[Инфо] Новая уязвимость

Тема в разделе "Wordpress", создана пользователем Eugenij, 25 апр 2015.

Модераторы: Sorcus
  1. Eugenij

    Eugenij Постоялец

    Регистр.:
    30 апр 2013
    Сообщения:
    129
    Симпатии:
    190
    Гуглоперевод.
    Это вообще объявление сообщество для всех покупателей WordPress пунктов обратить ваше внимание на уязвимости XSS затрагивающий несколько плагинов WordPress и темы . Уязвимость вызвана общей кодовой используется в WordPress плагинов и тем, доступных на ThemeForest и CodeCanyon, в wordpress.org веб-сайта и других источников.

    Этот вопрос не ограничивается тем и плагинов, приобретенных у ThemeForest или CodeCanyon. Любое использование в WordPress веб-сайт, независимо от того, где был получен тема или плагин, должен быть в курсе этого и принять незамедлительные меры для обеспечения его безопасности.
    Подробнее
     
    mcdst2008 и Sorcus нравится это.
  2. Maybe

    Maybe

    Moderator
    Регистр.:
    7 июл 2008
    Сообщения:
    1.142
    Симпатии:
    1.194
    mcdst2008, Eugenij и Talay нравится это.
  3. arsoft

    arsoft Создатель

    Регистр.:
    7 авг 2008
    Сообщения:
    45
    Симпатии:
    0
    Надеюсь обновления оперативно выпустят.
     
  4. monitorus

    monitorus Писатель

    Регистр.:
    9 авг 2011
    Сообщения:
    5
    Симпатии:
    0
    WP Touch вроде как гугл сам предлагает для придания адаптивности шаблонам. У меня стоит на одном сайте, вроде проблем нет. Кроме него только broken link checker есть из списка. Но, по-моему, он сегодня обновился.
     
  5. dj_snake

    dj_snake Создатель

    Регистр.:
    10 дек 2012
    Сообщения:
    12
    Симпатии:
    1
    Два обновления вкрапления 4.11-4.12 - как подготовительный этап затрагивало этот момент перед переходом на 4.2. Почти все разрабы плагинов обновились
     
  6. IvanMega

    IvanMega Постоялец

    Регистр.:
    26 янв 2015
    Сообщения:
    87
    Симпатии:
    25
    Надо значит делать бекапы файлов и обновлятся.
     
  7. Sergio022

    Sergio022 Постоялец

    Регистр.:
    21 апр 2015
    Сообщения:
    85
    Симпатии:
    11
    Эта уязвимость позволяет записывать вредоносный код, или что может сделать злоумышленник с этим?
    Как можно обезопаситься, кроме избежание этих плагинов(хотя, от WooCommerce SEO отказаться трудно)?
     
  8. Nevada

    Nevada

    Регистр.:
    10 июн 2011
    Сообщения:
    499
    Симпатии:
    96
    если коротко, то эта уязвимость позволяет АДМИНИСТРАТОРУ залить шелл на свой сайт.
    то есть практически ее нет (а шелл админу самому себе иногда полезно залить, кроме шуток :) ).
     
  9. Sergio022

    Sergio022 Постоялец

    Регистр.:
    21 апр 2015
    Сообщения:
    85
    Симпатии:
    11
    Nevada, только администратору? так это не уязвимость, если нет у злоумышленников доступов админа. Какую тогда опасность эта дыра несет?
    Вот у меня проблема, тоже никак не отловлю дырку в вордпрессе, или в шаблоне, в кеш записывает левые файлы с явно вредоносным кодом. Причем и кеш отключал, и права на запись отключал, и пароли менял. На хосте куча сайтов в том числе на вордпрессе, с одинаковыми плагинами, а страдает один сайт. Все обновлял, но проблема еще с 3-й версией не уходит. Так что там дырок вагон и посерьезнее, если я правильно понял проблему.
     
  10. Nevada

    Nevada

    Регистр.:
    10 июн 2011
    Сообщения:
    499
    Симпатии:
    96
    бучу насчет уязвимости поднял yoast - увидел это в своем плагине seo. по его информации, указанная уязвимость позволяет админу залить себе самому шелл (зачем, если есть ssh и ftp, если уж на то пошло? хотя иногда шелл полезен, если настройки хостинга - права групп - не дают, например, удалять файлы, которые уже не нужны).

    что касается вашей проблемы с записью в кэш, посмотрите просто кто и что пишет в кэш, и уже когда отловите подозреваемых, сможете найти, кто из них виновен.
    также, коль скоро есть 2 сайта на одном движке, в одном из которых проблема, а вдругом - нет, можно просто сравнить все файлы одного сайта и другого, найти разницу, и с этим остатком разбираться дальше.