Мальчик, девочка... Какая, в #опу, разница?
Опубликовано: 20.01.2010 в 21:39
Хабрасообщество никак не может решить, этот вундеркинд — мальчик или девочка...
Поиск
Рубрики
Подкасты
Проекты
Массовый взлом WordPress. Вопросы и ответы
Опубликовано: 09.09.2009 в 01:27
Последние пару дней на всех интернет-углах много кричат о массовых взломах WordPress. Некоторые даже впадают в истерику, услышав об опасности. Я даже встречал таких, которые решили бросить WordPress и перейти на другой движок. Вся эта история уже успела обрасти слухами и рецептами типа «намазать йодом, обернуть бинтом и избегать всяких половых контактов».
Что тут можно сказать? Истерика она и в Африке истерика. Мы попытались собрать наиболее важные вопросы в связи с ситуацией и спокойно ответить на них.
Вордпрессеры, пожалуйста, поделитесь ссылкой на этот пост со всеми, кому это может быть полезно.
Замечания по существу и поправки принимаются.
Вопрос: Везде говорят об опасной уязвимости WordPress. Каких версий это касается?
Ответ: Это каcается всех версий по 2.8.3 включительно в связи с одной активно обсуждаемой уязвимостью и версий от 2.2.3 до 2.8.2 в связи со второй (более опасной).
Вопрос: Ужас какой! Так их две?!!
Ответ: На самом деле их намного больше, да и эти две «знающие люди» используют никак не меньше года. Никто в результате пока не умер, так что паниковать не следует. Наоборот можно даже порадоваться: раз WordPress массово «ломают», значит, он очень популярен и широко распространен.
Первая уязвимость, о которой сейчас шумят, позволяет, обратившись с определенным параметром к скрипту wp-login.php, сбросить административный пароль. Ничего особо страшного не происходит, поскольку новый пароль высылается не злоумышленнику, а на почтовый ящик администратора. Хотя ничего приятного в этом тоже нет.
Вторая «дыра» опаснее. Злоумышленник (через сетевого червя) регистрируется на сайте как обычный пользователь, затем, эксплуатируя уязвимость, повышает свои полномочия до административных и начинает безобразничать. Все это делается не просто так: злоумышленники получают доступ к старым записям блога и публикуют в них вредоносный контент, как правило, скрытый.
Вопрос: Как узнать, взломан мой блог или нет? Читать полностью...
Уязвимость WordPress, патчи для 2.8.3 и 2.7.1
Опубликовано: 06.09.2009 в 16:33
Летом вышла версия WordPress 2.8.
Переходить на нее я не стал, ограничившись испытаниями: выяснилось, что ей нужно куда больше памяти, а в условиях нашего скромного VPS это означает, что все работать будет, но медленно.
Ну а совсем недавно была обнаружена уязвимость WordPress, которая заключалась в том, что злоумышленник мог сбросить пароль любого пользователя, сделав некий запрос к скрипту wp-login.php. Любого — значит совсем любого, включая администратора.
Увы, далеко не все поняли, что, хотя уязвимость и назвали «критической», большинству пользователей WordPress это ничем не может повредить. Дело в том, что после сброса пароля новый высылается почтой. Но не злоумышленнику, а соответствующему пользователю. То есть, неприятно, но не смертельно.
Опять же, далеко не все поняли, что речь идет об уязвимости не только WordPress версии 2.8, но и всех предыдущих. Народ у нас, конечно, не любит разбираться в таких тонкостях, но факт остается фактом: если вы не обновились — вы уязвимы.
К счастью, как сообщил один из разработчиков, для устранения уязвимости вовсе не обязательно качать версию 2.8.4. По ссылке — патчи для WordPress версий 2.8.3 и 2.7.1.
Цывилезадция
Рубрики: Дневниковое | Метки: ит
Опубликовано: 15.06.2009 в 17:19
В поезде тоже три-же.
Правда, это ненадолго. Дальше оно будет только островками и урывками.
Google Chrome без рекламы
Опубликовано: 21.04.2009 в 10:57
1. Скачайте утилиту Google Channel Changer, позволяющую переключаться между источниками обновления браузера.
Запустив утилиту, перейдите на канал для разработчиков dev (тут надо учесть, что эти версии браузера на самом деле выпускаются для разработчиков и тестировщиков, а потому стабильной работы никто не гарантирует) или на канал бета-версий (это постабильнее будет).
2. Теперь запустите (перезапустите) свой Chrome и обновите программу через меню «Настройка и управление» (иконка с гаечным ключом), опция «О браузере».
Не знаю как у вас, а у меня сервер обновлений программа видит не всегда.
3. Теперь нужно отредактировать ярлык запуска программы (правая кнопка мыши, пункт меню «Свойства») , добавив ключ -enable-user-scripts. У меня строка «Объект» в свойствах ярлыка Chrome выглядит примерно так:
<strong>"...\Documents and Settings\Влад\Local Settings\Application Data\Google\Chrome\Application\chrome.exe" -enable-user-scripts</strong>
Обратите внимание, что ключ находится за кавычками и пишется через пробел.
4. Найдите свою пользовательскую папку Chrome. Под XP это будет что-то вроде
<strong>...\Documents and Settings\Влад\Local Settings\Application Data\Google\Chrome\User Data\Default</strong>
Под «Вистой» или «Семеркой» это будет
<strong>...\Users\Влад\AppData\Local\Google\Chrome\User Data\Default</strong>
5. В этой папке нужно будет создать подкаталог User Scripts.
6. В созданный подкаталог следует скопировать вот этот скрипт (правая кнопка мыши на ссылке, «Сохранить как...»).
7. Теперь качаем собственно расширение (правая кнопка мыши на ссылке, «Сохранить как...»).
Скачанное расширение нужно будет запустить. Его запуск никакими спецэффектами не сопровождается, просто при этом оно копируется в нужную папку и все.
Если Windows не может определить, с помощью какого приложения нужно запускать расширение, укажите принудительно Google Chrome.
8. Теперь можно запускать (перезапускать) браузер. Это нужно делать с помощью того ярлыка, который вы отредактировали в пункте 3 — при использовании неотредактированных ярлыков скрипт не заработает и реклама будет видна.
Замечу, что реклама вырезается не вся, но это явно лучше, чем было.
