[Безопасность] WordPress 2.5 - Уязвимость “Секретного ключа”

Звиняйте, пишу редко, ибо с головой ушёл в офф-лайн: йога, диплом, работа.

Даже, грешным делом, новый WordPress так себе и не поставил для теста, но за новостями слежу, а так как на меня порой даже ссылаются, как на источник информации по уязвимостям в WordPress, то надо поддерживать сие положение дел.

И так, начнём с простого вопроса - многие ли из вас, читатели, знают, что такое SECRET_KEY в новой версии движка?

Небольшой экскурс в кодекс или читайте мою интерпретацию)

В общем, многие знают, ну или подозревают, что до того, как попасть в базу данных пароль, вводимый пользователем, подвергается md5-преобразованию. Это делается для того, чтобы даже если злоумышленник получит список паролей, реальных паролей на руках у него не было. Проблема в том, что обычно пользователи указывают простые пароли вроде qwerty и прочих pass12345 у которых ВСЕГДА один и тот же md5-хэш. И введя в тот же гугл полученную из БД строку “зашифрованного” пароля, мы получим на выходе оригинал пароля. Так же существуют онлайн сервисы и оффлайн утилиты, которые просто генерят словари всех возможных слов с их md5-строками (получается некий брут-форс).

Что предприняли ушлые разработчики вордпресс в новом релизе?
Стоит отметить, что идея стара как мир, но ввели сей алгоритм в движок только сейчас.

Они решили добавить некий случайный элемент в генерацию хэша, который бы не позволил “угадывать” пароль по его md5, не зная этого элемента. Как вы поняли речь тут и идёт о SECRET_KEY, только проблема, на текущий момент такова, что о его существовании знают почти что только избранные (теперь и вы себя к ним можете причислить)).

WordPress 2.5 не предлагает сменить этот ключ при установке и использует всё время прописанный в wp-config.php по-умолчанию:
define(’SECRET_KEY’, ‘put your unique phrase here’);
Так как 90% пользователей вордпресс создают wp-config.php через меню браузера, прописывая нужные параметры при установке, то получаем у 90% блогов один и тот же “случайный элемент”.

Тов. J. Carlos Nieto, поднатужившись, написал огромное изыскание, где можно даже найти код программы для перебора паролей и местами это вообще похоже на hack-manual ]:->

Так что, уважаемые читатели, мораль сей басни такова:
“Если вы устанавливаете новую версию или апгрейдите старую до WordPress 2.5, то потрудитесь залезть в wp-config.php и исправить ‘put your unique phrase here’ на что угодно (вам даже не обязательно запоминать эту фразу), например, ‘Спасибо тебе Тарас за наше безопасное ~~детство~~ блоггерство’ “

Из той же оперы, так что прочти обязательно:

Метки: 2.5, bugfix, hack, hacking, md5, secret_key, upgrade, WordPress, wordpress 2.5, Безопасность, взлом, проблемы, советы

Запись создана: Пятница, 18 Апрель 2008 в 18:26 и находится в рубриках WordPress, Безопасность. Вы можете следить за комментариями к этой записи через ленту RSS 2.0. Вы можете оставить отзыв, или trackback с вашего собственного сайта.

55 комментариев на “[Безопасность] WordPress 2.5 - Уязвимость “Секретного ключа””

vandam008 пишет:
18 апреля 2008 в 20:55
Безопасность ето главное не только в вордпресе но и визде.
Ryoga пишет:
18 апреля 2008 в 23:08
А тем кто уже установил, что делать ?
aboutubuntu пишет:
19 апреля 2008 в 2:44
> А тем кто уже установил, что делать?
Фразу можно изменить, но после этого придётся “восстановить” пароль. Если в блоге авторов немного, а регистрации для многочисленных пользователей нет, то это не затруднительно.
Ryoga пишет:
20 апреля 2008 в 6:16
1. Меняем значение SECRET_KEY
2. Восстанавливаем пароль
3. Я туплю ?
hellveen пишет:
20 апреля 2008 в 9:43
У меня вообще в конфиге такой фразы нету
Brim пишет:
20 апреля 2008 в 12:59
Я правильно понимаю, что касается это только тех, у кого пароли типа “qwerty” или “123456″? А если у меня пароль “40_тЫсЯч_оБезЬяН_в_жОпУ_сУнУлИ_бАнАн”, то мне ничего не грозит?
alexey_og пишет:
20 апреля 2008 в 19:02
так если этот добавляемый элемент генерируется случайно, то как сами разработчики в этом разбираются? или я что-то не понимаю?
Евгений пишет:
21 апреля 2008 в 12:54
Позновательно…Но и у меня в конфиге этоа фраза отсутствует%)
yoshkin пишет:
21 апреля 2008 в 17:07
Евгений, hellveen, ищите эту фразу:
Change this to a unique phrase
Тарас, спасибо!
кеды пишет:
23 апреля 2008 в 9:42
Программный продукт без багов создать невозможно, и Wordзress не исключение, в любом случае найдется человек который найдет уязвимость даже в самом совершенном программном продукте. Это извечное соревнование девелопер vs хакер, и это положительный момент в результате программные продукты все более и более совершенствуются.
oqbo пишет:
26 апреля 2008 в 7:47
Поставил себе 2.5.1 ))) Там такая же фича?
Кристина пишет:
26 апреля 2008 в 16:46
Ну ни чего никогда не делают нормально, вечно исправлять недочеты приходится. Хорошо хоть автор блога о нас заботится, спасибо вам!
Ольга пишет:
27 апреля 2008 в 23:59
А я пока не рискнула - сижу на старой версии блога, а то не дай бог пароль уведут, что я делать буду… Лучше уж пусть до ума доведут новье, а я уже потом скачаю и обновлю.
Stanislav_ch пишет:
28 апреля 2008 в 2:19
вот черт.. спасбо за пост! полез в свой wp-config.php ))
Виктор пишет:
28 апреля 2008 в 11:27
Спасибо за информацию, действительно ключ забыл поменять
Антоша пишет:
1 мая 2008 в 17:44
Раньше был уверен, что достаточно просто обновляться вовремя… а теперь и этого недостаточно, блин… Пойду менять конфиг.
Poskal пишет:
6 мая 2008 в 9:28
вот спасибочки.. предупредили)
Виктор пишет:
6 мая 2008 в 10:03
Безопасность превыше всего, спасибо за информацию, воспользуюсь обязательно
Алиса пишет:
9 мая 2008 в 15:40
Кто предостережен - тот вооружен, спасибо! Автор, когда же вы к нам вернетесь, начнете писать…
Александр пишет:
10 мая 2008 в 14:28
С сегодняшними хакерами безопасность должна быть на высшем уровне, так что я за полную безопасность и свободу общения.
Ласт пишет:
15 мая 2008 в 22:58
похоже на лозунг
Мафутка пишет:
16 мая 2008 в 16:22
То бишь если у текущего блога сменить секреткей, то все юзвери “поменяют” свои пассы на неизвестные? Это не выход…
vad007 пишет:
22 мая 2008 в 19:52
Безопасность - главное в сети!
Виталий пишет:
24 мая 2008 в 21:09
Очень хорошее и полезное сообщение. Сам недавно искал в интернете данную тему и все обсуждения связанные с ней. Но тольео тут нашел хороший и качественный и что немаловажно полезный материал. Стасибо автору блога за предоставленнйю информация. И спасибо всем кто участвовал в обсуждении данной темы.
Андрей пишет:
27 мая 2008 в 10:00
Супер Огромное спасибо
Alex пишет:
29 мая 2008 в 8:20
спасибо за напоминание , полез проверять
Игнат пишет:
29 мая 2008 в 18:55
Обновление надо скачать просто .и всё эта дырка закроеться
ivan пишет:
1 июня 2008 в 19:05
Спасибо за подсказку. В будущем воспользуюсь.
Максим пишет:
4 июня 2008 в 0:45
мм, интересненько, я гдет в инете встречал сайт который расшифровывыет пароли MD5 и наоборот, пригадилось бы……
Amastreus пишет:
5 июня 2008 в 2:56
Спасибо за статейку, в закладки.
NordSkif пишет:
5 июня 2008 в 16:10
Спс. Ценный материал.
MasterHTML пишет:
6 июня 2008 в 12:52
Веселая фича. Стандартная ключ и на других движка тоже обычно не меняют.
Вадим пишет:
6 июня 2008 в 23:36
Спасибо за ценную инфу, нашёл и отредактировал config.
WP лента пишет:
9 июня 2008 в 1:28
WordPress 2.5 Уязвимость Секретного ключа…

В общем, многие знают, ну или подозревают, что до того, как попасть в базу данных пароль, вводимый пользователем, подвергается md5-преобразо….
Водонаева пишет:
10 июня 2008 в 9:54
спасибо! ценный материал для блогеров
Снежана пишет:
11 июня 2008 в 17:22
Мда, ну и дела, я даже не знала что в моем движке такое имеется, пола исправлять, спасибо большущее за предостережение!
Миша Наумов пишет:
11 июня 2008 в 18:54
Полезная информация, обязательно воспользуюсь, спасибо!
Vlad пишет:
13 июня 2008 в 18:34
Интересно, спасибо. Сомнения были, но теперь, есть от чего отталкиваться.
Ma3au пишет:
16 июня 2008 в 12:40
А в других версиях такая же фишка ?
KuBill пишет:
16 июня 2008 в 19:34
А меня поломали засранцы(((
Дева пишет:
19 июня 2008 в 23:02
‘Спасибо тебе Тарас за наше безопасное детство блоггерство’ - большое такое СПАСИБО!!!
Вася пишет:
26 июня 2008 в 13:09
Вовремя прочитал, ато бы наделал кучу ошибок…
Виктор Амелькин пишет:
28 июня 2008 в 15:12
Спасибо Тарас, действительно очень полезная статья. И для молодых хакеров очень хороший урок, как взломать блог начинающего блогера))))
Организация Ч пишет:
29 июня 2008 в 17:29
Это точно, прочитает какойто умник и устроит весёлую жизнь комуто…
Советчик пишет:
30 июня 2008 в 12:50
Да, сам бы к этому никогда не пришёл…
Лепесток пишет:
1 июля 2008 в 12:42
Вовремя я набрела на вашу информацию! Сама бы никогла не догадалась!
evo пишет:
3 июля 2008 в 8:16
Очень полезная статья, безопасность - главное везде!!
зек пишет:
3 июля 2008 в 14:54
Ну вот хоть один нормальный блоггер который всё понятно объяснил,и не надо задавать лишних вопроссов! Большое спасибо!
Юлия пишет:
5 июля 2008 в 11:38
Да, статья, конечно, вызывает неподдельный интерес, немало полезных психологических уловок. Наконец нашла то, что искала! Редко встречаю достойный внимания материал! Не сочтите мои слова за спам, или лесть, но так хочется похвалить иногда тех людей, которые делают что-то полезное для общества, точнее для интернет сообщества. В общем, респект.
Вано пишет:
6 июля 2008 в 14:42
Да материал действительно хороший, автор молодец.
камень пишет:
9 июля 2008 в 12:47
Узнал много новых вещей о SECRET_KEY о которых даже и не догадывался, очень познавательно.
Сергей Волков пишет:
10 июля 2008 в 12:36
автор спасибо за пост. Безопасность превыше всего:)
Олег пишет:
10 июля 2008 в 19:16
Так вот оно что, оказывается! =)
Нет, всё-таки не зря я правил конфиг руками и мучался с сохранением его в нужной кодировке
Sergoff пишет:
14 июля 2008 в 14:00
Я сразу сменил ключ на свой, сумасшедшего значения
Wave пишет:
18 июля 2008 в 16:32
Вообще как по мне, несложно было бы в инсталяторе генерировать случайную фразу и вписывать в конфиг, никак не напрягая пользователя.