Уразливості в плагінах для WordPress №110
22:49 12.07.2013Продовжуючи тему уразливостей в плагінах для WordPress, пропоную вам інформацію про дірки в інших плагінах для WP.
Цього разу повідомляю про уразливості в плагінах WP Private Messages, Xorbin Analog Flash Clock та Xorbin Digital Flash Clock. Для котрих з’явилися експлоіти. WP Private Messages - це плагін для відправлення приватних повідомлень, Xorbin Analog Flash Clock - це аналоговий годинник на флеші, Xorbin Digital Flash Clock - це цифровий годинник на флеші.
- WordPress WP-Private-Messages SQL Injection (деталі)
- Xorbin Analog Flash Clock 1.0 For WordPress XSS (деталі)
- Xorbin Digital Flash Clock 1.0 For WordPress XSS (деталі)
Користувачам даних плагінів варто або оновити їх, або власноруч виправити дірки. В якості тимчасового рішення, поки не будуть виправлені чи оновлені плагіни, можна їх виключити в адмінці.
Субота, 14:43 13.07.2013
Плагіни взагалі краще старатися не юзати.
Субота, 16:59 13.07.2013
Без сумніву плагіни та шаблони до WP (чи інших движків) містять уразливості. Що додасть нових дірок на сайт, якщо їх використовувати. Але іноді вони потрібні, коли в движку немає якогось функціоналу і потрібно його додати на сайт. В таких випадках потрібно проводити аудит цих плагінів і шаблонів движка.
Неділя, 07:31 14.07.2013
Ну потрібну функцію можна додати і вручну. без плагіну.
Неділя, 15:42 14.07.2013
Щоб її додати, потрібно вміти програмувати (тобто до більшості власників сайтів це не підійде, мало хто з них є веб розробником), тому для них зовнішні компоненти - це єдиний варіант. При цьому, в самописному коді також можуть бути уразливості, тому його теж слід перевіряти. Так що будь-то движок, або сторонній чи власний код - все це потрібно перевіряти на уразливості.
Сам я більшу частину додаткових функцій додав в WP сам. Але деякі плагіни все ж таки використовую, зокрема капчу (не було бажання створювати власну капчу). При цьому провівши аудит і виправивши уразливість в цьому плагіні
.