Artykuły dotyczące tematu: Wordpress

dodany: 29.06.2013 | tagi: , , ,

Ukazała się poprawkowa wersja WordPress 3.5.2

0

Ukazała się nowa poprawkowa wersja WordPressa, systemu zarządzania treści używanego głównie do obsługi blogów, udostępnianego na licencji GPL2. Wersja 3.5.2 naprawia 12 błędów, w tym aż 7 luk bezpieczeństwa. Poza poprawkami bezpieczeństwa, wydanie zawiera także zmiany mające utrudnić ataki na strony.

Załatane podatności dotyczą luk XSS w edytorze TinyMCE oraz zewnętrznej bibliotece SWFUpload, ponadto uniemożliwiają ataki SSRF oraz DoS na wpisach zabezpieczonych hasłem.

WordPress 3.5.2 jest dostępny do pobrania ze strony projektu. Aktualizację można wgrać także za pośrednictwem panelu administracyjnego: Kokpit → Aktualizacje.

dodany: 15.04.2013 | tagi: , ,

WordPress po nalocie botnetu – cisza przed burzą?

2

Platforma blogowa WordPress stała się celem ogromnego botnetu stworzonego z dziesiątek tysięcy komputerów. Jednak eksperci obawiają się, że może to być tylko czubek góry lodowej.

Specjaliści z CloudFare ostrzegli dziś na firmowym blogu o nieznanym napastniku używającym „stosunkowo” słabej wielkości botnetu z komputerów domowych, który ma zamiar w ramach przygotowań do przyszłego ataku zbudować botnet z serwerów.

Botnet próbuje ataków brute force na stronach internetowych postawionych na WP przy użycia loginu „admin” z tysiącami przeróżnych haseł.

Maszyny użyte w botnecie używane są do hakowania instalacji opartych na WordPressie.

Dodatkowo wydaje się, że ten rodzaj botnetu przekierowuje pasma od pojedynczych komputerów zainfekowanych złośliwym oprogramowaniem do masowego przeciążania serwerów, co jest często spotykane przy próbach spowodowania ataku Distributed Denial-of-Service (DDoS).

Jak na złość botnet uderzył niecały tydzień po wprowadzeniu przez WordPressa opcji dwuskładnikowego uwierzytelniania.

Założyciel WP, Matt Mullenwag skrytykował wszystkie próby życzliwej pomocy, jakie proponowało np. CloudFare inamawia do zmiany domyślnych nazw użytkowników i włączenia dodatkowej opcji ochrony kont w WordPressie:

Jeśli ciągle używasz „admina” jako nazwy użytkownika na swoim blogu – to je zmień, użyj mocnego hasła i włącz dwuskładnikowe uwierzytelnianie. Upewnij się także, że masz najnowszą wersję WordPressa. Zrób to, a wyprzedzisz 99 procent stron internetowych i prawdopodobnie nigdy nie będziesz już miał problemów.

WordPress, który jest używany na ponad 64 milionach pojedynczych blogów i stron internetowych i przez 400 milionów czytelników co miesiąc, nie przestaje być łakomym kąskiem dla przestępców cybernetycznych.

dodany: 26.01.2013 | tagi: , ,

Nowa wersja WordPressa opublikowana

1

WordPress opublikował nową wersję swojej platformy, która naprawia 34 bugi.

W nowej wersji uwzględniono także naprawę  3 poważnych problemów bezpieczeństwa:

  • Wymuszenie requestu po stronie serwera i zdalne skanowanie portów używając PingBack, co mogło potencjalnie zostać wykorzystane do udostępnienia informacji i skompromitowania strony – dotyczy wszystkich poprzednich wersji WordPressa.
  • Dwie instancje cross-site scriptingu przez treści postów.
  • Luka cross-site scripting w zewnętrznej bibliotece Plupload.

WordPress jest częstym celem dla przestępców cybernetycznych, którzy upodobali je sobie jako regularną podstawę do rozpoczęcia ataków.

Jeśli jeszcze tego nie zrobiliście, to uaktualnijcie swoje WordPressy natychmiast, nikt nie chciałby być wykorzystany do rozpoczęcia jakiegokolwiek ataku cyberprzestępców.

dodany: 26.12.2012 | tagi: ,

WordPress totalnie zagrożony

2

W sieci pojawiła się informacja dotycząca poważnego zagrożenia korzystania z popularnej wtyczki do pakietu WordPress. Jej nazwa to W3 Total Cache. Zapewnia ona m.in. przyśpieszone wyświetlanie stron u klientów oraz ogranicza zużycie zasobów serwera hostingowego. Jest ona na tyle popularna, iż poleca ją kilku znanych dostawców, m.in. MediaTemple, Host Gator, Page.ly oraz WP Engine.

Problem polega na tym, że atakujący może uzyskać nieautoryzowany dostęp do folderu z buforowanymi danymi. Jego standardowa lokalizacja to: wp-content/w3tc/dbcache/

W standardowej konfiguracji wtyczki włączona jest opcja „directory listing”. W tym wypadku pliki te mogą być indeksowane przez wyszukiwarki internetowe.

Niestety nawet jeśli opcja listingu katalogów jest wyłączona, to nadal buforowane pliki są dostępne publicznie. Różnica jest taka, że danych musimy poszukać sobie sami za pomocą np. takiego gotowego skryptu:

Przykładowy skrypt znajdziemy na tej stronie.

Jak działa powyższy skrypt możemy zobaczyć na poniższym filmie:

Usterka wygląda na przeoczenie autora Fredericka Townes w kwestii bezpieczeństwa. Sama wtyczka już długo nie była aktualizowana, gdyż jej ostatnie wydanie 0.9.2.4 miało miejsce 26 sierpnia 2011 r. Do momentu wydania nowej poprawki zalecane jest stworzenie wpisu blokującego dostęp do folderu tworzonego przez plugin, czyli /dbcache/.
Wpis o treści: deny from all dokonujemy w pliku konfiguracyjnym Apache .htaccess.

dodany: 17.10.2012 | tagi:

WordPress.com zhakowany?

2

WordPress Security Team ostrzegł w dniu wczorajszym swoich użytkowników, że wykrył podejrzaną aktywność w obrębie kont serwisu. Oprócz tego w mailu od nich znajdziemy informację o tym, że nasze hasło zostało profilaktycznie zresetowane. Aby je zmienić i uzyskać dostęp do konta, należy odwiedzić główną stronę serwisu WordPress.com.

Póki co, WordPress nie potwierdził oficjalnie włamania na swój serwer, aczkolwiek musiał być jakiś powód wystosowania tej wiadomości do użytkowników. Faktycznie przedwczoraj na ponad 15 tysiącach blogów użytkowników widać ślady w postaci wpisu  „I’m getting paid” oraz obrazek prowadzący do ankiety.

Większość z nich została już usunięta, aczkolwiek Google nadal wskazuje ponad 10 tysięcy wyników. Ogólnie rzecz biorąc mocno podejrzany jest fakt, iż ktoś  tradycyjnymi metodami złamał  tak dużą liczbę kont i umieścił wspomniany wpis.

dodany: 10.08.2012 | tagi: ,

Ostrożnie z WordPressem

0

SophosLabs ujawniło lukę w standardowych zabezpieczenia oprogramowania WordPress w przypadku używania mechanizmu do blogowania – za jej pomocą możliwe jest użycie exploita z zestawu Blackhole kit, który został opublikowany w 2010. Szczególną ostrożność powinni zachować użytkownicy, którzy otrzymają maila z tematem  „Verify your order”, w środku którego jest link z exploitem. Podszyta strona legitymuje się możliwością zainstalowania platformy bloggingowej WordPress.

Na atak podatni są Ci użytkownicy, którzy bezpośrednio zainstalowali u siebie oprogramowanie WordPress, natomiast ci, którzy używają bezpośrednio serwisu wordpress.com mogą spać spokojnie. W przypadku tych użytkowników, którzy nie wystarczająco zabezpieczyli swojej strony, mogą przez ów link zasadzić u siebie malware – Sophos AV wykrywa je jako Troj/PDFEx-GD, Troj/SWFExp-AI, Mal/ExpJS-N i Troj/Agent-XDM. Aby się tego ustrzec należy zaktualizować program do najnowszej wersji.