Przeglądasz artykuły z kategorii "Bezpieczeństwo"
Gru
13
2018

Co za śmietnik. Wydano nowego WordPressa, który świadomie psuje niektóre strony

Edycja: przejrzałem diffa dla wydanego 4.9.9 i tam też te poprawki są, na wypadek gdyby ktoś używał Gutenberga jako wtyczki. Niedawno pisałem, że po wydaniu WordPressa 5.0 warto się wstrzymać i poczekać na 5.0.1 bo będzie zawierać poprawki przywracające kompatybilność z niektórymi innymi wtyczkami. Jest jednak gorzej niż mógłbym przewidzieć. Właśnie wydano 5.0.1. Trochę się zdziwiłem, bo nie dostałem informacji, że mój patch został już zatwierdzony. Sprawdziłem, nie został. Został przesunięty dziś w nocy do […]

Lis
13
2018

Setki stron przejętych przez dziurę we wtyczce WP GDPR Compliance. Jak wyglądał atak?

Wtyczka jest już załatana, ale na forach i grupach WordPressowych cały czas zgłaszają się osoby wystraszone faktem, że nagle ich strona przestała działać lub robi nie to, czego właściciel oczekuje. Nic dziwnego: po wejściu w życie RODO, WP GDPR Compliance stała się nagle jedną z najpopularniejszych wtyczek dobijając do ponad 100 tysięcy instalacji. A że w poprzednim tygodniu okazało się, że hakerzy taśmowo wykorzystują w niej podatność na atak, mamy takie a nie inne konsekwencje. […]

Cze
27
2018

Niezałatana dziura w najnowszym WordPressie: można kasować pliki na serwerze

Specjaliści z Ripstech właśnie opublikowali informację o błędzie bezpieczeństwa w WordPressie i co najgorsze: błędzie wciąż nienaprawionym także w najnowszym wydaniu WP. Od razu napiszę, że po przeczytaniu opisu, postanowiłem na szybko zrobić i opublikować wtyczkę, która przed tym błędem zabezpiecza. Błąd jest niebezpieczny, bo pozwala nawet skasować całą posiadaną przez nas stronę. Jednak jak to często bywa, aby błąd wykorzystać, atakujący musi się znaleźć w pewnych konkretnych warunkach. W tym wypadku atakujący musi mieć […]

Lis
21
2016

Autor dziury w TimThumb przyznaje się po latach, że to on

Pamiętacie potężną w skutkach dziurę w skrypcie TimThumb, która rozłożyła na łopatki lata temu miliony stron opartych o WordPressa? Ten mały skrypcik często dołączany do różnych motywów czy wtyczek aby ułatwić przycinanie obrazków do określonych rozmiarów pozwalał także wysłać na serwer dowolny skrypt php, który pozwalał na przejęcie władzy nad stroną. Po latach autor małej przeróbki w kodzie TimThumba (nie sam autor TimThumba, a jedynie autor patcha) przyznał się, że to on. Oczywiście nie było jego celem […]

Kwi
8
2016

Wyciek „Panama Papers” przez dziurę w WordPressowej wtyczce?

Pojawiła się ciekawa teoria, że wyciek danych osób ukrywających swoje finanse w rajach podatkowych, zwany „Panama Papers” to także przykład do czego może prowadzić  nieaktualizowanie WordPressa i zainstalowanych na nim wtyczek i motywów. Serwis WordFence poddał analizie stronę firmy Mossack Fonseca i zauważył, że w istocie działa ona na WordPressie. Wśród zainstalowanych wtyczek znalazła się odpowiedzialna za Revolution Slider, której administrator strony od lat nie aktualizował. Problem w tym, że w tym czasie we wtyczce […]

Kwi
9
2014

WordPress 3.8.2 i WordPress 3.9 RC1

Dziś w nocy polskiego czasu zostały wydane dwa nowe WordPressy. WordPress 3.8.2 to wydanie w linii stabilnej naprawiające kilka błędów, w tym jeden dość krytyczny błąd bezpieczeństwa polegający na podmianie ciasteczek uwierzytelniających. Więcej o tym wydaniu znajdziecie tutaj, a opis ataku znajduje się na blogu odkrywcy. Wasze WordPressy powinny do tej wersji zaktualizować się same automatycznie (jeśli tak sie nie stało, szybko zróbcie aktualizację ręczną). WordPress 3.9 RC1 to natomiast pierwsza wersja kandydująca do bycia […]

Wrz
6
2012

WordPress 3.4.2 – aktualizacja niemal kosmetyczna

Jest już na serwerach WordPress w wersji 3.4.2. Wraz z tą aktualizacją nie zostały dodane żadne nowe funkcje, co jest normalne w przypadku wydań opatrzonych liczbą po drugiej kropce. Wersja ta naprawia znalezione dotąd błędy i prowadza kilka usprawnień odnośnie bezpieczeństwa. Wspomniane poprawki to: poprawki niedociągnięć w Kokpicie widocznych w starszych przeglądarkach poprawka błędu powodującego, że podgląd instalowanej skórki może wyświetlać się nieprawidłowo zwiększono kompatybilność wtyczek w edytorem wizualnym w przypadku niektórych permalinków występował problem […]

Maj
9
2012

Szyfrowanie plików w /wp-content/uploads

Stanąłem przed problemem stworzenia zamkniętej sekcji na pewnym WordPressie. W ramach owej zamkniętej sekcji zalogowani użytkownicy mogą dodać lub zobaczyć wpis, który będzie widoczny tylko dla innych zalogowanych użytkowników. Temat nie nowy i przewałkowany na wiele sposobów, więc wiedziałem, że nie sprawi mi to większych problemów. Problem leżał jednak gdzie indziej. Dodając wpis zalogowani użytkownicy mogli dodać do niego poufny dokument jako załącznik. To też nie jest trudne, jednak jako, że taki dodawany plik lądować […]

Kwi
13
2012

Tak właśnie się włamią na Twojego bloga

Jeśli chcesz aby ktoś przejął twój blog, nie czytaj tego wpisu. Nawet nie zdajesz sobie sprawy, ale może twój blog już jest przejęty. I to w sposób zupełnie cichy, niewidoczny dla ciebie. W treści twoich wpisów znajdują się odnośniki do stron pornograficznych – odnośniki, których ty nie widzisz, ale inni (odwiedzający czy wyszukiwarki) owszem. Gdy ktoś odwiedza twoją witrynę, przy każdym odświeżeniu strony wysyłanych jest z twojego serwera kilkaset maili do różnych ludzi z zachętą […]

Lis
14
2011

Kolejne włamania do WordPressów – tym razem przez fałszywe jQuery

Muszę przyznać, że choć jednym z zadań jakie wykonuje, jest ochrona przed włamaniami oraz naprawianie szkód przez nie wywołanych, w jakiś tam sposób podziwiam włamywaczy. Jednak jedynie tych, którzy robią to w zaplanowany i wykwintny sposób. Taką właśnie metodę dopiero co wykrytą w kilku pluginach w repozytorium WordPressa opisał dziś WPMU. Włamywacz w kilku swoich pluginach umieścił odnośnik do fałszywego pliku biblioteki jQuery, tak, że nieuważna osoba mogłaby to przegapić (i najczęściej przegapiała). W ten […]

Strony:12»

Uwaga, leci reklama:

Firefox jest znów szybki!

Gdzie nas czytać?

Autorzy »
Komentujący »
#wpzlecenia »