[Безопасность] WordPress 2.5 — Уязвимость “Секретного ключа”

Звиняйте, пишу редко, ибо с головой ушёл в офф-лайн: йога, диплом, работа.

Даже, грешным делом, новый WordPress так себе и не поставил для теста, но за новостями слежу, а так как на меня порой даже ссылаются, как на источник информации по уязвимостям в WordPress, то надо поддерживать сие положение дел.

И так, начнём с простого вопроса — многие ли из вас, читатели, знают, что такое SECRET_KEY в новой версии движка?

Небольшой экскурс в кодекс или читайте мою интерпретацию)

В общем, многие знают, ну или подозревают, что до того, как попасть в базу данных пароль, вводимый пользователем, подвергается md5-преобразованию. Это делается для того, чтобы даже если злоумышленник получит список паролей, реальных паролей на руках у него не было. Проблема в том, что обычно пользователи указывают простые пароли вроде qwerty и прочих pass12345 у которых ВСЕГДА один и тот же md5-хэш. И введя в тот же гугл полученную из БД строку «зашифрованного» пароля, мы получим на выходе оригинал пароля. Так же существуют онлайн сервисы и оффлайн утилиты, которые просто генерят словари всех возможных слов с их md5-строками (получается некий брут-форс).

Что предприняли ушлые разработчики вордпресс в новом релизе?
Стоит отметить, что идея стара как мир, но ввели сей алгоритм в движок только сейчас.

Они решили добавить некий случайный элемент в генерацию хэша, который бы не позволил «угадывать» пароль по его md5, не зная этого элемента. Как вы поняли речь тут и идёт о SECRET_KEY, только проблема, на текущий момент такова, что о его существовании знают почти что только избранные (теперь и вы себя к ним можете причислить)).

WordPress 2.5 не предлагает сменить этот ключ при установке и использует всё время прописанный в wp-config.php по-умолчанию:
define(‘SECRET_KEY’, ‘put your unique phrase here’);
Так как 90% пользователей вордпресс создают wp-config.php через меню браузера, прописывая нужные параметры при установке, то получаем у 90% блогов один и тот же «случайный элемент».

Тов. J. Carlos Nieto, поднатужившись, написал огромное изыскание, где можно даже найти код программы для перебора паролей и местами это вообще похоже на hack-manual ]:->

Так что, уважаемые читатели, мораль сей басни такова:
«Если вы устанавливаете новую версию или апгрейдите старую до WordPress 2.5, то потрудитесь залезть в wp-config.php и исправить ‘put your unique phrase here’ на что угодно (вам даже не обязательно запоминать эту фразу), например, ‘Спасибо тебе Тарас за наше безопасное детство блоггерство’ «

[Безопасность] WordPress 2.5 — Уязвимость “Секретного ключа”: 56 комментариев

  1. > А тем кто уже установил, что делать?
    Фразу можно изменить, но после этого придётся «восстановить» пароль. Если в блоге авторов немного, а регистрации для многочисленных пользователей нет, то это не затруднительно.

  2. Я правильно понимаю, что касается это только тех, у кого пароли типа «qwerty» или «123456»? А если у меня пароль «40_тЫсЯч_оБезЬяН_в_жОпУ_сУнУлИ_бАнАн», то мне ничего не грозит? 😉

  3. Программный продукт без багов создать невозможно, и Wordзress не исключение, в любом случае найдется человек который найдет уязвимость даже в самом совершенном программном продукте. Это извечное соревнование девелопер vs хакер, и это положительный момент в результате программные продукты все более и более совершенствуются.

  4. А я пока не рискнула — сижу на старой версии блога, а то не дай бог пароль уведут, что я делать буду… Лучше уж пусть до ума доведут новье, а я уже потом скачаю и обновлю.

  5. Очень хорошее и полезное сообщение. Сам недавно искал в интернете данную тему и все обсуждения связанные с ней. Но тольео тут нашел хороший и качественный и что немаловажно полезный материал. Стасибо автору блога за предоставленнйю информация. И спасибо всем кто участвовал в обсуждении данной темы.

  6. Уведомление: WP лента
  7. Да, статья, конечно, вызывает неподдельный интерес, немало полезных психологических уловок. Наконец нашла то, что искала! Редко встречаю достойный внимания материал! Не сочтите мои слова за спам, или лесть, но так хочется похвалить иногда тех людей, которые делают что-то полезное для общества, точнее для интернет сообщества. В общем, респект.

  8. Уведомление: Я выбираю безопасный блогинг - Болдырев Сергей

Добавить комментарий