Уязвимость WordPress: изменение wp-trackback.php может вызвать DoS-атаку
Обнаружена свежая уязвимость WordPress! Уязвимость позволяет провести DOS атаку на блог используя файл wp-trackback.php. Используя эксплоит, злоумышленник может заставить нарушить работоспособность блога — он перестанет отвечать на запросы пользователей вообще, либо все действия будут происходить очень медленно из-за загруженности сервера.
Дабы обезопасить свой блог от данной атаки необходимо добавить следующие строчки в файл functions.php в папке шаблона вашего блога:
[php]function ft_stop_trackback_dos_attacks(){
global $pagenow;
if ( ‘wp-trackback.php’ == $pagenow ){
// DoS attack fix.
if ( isset($_POST['charset']) ){
$charset = $_POST['charset'];
if ( strlen($charset) > 50 ) { die; }
}
}
}
add_action(‘init’,'ft_stop_trackback_dos_attacks’);[/php]
Если у вас нет возможности редактировать файлы шаблона блога, необходимо скачать и установить плагин Stop Trackback DOS, который обезопасит ваш блог от данной уязвимости.
Внимание!
Если вы не можете попасть в панель управление, вполне вероятно эксплойт начал свое черное дело. Удалите wp-trackback.php на время, после чего попробуйте установить вышеуказанный плагин.
Специалистам по безопасности
Если вы являетесь специалистом по безопасности или считаете себя таковым и хотите поэкспериментировать и изучить зловредный скрипт, то ниже ссылки на материалы для ознакомления:
Благодарю. за пост. Будем исправлять уязвимость ))
В седьмой строке ошибка. Лучше фиксить сам фаил wp-trackback.php
косячно отображается код почему-то. Вот:
http://lists.automattic.com/pipermail/wp-hackers/2009-October/028020.html