Блог о WordPress от Тараса

Все уже знают, что очередной релиз Wordpress 2.3.3 в основном призван исправить бреши в безопасности (как обычно русскую версию можно скачать у Кактуса), но гарантирует ли это, что на ваш блог не смогут посягнуть?

Можно ответить “Нет”, если вы не уверены в тех плагинах, которые у вас установлены.
Например, сами разработчики WordPress настоятельно рекомендуют не использовать плагин WP-Forum, а я несколько расширю этот список за счёт информации с сайта БлогСекьюрити.

1. WP TextLinkAds

Плагин для размещения ссылок от известной конторы TLA версии ниже 1.1.3 подвержен уязвимости, благодаря которой злоумышленник может получить доступ к БД и компрометировать весь блог.
Для исправления советуют либо скачать новую версию, либо найти строку 512 ($postId = $postId;) и заменить её на $postId = (int) $postId;.

2. dmsguestbook

Гостевая книга dmsguestbook вообще одна сплошная дыра. Тут вам и возможность дефейса, получение доступа к данным из wp-config.php, управление файлами и папками на сервере, и даже множественные XSS-уязвимости в купе с различными SQL-инъекциями.
БлогСекюрити советуют вообще нафиг отключить этот плагин, т.к. даже в последней (1.8) версии много багов и уязвимостей.

3. st_newsletter 2.x

Плагин рассылки st_newsletter позволяет, применив специальный запрос, содержащий SQL-инъекцию, получить список всех пользователей и хэши их паролей.
Заплаток пока что нет, так что отключаем плагин от греха подальше.

4. Wordspew

Относительно известный Live-чат Wordspew тоже подвержен злостным инъекциям, и тоже пока что нет официальных (и не официальных) багфиксов. Отключаем.

5. wp-footnotes 2.2

Известная добавлялка подписей к постам wp-footnotes тоже обросла уязвимостью, из-за которой “злодей” получает доступ к админ.панели плагина, просто обратившись по определенному УРЛ к сайту. И, следовательно, может “добавить” свой текст к вашим постам.
И этот плагин без фикса, так что используйте на свой страх и риск.

На этом всё. Надеюсь теперь вы чувствуете себя ещё более защищенными.

Из той же оперы, так что прочти обязательно:

• [Безопасность] Список дырявых плагинов 2 (7)
• Новогодний подарок блоггерам - WordPress 2.3.2 (2)
• А мужики то не знают: защита в Wordpress 2.4, дыры и апдейт в 2.3 и подсветка синтаксиса (4)
• [Безопасность] WordPress 2.5 - Уязвимость “Секретного ключа” (55)
• Осторожно! Злая тема… для WordPress! (9)

Метки: bugfix, hack, hacking, list, plugin, Безопасность, взлом, обновление, плагин, проблемы

Запись создана: Пятница, 8 Февраль 2008 в 19:33 и находится в рубриках Plugins, WordPress, Безопасность. Вы можете следить за комментариями к этой записи через ленту RSS 2.0. Вы можете оставить отзыв, или trackback с вашего собственного сайта.