Плагин «Anti-XSS attack» Ver 0.5
ПЛАГИН НЕ АКТУАЛЕН ДЛЯ WP версии 2.5 и выше (новее)
Подробно этот плагин описан на maxsite.org. Если кратко, то он предупреждает админа, если тот заходит в админку своего блога с какими-то параметрами GET или POST, что может быть признаком XSS-атаки. А может и не быть. 🙂 В связи с изменением алгоритма аплоада файлов в WP 2.5 пришлось модифицировать плагин. Модификация похожа на дырку, но ничего лучше, увы, придумать не удалось. Скачать Anti-XSS attack 0.5.
У меня версия 2.8 стоит, однако 3 xss-атаки Яндекс зафиксировал. Может плагин всё-таки не лишний? Или не спасёт?
Яшка — паникёр 🙂 Мне он тоже рассказал про XSS. На поверку это оказались поисковые запросы с именем домена в строке поиска.
Интересно, он работает в весии WordPress 3.0?
Он и в 2.5 уже был лишним 🙂
тоже самое, и удалил именно его и именно там где нужно
подскажите, как решить проблему: стоял плагин от XSS attack, и в один прекрасный день он меня перестал пускать в /wp-admin на всех браузерах, кроме google chrom, который я использую по умолчанию. Деактивация плагина ни к чему не привела, удалил физически через ftp — тоже предупреждение выскакивает при входе в админку, нажатие на сгенерированную ссылку ничего не дает… как быть?
Такое ни один плагин не сможет пережить. Либо удалили не то, либо не там, либо сообщение выдает не этот плагин, а что-то другое.
А смысл дублировать функциональность?
См. http://forum.maxsite.org/viewtopic.php?id=2936
См. Disclaimer
Юрий, я не могу понять: в чём глубокий философский смысл использования плагина?
Если я не ошибаюсь, уже а 2.5 появились всякие check_admin_referer(), check_ajax_referer() и использование nonce. Что плагин добавляет такого, что нет в 2.5?
PS — плагин не защищает от XSS, он защищает от CSRF.
> уже а 2.5 появились всякие…
И что Вы предлагаете? Отменить плагин задним числом?
PS CSRF aka XSS2 🙂
Спасибо, понял. Ставлю.
Нет, не планируется. Поскольку разницы между 2.5 и 2.6 я не вижу.
Планируется что-то под 2.6.2?
Это значит, что для аплоада дополнительная проверка на реферер отключается. Ничего особо страшного в этом нет, так как мы имеем право надеяться, что Создатели WordPress и так позаботились о безопасности. Но все таки.
А что значит «похожа на дырку»?