Via Хабр.

Что тут можно сказать? Истерика она и в Африке истерика. Мы попытались собрать наиболее важные вопросы в связи с ситуацией и спокойно ответить на них.

Вордпрессеры, пожалуйста, поделитесь ссылкой на этот пост со всеми, кому это может быть полезно.

Замечания по существу и поправки принимаются.

Вопрос: Везде говорят об опасной уязвимости WordPress. Каких версий это касается?

Ответ: Это каcается всех версий по 2.8.3 включительно в связи с одной активно обсуждаемой уязвимостью и версий от 2.2.3 до 2.8.2 в связи со второй (более опасной).

Вопрос: Ужас какой! Так их две?!!

Ответ: На самом деле их намного больше, да и эти две «знающие люди» используют никак не меньше года. Никто в результате пока не умер, так что паниковать не следует. Наоборот можно даже порадоваться: раз WordPress массово «ломают», значит, он очень популярен и широко распространен.

Первая уязвимость, о которой сейчас шумят, позволяет, обратившись с определенным параметром к скрипту wp-login.php, сбросить административный пароль. Ничего особо страшного не происходит, поскольку новый пароль высылается не злоумышленнику, а на почтовый ящик администратора. Хотя ничего приятного в этом тоже нет.

Вторая «дыра» опаснее. Злоумышленник (через сетевого червя) регистрируется на сайте как обычный пользователь, затем, эксплуатируя уязвимость, повышает свои полномочия до административных и начинает безобразничать. Все это делается не просто так: злоумышленники получают доступ к старым записям блога и публикуют в них вредоносный контент, как правило, скрытый.

Вопрос: Как узнать, взломан мой блог или нет? Читать далее...

Переходить на нее я не стал, ограничившись испытаниями: выяснилось, что ей нужно куда больше памяти, а в условиях нашего скромного VPS это означает, что все работать будет, но медленно.

Ну а совсем недавно была обнаружена уязвимость WordPress, которая заключалась в том, что злоумышленник мог сбросить пароль любого пользователя, сделав некий запрос к скрипту wp-login.php. Любого — значит совсем любого, включая администратора.

Увы, далеко не все поняли, что, хотя уязвимость и назвали «критической», большинству пользователей WordPress это ничем не может повредить. Дело в том, что после сброса пароля новый высылается почтой. Но не злоумышленнику, а соответствующему пользователю. То есть, неприятно, но не смертельно.

Опять же, далеко не все поняли, что речь идет об уязвимости не только WordPress версии 2.8, но и всех предыдущих. Народ у нас, конечно, не любит разбираться в таких тонкостях, но факт остается фактом: если вы не обновились — вы уязвимы.

К счастью, как сообщил один из разработчиков, для устранения уязвимости вовсе не  обязательно качать версию 2.8.4.  По ссылке — патчи для WordPress версий 2.8.3 и 2.7.1.

Правда, это ненадолго. Дальше  оно будет только островками и урывками.

Запустив утилиту, перейдите на канал для разработчиков dev (тут надо учесть, что эти версии браузера на самом деле выпускаются для разработчиков и тестировщиков, а потому стабильной работы никто не гарантирует) или на канал бета-версий (это постабильнее будет).

2. Теперь запустите (перезапустите) свой Chrome и обновите программу через меню «Настройка и управление» (иконка с гаечным ключом), опция «О браузере».

Не знаю как у вас, а у меня сервер обновлений программа видит не всегда.

3. Теперь нужно отредактировать ярлык запуска программы (правая кнопка мыши, пункт меню «Свойства») , добавив ключ -enable-user-scripts. У меня строка «Объект» в свойствах ярлыка Chrome выглядит примерно так:

<strong>"...\Documents and Settings\Влад\Local Settings\Application Data\Google\Chrome\Application\chrome.exe" -enable-user-scripts</strong>

Обратите внимание, что ключ находится за кавычками и пишется через пробел.

4. Найдите свою пользовательскую папку Chrome.  Под XP это будет что-то вроде

<strong>...\Documents and Settings\Влад\Local Settings\Application Data\Google\Chrome\User Data\Default</strong>

Под «Вистой» или «Семеркой» это будет

<strong>...\Users\Влад\AppData\Local\Google\Chrome\User Data\Default</strong>

5. В этой папке  нужно будет создать подкаталог User Scripts.

6. В созданный подкаталог следует скопировать вот этот скрипт (правая кнопка мыши на ссылке, «Сохранить как...»).

7. Теперь качаем собственно расширение (правая кнопка мыши на ссылке, «Сохранить как...»).

Скачанное расширение нужно будет запустить. Его запуск никакими спецэффектами не сопровождается, просто при этом оно копируется в нужную папку и все.

Если Windows не может определить, с помощью какого приложения нужно запускать расширение, укажите принудительно Google Chrome.

8. Теперь можно запускать (перезапускать)  браузер. Это нужно делать с помощью того ярлыка, который вы отредактировали в пункте 3 — при использовании неотредактированных ярлыков скрипт не заработает и реклама будет видна.

Замечу, что реклама вырезается не вся, но это явно лучше, чем было.

Во-первых, почему-то охренительно долго стал открываться веб-интерфейс Gmail — в свежем Chrome он тужится как в шестом IE.

Во-вторых, оно бесперечь обращается к диску. Даже когда компьютер ничего не делает вообще. Просто стоит. Красная лампочка на корпусе мигает как на дискотеке. Отключил «Файловый сканер» — та же хрень, дискотека.

Вы можете сказать, что «может это не антивирус делает», так я вам скажу, что именно он. Сейчас я пользуюсь своим вторым диском, он относительно шумный. Так вот, без этого антивируса он так не шкрябал и не мигал. И если бы так же шуршал диском тот же avast,  я бы это наверняка заметил.

Примечательно, что я и в прошлый раз снес Dr. Web из-за того же. Теперь, подумал я, у меня другой комп, помощнее, и можно попытаться снова... Нетушки, нехрен ворочать моими файлами!

После замены провода коннект больше не прерывался и модем перестал зависать.

Есть, правда, одна оговорка: не факт, что дело было именно в проводе или только в нем одном. У нас на лестнице за картонной дверкой около сорока лет лежит вот такая хреновина.

Она вся насквозь ржавая. Ее заливали водой прошлой зимой, когда у нас был вселенский потоп. Ее поливали чем-то летом, когда у нас в подъезде был ремонт.

Не исключено, что было бы достаточно потыркать контакты отверткой, заново зачистить  концы старого провода и интернет бы заработал как следует.

Добавлю: сегодняшняя история в очередной раз подтвердила, что я выбрал правильного провайдера — скоро у меня пойдет третий год бесперебойного интернета. А за такими вещами, как старая «лапша» или заржавевшие контакты, мы вообще-то должны следить сами. При этом, разумеется, «Авангард» не подходит тем, кто живет в старых районах с очень ветхими телефонными линиями:  пресловутых разрывов в таких случаях не избежать — если их нет сегодня, это ничего не значит. Они могут появиться в любой момент.

P.S. Да, кстати. После замены проводов заметно увеличилась скорость аплоада: до этого она была ниже номинальной.

Интересно, что впервые случилось это в прошлом месяце в выходные, вечером.  В какой-то момент я даже решил, что повис модем, но как показали тесты, аппаратных проблем на моей стороне не было. Просто коннект не восстанавливался, пока не передернешь телефонный  провод либо не перезапустишь модем. Вот такая загогулина.

Разумеется, заподозрил в первую очередь пожилой модем. Утащил у родственников ненужный новый, который вообще поставлялся полностью настроенным для работы с этим провайдером. Та же загогулина.

Вообще логика подсказывает, что если был дисконнект, то оно должно попытаться присоединиться снова, тем более, что при шататных диконнектах (смена IP-адреса, например) все восстанавливается моментально. Нет, после сбоя оно пытается, помигивает. Потом даже может лампочка наличия коннекта загореться и продолжать гореть, но  странице статуса в веб-интерфейсе модема (любого) отображается, что коннекта нет!..  И пока не передернешь провод почему-то ничего не толкового не происходит. Объяснить причин этого я не могу, но одна и та же картина наблюдается, повторю,  на двух модемах совершенно разных производителей.

Разумеется, вторым заподозрили сплиттер. У меня есть два запасных. Пробовал все три. Один хрен.

Проверил провода от телефонной розетки до устройства. Провода в полном порядке, проверил с несколькими запасными.

В общем, для очистки совести осталось заменить драную «лапшу», ведущую с лестницы к розетке. Хотя сравнительно недавно эта «лапша» стала короче и скруток на ней, можно сказать,  не осталось.  А до этого прекрасно работало со всеми скрутками.

В пользу того, что дело не в «лапше», говорит то, что перебои чаще всего наблюдаются в часы пиковой нагрузки на Сеть. То есть, в выходные. Правда,  в понедельник это издевательство с дисконнектами продолжалось весь вечер — я заколебался вскакивать и передергивать провод. А ведь понедельник — это, вроде бы, даже не выходной. И с окончанием «часа пик» разрывы прекратились и несколько часов все было нормально.

Но провайдеру все равно звонить бессмысленно, пока в квартире «лапша».  Они будут утверждать, что дело в скрутках. Так что с утра поменяю на «витуху» и там уже посмотрим.

P.S. Вспомнил древнюю историю. Когда пользователи жаловались на разрывы диалап-соединения весной. Когда у провайдера талой водой заливало колодцы. Уж не в этом ли дело?.. ;-)

P.P.S. А ведь все было в порядке. Три года все в порядке было. Тьфу.