Уразливості в плагінах для WordPress №26
23:52 31.01.2011Продовжуючи тему уразливостей в плагінах для WordPress, пропоную вам інформацію про дірки в інших плагінах для WP.
Цього разу повідомляю про уразливості в плагінах WP Featured Post With Thumbnail, RSS Feed Reader For WordPress та Recip.ly Plugin. Для котрих з’явилися експлоіти. WP Featured Post With Thumbnail - це плагін для виведення рекомендованих записів, RSS Feed Reader For WordPress - це плагін для виведення RSS фідів у вигляді HTML, Recip.ly Plugin - це плагін для роботи з рецептами.
- WordPress WP Featured Post With Thumbnail 3.0 Cross Site Scripting (деталі)
- WordPress RSS Feed Reader For WordPress 0.1 Cross Site Scripting (деталі)
- WordPress Recip.ly Plugin 1.1.7 Shell Upload (деталі)
Користувачам даних плагінів варто або оновити їх, або власноруч виправити дірки. В якості тимчасового рішення, поки не будуть виправлені чи оновлені плагіни, можна їх виключити в адмінці.
Середа, 19:31 02.02.2011
Авторе, ви не були б ласкавими прокоментувати ось такий випадок: http://webin.com.ua/2011/01/wordpress-hacked-stupid-hacker/ В сенсі, що то таке, внаслідок чого таке трапилось і як із цим боротися, щоби більше такого не було. Коротше, хто винний і що робити?
П'ятниця, 21:53 04.02.2011
Дмитро
Про діяльність цього хакера Stupid я вже писав декілька разів - в Уанеті він в цьому році почав активну діяльність (в попередні роки його в нас не було). Цей діяч - один з багатьох хакерів, які щороку взламують сотні сайтів та інфікують ще сотні сайтів в Уанеті, про що я пишу в своїх дослідженнях ще з 2006 року. Так що твій випадок - це краплина в морі хакерської активности в Уанеті.
Хто винний цілком очевидно - вина в першу чергу на власникові сайта. Про діряві, взломані та інфіковані сайти, в тому числі в Уанеті, я пишу щодня, тому я добре знаю дану ситуацію в Уанеті (за шість років своєї діяльності). І ти не один забиваєш на безпеку - в Україні 99% всіх власників і адмінів сайтів забивають на безпеку (чи зовсім чи дуже сильно економлять на ній), веб девелопери так само. Звинувачувати хакера марна справа - бо він, за звичай, далеко і йому байдуже
(тим паче ти сам дозволив йому побешкетувати не слідкуючи за безпекою власного сайту).
Вина розробників дірявого Программного Забезпечення також є, але ти сам вибирав яке ПЗ (діряве) ставити на свій сайт, от і маєш наслідки. Тим паче я на протязі багатьох років пишу про дірки в WordPress і плагінах до WP, тому всі бажаючі (й ти в тому числі) могли з цим ознайомитися і зробити правильний вибір. А враховуючи, що дане ПЗ, яке ти використовуєш, це безкоштовне і опенсорсне ПЗ, то у випадку такого ПЗ розробники за звичай знімають з себе відповідальність (в тому числі деякі про це офіційно заявляють), і це цілком зрозуміло - вони надають свої програми AS IS, тобто без жодних гарантій і без жодної відповідальності за його використання. Так що в даному випадку повна відповідальність за сайт і його ПЗ лежить на тобі й тобі потрібно вирішувати проблеми з дірявим ПЗ.
Що робити - слідкувати за безпекою сайту. Про базові підходи до забезпечення безпеки сайтів я розповідав в своїй першій доповіді на конференції CodeCamp 2009 “Сучасний стан безпеки Уанету та тенденції безпеки в Інтернеті“. А дірок на сайті в тебе більш ніж вистачає (що до оновлення движка до останнанньої версії, що після нього), тому не дивні подібні інциденти.
Лише повне виправлення всіх уразливостей може дати тобі впевненість в тому, що взломів сайту більше не відбудеться. Виправляти дірки потрібно як у WP, так і в усіх плагінах та у всіх інших веб додатках на сайті. Ясна річ паролі до адмінки і ftp також повинні бути надійні й вірусів на ПК (що можуть вкрасти паролі) також бути не повинно.