Уязвимост в WP тема

wood · 27 Октомври 2011

Преди седмици в хоме директорията на сървъра ми наблъскаха един куп index файлове, изчистих ги. Интересува ме къде са слабите места на WP и къде могат да вмъкнат кодове като този: Така като го гледа трябва да препраща към тези адреси. Но как става номера, че нещо и посещенията ми намаляха. В търсачката като кликна на линк кото води към сайта ми ...препраща ме към сайта ми, а не към тези адреси в php файловете.

<?

$urls = array (
'http://rxberet.ru/trial2',
'http://rxberet.ru/trial2',
'http://rxberet.ru/trial2'
);

$URL = $urls[rand(0, count($urls) - 1)];
header ("Location: $URL");

?>

contra · 27 Октомври 2011

От: Уязвимост в WP тема

Темата ако не е някаква бейсик, не би трябвало да зарежда index.php въобще. То е предимно за fallback.
Това че са ти реплейснали индекса не е вина на уордпреса. Просто кофти заложени права на папките/файловете. Може би дори лабаво сървър секюрити - там не разбирам.

Един от начините да се предотвратят такива неща е да не се слага инсталацията на ВП-то директно у руута на домейна, ами в някаква шантаво именована папка. После в хтаксеса се казва да зарежда тая папка, а не в руута. Така хакорчетата доста по-трудно ще разберат що се мъчат напразно.

Съвсем друг тип слаби места са примерно темите с разни форми - контактни и всякакви други дето има юзър инпут. Ако не сте сигурни че авторът на темата се е погрижил да валидира и чисти инпута, не ползвайте такива 'екстри'.

И още много работи могат да се направят като опции - преименувания на дейтабейз таблици, триене на админския акаунт, много алибали.

wood · 27 Октомври 2011

От: Уязвимост в WP тема

Става въпрос за този сайт, за тази тема. На хоста има още два сайта с тази тема но в тях няма проблем. Index файла си е добре но в хоме директорията бяха наблъскани около 30 индекса с подобни наименувания / index122tww--.php /. Така че основният index.php си е наред, но ме интересува другите индекси откъде може да се извикват. Няко йможе ли да ми каже какви права и на кой папки трябва да задам на WP в сървъра.

tuger · 27 Октомври 2011

От: Уязвимост в WP тема

Тука ктомов трябва да се намеси. Потърси го, ако не я види.

wood · 27 Октомври 2011

От: Уязвимост в WP тема

tuger каза:
Тука ктомов трябва да се намеси. Потърси го, ако не я види.

Ще я види той.

coolice · 27 Октомври 2011

това е класипрес 3 мисля, това е уязвимост не в урдпрес а в тимтумба Дупка в wordpress теми с Timthumb - Важно

и джумла с тимтуммб ще я хакнат по същия начин и тимтумба дор и да го имаш в неактивна тема, пак можел да се ползв

виж линка трябва да му смениш кода с новата версия и го смени и на другите 2 сайта

пп и пускаи името на темата

wood · 28 Октомври 2011

От: Re: Уязвимост в WP тема

coolice каза:
това е класипрес 3 мисля, това е уязвимост не в урдпрес а в тимтумба Дупка в wordpress теми с Timthumb - Важно

и джумла с тимтуммб ще я хакнат по същия начин и тимтумба дор и да го имаш в неактивна тема, пак можел да се ползв

виж линка трябва да му смениш кода с новата версия и го смени и на другите 2 сайта

пп и пускаи името на темата

Темата е WPclassifieds, от две години съм с тази тема и нямаше проблем.

ktomov · 28 Октомври 2011

Именно, защото си от 2 години с нея и няма ъпдейти е тоя проблем.
Ако четяхте важните теми във форума, а и се интересувахте от сайтовете ви, нямаше да имате подобни проблеми.

wood · 28 Октомври 2011

От: Re: Уязвимост в WP тема

ktomov каза:
Именно, защото си от 2 години с нея и няма ъпдейти е тоя проблем.
Ако четяхте важните теми във форума, а и се интересувахте от сайтовете ви, нямаше да имате подобни проблеми.

Зная че няма ъпдейт, даже и някой линкове към тях вече не са активни. Но какво да правя, имам около 20К обяви и ако мина към някоя друга тема която ми хареса не зная как да ги интегрирам в нея.

Ktomov ..кажи как да активирам Capcha плъгина на тази тема. Самата тема има вградена recaptcha но нещо невърши работа. Опитвам се да инсталирам нова капча но нещо не се получава, дава ми че е активна но се показва само на регистриране, при публикуване не се показва. Махнах recaptcha - та но пак нищо.
[h=2][/h][h=2][/h]

ktomov · 28 Октомври 2011

Re: От: Re: Уязвимост в WP тема

wood каза:
Зная че няма ъпдейт, даже и някой линкове към тях вече не са активни. Но какво да правя, имам около 20К обяви и ако мина към някоя друга тема която ми хареса не зная как да ги интегрирам в нея.

Ако беше прочел цитирания от Coolice мой пост, щеше да знаеш какво да направиш за да се предпазиш.

wood каза:
Ktomov ..кажи как да активирам Capcha плъгина на тази тема. Самата тема има вградена recaptcha но нещо невърши работа. Опитвам се да инсталирам нова капча но нещо не се получава, дава ми че е активна но се показва само на регистриране, при публикуване не се показва. Махнах recaptcha - та но пак нищо.

Не знам. Не ползвам captcha.

wood · 31 Октомври 2011

От: Re: От: Re: Уязвимост в WP тема

Инсталирах Ajax Fancy Captcha на тема в WP.
Става въпрос за този Сайт, в публикуване на обявата капчата се появява посредата на страницата, а в контакт е на мястото си но и в двете капчи не се появяват иконките вътре. Някой който разбира от уордпрес да помогне.

Уязвимост в WP тема

wood

Well-Known Member

contra

Well-Known Member

wood

Well-Known Member

tuger

Well-Known Member

wood

Well-Known Member

coolice

Owner

wood

Well-Known Member

ktomov

Premium

wood

Well-Known Member

ktomov

Premium

wood

Well-Known Member