Все для WORDPRESS

В WordPress предупреждают о том, что среди пользователей платформы начал распространяться “умный” червь, использующий старую уязвимость в системе безопасности.

Компания предостерегает, что распространение червя продолжается, и что обнаружить его удалось лишь из-за недоработок в коде вредоносной программы.

Представители фирмы пишут, что данный конкретный червь, как и многие его предшественники, достаточно “умен” – он регистрирует пользователей и эксплуатирует пропатченный ранее баг в системе безопасности для выполнения кода через структуру постоянных ссылок (Permalink). Червь получает права администратора, использует JavaScript для маскировки на пользовательских страницах и пытается замести следы своей деятельности, в результате чего жертва остается в неведении относительно вредоносной активности программы, которая вставляет спам и опасные приложения в старые сообщения.

В результате плохой реализации замысла червь коверкает ссылки на странице пользователя, предупреждая его наличием странностей.

Текущая версия WordPress за номером 2.8.4 не подвержена заражению этим червем, поэтому разработчик настойчиво рекомендует всем клиентам обновиться как можно скорее, поскольку это единственный способ борьбы с данной заразой.

Уязвимость в функции восстановления пароля, может дать возможность любому заблокировать учетную запись администратора.

После выхода нового обновления безопасности WordPress 2.8.3 появилась опасная уязвимость, которая позволяет заблокировать учетную запись администратора в их же в блоге. Использование онлайн функцию сброса пароля, злоумышленники могут удаленно сбросить пароль администратора.

В стандартной ситуации, с точки зрения пользователя, восстанавливая свой пароль, они в первую очередь используют функцию «Восстановить пароль» используя имеющуюся ссылку ссылку. Пользователь получает по электронной почте на зарегистрированный аккаунт, сообщение, содержащее ссылку проверки, при нажатии на которую происходит удаление старого пароля и заменяет его на новый. Этот новый пароль будет вновь отправлен на почту. И в последствии вход в свой аккаунт совершается уже с использованием нового пароля.

Этот же сценарий мпозволяет сбросить и пароль администратора. Достаточно знать лишь почту администратора. Все эти действия можно сделать из простого окна браузера.

Эта уязвимость может быть использована только для сброса пароля администратора, но не более того.

Уже сейчас эту досадную и не очень приятную ошибку разработчиков можно исправить. Нужно зайти по FTP в папку где размещен ваш блог. Найти в корне фаил WP-login.php…

Найти в нем:
if ( empty( $key ) )

Заменить на:
if ( empty( $key ) || is_array( $key ) )

Для владельцев, которые уже были заблокированы, WordPress рекомендуется повторно пройти процедуру восстановления пароля. И по возможности сменить в профиле почту для восстановления пароля.

Функциональных изменений – никаких, только обновление безопасности движка (уязвимость XSS).

Вышло обновление, рекомендую всем скачать и установить. Исправлены мелкие недочеты после выхода финальной версии.

Вас интересует недвижимость, но нет денег на ее покупку? Вам помогут ипотечные кредиты. Сейчас упали проценты по кредиту и выросли сроки возврата, поспешите.

Несколько часов  назад в блоге WordPress, объявили о выходе новой версии WordPress 2.8. Пока качаем английскую версию. В этой версии закончили усовершенствование работы с темами и виджетами.  В релизе исправлено более 790 ошибок. Я как всегда буду ждать версию на русском языке от lecactusa.

Поздравьте своего любимого человека используя смс поздравления в стихах. особенно если Вы стесняетесь сделать это в реале ! Или используйте бесплатные объявления в газете. Это будет оригинально!