Blog cu stiri IT si noutati IT - arena4it.ro

WordPress – Probleme de securitate grave!

Cel mai folosit CMS (Content System Management) folosit la ora actuala este Wordpres, dar asta nu inseamna ca este cel mai sigur. Acum nu pot sa comentez prea multe din moment ce este free si disponibil oricui (chiar si eu folosesc WordPress si imi place), dar pot sa comentez pe seama celor care vor teme gratuite.

Ieri, doi prieteni de-ai mei, utilizatori ai forumului Hostimm, au descoperit, din greseala, un bug de securitate cat casa de mare.
„Astazi impreuna cu un amic incercam sa facem un cod pentru wordpress care sa ma anunte cand o tema este instalata de un user. Nu urmaream nimic sa facem nimic rau, doar sa fiu instiinta cand este activata tema. Amicul meu in timp ce testa si-a dat seama ca acel cod inserat in function.php nu trimite doar un simplu mesaj gen: Tema X a fost instalata pe domeniul Y, ci si date sensibele.
User si pass cpanel, user si pass la db, acces la wp-config.php, poibilitatea de a urca un shell si multe altele.
Poate schimba parola la root, poate vedea totii userii de pe server accesand /etc/passwd , sau vedea parola actuala la root, avand access la /etc/shadow
Sunt doar 3 linii de cod amarate care iti poate distruge munca.
Deci atentie la ce teme urcati pe site-ul vostru. Atentie mare la temele nulled luate de pe net si cele care au coduri criptate. Niciodata nu stii ce se ascunde acolo.
Acum dupa ce am descoperit acest BUG Imens nici nu mai trebuie sa cripteze codul. Il scrie normal si dupa ce ai activat tema are acces total la serverul tau. Chiar si la sistemul de operare.”

Cam asta e povestea care poate termina munca ta imediat. Partea mai grava este ca ei au trimis o notificare la WordPress.org (Automattic Inc.) si nu au primit nicio notificare, ceea ce ma determina sa gandesc ca ei stiu de acest bug.

Baietii nu au vrut sa faca rau asa ca nu postez nici eu codul cu care poti obtine aceste date. Din contra, voi scrie articolul si in limba engleza si il voi trimite la blogurile mari, cu influenta in lumea online cu speranta ca poate ase se vor sesiza si cei de la wordpress.org.

Vorba lor: Daca noi 2, care avem cunostinte minime in domeniu am putut face acest lucru, atunci un expert in domeniu ne mananca de vii..

Printscreen-uri care dovedesc problema de securitate a CMS-ului WordPress:
Articolul original


Pasionat de tehnologie si gadgeturi. Incerc sa prezint numai stiri it de calitate si pareri pesonale la subiect, fara sa ocolesc partile proaste in alegerea unui produs.

Advertisement

2 Responses to “WordPress – Probleme de securitate grave!”

  1. Eu cred ca aici tine si de securitatea serverului, defapt nu cred, sunt sigur de asta !!! Incearca acelasi cod pe servere diferite sa vezi daca obtii aceleasi rezultate 😉

    Reply to this comment
  2. Daniel

    Apr 08. 2014

    Noi am descoperit probleme de securitate pe mai multe teme contra cost.Wordpress știe de aceste probleme și găsești o secțiune unde ei specifica ceva despre dubla autentificare pentru panoul administrator. Probleme similare și pe Joomla ,Website X 5. In teorie un expert în materie poate distruge orice site.Spre exemplu orice persoana poate avea acces la sitemap și robots.txt de pe toate site-urile dacă știe cum sa procedeze și este chiar ușor de accesat.Oricum ați procedat bine făcând știrea publica.

    Reply to this comment

Leave a Reply


Facebook Like Box provided by plumber orange county
CLOSE
CLOSE