[Помогите] Подвержен ли wordpress 2.7.1 атаке?

Тема в разделе "Wordpress", создана пользователем Ad1ce, 6 сен 2009.

Статус темы:
Закрыта.
Модераторы: Sorcus
  1. Ad1ce

    Ad1ce Постоялец

    Регистр.:
    18 авг 2009
    Сообщения:
    110
    Симпатии:
    25
    Сейчас в блогосфере массовые посты про хак вордпресса. Но все они про то, как восстановить блог после хака. Саму же инъекцию нигде не видел. Кто нибудь может указать ее, чтоб протестировать?
    И второй вопрос - нигде не указывалось, блоги какой версии были взломаны. Надо ли обновлять wordpress 2.7.1?
     
  2. HeavyHell

    HeavyHell

    Заблокирован
    Регистр.:
    15 апр 2006
    Сообщения:
    278
    Симпатии:
    71
    Нужно, если не ошибаюсь в 2,7,1 можно оставлять уже проапрувленный комент
     
    Ad1ce нравится это.
  3. sw04

    sw04 seoplayer

    Регистр.:
    1 дек 2007
    Сообщения:
    601
    Симпатии:
    193
    xss в комментариях открыт + сброс пароля администратора + если открыта регистрация, возможен слив трафика с блога.
     
    Ad1ce нравится это.
  4. tatams

    tatams

    Регистр.:
    15 май 2009
    Сообщения:
    501
    Симпатии:
    84
    А фиксы уже изобрели?
     
  5. rewiaca

    rewiaca

    Регистр.:
    29 апр 2009
    Сообщения:
    192
    Симпатии:
    30
    подобные xss предупреждаются плагином "Random wordpress version", он в исходном коде вордпресса подменяет инфу о текущей версии
     
  6. ZM2007

    ZM2007

    Регистр.:
    16 окт 2007
    Сообщения:
    189
    Симпатии:
    82
    Комманда Wordpress рекомендует обновится до последней версии.

    Конкретной версии не указано наверное потому, что они сами не знают как работает уязвимость и какие именно версии уязвимы, возможно 2.8.4 тоже подвержена этой уязвимости.

    Но обновляться нужно в любом случае.
     
  7. Olimp

    Olimp Постоялец

    Регистр.:
    31 янв 2007
    Сообщения:
    51
    Симпатии:
    10
    Если даже Кактус пишет о взломе, то скорее всего и последняя версия содержит уязвимость
    http://lecactus.ru/2009/09/06/4712/
     
  8. Деймос

    Деймос

    Регистр.:
    29 ноя 2008
    Сообщения:
    228
    Симпатии:
    53
    Хм... склонен не согласиться, сброс пароля не делается, xss в комментариях тоже не замечал.... про регистрацию не знаю... Можно как то более подробно о xss и сбросе пароля (лучше в личку, чтобы школьники не баловались), просто сам блог на 2.7.1 держу. Просто если действительно есть такие уязвимости, надо обновляться. А если нет, то пока на 2.7.1 останусь, ну не сколько не хуже 2.8.х.
     
  9. HeavyHell

    HeavyHell

    Заблокирован
    Регистр.:
    15 апр 2006
    Сообщения:
    278
    Симпатии:
    71
    Как пример... там же и остальное
    http://www.milw0rm.com/exploits/9410
     
  10. zagrenat

    zagrenat

    Регистр.:
    26 дек 2006
    Сообщения:
    216
    Симпатии:
    58
    так ведь по этому принципу можно просто вырезать из wp-login.php

    case 'resetpass' :

    и все что с ним связано, на некоторео время покарйне мере, пока не пофиксят )

    хотя в данном случае у меня блог ломанули не по этому принципу, а как то по другому ) так как логин admin не трогали
     
Статус темы:
Закрыта.