиваем и радуемся, или не скачиваем и всё равно радуемся, своими руками модифицирую админку.

Новогодний подарок блоггерам — WordPress 2.3.2

Как всегда я плетусь в самом конце WP-движения, это я о скорости реакции на анонсы релизов)
Уже успели выложить и две разные версии русского вордпресса 2.3.2, который только-только сошёл с конвейера (от Максима и от mywordpress.ru), но, тем не менее, я всё же рискну быть не оригинальным и отписать ещё раз изменения со своими комментариями.
И так, данные взяты из официального анонса.

Улучшена производительность, при обработке постов, перед выводом пользователю.
Надеюсь, я правильно понял, то, что написано в этом тикете.
При выводе поста, да и любой другой страницы, производится множественный вызов функции get_post, через которую работают такие функции как the_title, get_permalink и т.д. Причём, хоть данные полученные от get_posts и кэшируются, но фильтрация/отбор данных происходит после получения уже ВСЕХ данных, а не ДО, что естественно сказывается на производительности. В 2.3.2 это пофиксили.

Улучшена работа функции is_admin(). Теперь нет возможности получить доступ к «Черновикам» администраторов обычному пользователю.
О «дыре» с доступом к черновикам я уже писал, вот теперь это уже и не дыра вовсе.

Ошибки базы данных теперь показываются только при включенном WP_DEBUG.
Ещё одна перестраховка от «шибко-хитрых-хацкеров», чтобы те не могли узнать названия таблиц вашей установки WordPress, при попытках sql-инъекций.

Во время установки WordPress, при нехватке прав у пользователя БД, будет выдаваться ошибка.
А, следовательно, и не будет создан «кривой» config.

Появился шаблон для отображения ошибок при подключении к БД.
Теперь любой пользователь может внести изменения в файл wp-content/db-error.php, который будет показан при невозможности подключиться к БД (например, если превышено количество одновременных подключений).

Добавлена дополнительная проверка при обработке текста, который конвертируется в ссылку.
Тут имеет место быть событие, когда вы вставляете текст с http://, а он автоматически конвертируется в аналогичную ссылку. Повышена производительность за счёт того, что теперь функция преобразования различает обычные ссылки, фтп и почтовые ящики. Стоит отметить, что, судя по всему подобные ссылки (за исключением ящиков) автоматически будут отображаться с rel=»nofollow», во всяком случае, тут всё указывает на это.

Внесены изменения в работу рассылки почты по POP3, чтобы избежать возможных XSS-атак.
Ещё один баг закрыт.

Запрос пароля к записи будет выдаваться только тем пользователям, у кого есть права на изменение этой конкретной записи. Всё это относится только к сторонним-клиентским программам, работающим через XML-RPC.

Ещё одно изменение в XML-RPC, которое связано с отображением данных о пользователе, при вызове wp.getAuthors.
Данные теперь выводятся в более ограниченном формате, а так же добавлена проверка, что пользователь имеет минимальные права (редактирование постов), чтобы ограничить распространение информации, такой как имя пользователя, его логин и прочее.

И ещё целый ворох проверок в методах XML-RPC и App, для улучшения безопасности.

И совсем маленькое добавления при проверке путей файлов, на win-серверах.


Вот и всё. Вроде бы и не много, но и не мало. Ставить, я думаю, стоит, но… только после того, как голова и руки будут действовать активно и правильно, апосля празднования НГ, а то можно дел наворотить)

И ещё, если тов. Лекактус не против, то я бы попросил его немного подправить текст на mywordpress.ru, а то что-то слишком много орфографических ошибок и местами не понятный текст. Если нужна помощь, то могу предложить свои услуги, но опять-таки — после праздничков.

Многоуважаемые хакеры, вы имеете последнюю возможность взломать этот блог и при помощи перечисленных дыр, потому что я не тороплюсь обновляться)