Przeglądasz artykuły z kategorii "Wykryte błędy"
Lis
6
2018

Dziura w WooCommerce umożliwiała przejęcie konta administratora

Specjaliści z RipsTech wykryli poważny błąd w WooCommerce umożliwiający przejęcie konta administratora WordPressa. Błąd jest już naprawiony (najstarsza podatna wersja WC to 3.4.5) i wymaga nieco socjotechniki, ale i tak warto przyjrzeć się na czym polegał, zwłaszcza, że całe włamanie musiałoby być wieloetapowe. Co więcej WooCommerce 3.4.6 naprawia tylko jeden z etapów włamania, wszystkie inne nadal istnieją i być może da się je wciąż wykorzystać w innych wtyczkach. Po pierwsze osobą włamującą się musiał by […]

Cze
27
2018

Niezałatana dziura w najnowszym WordPressie: można kasować pliki na serwerze

Specjaliści z Ripstech właśnie opublikowali informację o błędzie bezpieczeństwa w WordPressie i co najgorsze: błędzie wciąż nienaprawionym także w najnowszym wydaniu WP. Od razu napiszę, że po przeczytaniu opisu, postanowiłem na szybko zrobić i opublikować wtyczkę, która przed tym błędem zabezpiecza. Błąd jest niebezpieczny, bo pozwala nawet skasować całą posiadaną przez nas stronę. Jednak jak to często bywa, aby błąd wykorzystać, atakujący musi się znaleźć w pewnych konkretnych warunkach. W tym wypadku atakujący musi mieć […]

Lut
7
2018

Fatalny błąd w WordPressie, kolejną aktualizację musisz zrobić ręcznie

To było bardzo przyjemne gdy WordPress aktualizował się automatycznie bez twojej wiedzy, prawda? Doceniali to szczególnie ci, którzy posiadają więcej niż jedną stronę. Nie bez powodu piszę w czasie przeszłym, bowiem ostatnia aktualizacja sprzed kilku dni popsuła ten mechanizm i w efekcie teraz jak to czytasz miliony ludzi wchodzą do swoich Kokpitów i klikają przycisk aktualizacji ręcznie by zaktualizować WordPressa do właśnie wydanej wersji 4.9.4. Jeśli jeszcze tego nie zrobiliście, nie odkładajcie tego na potem. […]

Lis
20
2017

Stworzyłeś nowy szablon w motywie i… go nie widać. Oto rozwiązanie.

Wraz z wydaniem WordPressa 4.9 pojawił się w nim silniejszy sposób keszowania niektórych elementów. A wraz z tym mechanizmem dostajemy bardzo niewygodny błąd. Jeśli ktoś z Was próbował w ostatnich dniach dodać do swojego motywu szablon do wyświetlania treści (template) być może już zauważył, że na stronie edycji wpisu, w polu do wybierania szablonu, owego nie widać. Jeśli ktoś ma dużo czasu i mu się nie spieszy w pracy (albo zarabia od każdej spędzonej godziny) […]

Lis
21
2016

Autor dziury w TimThumb przyznaje się po latach, że to on

Pamiętacie potężną w skutkach dziurę w skrypcie TimThumb, która rozłożyła na łopatki lata temu miliony stron opartych o WordPressa? Ten mały skrypcik często dołączany do różnych motywów czy wtyczek aby ułatwić przycinanie obrazków do określonych rozmiarów pozwalał także wysłać na serwer dowolny skrypt php, który pozwalał na przejęcie władzy nad stroną. Po latach autor małej przeróbki w kodzie TimThumba (nie sam autor TimThumba, a jedynie autor patcha) przyznał się, że to on. Oczywiście nie było jego celem […]

Kwi
8
2016

Wyciek „Panama Papers” przez dziurę w WordPressowej wtyczce?

Pojawiła się ciekawa teoria, że wyciek danych osób ukrywających swoje finanse w rajach podatkowych, zwany „Panama Papers” to także przykład do czego może prowadzić  nieaktualizowanie WordPressa i zainstalowanych na nim wtyczek i motywów. Serwis WordFence poddał analizie stronę firmy Mossack Fonseca i zauważył, że w istocie działa ona na WordPressie. Wśród zainstalowanych wtyczek znalazła się odpowiedzialna za Revolution Slider, której administrator strony od lat nie aktualizował. Problem w tym, że w tym czasie we wtyczce […]

Kwi
14
2014

WordPress 3.8.3, czyli poprawka, której nikt nie potrzebuje

WordPress MultiSite

Już za chwilę Wasze WordPressy zaczną się automatycznie aktualizować do wersji 3.8.3. Pozwólcie więc im na to, a w międzyczasie przeczytajcie ten krótki wpis o tym, że aktualizacja ta jest w ogóle niepotrzebna. Gdy wydawano dość ważną wersję 3.8.2 przypadkiem zakradła się mała wada: widżet kokpitu o nazwie „Szybki Szkic” uległ awarii i jeśli ktoś spróbowałby za jego pomocą dodać nową treść, straciłby wszystko co tam wpisał. Z faktu, że nikt tego widżeta tak naprawdę […]

Kwi
9
2014

WordPress 3.8.2 i WordPress 3.9 RC1

Dziś w nocy polskiego czasu zostały wydane dwa nowe WordPressy. WordPress 3.8.2 to wydanie w linii stabilnej naprawiające kilka błędów, w tym jeden dość krytyczny błąd bezpieczeństwa polegający na podmianie ciasteczek uwierzytelniających. Więcej o tym wydaniu znajdziecie tutaj, a opis ataku znajduje się na blogu odkrywcy. Wasze WordPressy powinny do tej wersji zaktualizować się same automatycznie (jeśli tak sie nie stało, szybko zróbcie aktualizację ręczną). WordPress 3.9 RC1 to natomiast pierwsza wersja kandydująca do bycia […]

Wrz
11
2013

WordPress 3.6.1 – poprawka bezpieczeństwa!

Przed chwilą została wydana nowa wersja WordPressa oznaczona numerem 3.6.1 i co bardzo ważne jest to aktualizacja bezpieczeństwa. Z tego powodu aktualizacja jest bardzo zalecana i najlepiej przeprowadzić ją niezwłocznie. Poza poprawkami bezpieczeństwa naprawiono 13 znalezionych  do tej pory błędów mniejszego kalibru, jakie wykryto w wersji 3.6. Błędy bezpieczeństwa są dość znaczące, jednak na szczęście zagrażają tylko WordPresom zainstalowanym na specyficznie skonfigurowanych interpreterach języka PHP. Mówię tu głównie o problemie jaki odkryto w sferze deserializacji […]

Sty
25
2013

WordPress 3.5.1 czyli popraweczki

wordpress-3.5

Właśnie w Waszych Kokpitch powinien pojawić się guzik do aktualizacji WordPressa do kolejnej wersji 3.5.1 :) Co nowego? O tym wszystkim dowiecie się we wpisie na temat tego wydania. A tym wszystkim, komu nie chce się tam zaglądać lub rozszyfrowywać języka angielskiego wyjaśniam: jest to wydanie z poprawkami błędów (w tym kilka błędów bezpieczeństwa), jakie dostrzeżono już po publikacji 3.5 Żadne nowe funkcje nie zostały dodane.

Strony:12»

Uwaga, leci reklama:

Firefox jest znów szybki!

Gdzie nas czytać?

Autorzy »
Komentujący »
#wpzlecenia »