Rss Feed
Tweeter button
Facebook button
Technorati button
Reddit button
Myspace button
Linkedin button
Webonews button
Delicious button
Digg button
Stumbleupon button
Newsvine button
Youtube button

Seguretat

Vulnerabilitat greu!

S’ha detectat un greu error en el fitxer wp-trackback.php que permet deixar caigut el nostre servidor en menys de cinc minuts realitzant poc més de 20 peticions. Això és un problema molt greu, ja que afecta a totes les versions de WordPress fins l’actual. Per sort la solució és molt simple: només hem de buscar la següent línia en el nostre fitxer wp-trackback.php…

$charset = $_POST['charset'];

I canviar-la per…

$charset = str_replace(”,”,””,$_POST['charset']); if(is_array($charset)) { exit; }

Amb això ho solucionarem. Cal anotar que, encara que no tinguem activats els trackbacks, aquesta vulnerabilitat ens afecta igual, de manera que és altament recomanable aplicar la solució com abans millor.

Font: Agujero de seguridad muy grave en WordPress via Ayuda WordPress.

dilluns, 19 de octubre del 2009 per JoTGi Seguretat Hi ha 3 comentaris

Canvis en els enllaços permanents i administradors fantasma

Fa uns dies hi va haver un hackeig massiu de blocs amb WordPress, fins i tot aquells que estaven actualitzats a la darrera versió (2.8.4). Els atacants aprofitaren un forat de seguretat per a fer una injecció SQL per tal de crear nous administradors, i aixi tenir accés total als blocs. Un cop aconseguit això, canviaven els enllaços permanents a una cosa semblant a això:

http://elmeubloc.cat/la-meva-entrada/${eval(base64_decode($_SERVER[HTTP_REFERER]))}

No és gaire fàcil adonar-se’n, però per comprovar si heu etsta hackejats comproveu els enllaços permanents. Si han canviat, la primera cosa que hauríeu de fer és eliminar l’administrador creat pels atacants. No el podreu veure (és un usuari fantasma), però sabreu que hi és perquè el comptador d’usuaris administradors no es correspondrà amb el nombre d’usuaris que veureu. Per tal d’eliminar-lo, editeu l’últim usuari creat al bloc i copieu l’URL on esteu:

http://elmeubloc.cat/wp-admin/user-edit.php?user_id=4&wp_http_referer=%2Fwp-admin%2Fusers.php

En l’exemple, l’últim usuari creat té la ID 4. Per tal d’eliminar aquest administrador fantasma, simplement canviem aquest 4 per un 5, és a dir, l’usuari administrador serà, segurament, l’últim en ser creat i, per tant, tindrà una ID que segueix al darrer que veiem nosaltres. Per eliminar-lo, cal donar-li una adreça electrònica (fictícia).

Per tornar a l’estructura d’enllaços permanents que teníeu, simplement aneu a Opcions -> Enllaços Permanents i elimineu la part de ${eval(base64_decode($_SERVER[HTTP_REFERER]))}.

Una altra manera de trobar els administradors fantasma és fent servir l’extensió que ha creat Sumolari. Només cal dir-li quants usuaris administradors tenim, i ell solet ens donarà una llista dels possibles administradors fantasma. Cal tenir en compte, però, que si nosaltres afegim més tard un altre administrador, l’extensió també el marcarà com a possible fantasma.

Una vegada haguem solucionat això, el que s’ha de comprovar és si tenim arxius que no haurien de ser a la nostra instal·lació de WordPress. També es pot reinstal·lar el WordPress si abans esborreu tots els arxius de totes les carpetes, excepte la de wp-content… Però això ja és una decisió personal.

diumenge, 06 de setembre del 2009 per Administrador Actualitzacions, Novetats, Seguretat, WordPress 2.8 Només hi ha un comentari

Assegura el teu WordPress

Segons Inkilino, hi ha moltes maneres d’assegurar una instal·lació de WordPress, i es poden categoritzar segons es puguin fer a mà o amb extensions:

  • Elimina els arxius d’instal·lació, actualització i importació de WP després de l’instal·lació o actualització.
  • Limita l’ús d’extensions, ja que com més en tinguis més possibilitats hi ha que algun tingui algun bug de seguretat.
  • Desactiva l’usuari Administrador i utilitza un compte d’autor.

Aquestes accions són només algunes de les que apareixen a la llista d’Inkilino. Si vols veure-les totes, visita el seu article ;-)

Etiquetes:

diumenge, 01 de març del 2009 per Administrador Modificacions, Plugins, Scripts, Seguretat Encara no hi ha cap comentari

Amaga la versió de WordPress de la informació de la pàgina

Des de la versió 2.5, WordPress afegeix automàticament a la informació de la pàgina la versió amb la que funciona un blog. Això a la llarga pot resultar perjudicial, perquè si no es té el WordPress actualitzat pot permetre a possibles atacants descobrir la versió que fem servir i executar codi maliciós si hi ha algun forat de seguretat.

La manera més fàcil d’amagar la versió és posant el codi següent a l’arxius functions.php del teu tema:

remove_action('wp_head', 'wp_generator');
dijous, 12 de febrer del 2009 per Administrador Modificacions, Scripts, Seguretat Encara no hi ha cap comentari

revm.php, vigileu!

A Ayuda WordPress parlen de l’arxiu wp-content/themes/revm.php; dels perills que suposa pel què fa a la seguretat, ja que sembla que permet els atacs DDoS; i de com eliminar-lo, que és el més interessant.

diumenge, 04 de gener del 2009 per mrc2407 General, Scripts, Seguretat Encara no hi ha cap comentari
« Entrades anteriors

Subscriu-te al feed!

Saps que només hi ha 56 persones que ens llegeixen a través del RSS?
Fes-ho tu també!

Descàrregues de WordPress

WordPress ha estat descarregat vegades en anglès. El vols en català?

Entrades Populars

Categories

Arxiu