Seguretat

WordPress 2.6.5

Des de WordPress ens informen d’una actualització de seguretat, el WordPress 2.6.5. Han passat la versió 2.6.4 per no posar dubtes sobre la versió falsa. Podeu trobar aquí la llista de canvis.

Si només vols arreglar l’error de seguretat, copia wp-includes/feed.php i wp-includes/version.php del paquet 2.6.5 i sobreescriu els actuals.

[Ayuda WordPress] [anieto2k]

ACTUALITZACIÓ: Podeu descarregar-vos els arxius modificats des d’aquí.

dimarts , 25 de novembre del 2008 per Actualitzacions, Novetats, Seguretat, WordPress 2.6 Només hi ha un comentari

Vigila amb Wordpresz.org!

Segons sembla, fa poc havia aparegut a la xarxa una web anomenada WordPresz.org, amb un disseny pràcticament idèntic al de WordPress.org i on s’anunciava una suposada versió 2.6.4, que no existeix, perquè lúltima en aparèixer ha estat la 2.6.3.

Els arxius descarregats contenien un arxiu pluggable.php corrupte, amb un enllaç a l’arxiu “http://www.wordpresz.org/tuk.php”. Aquest codi feia la instal·lació de WordPress vulnerable a un atac amb un suposat troià, Troj/WPHack-A.

Així doncs, comprova que l’arxiu pluggable.php no tingui la cadena “http://www.wordpresz.org/tuk.php”. En cas que la tingui, descarrega’t la darrera versió oficial de WordPress.

dissabte, 08 de novembre del 2008 per Actualitzacions, Novetats, Seguretat, WordPress, WordPress 2.6, WordPress 2.7 Encara no hi ha cap comentari

WordPress 2.6.3, actualització menor de seguretat

Fa molt poca estona ha sortit la versió 2.6.3, que corregeix un petit error a la llibreria Snoopy, que és la que fa servir WordPress per mostrar els feeds del Tauler d’Administració.

Podeu descarregar-vos tota la versió sencera des d’aquí (encara no ha sortit la versió en català, però no crec que hi hagi problemes), o podeu descarregar-vos directament els dos arxius implicats en el bug:

  1. wp-includes/class-snoopy.php
  2. wp-includes/version.php
divendres, 24 d'octubre del 2008 per Actualitzacions, General, Modificacions, Seguretat, WordPress, WordPress 2.6 Encara no hi ha cap comentari

Evitar que un comentarista es faci passar per autor

No és gaire habitual, però a vegades algun comentarista es fa passar er l’autor del blog, cosa que pot ocasionar molts problemes.

Per evitar-ho, tenim dues opcions: restringir els comentaris als usuaris registrats o retocar codi. Nosaltres retocarem codi, que és més senzill, perquè la gent no se sol registrar en un lloc per enviar un comentari de tant en tant…

El hack que farem servir l’han creat els de Dragon Design i és bastant simple: comprova que les dades que introdueixi el comentarista no coincideixin amb les de l’autor del blog, i si ho fan, mostra un missatge d’error. Òbviament, si vosaltres ou l’autor del blog i no esteu connectats, no us deixarà posar un comentari amb les vostres dades… Només caldrà que us connecteu.

Per fer servir el hack, haurem de:

  1. Obrir l’arxiu wp-comments-post.php, ubicat al directori arrel de WordPress.
  2. Buscar el codi següent: $comment_author = trim(strip_tags($_POST['author'])); $comment_author_email = trim($_POST['email']); $comment_author_url = trim($_POST['url']); $comment_content = trim($_POST['comment']);
  3. Afegir just a sota del codi anterior el codi següent: // get list of user (display) names for blog global $wpdb; $valid_users = (array)$wpdb->get_results(" SELECT display_name, user_email FROM " . $wpdb->prefix . "users"); // get ID of logged in user (if there is one) global $userdata; get_currentuserinfo(); $logged_in_name = $userdata->ID; $logged_in_email = $userdata->user_email; // see if the comment author matches an existing author $found_match = FALSE; foreach ($valid_users as $va) { if (trim($va->display_name) != '') { if (strtolower($va->display_name) == strtolower($comment_author)) { $found_match = TRUE; break; } } if (trim($va->user_email) != '') { if (strtolower($va->user_email) == strtolower($comment_author_email)) { $found_match = TRUE; break; } } } // if commenter is not logged in, but match was found, block the comment if (trim($logged_in_name) == '') { if ($found_match == TRUE) { wp_die( __('You cannot post using the name or email of a registered author.') ); } }

En el cas que vulguem editar el missatge d’error, només cal editar la línia wp_die( __('You cannot post using the name or email of a registered author.') );

diumenge, 11 de maig del 2008 per Modificacions, Seguretat, Tutorials Només hi ha un comentari

Més seguretat a WordPress 2.5

Veig a docs4beto que WordPress 2.5 té una nova variable a l’arxiu wp-config.php anomenada SECRET_KEY que protegeix les nostres cookies evitant l’accés a la nostra base de dades mitjançant una inserció de codi SQL. Si no esteu acostumats a aquest tipus de coses, molt possiblement això us soni a xino, però és important.

La variable s’ha d’escriure a l’arxiu wp-config.php abans de la clau ?> que tanca el codi PHP d’aquesta manera:

define(’SECRET_KEY’, ‘put your unique phrase here’);

Aquesta clau ha de ser indesxifrable, i podem fer servir una frase en l’idioma que vulguem el més llarga possible o bé fer servir la web que han creat els de WordPress especialment.

Etiquetes: , , ,

dimarts , 29 d'abril del 2008 per Actualitzacions, Seguretat, Wordpress 2.5 Encara no hi ha cap comentari
« Entrades anteriors Entrades següents »

Subscriu-te al feed!

Saps que només hi ha 56 persones que ens llegeixen a través del RSS?
Fes-ho tu també!

Descàrregues de WordPress

WordPress ha estat descarregat vegades en anglès. El vols en català?

Entrades Populars

Categories

Arxiu

Rss Feed Tweeter button Facebook button Technorati button Reddit button Myspace button Linkedin button Webonews button Delicious button Digg button Stumbleupon button Newsvine button Youtube button