Блог о WordPress от Тараса

Все уже знают, что очередной релиз Wordpress 2.3.3 в основном призван исправить бреши в безопасности (как обычно русскую версию можно скачать у Кактуса), но гарантирует ли это, что на ваш блог не смогут посягнуть?

Можно ответить “Нет”, если вы не уверены в тех плагинах, которые у вас установлены.
Например, сами разработчики WordPress настоятельно рекомендуют не использовать плагин WP-Forum, а я несколько расширю этот список за счёт информации с сайта БлогСекьюрити.

1. WP TextLinkAds

Плагин для размещения ссылок от известной конторы TLA версии ниже 1.1.3 подвержен уязвимости, благодаря которой злоумышленник может получить доступ к БД и компрометировать весь блог.
Для исправления советуют либо скачать новую версию, либо найти строку 512 ($postId = $postId;) и заменить её на $postId = (int) $postId;.

2. dmsguestbook

Гостевая книга dmsguestbook вообще одна сплошная дыра. Тут вам и возможность дефейса, получение доступа к данным из wp-config.php, управление файлами и папками на сервере, и даже множественные XSS-уязвимости в купе с различными SQL-инъекциями.
БлогСекюрити советуют вообще нафиг отключить этот плагин, т.к. даже в последней (1.8) версии много багов и уязвимостей.

3. st_newsletter 2.x

Плагин рассылки st_newsletter позволяет, применив специальный запрос, содержащий SQL-инъекцию, получить список всех пользователей и хэши их паролей.
Заплаток пока что нет, так что отключаем плагин от греха подальше.

4. Wordspew

Относительно известный Live-чат Wordspew тоже подвержен злостным инъекциям, и тоже пока что нет официальных (и не официальных) багфиксов. Отключаем.

5. wp-footnotes 2.2

Известная добавлялка подписей к постам wp-footnotes тоже обросла уязвимостью, из-за которой “злодей” получает доступ к админ.панели плагина, просто обратившись по определенному УРЛ к сайту. И, следовательно, может “добавить” свой текст к вашим постам.
И этот плагин без фикса, так что используйте на свой страх и риск.

На этом всё. Надеюсь теперь вы чувствуете себя ещё более защищенными.

Давненько я не выкладывал никаких плагинов, хотя испробовать успел довольно много.

Так о чём это я? Ах да, наверное найдётся несколько человек, которые скачали и установили мою версию Ajax Comment, но не это главное, а то, что у меня в блоге с определенной периодичностью, при отправке комментария, выдавалась ошибка о “Время истекло. Сервер не ответил вовремя.”.

Полез я искать новую версию этого плагина и был обрадован сообщением о “Заплатите $1″. И не денег мне было жалко, чтобы ещё пару месяцев назад его купить, просто возможность оплаты была только через PayPal, который было лень регистрировать.

Тут на днях как раз прошёл регистрацию и купил-таки новую (2.09) версию и очень она мне понравилась, перечислю фичи от автора, а самое интересное выделю красным:

• Не надо ничего изменять в коде шаблонов. Работает сразу после активации.
• Применяет WordPress Plugin API, поэтому отлично работает с другими плагинами.
• Проверка капч и валидация форм происходит на стороне сервера, без обновления страницы.
• Сообщения об ошибке появляются в красном прямоугольнике над формой комментариев.
• Картинка отправки комментария отлично смотрится с любым дизайном.
• В архиве содержится подробная документация для любителей покопаться в исходниках.
• Работает с комментариями на любом языке, благодаря поддержки локализаций и unicode-символов.
• jQuery fade-эффект, делающий читателей счастливее.
• 60 сек таймайт на сервере не даст подвиснуть читателям.
• Протестирован на текущих версиях Firefox, Internet Explorer 6/7, Opera, Netscape, и Safari.

Плагин теперь отлично работает с WP AJAX Edit Comments, который раньше приходилось отключать. Мне даже не пришлось вносить никаких изменений, чтобы плагин начал адекватно работать с капчей, так что всё что я сделал - это перевёл пару строчек ошибок на русский.

И главное, на мой взгляд, что теперь вместо ява-скрипт библиотеки Prototype+Scriptaculous используется более легкий (по размерам) jQuery.

Ну а вот вам и ссылочка на сам плагин Ajax-Comments 2.09 (90 kb), думаю автор не будет сильно плакать, что я его раздаю на халяву, ведь “какой русский не любит халявы”, к тому же GNU GPL v2 позволяет мне это делать, я же внёс изменения в исходные коды)))

Сразу оговорюсь - плагин тестировал мало, поэтому прошу в комментах хорошенько его “помучить” и оставить отзывы по работе.

ПыЦ: Плагин работает с WP 2.1 - 2.3.x и WP MU.