Критическая wordpress-уязвимость
Только-только я закончил разоряться на предмет «замечательности» stand-alone блогов, только-только я закончил перечислять все проблемы, которые придется расхлебывать многострадальному юзеру wordpress-блога, как вдруг дошла до меня одна новость.
Забегая вперед, скажу, что новость совершенно неутешительна и касается одной критической wordpress-уязвимости.
Однако обо всем по-порядку.
Всем прекрасно известно, что главным (и практически единственным!) инструментом манимейкерствующего юзе… школьника был и остается до дыр заезженный wordpress.
На этом многострадальном движке клепаются сателлиты, на нем же делаются бложеки «про немеряный зарОботок» или бложеки про сам wordpress. (В последних – обычно публикуются всякие «списочки полезных плагинов», и другая, столь же беспонтовая лабуда).
Популярность вордпресса – вполне закономерна: он очень удобен, как в установке, так и в использовании.
При надлежащей сноровке – из него можно сотворить хоть каталог статей, хоть утку с яблоками.
А много ли вы видели «полезных» школьничьих бложеков, скажем, про «друпал»?
А про «джумлу»?
То-то и оно.
Поставить и настроить вордпресс – сможет даже обезьяна.
А друпал, сцуко, тяжелый.
И поставить его с пол-пинка – юному пионЭру удается далеко не всегда.
Но у «тяжести» этой – есть и хорошая сторона.
Друпал – далеко не так популярен, как wordpress, и потому желающих в нем поковыряться – все-таки поменьше.
Что же касается вордпресса, то там с завидным постоянством находят критические уязвимости.
А уж частота выхода «новых» версий и их откровенная кривизна – способна взбесить кого угодно.
Особенно сильно это проявилось в ветке 2.8.
Ребятишечки с ней накосячили так, что просто караул.
Движок стал еще прожорливей, еще неповоротливей, еще дырявей.
То есть все, как всегда.
Добавьте к косячной ветке маниакальное стремление юзеров совать себе новые версии движка сразу же после их выхода, и вы получите идеальную среду для возникновения .
(Или наглядное подтверждение тезиса о том, что «новое» – далеко не всегда означает «лучшее». Кому как нравится).
Если вы являетесь счастливым обладателем бложека за номером 2.8, 2.8.2, или 2.8.3 – приглядитесь к нему повнимательней.
Если постоянные ссылки на блоге (или RSS-фид) снабжены какой-нибудь интересной конструкцией, наподобие вот этой:
То вас можно от души поздравить.
Если зайдя в админку своего уютненького бложека вы ВНЕЗАПНО обнаружите там неизвестно откуда взявшегося второго админа – вас можно поздравить еще раз.
(Вы уже видите большую банку на картинке? Это хорошо).
Банальный снос движка с последующей установкой «с нуля» тут совершенно не поможет: враг уже внутри.
И поражена святая святых – база данных блога.
Чтобы убедиться в этом наверняка, следует исследовать базу на предмет инъекции:
Если есть совпадения – это явный признак заражения базы.
Допустим, диагноз подтвердился, и пациент болен.
Как быть?
Умные граждане советуют проделать следующие мероприятия:
Вначале – поправить постоянные ссылки.
Потом – открыть таблицу wp-usermeta.php, и запомнить id юзеров с meta_key – ‘first_name’, которые в ней содержатся.
Открыть таблицу wp_users и удалить оттуда всех юзеров с вышеуказанным id.
Затем вновь открыть wp-usermeta.php и удалить юзеров теперь уже оттуда.
А теперь – к Кактусу за обновлением!
А вот тут есть старая добрая прога для начальной прокачки сателлитов.Поделись заметкой с друзьями:
А я еще думал, не обновиться ли мне, кшна обновляться пришла пора. Автору надо было написать куда идти чтобы обновиться.
У тебя уже стоит 2.8.4, гребаный ты спамер.