И все таки версия WordPress 2.8.5 не стала последней в линейке, вчера выпущен новый релиз — 2.8.6, который устраняет две обнаруженных проблемы безопасности: уязвимость XSS со стороны зарегистрированных пользователей в статусе авторов, которая позволяла загрузить и выполнить файл с PHP кодом. Вторая позволяла при обработке имён загружаемых файлов воспользоваться той же «дырой» на некоторых конфигурациях Apache.
В свете последних событий касающихся безопасности WordPress все более актуальны плагины, отвечающие за оную. Одно дело дистрибутивы движка, которые практически все пользователи скачивают с официального сайта, или плагины, которые также многие берут из каталога WordPress.org. Другое дело шаблоны, которые распространяются множеством людей, как их авторами, так и совершенно сторонними людьми, цели которых часто не совпадает с альтруистичными дизайнерами, раздающих свои творения бесплатно — обнаружить в свежеустановленной теме в футере закодированные ссылки на рекламные сайты уже не в новинку. И это еще пол-беды, ведь кроме ссылок можно получить в «подарок» что-нибудь похлеще. Обезопасить себя от этого можно с помощью плагина Theme Authenticity Checker.
Обнаружена свежая уязвимость WordPress! Уязвимость позволяет провести DOS атаку на блог используя файл wp-trackback.php. Используя эксплоит, злоумышленник может заставить нарушить работоспособность блога — он перестанет отвечать на запросы пользователей вообще, либо все действия будут происходить очень медленно из-за загруженности сервера.
10 августа стало известно о критической уязвимости в WordPressверсии 2.8.3, которая с легкостью позволяла изменить пароль учетной записи администратора в удалённом режиме. В этот же день вышел релиз WordPress 2.8.4, устраняющий эту уязвимость. Но как оказалось, далеко не все «держатели» блогов следят за апдейтами.
Более того — в эти выходные разразилась эпидемия небывалых размеров нового вируса, поражающего блоги на движке старых версий. Червь регистрируется в блоге как пользователь и далее запускает вредоносный код, используя структуру permalink, в результате чего делает себя вторым администратором. Далее запускается скрипт для стирания данных о черве со страницы пользователей, а после с этой учетной записи начинается добавление спама и ссылок на вредоносный контент в архивные топики.
