По техническим причинам...
Опубликовано: 07.04.2010 в 09:23
Мальчик, девочка... Какая, в #опу, разница?
Опубликовано: 20.01.2010 в 21:39
Хабрасообщество никак не может решить, этот вундеркинд — мальчик или девочка...
Массовый взлом WordPress. Вопросы и ответы
Опубликовано: 09.09.2009 в 01:27
Последние пару дней на всех интернет-углах много кричат о массовых взломах WordPress. Некоторые даже впадают в истерику, услышав об опасности. Я даже встречал таких, которые решили бросить WordPress и перейти на другой движок. Вся эта история уже успела обрасти слухами и рецептами типа «намазать йодом, обернуть бинтом и избегать всяких половых контактов».
Что тут можно сказать? Истерика она и в Африке истерика. Мы попытались собрать наиболее важные вопросы в связи с ситуацией и спокойно ответить на них.
Вордпрессеры, пожалуйста, поделитесь ссылкой на этот пост со всеми, кому это может быть полезно.
Замечания по существу и поправки принимаются.
Вопрос: Везде говорят об опасной уязвимости WordPress. Каких версий это касается?
Ответ: Это каcается всех версий по 2.8.3 включительно в связи с одной активно обсуждаемой уязвимостью и версий от 2.2.3 до 2.8.2 в связи со второй (более опасной).
Вопрос: Ужас какой! Так их две?!!
Ответ: На самом деле их намного больше, да и эти две «знающие люди» используют никак не меньше года. Никто в результате пока не умер, так что паниковать не следует. Наоборот можно даже порадоваться: раз WordPress массово «ломают», значит, он очень популярен и широко распространен.
Первая уязвимость, о которой сейчас шумят, позволяет, обратившись с определенным параметром к скрипту wp-login.php, сбросить административный пароль. Ничего особо страшного не происходит, поскольку новый пароль высылается не злоумышленнику, а на почтовый ящик администратора. Хотя ничего приятного в этом тоже нет.
Вторая «дыра» опаснее. Злоумышленник (через сетевого червя) регистрируется на сайте как обычный пользователь, затем, эксплуатируя уязвимость, повышает свои полномочия до административных и начинает безобразничать. Все это делается не просто так: злоумышленники получают доступ к старым записям блога и публикуют в них вредоносный контент, как правило, скрытый.
Вопрос: Как узнать, взломан мой блог или нет? Читать полностью...
Уязвимость WordPress, патчи для 2.8.3 и 2.7.1
Опубликовано: 06.09.2009 в 16:33
Летом вышла версия WordPress 2.8.
Переходить на нее я не стал, ограничившись испытаниями: выяснилось, что ей нужно куда больше памяти, а в условиях нашего скромного VPS это означает, что все работать будет, но медленно.
Ну а совсем недавно была обнаружена уязвимость WordPress, которая заключалась в том, что злоумышленник мог сбросить пароль любого пользователя, сделав некий запрос к скрипту wp-login.php. Любого — значит совсем любого, включая администратора.
Увы, далеко не все поняли, что, хотя уязвимость и назвали «критической», большинству пользователей WordPress это ничем не может повредить. Дело в том, что после сброса пароля новый высылается почтой. Но не злоумышленнику, а соответствующему пользователю. То есть, неприятно, но не смертельно.
Опять же, далеко не все поняли, что речь идет об уязвимости не только WordPress версии 2.8, но и всех предыдущих. Народ у нас, конечно, не любит разбираться в таких тонкостях, но факт остается фактом: если вы не обновились — вы уязвимы.
К счастью, как сообщил один из разработчиков, для устранения уязвимости вовсе не обязательно качать версию 2.8.4. По ссылке — патчи для WordPress версий 2.8.3 и 2.7.1.
Цывилезадция
Опубликовано: 15.06.2009 в 17:19
В поезде тоже три-же.
Правда, это ненадолго. Дальше оно будет только островками и урывками.
