АРМАДА
Закрывайте дырку в WordPress!
Новая тема Написать ответ

webjunk
Свой
Зарегистрирован: 06.05.2009
Сообщений: 67
Обратиться по нику
# Добавлено:Ср Авг 12, 2009 2:21 pmДобавить в избранноеОтветить с цитатой
Я думаю информация будет полезна всем, кто ведет блоги:
Пост на хабре: http://habrahabr.ru/blogs/wordpress/66829/#comments
Несложным HTTP-запросом к блогу WordPress можно сбросить пароль администратора, в том числе в версии 2.8.3
Исправить:http://core.trac.wordpress.org/changeset/11798
http://webjunk.ru

going(to)dream
Свой
Зарегистрирован: 08.03.2009
Сообщений: 98
Обратиться по нику
# Добавлено:Ср Авг 12, 2009 2:33 pmОтветить с цитатой
Ничего страшного. Смысл злоумышлинику сбрасывать админский пароль?

webjunk
Свой
Зарегистрирован: 06.05.2009
Сообщений: 67
Обратиться по нику
# Добавлено:Ср Авг 12, 2009 2:41 pmОтветить с цитатой
going(to)dream, а что мало бакланов по рунету?
Можете конечно так оставлять Wink
http://webjunk.ru

vetas +
Опытный
Зарегистрирован: 03.06.2008
Сообщений: 400
Обратиться по нику
# Добавлено:Ср Авг 12, 2009 3:54 pmОтветить с цитатой
Кстати, я не вдавался в подробности, но у меня через админку блога не получается обновить автоматически версию 2.8.3–ru_RU, а теперь и 2.8.4–ru_RU. Также не получается скачать дистр по ссылке http://lecactus.ru/download/wordpress-2.8.4-ru_RU.zip

Я так понимаю, что на сайте лекактуса и 2.8.3 и 2.8.4 в русской локализации никогда не лежало? Кто знает?
vetas — the brand name

vitvirtual
виртуальный
Зарегистрирован: 11.06.2007
Сообщений: 9061
Contest (Сумма: 1)
Обратиться по нику
# Добавлено:Ср Авг 12, 2009 4:11 pmОтветить с цитатой
У меня версии 2.8 никогда не было, работает ли эта "уязвимость" в предыдущих версиях WP
? Если да, то как лечить??
www.King-Servers.com - Dedicated Servers от 65$, VDS от 25$

vetas +
Опытный
Зарегистрирован: 03.06.2008
Сообщений: 400
Обратиться по нику
# Добавлено:Ср Авг 12, 2009 4:18 pmОтветить с цитатой
vitvirtual писал(а):
У меня версии 2.8 никогда не было, работает ли эта "уязвимость" в предыдущих версиях WP
? Если да, то как лечить??



все предыдущие, кагбэ не помешает на всякий случай вылечить
лекарство http://core.trac.wordpress.org/changeset/11798
vetas — the brand name

webjunk
Свой
Зарегистрирован: 06.05.2009
Сообщений: 67
Обратиться по нику
# Добавлено:Ср Авг 12, 2009 4:24 pmОтветить с цитатой
vitvirtual, уязвимость работает во всех версиях, выше же дал как лечить.
http://webjunk.ru

Inquisitor
Инквизицию никто не ждет
Зарегистрирован: 04.12.2007
Сообщений: 1971
Обратиться по нику
# Добавлено:Ср Авг 12, 2009 4:28 pmОтветить с цитатой
vitvirtual, Как лечить? Как и все админки! blog/admin

закрыть хтаксессом

Цитата:
Order Deny,Allow
Deny from all
Allow from твой айпи


going(to)dream
Свой
Зарегистрирован: 08.03.2009
Сообщений: 98
Обратиться по нику
# Добавлено:Ср Авг 12, 2009 4:41 pmОтветить с цитатой
А если айпи динамический? Думаю этот способ не всем подходит.

creator123
Гуру
Зарегистрирован: 25.07.2007
Сообщений: 1145
Обратиться по нику
# Добавлено:Ср Авг 12, 2009 6:09 pmОтветить с цитатой
going(to)dream, если ip динамический, закрой через mod_Auth
если тоже лень, то забей, оно тебе ненадо
<----- если понравился пост, жмакай сюды <-----

Inquisitor
Инквизицию никто не ждет
Зарегистрирован: 04.12.2007
Сообщений: 1971
Обратиться по нику
# Добавлено:Чт Авг 13, 2009 9:29 amОтветить с цитатой
going(to)dream, Подходит. Впиши тогда диапазон своих апи Ибо как очень мало шансов что кто то именно из твоей сети будет тебя ломать Smile
Новая тема Написать ответ    ГЛАВНАЯ ~ ДАЙДЖЕСТ БЛОГОСФЕРЫ

Перейти:  





Генеральный спонсор



Партнеры