Обход плагина WP Hashcash
WP Hashcash — очередной плагин WordPress для борьбы со спамом. Принцип работы основывается на том, что спам-боты не умеют исполнять JavaScript. Идея в том, что если пользователь открыл сайт из браузера, браузер выполнит некоторый хитрый код JavaScript, и реузльтат работы этого скрипта будет передан назад на сервер в качестве доказательства «человечности» комментатора. Далее »
Автор: Vladimir, опубликовано в: Безопасность, Плагины WordPress, комментариев: 2Дек
2011
SQL Injection Vulnerability в Z-Vote 1.1
В плагине WordPress Z-Vote 1.1 была обнаружена уязвимость, позволяющая злоумышленнику выполнять произвольные запросы к базе данных (уязвимость типа «SQL-инъекция»).
Уязвимость существует из-за неправильного использования метода wpdb::prepare() и отсутствия проверки и очистки переменной $_GET['zvote'].
Уязвимость позволяет злоумышленнику изменять запросы к базе данных, выполнять произвольные запросы, читать или изменять конфиденциальную информацию. Далее »
Автор: Wandering Soul, опубликовано в: Безопасность, Патчи, комментариев: 8Фев
2011
Межсайтовый скриптинг в Register Plus
В плагине Register Plus 3.5.1 обнаружена уязвимость, позволяющая провести удалённому пользователю XSS-атаку.
Уязвимость связана с отсутствием экранирования специальных символов при выводе данных, полученных от пользователя, что позволяет злоумышленнику выполнить произвольный код сценария в браузере жертвы в контексте безопасности уязвимого сайта.
Судя по дате последнего изменения, плагин автором больше не поддерживается; тем не менее, пользователи не оставляют попытки использования плагина с новыми версиями WordPress. Далее »
Автор: Vladimir, опубликовано в: Безопасность, Плагины WordPress, комментариев: 2Фев
2011
Межсайтовый скриптинг в плагине Accept Signups 0.1
В плагине Accept Signups 1.0 обнаружена уязвимость, позволяющая провести удалённому пользователю XSS-атаку.
Уязвимость связана с отсутствием обработки входных данных в параметре email, передаваемом файлу wp-content/plugins/accept-signups/accept-signups_submit.php, а также с отсутствием экранирования специальных символов при выводе данных в wp-content/plugins/accept-signups/accept-signups.php.
Уязвимость позволяет при помощи специально сформированного URL выполнить произвольный код сценария в браузере жертвы в контексте безопасности уязвимого сайта. Далее »
Автор: Vladimir, опубликовано в: Безопасность, Плагины WordPress, комментариев: 1Фев
2011
Межсайтовый скриптинг в WordPress BezahlCode-Generator 1.0
В плагине BezahlCode-Generator 1.0 обнаружена уязвимость, позволяющая провести удалённому пользователю XSS-атаку. Уязвимость связана с отсутствием обработки входных данных в параметрах gen_name, gen_account, gen_BNC, gen_amount, gen_reason в bezahlcode-generator/der_generator.php.
Удаленный пользователь может с помощью специально сформированного запроса выполнить произвольный код сценария в браузере жертвы в контексте безопасности уязвимого сайта. Далее »
Автор: Vladimir, опубликовано в: Безопасность, Плагины WordPress, комментариев: 1Фев
2011
Capital P, Dang It!
Пару недель назад я заметил интересную особенность в WordPress: он автоматически заменяет Wordpress на WordPress. Как оказалось, такое поведение существует в WordPress где-то с версии 3.0. Со временем приоритет фильтра замены изменился; что характерно, оба эти изменения прошли совершенно незаметно — не было никакого обсуждения в Trac. Далее »
Автор: Vladimir, опубликовано в: WordPress, комментариев: 6Дек
2010
ICS Security Fixes: исправление уязвимостей в прошлых версиях WordPress
Многие блоггеры не торопятся с обновлением WordPress, особенно когда дело касается новых релизов WordPress: по традиции, каждый новый релиз потребляет больше памяти, чем предыдущий, создаёт бóльшую нагрузку на базу и содержит новые, мало кому нужные функции 
А еще говорят, что нельзя обновляться до версии x.y.0, нужно обязательно ждать x.y.1
Что же, доля истины во всём этом есть, но есть и одно большое НО: все эти обновления, включая новые релизы, обычно содержат важные исправления безопасности, причём иногда разработчики об этом могут не догадываться.
К сожалению, разработчики не делают бэкпорты исправлений в старые ветки, и те, кто по тем или иным соображениям остаётся на старом WordPress, остаются уязвимыми. Далее »
Автор: Vladimir, опубликовано в: Безопасность, Плагины WordPress, комментариев: 28Дек
2010
Генерация карты сайта в HTML из XML: часть 3
Продолжение цикла статей на тему генерации карты сайта в HTML из карты XML.
В данной статье будет рассмотрен вопрос модификации плагина Google XML Sitemaps с целью добавления поддержки автоматической генерации HTML-версии карты сайта; как и в предыдущих статьях, преобразование будет осуществляться средствами XSL. Далее »
Автор: Vladimir, опубликовано в: SEO, Патчи, комментариев: 4Ноя
2010
Неделя без капчи
Волевым решением убрал капчу с блога. Я пришел к выводу, что капчи — это зло. На данный момент проводятся испытания нового плагина для борьбы со спамом. Далее »
Автор: Vladimir, опубликовано в: Всё подряд, комментариев: 10Ноя
2010
Очередная партия исправлений для Simple Tags
Благодаря одному из своих читателей я узнал, что у плагина Simple Tags помимо проблем, которые я регулярно исправляю, есть еще одна: при попытке зайти в Posts » Mass edit terms » All Pages выдаётся сообщение Невозможно загрузить st_mass_tags. Далее »
Автор: Vladimir, опубликовано в: Патчи, комментариев: 4Окт
2010
Меня зовут Владимир, я программист-фрилансер, специализирующийся на Web-программировании и програмировании под Linux.
По совместительству занимаюсь администрированием LAMP/LNMP-серверов и техническим переводом.
