- Поисковые системы
- Практика оптимизации
- Трафик для сайтов
- Монетизация сайтов
- Сайтостроение
- Социальный Маркетинг
- Общение профессионалов
- Биржа и продажа
- Финансовые объявления
- Работа на постоянной основе
- Сайты - покупка, продажа
- Соцсети: страницы, группы, приложения
- Сайты без доменов
- Трафик, тизерная и баннерная реклама
- Продажа, оценка, регистрация доменов
- Ссылки - обмен, покупка, продажа
- Программы и скрипты
- Размещение статей
- Инфопродукты
- Прочие цифровые товары
- Работа и услуги для вебмастера
- Оптимизация, продвижение и аудит
- Ведение рекламных кампаний
- Услуги в области SMM
- Программирование
- Администрирование серверов и сайтов
- Прокси, ВПН, анонимайзеры, IP
- Платное обучение, вебинары
- Регистрация в каталогах
- Копирайтинг, переводы
- Дизайн
- Usability: консультации и аудит
- Изготовление сайтов
- Наполнение сайтов
- Прочие услуги
- Не про работу
Тренды маркетинга в 2024 году: мобильные продажи, углубленная аналитика и ИИ
Экспертная оценка Адмитад
Оксана Мамчуева
Авторизуйтесь или зарегистрируйтесь, чтобы оставить комментарий
Действительно ли с помощью так называемого метода SQL-инъекции, без авторизации и знания пароля и логина от базы данных MySQL сервера в WordPress движке можно поменять ссылку сайта в таблице wp_options, строка siteurl тем самым он немного перестанет работать?
можно, но для этого надо чтобы ваша версия была уязвима. Например в 2017 году https://blog.ircmaxell.com/2017/10/disclosure-wordpress-wpdb-sql-injection-technical.html
Действительно. На WP особенно надо ставить всякие защиты. Обычно там через уязвимые плагины фигачат. SQL это меньшая из проблем, вот когда создадут учетку и вкинут через нее шелл, получат доступ к файлам, то беды не оберетесь.
тем самым он немного перестанет работать?
Можно вытянуть хэш админского пароля, при удачном стечении обстоятельств подобрать пароль, и получить полный контроль над сайтом.
Можно вытянуть хэш админского пароля, при удачном стечении обстоятельств подобрать пароль, и получить полный контроль над сайтом.
Интересно, а проапдейтить хеш нельзя ? Только получить ?
Поставить в Apache или nginx модуль mod_security.
Интересно, а проапдейтить хеш нельзя ? Только получить ?
Инъекций на апдейт практически не бывает. Если совсем с дубу не рухнуть и не написать такой самопис, в котором это возможно. Хотя, например, уязвимость php+mysql 2015 года допускала нечто подобное, но это не чистая SQL-инъекция и скорее исключение, чем правило. Обычно в случаях INSERT и UPDATE поражается таблица, заранее заданная в скрипте, а не произвольная, как в классической инъекции.
Спасибо за ответы, так значит смена пароля к базе данных не поможет и непонятно такой вариант — это SQL-инъекция или получили полный доступ к базе данных, если это сделано через бреши в защите плагинов, то вот вопрос как узнать через какой.
Dmitriy_2014, анализируйте логи доступа.
Sitealert, Если их не почистили хакиры:)