Kategoria: Bezpieczeństwo

  • Trawa jest zielona: serwisy oferujące spiracone motywy i wtyczki utworzyły olbrzymią sieć zhakowanych stron

    Trawa jest zielona: serwisy oferujące spiracone motywy i wtyczki utworzyły olbrzymią sieć zhakowanych stron

    Nie napiszę tu nic, co byłoby zaskoczeniem dla przeciętnie ogarniętego użytkownika WordPressa: jeśli jakiś motyw czy wtyczka jest płatna, a w sieci jest strona oferująca ją za darmo, strona ta nie robi tego bez powodu. Wiadomo to od dawna, choć do tej pory nie znaliśmy skali tego problemu. Teraz już wiemy dzięki analizie jakiej dokonał…

  • Co zrobić gdy WordPress działał, ale przestał? Podstawy debugowania

    Co zrobić gdy WordPress działał, ale przestał? Podstawy debugowania

    Pozwólcie, że napiszę tu krótki poradnik jakie powinny być pierwsze kroki gdy WordPress w jakikolwiek sposób przestaje Wam działać. Początkujący użytkownicy WordPressa bowiem gdy widzą, że na przykład po aktualizacji WordPressa nie da się czegoś zrobić, idą na różne fora, zadają pytania i w odpowiedzi dostają niemal zawsze ten sam zestaw pytań i próśb o…

  • Co za śmietnik. Wydano nowego WordPressa, który świadomie psuje niektóre strony

    Co za śmietnik. Wydano nowego WordPressa, który świadomie psuje niektóre strony

    Edycja: przejrzałem diffa dla wydanego 4.9.9 i tam też te poprawki są, na wypadek gdyby ktoś używał Gutenberga jako wtyczki. Niedawno pisałem, że po wydaniu WordPressa 5.0 warto się wstrzymać i poczekać na 5.0.1 bo będzie zawierać poprawki przywracające kompatybilność z niektórymi innymi wtyczkami. Jest jednak gorzej niż mógłbym przewidzieć. Właśnie wydano 5.0.1. Trochę się…

  • Setki stron przejętych przez dziurę we wtyczce WP GDPR Compliance. Jak wyglądał atak?

    Setki stron przejętych przez dziurę we wtyczce WP GDPR Compliance. Jak wyglądał atak?

    Wtyczka jest już załatana, ale na forach i grupach WordPressowych cały czas zgłaszają się osoby wystraszone faktem, że nagle ich strona przestała działać lub robi nie to, czego właściciel oczekuje. Nic dziwnego: po wejściu w życie RODO, WP GDPR Compliance stała się nagle jedną z najpopularniejszych wtyczek dobijając do ponad 100 tysięcy instalacji. A że…

  • Niezałatana dziura w najnowszym WordPressie: można kasować pliki na serwerze

    Niezałatana dziura w najnowszym WordPressie: można kasować pliki na serwerze

    Specjaliści z Ripstech właśnie opublikowali informację o błędzie bezpieczeństwa w WordPressie i co najgorsze: błędzie wciąż nienaprawionym także w najnowszym wydaniu WP. Od razu napiszę, że po przeczytaniu opisu, postanowiłem na szybko zrobić i opublikować wtyczkę, która przed tym błędem zabezpiecza. Błąd jest niebezpieczny, bo pozwala nawet skasować całą posiadaną przez nas stronę. Jednak jak…

  • Autor dziury w TimThumb przyznaje się po latach, że to on

    Autor dziury w TimThumb przyznaje się po latach, że to on

    Pamiętacie potężną w skutkach dziurę w skrypcie TimThumb, która rozłożyła na łopatki lata temu miliony stron opartych o WordPressa? Ten mały skrypcik często dołączany do różnych motywów czy wtyczek aby ułatwić przycinanie obrazków do określonych rozmiarów pozwalał także wysłać na serwer dowolny skrypt php, który pozwalał na przejęcie władzy nad stroną. Po latach autor małej przeróbki w…

  • Wyciek „Panama Papers” przez dziurę w WordPressowej wtyczce?

    Wyciek „Panama Papers” przez dziurę w WordPressowej wtyczce?

    Pojawiła się ciekawa teoria, że wyciek danych osób ukrywających swoje finanse w rajach podatkowych, zwany „Panama Papers” to także przykład do czego może prowadzić  nieaktualizowanie WordPressa i zainstalowanych na nim wtyczek i motywów. Serwis WordFence poddał analizie stronę firmy Mossack Fonseca i zauważył, że w istocie działa ona na WordPressie. Wśród zainstalowanych wtyczek znalazła się…

  • WordPress 3.8.2 i WordPress 3.9 RC1

    WordPress 3.8.2 i WordPress 3.9 RC1

    Dziś w nocy polskiego czasu zostały wydane dwa nowe WordPressy. WordPress 3.8.2 to wydanie w linii stabilnej naprawiające kilka błędów, w tym jeden dość krytyczny błąd bezpieczeństwa polegający na podmianie ciasteczek uwierzytelniających. Więcej o tym wydaniu znajdziecie tutaj, a opis ataku znajduje się na blogu odkrywcy. Wasze WordPressy powinny do tej wersji zaktualizować się same…

  • WordPress 3.4.2 – aktualizacja niemal kosmetyczna

    WordPress 3.4.2 – aktualizacja niemal kosmetyczna

    Jest już na serwerach WordPress w wersji 3.4.2. Wraz z tą aktualizacją nie zostały dodane żadne nowe funkcje, co jest normalne w przypadku wydań opatrzonych liczbą po drugiej kropce. Wersja ta naprawia znalezione dotąd błędy i prowadza kilka usprawnień odnośnie bezpieczeństwa. Wspomniane poprawki to: poprawki niedociągnięć w Kokpicie widocznych w starszych przeglądarkach poprawka błędu powodującego,…

  • Szyfrowanie plików w /wp-content/uploads

    Szyfrowanie plików w /wp-content/uploads

    Stanąłem przed problemem stworzenia zamkniętej sekcji na pewnym WordPressie. W ramach owej zamkniętej sekcji zalogowani użytkownicy mogą dodać lub zobaczyć wpis, który będzie widoczny tylko dla innych zalogowanych użytkowników. Temat nie nowy i przewałkowany na wiele sposobów, więc wiedziałem, że nie sprawi mi to większych problemów. Problem leżał jednak gdzie indziej. Dodając wpis zalogowani użytkownicy…