Kategoria: Wykryte błędy

  • Trawa jest zielona: serwisy oferujące spiracone motywy i wtyczki utworzyły olbrzymią sieć zhakowanych stron

    Trawa jest zielona: serwisy oferujące spiracone motywy i wtyczki utworzyły olbrzymią sieć zhakowanych stron

    Nie napiszę tu nic, co byłoby zaskoczeniem dla przeciętnie ogarniętego użytkownika WordPressa: jeśli jakiś motyw czy wtyczka jest płatna, a w sieci jest strona oferująca ją za darmo, strona ta nie robi tego bez powodu. Wiadomo to od dawna, choć do tej pory nie znaliśmy skali tego problemu. Teraz już wiemy dzięki analizie jakiej dokonał […]

  • Co za śmietnik. Wydano nowego WordPressa, który świadomie psuje niektóre strony

    Co za śmietnik. Wydano nowego WordPressa, który świadomie psuje niektóre strony

    Edycja: przejrzałem diffa dla wydanego 4.9.9 i tam też te poprawki są, na wypadek gdyby ktoś używał Gutenberga jako wtyczki. Niedawno pisałem, że po wydaniu WordPressa 5.0 warto się wstrzymać i poczekać na 5.0.1 bo będzie zawierać poprawki przywracające kompatybilność z niektórymi innymi wtyczkami. Jest jednak gorzej niż mógłbym przewidzieć. Właśnie wydano 5.0.1. Trochę się […]

  • Setki stron przejętych przez dziurę we wtyczce WP GDPR Compliance. Jak wyglądał atak?

    Setki stron przejętych przez dziurę we wtyczce WP GDPR Compliance. Jak wyglądał atak?

    Wtyczka jest już załatana, ale na forach i grupach WordPressowych cały czas zgłaszają się osoby wystraszone faktem, że nagle ich strona przestała działać lub robi nie to, czego właściciel oczekuje. Nic dziwnego: po wejściu w życie RODO, WP GDPR Compliance stała się nagle jedną z najpopularniejszych wtyczek dobijając do ponad 100 tysięcy instalacji. A że […]

  • Dziura w WooCommerce umożliwiała przejęcie konta administratora

    Dziura w WooCommerce umożliwiała przejęcie konta administratora

    Specjaliści z RipsTech wykryli poważny błąd w WooCommerce umożliwiający przejęcie konta administratora WordPressa. Błąd jest już naprawiony (najstarsza podatna wersja WC to 3.4.5) i wymaga nieco socjotechniki, ale i tak warto przyjrzeć się na czym polegał, zwłaszcza, że całe włamanie musiałoby być wieloetapowe. Co więcej WooCommerce 3.4.6 naprawia tylko jeden z etapów włamania, wszystkie inne […]

  • Niezałatana dziura w najnowszym WordPressie: można kasować pliki na serwerze

    Niezałatana dziura w najnowszym WordPressie: można kasować pliki na serwerze

    Specjaliści z Ripstech właśnie opublikowali informację o błędzie bezpieczeństwa w WordPressie i co najgorsze: błędzie wciąż nienaprawionym także w najnowszym wydaniu WP. Od razu napiszę, że po przeczytaniu opisu, postanowiłem na szybko zrobić i opublikować wtyczkę, która przed tym błędem zabezpiecza. Błąd jest niebezpieczny, bo pozwala nawet skasować całą posiadaną przez nas stronę. Jednak jak […]

  • Fatalny błąd w WordPressie, kolejną aktualizację musisz zrobić ręcznie

    Fatalny błąd w WordPressie, kolejną aktualizację musisz zrobić ręcznie

    To było bardzo przyjemne gdy WordPress aktualizował się automatycznie bez twojej wiedzy, prawda? Doceniali to szczególnie ci, którzy posiadają więcej niż jedną stronę. Nie bez powodu piszę w czasie przeszłym, bowiem ostatnia aktualizacja sprzed kilku dni popsuła ten mechanizm i w efekcie teraz jak to czytasz miliony ludzi wchodzą do swoich Kokpitów i klikają przycisk […]

  • Stworzyłeś nowy szablon w motywie i… go nie widać. Oto rozwiązanie.

    Stworzyłeś nowy szablon w motywie i… go nie widać. Oto rozwiązanie.

    Wraz z wydaniem WordPressa 4.9 pojawił się w nim silniejszy sposób keszowania niektórych elementów. A wraz z tym mechanizmem dostajemy bardzo niewygodny błąd. Jeśli ktoś z Was próbował w ostatnich dniach dodać do swojego motywu szablon do wyświetlania treści (template) być może już zauważył, że na stronie edycji wpisu, w polu do wybierania szablonu, owego […]

  • Autor dziury w TimThumb przyznaje się po latach, że to on

    Autor dziury w TimThumb przyznaje się po latach, że to on

    Pamiętacie potężną w skutkach dziurę w skrypcie TimThumb, która rozłożyła na łopatki lata temu miliony stron opartych o WordPressa? Ten mały skrypcik często dołączany do różnych motywów czy wtyczek aby ułatwić przycinanie obrazków do określonych rozmiarów pozwalał także wysłać na serwer dowolny skrypt php, który pozwalał na przejęcie władzy nad stroną. Po latach autor małej przeróbki w […]

  • Wyciek „Panama Papers” przez dziurę w WordPressowej wtyczce?

    Wyciek „Panama Papers” przez dziurę w WordPressowej wtyczce?

    Pojawiła się ciekawa teoria, że wyciek danych osób ukrywających swoje finanse w rajach podatkowych, zwany „Panama Papers” to także przykład do czego może prowadzić  nieaktualizowanie WordPressa i zainstalowanych na nim wtyczek i motywów. Serwis WordFence poddał analizie stronę firmy Mossack Fonseca i zauważył, że w istocie działa ona na WordPressie. Wśród zainstalowanych wtyczek znalazła się […]

  • WordPress 3.8.3, czyli poprawka, której nikt nie potrzebuje

    WordPress 3.8.3, czyli poprawka, której nikt nie potrzebuje

    Już za chwilę Wasze WordPressy zaczną się automatycznie aktualizować do wersji 3.8.3. Pozwólcie więc im na to, a w międzyczasie przeczytajcie ten krótki wpis o tym, że aktualizacja ta jest w ogóle niepotrzebna. Gdy wydawano dość ważną wersję 3.8.2 przypadkiem zakradła się mała wada: widżet kokpitu o nazwie „Szybki Szkic” uległ awarii i jeśli ktoś […]