|
На страницу Пред. 1, 2 |
|
|
|
я тоже подписываюсь: советы в студию!!! А то здесь пока только Taburetkin нормально отпостился  |
|
|
|
|
|
| Самая главная дырка вордпресса, это его плагины и темплеты. Никогда не качайте и не устанавливайте без инспекции кода плагины и темплеты с неофициальных сайтов. |
|
|
|
|
|
Вобщем так как обещал – пишу…
Немного о безопасности WP (чтобы узнать больше читайте специализированные форумы по WP и сетевой безопасности):
После установки WP стоит сделать следующее:
закинуть .htaccess в следующие папки...
| Код: |
http://wordpress/wp-content/plugins/
http://wordpress/wp-content/themes/
http://wordpress/wp-admin/import/
http://wordpress//wp-admin/images/
http://wordpress/wp-includes/images/
и т.д. содержимое которых не желательно знать другим…
|
htaccess думаю все знают какого содержания (Options -Indexes)
- За ненадобностью можно удалить install.php и install-helper.php…
- Можно подправить версию WP в скрипте wp-includes/version.php (тем самым пустить по ложному следу, тока не перестарайтесь, а то могут вылететь некоторые плагины…)
Хотя если будут пользоваться сканером то это вам не поможет
В старых версиях WP куча XSS (могут украсть плюшки, и будет вам горе)… Как лекарство - можно использовать учетную запись с ограниченными правами, а акк с админскими правами оставить в стороне…
Алгорит хранения паролей md5 (не сложный в плане перебора) – так что используйте пасс с разными регистрами и цифробуквенный больше 8 – и будет Вам счастье…
На данный момент уязвимы следующие версии:
| Код: |
1.43 (1.4b4)
1.5.1.* (1.5.1.1/1.5.1.2/1.5.1.3)
2.0.* (2.0.2/2.0.5/2.0.6)
2.1* (2.1.2/2.1.3)
2.2
|
Так же существуют уязвимости в плагинах, полный список приводить не буду (глянете на мильворме если вдруг )
Одно из основных правил – своевременное обновление, хотя бы до стабильных версий вашей ветки…
Думаю этого достаточно чтоб иметь общее представление о безопасности вашего блога
P.S. Ходят слухи о наличии инъекции в WP 2.3.1,но рабочего сплоита я не видел
Кому надо дам консультацию в расширенном виде (стучим в асько,ставим плюсеги,присылаем WM)  |
|
|
|
|
|
если напишеш про рабочий сплойт для 2.3.1 - то будет плюс  |
|
|
|
|
|
Напишу...но чуть позже  |
|
|
|
|
|
| Black_SEO писал(а): |
закинуть .htaccess в следующие папки...
|
проще его "положить" в корень сайта,
т.к. все дочерние каталоги будут
наследовать все настройки. |
|
|
|
|
|
| Black_SEO писал(а): |
|
P.S. Ходят слухи о наличии инъекции в WP 2.3.1,но рабочего сплоита я не видел
|
не про это? |
|
|
|
|
|
да,про это...там много но ...поэтому мне кажется проще плюшки красть или получать удаленно ,например для версии 2.1.3 это дело 1 минуты...
P.S. Не воспринимать серьезно,я ничего в этом не понимаю |
|
|
|
|
|
| agrasoff писал(а): |
| Black_SEO писал(а): |
|
P.S. Ходят слухи о наличии инъекции в WP 2.3.1,но рабочего сплоита я не видел
|
не про это?
|
Его давно уже пофиксили. Причем в тот же день как обнаружили. Фиксят все очень оперативно |
|
|
|
|
|
|
