Статьи из рубрики «wordpress»
Статьи, посвященные WordPress и всему, что с ним связано
- Патчи (32)
- Плагины WordPress (32)
- Советы (4)
Обход плагина WP Hashcash
WP Hashcash — очередной плагин WordPress для борьбы со спамом. Принцип работы основывается на том, что спам-боты не умеют исполнять JavaScript. Идея в том, что если пользователь открыл сайт из браузера, браузер выполнит некоторый хитрый код JavaScript, и реузльтат работы этого скрипта будет передан назад на сервер в качестве доказательства «человечности» комментатора. Далее »
Автор: Vladimir, опубликовано в: Безопасность, Плагины WordPress, комментариев: 6Дек
2011
Ставим спам в комментариях на службу людям
Я давно получаю по несколько тысяч спам-комментариев в день (не то, что мне он мешает — система его отсеивает полностью автоматически) и, как следствие, давно думаю о том, как заставить этот спам служить людям.
Начиналось всё созданием чёрных списков типа DNSBL (сюда попадали IP-адреса спамеров) и URIBL (а сюда — рекламируемые домены), но на раскрутку очередного чёрного списка (а также на его поддержание) банально не было ни сил, ни времени.
Закончилось всё тем, что я прекратил заниматься велосипедостроительством, зарегистрировался на Stop Forum Spam и теперь отсылаю весь полученный спам туда. Хотя я не во всём согласен с SFS, положительным моментом является то, что списки спамеров мониторятся Spamhaus (пример 1, пример 2). Хотя Spamhaus о себе тоже много думает (блокировать почту на основании того, что с данного IP-адреса идёт форумный спам — бред), тем не менее, у Spamhaus больше шансов прикрыть спамера, чем у простого блоггера.
На этом лирическое отступление закончено, далее идёт рассказ о том, как автоматически сообщать об автоматическом спаме в Stop Forum Spam, ибо чем больше отчетов они получат, тем быстрее спамер будет остановлен. Далее »
Автор: Vladimir, опубликовано в: WordPress, комментариев: 9Авг
2011
SQL Injection Vulnerability в Z-Vote 1.1
В плагине WordPress Z-Vote 1.1 была обнаружена уязвимость, позволяющая злоумышленнику выполнять произвольные запросы к базе данных (уязвимость типа «SQL-инъекция»).
Уязвимость существует из-за неправильного использования метода wpdb::prepare() и отсутствия проверки и очистки переменной $_GET['zvote'].
Уязвимость позволяет злоумышленнику изменять запросы к базе данных, выполнять произвольные запросы, читать или изменять конфиденциальную информацию. Далее »
Автор: Wandering Soul, опубликовано в: Безопасность, Патчи, комментариев: 8Фев
2011
Межсайтовый скриптинг в Register Plus
В плагине Register Plus 3.5.1 обнаружена уязвимость, позволяющая провести удалённому пользователю XSS-атаку.
Уязвимость связана с отсутствием экранирования специальных символов при выводе данных, полученных от пользователя, что позволяет злоумышленнику выполнить произвольный код сценария в браузере жертвы в контексте безопасности уязвимого сайта.
Судя по дате последнего изменения, плагин автором больше не поддерживается; тем не менее, пользователи не оставляют попытки использования плагина с новыми версиями WordPress. Далее »
Автор: Vladimir, опубликовано в: Безопасность, Плагины WordPress, комментариев: 2Фев
2011
KSES в WordPress: можно ли проще?
Вчера мне довелось разбираться с тем, как работает KSES в WordPress.
KSES (рекурсивный акроним от KSES Strips Evil Scripts) — подсистема в WordPress (изначально написанная Ulf Harnhammar), предназначенная для проверки и очистки текста, введённого пользователем: она позволяет задать список допустимых тэгов, стилей и протоколов и на основе этих параметров убрать из текста пользователя всё, что им не соответствует.
KSES является довольно стабильной подсистемой; что немаловажно, KSES работает. Работает — не трогай, а то сломаешь… Далее »
Автор: Vladimir, опубликовано в: WordPress, комментариев: 23Фев
2011
Межсайтовый скриптинг в плагине Accept Signups 0.1
В плагине Accept Signups 1.0 обнаружена уязвимость, позволяющая провести удалённому пользователю XSS-атаку.
Уязвимость связана с отсутствием обработки входных данных в параметре email, передаваемом файлу wp-content/plugins/accept-signups/accept-signups_submit.php, а также с отсутствием экранирования специальных символов при выводе данных в wp-content/plugins/accept-signups/accept-signups.php.
Уязвимость позволяет при помощи специально сформированного URL выполнить произвольный код сценария в браузере жертвы в контексте безопасности уязвимого сайта. Далее »
Автор: Vladimir, опубликовано в: Безопасность, Плагины WordPress, комментариев: 1Фев
2011
Межсайтовый скриптинг в WordPress BezahlCode-Generator 1.0
В плагине BezahlCode-Generator 1.0 обнаружена уязвимость, позволяющая провести удалённому пользователю XSS-атаку. Уязвимость связана с отсутствием обработки входных данных в параметрах gen_name, gen_account, gen_BNC, gen_amount, gen_reason в bezahlcode-generator/der_generator.php.
Удаленный пользователь может с помощью специально сформированного запроса выполнить произвольный код сценария в браузере жертвы в контексте безопасности уязвимого сайта. Далее »
Автор: Vladimir, опубликовано в: Безопасность, Плагины WordPress, комментариев: 1Фев
2011
WordPress, поиск и кириллица
Есть у WordPress одна неприятная особенность: при использовании красивых ссылок и их использовании при поиске кириллических (или любых не-ASCII) слов получается совсем не тот результат, который ожидается.
Например, есть такая ссылка:
http://blog.sjinks.pro/search/%D0%93%D0%B5%D0%BD%D0%B5%D1%80%D0%B0%D1%86%D0%B8%D1%8F/
%D0%93%D0%B5%D0%BD%D0%B5%D1%80%D0%B0%D1%86%D0%B8%D1%8F — это слово «Генерация», закодированное функцией urlencode().
Ожидается, что WordPress будет искать статьи со словом «генерация». Но, так как разработчики WordPress — американцы, они не предполагают, что существуют буквы кроме английских 
Собственно, эта беда свойственна многим проектам с англоязычными авторами. Итак… Далее »
Янв
2011
Capital P, Dang It!
Пару недель назад я заметил интересную особенность в WordPress: он автоматически заменяет Wordpress на WordPress. Как оказалось, такое поведение существует в WordPress где-то с версии 3.0. Со временем приоритет фильтра замены изменился; что характерно, оба эти изменения прошли совершенно незаметно — не было никакого обсуждения в Trac. Далее »
Автор: Vladimir, опубликовано в: WordPress, комментариев: 6Дек
2010
WordPress: кэширование средствами nginx
Много было сказано про кэширование в WordPress… Сегодня я хочу рассказать о действительно эффективном методе, позволяющем сильно снизить нагрузку.
Метод основан на использовании кэша FastCGI web-сервера nginx.
Идея состоит в генерации статических страниц и отдачи их пользователям, не имеющим cookie комментатора. Зарегистрированным пользователям, а также комментаторам всегда отдаётся свежая страница. Так как читателей, ни разу не оставлявших комментарий, как правило, гораздо больше, чем комментаторов, то подобный использование кэша позволяет значительно снизить нагрузку на WordPress/PHP. Знакомые с принципом работы WP Super Cache заметят, что WPSC использует тот же принцип работы. Далее »
Автор: Vladimir, опубликовано в: nginx, WordPress, комментариев: 61Дек
2010
Меня зовут Владимир, я программист-фрилансер, специализирующийся на Web-программировании и програмировании под Linux.
По совместительству занимаюсь администрированием LAMP/LNMP-серверов и техническим переводом.
