SQL Injection Vulnerability в Z-Vote 1.1
В плагине WordPress Z-Vote 1.1 была обнаружена уязвимость, позволяющая злоумышленнику выполнять произвольные запросы к базе данных (уязвимость типа «SQL-инъекция»).
Уязвимость существует из-за неправильного использования метода wpdb::prepare() и отсутствия проверки и очистки переменной $_GET['zvote'].
Уязвимость позволяет злоумышленнику изменять запросы к базе данных, выполнять произвольные запросы, читать или изменять конфиденциальную информацию. Далее »
Автор: Wandering Soul, опубликовано в: Безопасность, Патчи, комментариев: 8Фев
2011
Межсайтовый скриптинг в Register Plus
В плагине Register Plus 3.5.1 обнаружена уязвимость, позволяющая провести удалённому пользователю XSS-атаку.
Уязвимость связана с отсутствием экранирования специальных символов при выводе данных, полученных от пользователя, что позволяет злоумышленнику выполнить произвольный код сценария в браузере жертвы в контексте безопасности уязвимого сайта.
Судя по дате последнего изменения, плагин автором больше не поддерживается; тем не менее, пользователи не оставляют попытки использования плагина с новыми версиями WordPress. Далее »
Автор: Vladimir, опубликовано в: Безопасность, Плагины WordPress, комментариев: 2Фев
2011
Межсайтовый скриптинг в плагине Accept Signups 0.1
В плагине Accept Signups 1.0 обнаружена уязвимость, позволяющая провести удалённому пользователю XSS-атаку.
Уязвимость связана с отсутствием обработки входных данных в параметре email, передаваемом файлу wp-content/plugins/accept-signups/accept-signups_submit.php, а также с отсутствием экранирования специальных символов при выводе данных в wp-content/plugins/accept-signups/accept-signups.php.
Уязвимость позволяет при помощи специально сформированного URL выполнить произвольный код сценария в браузере жертвы в контексте безопасности уязвимого сайта. Далее »
Автор: Vladimir, опубликовано в: Безопасность, Плагины WordPress, комментариев: 1Фев
2011
Межсайтовый скриптинг в WordPress BezahlCode-Generator 1.0
В плагине BezahlCode-Generator 1.0 обнаружена уязвимость, позволяющая провести удалённому пользователю XSS-атаку. Уязвимость связана с отсутствием обработки входных данных в параметрах gen_name, gen_account, gen_BNC, gen_amount, gen_reason в bezahlcode-generator/der_generator.php.
Удаленный пользователь может с помощью специально сформированного запроса выполнить произвольный код сценария в браузере жертвы в контексте безопасности уязвимого сайта. Далее »
Автор: Vladimir, опубликовано в: Безопасность, Плагины WordPress, комментариев: 1Фев
2011
ionCube и xCache
Вчера столкнулся с неожиданными ошибками php (segmentation fault) на сервере, на котором стояли ionCube Loader и xCache. Причем падения происходили исключительно при работе wp-cron.php. Далее »
Дек
2010
Официальный русский WordPress и SSL
На днях понадобилось прикрутить к русскоязычному сайту, использующему WordPress, SSL. SSL требовался только в админке, поэтому решалось всё просто:
define("FORCE_SSL_ADMIN", true);
Но после логина и захода в панель администрирования браузер сказал, что соединение не является полностью защищённым — присутствовали объекты, которые загружались по HTTP, а не HTTPS. Далее »
Автор: Vladimir, опубликовано в: WordPress, комментариев: 3Дек
2010
Генерация карты сайта в HTML из XML: часть 3
Продолжение цикла статей на тему генерации карты сайта в HTML из карты XML.
В данной статье будет рассмотрен вопрос модификации плагина Google XML Sitemaps с целью добавления поддержки автоматической генерации HTML-версии карты сайта; как и в предыдущих статьях, преобразование будет осуществляться средствами XSL. Далее »
Автор: Vladimir, опубликовано в: SEO, Патчи, комментариев: 4Ноя
2010
Очередная партия исправлений для Simple Tags
Благодаря одному из своих читателей я узнал, что у плагина Simple Tags помимо проблем, которые я регулярно исправляю, есть еще одна: при попытке зайти в Posts » Mass edit terms » All Pages выдаётся сообщение Невозможно загрузить st_mass_tags. Далее »
Автор: Vladimir, опубликовано в: Патчи, комментариев: 4Окт
2010
Исправляем Simple Tags 1.8
Традиционное исправление ошибок в плагине Simple Tags.
Ошибки всё те же:
- отсутствует поддержка многобайтовых символов (в частности, UTF-8) в автоматических ссылках;
- вызов
register_uninstall_hook()при каждом обращении к блогу.
Радует, что проблему с автоматическими ссылками меток автор всё же поправил 
Это то, ради чего данный плагин установлен. Далее »
Сен
2010
Core Control: лечим некорректное отображение методов в модуле cron
Есть один замечательный плагин для разработчиков, называется Core Control. Данный плагин позволяет контролировать различные аспекты работы WordPress: транспорт HTTP (например, расширение PHP HTTP, cURL, потоки PHP и т.п.), протоколирование HTTP-запросов, контроль обновлений ядра, плагинов и тем, способы доступа к файловой системе, а также отображение запланированных задач. Далее »
Автор: Vladimir, опубликовано в: Патчи, комментариев: 1Сен
2010
Меня зовут Владимир, я программист-фрилансер, специализирующийся на Web-программировании и програмировании под Linux.
По совместительству занимаюсь администрированием LAMP/LNMP-серверов и техническим переводом.
