Уязвимость в WordPress темах

9.08.2011

Категория: Веб-разработка

0 коммент. »

0day

Входящая во многие wordpress темы утилита для изменения размера изображений timthumb.php, уязвима к загрузке произвольного PHP-кода.

В конфиге скрипта лежат несколько доменов (flickr.com, picasa.com, blogger.com, wordpress.com, img.youtube.com, upload.wikimedia.org, photobucket.com) с которого ему разрешено загружать изображения.

Из-за недостаточной проверки передаваемых параметров существует возможность загрузить веб-шелл на сервер используя список доверенных доменов для создания поддоменов с такими же названиями. Т.е. timthumb.php считает ссылку blogger.com.hackersite.com/webshell.php легитимной и позволяет загрузить скрипт на сервер.

Уязвимость обнаружил Марк Маундер, после того, как его блог был взломан.

Пропатченный timthumb.php

(via habrahabr)

UPDATE: уже появилась и реализация этой «дыры» с использованием superpuperdomain.com
Как лечить последствия – PHPRemoteView Hack: What it is, and how to remove it.

, ,

6 бесплатных инструментов для создания мобильной версии сайта

8.04.2010

Категория: Веб-разработка

6 бесплатных инструментов для создания мобильной версии сайта

Почти у всех из нас есть мобильники. И совсем не важно – простые или навороченные. Так или иначе их владельцы пользуются выходом в интернет. В наши дни большинство сайтов совсем не пригодны к мобильному сёрфингу: слишком долгая загрузка, исковерканный малым экраном устройства дизайн и другие неприятные моменты.

Тем не менее (к радости посетителей и на на зло своим конкурентам), изо дня в день тысячи людей выпускают адаптированные версии своих сайтов. Красивые и быстрые. И пусть идея создания мобильной версии не пугает вас, на самом деле это не так сложно. С помощью описанных ниже сервисов вы сможете создать, разместить и запустить свой мобильный сайт уже сегодня!
Подробнее »

, , , ,

WordPress: добавляем в комментарии ссылку на Twitter

17.03.2010

Категория: Веб-разработка

Твиттер очень популярен! И это уже ни для кого не секрет. Растёт и количество способов интеграции этого сервиса с блогами.

Добавляем ссылку на Twitter в комментариях wordpress

Есть много потенциальных мест у wordpress, куда можно «прикрутить» его функциональность: Подробнее »

, , ,

Поставить ли себе Disqus на WordPress?

10.03.2010

Категория: Разное

Всё чаще и чащё задаюсь вопросом о малой активности посетителей блога. Хочется всё-таки обратной связи от вас.
Про спамеров молчу – их хватает )))
Речь о том, как привлечь читателей к комментированию. Может вас что-то отпугивает от написания пары строк или это банальная лень? Или все засели в rss? Не бойтесь, если есть какие-то пожелания или мысли – оставляйте их ниже!

А пока что подумываю об установке на WordPress системы внешнего комментирования Disqus – удобная вещь, судя по отзывам.
Да и просто интересно проверить новую (имеется ввиду в рунете не очень распространённую) «игрушку».

система комментирования Disqus

Кому интересно, можете продолжить знакомиться со всеми «за» и «против» Disqus на других богах:

, ,

Оптимизация WordPress. Кешируй! Сжимай!

9.09.2009

Категория: Веб-разработка

Маленькая, заметка по ускорению работы сайта. Ничего нового, супер-секретного и мега-детального (благо, есть места, где можно почитать об этом более раскрыто). Просто решил наконец поковырять свой блог на предмет более шустрой работы. Ах, да — как-нибудь отпишусь о новом хостинге….

Помогать искать слабые места и сравнивать результаты поможет… [да, я знаю о плагинах к ФФ и сам их использую, но этот вариант проще + в закладки можно кинуть!] …полезный инструмент Pingdom. Она покажет на какие файлы стоит обратить внимание, а также общее время загрузки сайта. Сделайте пробный замер!

оптимизация сайта wordpress

Итак, ускоренная методика!
Подробнее »

, ,

Уязвимость WordPress! Пароль администратора можно сбросить!

12.08.2009

Категория: Веб

broken-wordpress-lock
Вчера была обнаружена уязвимость для версий WordPress 2.8.3 и ниже – то есть ВСЕХ!!!
Злоумышленник, зайдя на блог по специально сформировенному URL, может обойти проверку на безопасность. В результате, для первой учетной записи в базе данных (как правило, администратора) будет сформирован отправлен на emal владельца новый пароль. Конечно, это не позволит получить удаленный доступ, но заблокирует работу владельца блога.
Поэтому обновляемся до версии 2.8.4!

,

Бесплатные темы для WordPress

4.01.2008

Категория: Разное

Как Вы уже успели заметить я сменил себе оформление блога. Немного адаптировал под себя, частично перевёл – вобщем весь в заботах…

К чему пишу? Взял за правило писать о всём что делаю :)
Например вставлял кусок кода и столкнулся с проблемой. Решил её – вот, получите заметку о переносе слов в теге PRE. Всё просто до безобразия!

Итак, судя из названия заметки – ссылки на сайты с коллекциями тем для WordPress’а. Их немного, но это новые сайты, а не заезженные. Красивые дизайны, интегрированные плагины, 3-х колонники – глаза разбегаются:

, ,
Стр. 1 из 212