Wpisy z tagiem "Wordpress"

Nikt nie narzekał, czyli jak kupić licencję, gdy licencji nie ma

Nikt nie narzekał, czyli jak kupić licencję, gdy licencji nie ma

Tomek rozważał zakup oprogramowania, ale im bardziej szukał warunków licencji, tym bardziej tekstu licencji u sprzedawcy nie było. Była za to tylna furtka, której zakupu nie rozważał. Zapraszamy na wycieczkę po pewnym produkcie.… Czytaj dalej

Długa lista problemów z nową stroną internetową Agencji Wywiadu

Długa lista problemów z nową stroną internetową Agencji Wywiadu

Wczytywanie zewnętrznych zasobów z wielu serwerów poza kontrolą AW, używanie prywatnych kont do wgrywania treści, prosta deanonimizacja twórcy i ciągle dostępna wersja deweloperska to tylko część problemów.… Czytaj dalej

Zdalne wykonanie kodu w WordPressie odkryte przez Polaka (tylko do wersji 4.7)

Zdalne wykonanie kodu w WordPressie odkryte przez Polaka (tylko do wersji 4.7)

Pod kontrolą WordPressa działa przynajmniej co czwarta strona w internecie (w tym także nasza). Nasz rodak, Dawid Gołuński, odkrył i opublikował sposób na zdalne przejęcie kontroli nad każdym z tych serwisów.… Czytaj dalej

Pięć ciekawych przykładów rzadziej spotykanych błędów w aplikacjach WWW

Pięć ciekawych przykładów rzadziej spotykanych błędów w aplikacjach WWW

Jako że Polacy także swoich łowców błędów mają, poprosiliśmy jednego z nich o podzielenie się z Wami ciekawymi przykładami błędów. Zapraszamy na spotkanie z fachowcem, który regularnie namierza i opisuje wpadki programistów.… Czytaj dalej

Uwaga, 0day w najnowszym WordPressie

Nie każdy badacz najwyraźniej jest zwolennikiem odpowiedzialnej publikacji informacji o podatnościach – firma Klikki Oy opublikowała błąd typu stored XSS w najnowszym WordPressie 4.2, na który nie ma jeszcze łaty.

Błąd znajduje się w sposobie zapisywania zbyt długich komentarzy do bazy danych.… Czytaj dalej

Aktualizujcie WordPressa i wtyczki i to szybko

Aktualizujcie WordPressa i wtyczki i to szybko

Właśnie wyszła nowa wersja WordPressa (4.1.2) oraz wielu popularnych wtyczek takich jak:

  • Jetpack
  • WordPress SEO
  • Google Analytics by Yoast
  • All In one SEO
  • Gravity Forms
  • Multiple Plugins from Easy Digital Downloads
  • UpdraftPlus
  • WP-E-Commerce
  • WPTouch
  • Download Monitor
  • Related Posts for WordPress
  • My Calendar
  • P3 Profiler
  • Give
  • Multiple iThemes products including Builder and Exchange
  • Broken-Link-Checker
  • Ninja Forms

Zaczęło się od wtyczki SEO  Yoast, w której odkryto poważny błąd XSS.… Czytaj dalej

Magazyn Hakin9 znowu zhakowany, tym razem przez etycznych hakerów

Magazyn Hakin9 znowu zhakowany, tym razem przez etycznych hakerów

Strona polskiego magazynu poświęconego bezpieczeństwu informacji była podatna na poważne błędy umożliwiające pobranie całej bazy użytkowników oraz wykonanie dowolnego kodu na serwerze.… Czytaj dalej

Aktualizujcie WordPressa. Teraz

Jeśli ciągle korzystacie z WordPressa 4.0, to albo włączcie automatyczne aktualizacje, albo szybko aktualizujcie do wersji 4.0.1. A jeśli macie wersję 3.x, to aktualizujcie jeszcze szybciej – błąd XSS w niej istniejący można dość łatwo zamienić w wykonanie kodu po stronie serwera i jest najpoważniejszą dziurą wykrytą w ostatnich latach.… Czytaj dalej

3 z 7 błędów w nowym WordPressie odkryte przez Polaków

Właśnie pojawiła się nowa wersja WordPressa (3.5.2), która rozwiązuje między innymi 7 problemów z obszaru bezpieczeństwa. Aż 3 z nich zostały zgłoszone przez Polaków:

Oprócz tego nowe wydanie poprawia takie błędy jak server-side request forgery, cross-site scripting w TinyMCE oraz błędy w atrybucji autorstwa wpisów użytkowników.… Czytaj dalej

DoS na najnowszego WordPressa

Polski badacz Krzysztof „vnd” Katowicz-Kowalewski (nie mylić z Krzysztofem Kotowiczem) odnalazł błąd w funkcji crypt_private(), znajdującej się w pliku wp-includes/class-phpass.php. Odpowiednia manipulacja parametrem licznika może zmusić serwer do wykonania np. miliarda iteracji funkcji md5, wyczerpując zasoby procesora oraz pamięci maszyny. Wystarczy w tym celu wysyłać odpowiednio spreparowane ciasteczko w zapytaniu o wpis zabezpieczony hasłem.… Czytaj dalej

Popularna wtyczka znienacka złośliwa, czyli WordPress i zaufanie

Popularna wtyczka znienacka złośliwa, czyli WordPress i zaufanie

Ilu z Was sprawdza kod źródłowy nowej wersji wtyczki WordPressa przed uruchomieniem aktualizacji? Nie spodziewamy się zobaczyć zbyt wielu rąk w górze. Ostatnie dni pokazują, że możemy mieć dzięki temu do czynienia z realnym ryzykiem infekcji.… Czytaj dalej

Zmasowane ataki na serwisy oparte na WordPressie

Zmasowane ataki na serwisy oparte na WordPressie

Od kilku dni na całym świecie mnóstwo serwisów, opartych na popularnym WordPressie, doświadcza zmasowanych ataków na konta administratorów, prowadzonych przez duży botnet. Jaka jest skala ataku, na czym polega i jak się przed nim bronić?… Czytaj dalej

Masz WordPressa z W3 Total Cache? Lepiej sprawdź konfigurację.

Masz WordPressa z W3 Total Cache? Lepiej sprawdź konfigurację.

Czasem niektóre problemy z zakresu bezpieczeństwa informacji nie wynikają z błędów w programach, a z ich niewłaściwej konfiguracji. Jeden z internautów zauważył, że konfiguracja popularnej wtyczki WordPressa może ujawniać poufne informacje.… Czytaj dalej

Jak script kiddie backdoora do kodu źródłowego WordPressa prawie wsadził

Jak script kiddie backdoora do kodu źródłowego WordPressa prawie wsadził

Historia tak niewiarygodna, że aż wymagająca utrwalenia dla potomnych. To, że ktoś próbował umieścić tylną furtkę w kodzie źródłowym WordPressa, nie jest zaskoczeniem. Zaskoczeniem jest sposób i styl, w jakim tę próbę przeprowadził.… Czytaj dalej

Aruba
 What The H@ck