На сайт постійно спамлять комментарями.

Vetal

На відміну від XSS уразливості в плагіні Tagcloud для DLE, про яку йшлося раніше, капча в DLE була достатньо надійна. Без наявності уразливостей (в алгоритмі), що дозволяють її обійти, про які я розповідав в своєму проекті Місяць багів в Капчах. Тому й проблем зі спамом на вашому сайті бути не повинно.

Але раз такі проблеми є, значить капча (що встановлена на сторінці реєстрації та інших сторінках) не справляється зі своєю задачею. Вірогідно DLE-шну капчу обійшли за допомогою OCR. Тому раджу змінити капчу, наприклад, на Рекапчу (може є відповідний плагін для DLE, або власноруч її встановити).

а існує нормальний tagcloud.swf без уразливостей?

Так, розробник WP-Cumulus, Рой, виправив XSS дірку, після того як я йому повідомив. Але все ще залишається HTML Injection уразливість, про яку я писав у вищезгаданій статті “XSS уразливості в 34 мільйонах флеш файлах”.

Так що ти можеш взяти пофіксену версію tagcloud.swf з сайта Роя, але вона все ще має HTML Injection. Про це я з ним говорив і надав йому поради, щодо виправленні й цієї дірки. Але враховуючи те, що в тебе на сайті використовується движок, то спочатку потрібно буде перевірити, чи нова версія tagcloud.swf нормально працює з даним плагіном під DLE.

Завжди будь ласка.

Як я писав в статті XSS уразливості в 34 мільйонах флеш файлах, в Інтернеті існує до 34 мільйонів файлів tagcloud.swf (і потенційно навіть більше) вразливих до XSS та HTML Injection атак. Тобто це приблизно 34 мільйонів вразливих веб сайтів, з них приблизно 273000 вразливих gov-сайтів.

Це дуже велика кількість сайтів, тому я фізично не взмозі повідомити всім власникам сайтів. Тому я повідомив, ще у листопаді, розробнику tagcloud.swf і автору плагіна WP-Cumulus (з якого і взяли цей файл розробники інших плагінів для різних движків), який вже виправив XSS уразливість. А також окремо повідомив декільком розробникам плагінів, що використовують tagcloud.swf. І опублікував свою вищезгадану статтю в західних секюрити розсилках, щоб привернути увагу громадськості до цієї проблеми.

Далі вже девелопери та адміни сайтів повинні зайнятися виправленням цих дірок на своїх ресурсах. При бажанні ти можеш написати своїм колегам з інших вищезгаданих державних установ та дати їм лінку на цю сторінку, щоб і вони повиправляли дірки в себе на сайтах.