Дек 14

Взлом WordPress

Tag: БлогиАлтайский блогер @ 22:40

Часто встречаю блоги на которых по тем или иным причинам вылетают SQL-ошибки. Эти сообщения о SQL-ошибках надо отключать – читать.

Откройте wp-db.php и поменяйте "true" на "false":

function show_errors() {

$this->show_errors = true;

}

Почему отобржание ошибок – нужно отключать? Обнаружился баг Sql Injection in wordpress 2.3.1:

~~~~~~~~~~~~~~~~~~SQL Injection ~~~~~~~~~~~~

Vulnerable URL : http://localhost/path_to_wordpress/?feed=rss2&p=

Parameter : P

POC = http://localhost/path_to_wordpress/?feed=rss2&p=11/**/union/**/select/**/concat(user_password,char(100),username),2/**/from/**/wp_users/**/where/**/user_id=1/*

У кого стоит WordPress 2.3.1 попробуйте открыть этот адрес: http://путь_к_вашему_wordpress/?feed=rss2&p=1

На старых версиях открываются комменты, а вот в 2.3.1 – ошибка.

Все это можно описать словами: Инъекции PHP, инъекции SQL, обратный путь в каталогах, межсайтовый скриптинг, утечка информации и т.д.

Также советую ознакомиться с Are Hackers Exploiting WordPress Themes?

Просто кликни сюда!
Похожие записи:

Комментарии к статье «Взлом WordPress»:

This website uses IntenseDebate comments, but they are not currently loaded because either your browser doesn't support JavaScript, or they didn't load fast enough.

Комментарии к статье «Взлом WordPress»:

  1. oldvovk:

    Вся линейка подпадает под это – те и 2.3 тоже

  2. SeoCoder:

    Мне $this->show_errors = false; это не помогло – ошибки также показываются (

  3. Блогер из Алтая:

    SeoCoder, пробовал установить плагин из http://blogsecurity.net/wordpress/wpdberrors-plugin-removing-wordpress-db-errors/

  4. Denis Streha:

    сохранил в утф8 все нормуль, при вин1251 ошибка остается

  5. Блогер из Алтая:

    Denis Streha, а почему в утф8 не оставишь? Я у меня блог в утф8.

  6. Denis Streha:

    Да блоги они все в утф8, просто в некоторых редакторах при открытии файл меняет кодировку (censored)

  7. Блогер из Алтая:

    Я пользуюсь http://www.editplus.com/ очень хороший редактор. Можно настроить его так, чтобы файлы открывались\сохранялись как в utf8 так и в любой другой кодировки.

  8. Презренный Манимейкер:

    Спасибо за совет, поменял данные, поменял кодировку файла в UTF8 – вывод ошибок прекратился.

  9. :-):