- Поисковые системы
- Практика оптимизации
- Трафик для сайтов
- Монетизация сайтов
- Сайтостроение
- Социальный Маркетинг
- Общение профессионалов
- Биржа и продажа
- Финансовые объявления
- Работа на постоянной основе
- Сайты - покупка, продажа
- Соцсети: страницы, группы, приложения
- Сайты без доменов
- Трафик, тизерная и баннерная реклама
- Продажа, оценка, регистрация доменов
- Ссылки - обмен, покупка, продажа
- Программы и скрипты
- Размещение статей
- Инфопродукты
- Прочие цифровые товары
- Работа и услуги для вебмастера
- Оптимизация, продвижение и аудит
- Ведение рекламных кампаний
- Услуги в области SMM
- Программирование
- Администрирование серверов и сайтов
- Прокси, ВПН, анонимайзеры, IP
- Платное обучение, вебинары
- Регистрация в каталогах
- Копирайтинг, переводы
- Дизайн
- Usability: консультации и аудит
- Изготовление сайтов
- Наполнение сайтов
- Прочие услуги
- Не про работу
В 2023 году Одноклассники пресекли более 9 млн подозрительных входов в учетные записи
И выявили более 7 млн подозрительных пользователей
Оксана Мамчуева
Все что нужно знать о DDоS-атаках грамотному менеджеру
И как реагировать на "пожар", когда неизвестно, где хранятся "огнетушители
Антон Никонов
Авторизуйтесь или зарегистрируйтесь, чтобы оставить комментарий
Обнаружена опасная брешь в популярных плагинах для кеширования, которая позволяет выполнить произвольный PHP код на целевой системе.
Исследователь ИБ Френк Гусен (Frank Goosen) опубликовал подробности уязвимости в популярных плагинах для кеширования страниц WordPress – WP Super Cache и W3 Total Cache, насчитывающих более 6 млн загрузок. Обнаруженная исследователем уязвимость позволяет злоумышленнику внедрить и выполнить произвольный PHP код на целевой системе с привилегиями Web-сервера.
Уязвимые версии:
WP Super Cache 1.2 и более ранние
W3 Total Cache 0.9.2.8 и более ранние
Для успешной эксплуатации уязвимости на сайте должен присутствовать парсер динамических сниппетов. Злоумышленник может опубликовать комментарий к публикации, содержащий PHP код, который будет преобразован с помощью парсера и выполнен на системе.
Для устранения уязвимости установите последнюю версию плагинов WP Super Cache 1.3.1 или W3 Total Cache 0.9.2.9. В качестве временного решения можно отключить динамические сниппеты.
С подробным описанием уязвимостей можно ознакомиться по адресам:
http://www.securitylab.ru/vulnerability/439817.php
http://www.securitylab.ru/vulnerability/439824.php
Источник: http://www.securitylab.ru/news/439825.php
P/s письмо от хостера уже получил. Если не обновлю плагин, то будут отключать сайты на WordPress.
iphoster письмо прислал или другой?
iphoster письмо прислал или другой?
Да, пока что от iphoster.
Что-то ни на одном блоге не вышло воспроизвести даже <!–mfunc echo "ok"; –><!–/mfunc–>. Наверное, уже сам Wordpress как-то автоматическим апдейтом профиксил.
P/s письмо от хостера уже получил. Если не обновлю плагин, то будут отключать сайты на WordPress.
Не хостер, а прям заботливый, но строгий вождь.. :)
На самом деле спасибо за инфу.
Не хостер, а прям заботливый, но строгий вождь..
Бежать от таких вождей надо.
Ну то, что предупредил - оно конечно плюс, но вот за то, что лезет к файлам юзерам - руки отрывать надо. По самые гланды.
Вместо того, что бы озаботиться безопасностью клиентов он(и) начинают костыли изготавливать. Да ещё и отключать сайты. (Неужели в их правилах такое есть?)
---------- Добавлено 26.04.2013 в 20:28 ----------
По уязвимости.
Конечно, уязвимость есть, и обновлять эти плаги безусловно надо. НО!!
Давайте же мозг включать, а не только на заголовки реагировать.
Читаем по вышеприведённым ссылкам:
Перевожу: нужно зайти в админку (или по XML-RPC) и отредактировать пост, вписав в него зловредный код.
Вопрос - нафик злоумышленнику эти танцы с бубнами, если он УЖЕ получил доступ к сайту?
Единственный вариант - если злоумышленником является редактор, взятый "со стороны". Но и тут есть несколько условий.
Т.е. вероятность использования уязвимости - 0,1%
Это да, как бэ опасней.
Однако сработает только в том случае, если в комментах разрешено выполнение пхп. Но кто в здравом уме это будет разрешать?
Вывод - вероятность взлома ещё ниже.
Возвращаемся к хостеру. У меня на нём 150 сатов (гипотетически. В реальности я, к счастью, его не юзаю). Сатов, в которых я единственный админ, никаких плагов для выполнения пхп не юзаю.
ЗА ЧТО МЕНЯ ЛИШИЛ ДЕНЕГ ПОЛОУМНЫЙ ХОСТЕР?!