Другое [Уязвимость] Новая уязвимость

[Eugenij]

Гуглоперевод.
Это вообще объявление сообщество для всех покупателей WordPress пунктов обратить ваше внимание на Для просмотра ссылки Войди или Зарегистрируйся . Уязвимость вызвана общей кодовой используется в WordPress плагинов и тем, доступных на ThemeForest и CodeCanyon, в Для просмотра ссылки Войди или Зарегистрируйся веб-сайта и других источников.

Этот вопрос не ограничивается тем и плагинов, приобретенных у ThemeForest или CodeCanyon. Любое использование в WordPress веб-сайт, независимо от того, где был получен тема или плагин, должен быть в курсе этого и принять незамедлительные меры для обеспечения его безопасности.
Подробнее

 

[Maybe]

Надо было сразу список основных уязвимых плагинов указать:

• Для просмотра ссылки Войди или Зарегистрируйся
• Для просмотра ссылки Войди или Зарегистрируйся
• Google Analytics by Yoast
• All In one SEO
• Gravity Forms
• Multiple Plugins from Для просмотра ссылки Войди или Зарегистрируйся
• Для просмотра ссылки Войди или Зарегистрируйся
• WP-E-Commerce
• WPTouch
• Для просмотра ссылки Войди или Зарегистрируйся
• Для просмотра ссылки Войди или Зарегистрируйся
• Для просмотра ссылки Войди или Зарегистрируйся
• P3 Profiler
• Для просмотра ссылки Войди или Зарегистрируйся
• Multiple Для просмотра ссылки Войди или Зарегистрируйся products including Builder and Exchange
• Broken-Link-Checker
• Ninja Forms

 

[arsoft]

Надеюсь обновления оперативно выпустят.

 

[monitorus]

WP Touch вроде как гугл сам предлагает для придания адаптивности шаблонам. У меня стоит на одном сайте, вроде проблем нет. Кроме него только broken link checker есть из списка. Но, по-моему, он сегодня обновился.

 

[dj_snake]

Два обновления вкрапления 4.11-4.12 - как подготовительный этап затрагивало этот момент перед переходом на 4.2. Почти все разрабы плагинов обновились

 

[IvanMega]

Надо значит делать бекапы файлов и обновлятся.

 

[Sergio022]

Эта уязвимость позволяет записывать вредоносный код, или что может сделать злоумышленник с этим?
Как можно обезопаситься, кроме избежание этих плагинов(хотя, от WooCommerce SEO отказаться трудно)?

 

[Nevada]

Эта уязвимость позволяет записывать вредоносный код, или что может сделать злоумышленник с этим?
Как можно обезопаситься, кроме избежание этих плагинов(хотя, от WooCommerce SEO отказаться трудно)?

если коротко, то эта уязвимость позволяет АДМИНИСТРАТОРУ залить шелл на свой сайт.
то есть практически ее нет (а шелл админу самому себе иногда полезно залить, кроме шуток ).

 

[Sergio022]

Nevada, только администратору? так это не уязвимость, если нет у злоумышленников доступов админа. Какую тогда опасность эта дыра несет?
Вот у меня проблема, тоже никак не отловлю дырку в вордпрессе, или в шаблоне, в кеш записывает левые файлы с явно вредоносным кодом. Причем и кеш отключал, и права на запись отключал, и пароли менял. На хосте куча сайтов в том числе на вордпрессе, с одинаковыми плагинами, а страдает один сайт. Все обновлял, но проблема еще с 3-й версией не уходит. Так что там дырок вагон и посерьезнее, если я правильно понял проблему.

 

[Nevada]

Nevada, только администратору? так это не уязвимость, если нет у злоумышленников доступов админа. Какую тогда опасность эта дыра несет?
Вот у меня проблема, тоже никак не отловлю дырку в вордпрессе, или в шаблоне, в кеш записывает левые файлы с явно вредоносным кодом. Причем и кеш отключал, и права на запись отключал, и пароли менял. На хосте куча сайтов в том числе на вордпрессе, с одинаковыми плагинами, а страдает один сайт. Все обновлял, но проблема еще с 3-й версией не уходит. Так что там дырок вагон и посерьезнее, если я правильно понял проблему.

бучу насчет уязвимости поднял yoast - увидел это в своем плагине seo. по его информации, указанная уязвимость позволяет админу залить себе самому шелл (зачем, если есть ssh и ftp, если уж на то пошло? хотя иногда шелл полезен, если настройки хостинга - права групп - не дают, например, удалять файлы, которые уже не нужны).

что касается вашей проблемы с записью в кэш, посмотрите просто кто и что пишет в кэш, и уже когда отловите подозреваемых, сможете найти, кто из них виновен.
также, коль скоро есть 2 сайта на одном движке, в одном из которых проблема, а вдругом - нет, можно просто сравнить все файлы одного сайта и другого, найти разницу, и с этим остатком разбираться дальше.