WordPress 3.0.2 – Релиз безопасности

В официальном блоге WordPress появилось сообщение о выпуске новой версии популярной блог-платформы. Данное обновление заявлено как обязательное обновление для всех предыдущих версий WordPress с целью устранения обнаруженных уязвимостей.

В настоящий момент во всех версиях WordPress ниже 3.0.2 существует возможность для злоумышленника с правами автора получить более широкие привелегии в вашем блоге.

Релиз безопасности 3.0.2 устраняет эту ошибку, а также вносит дополнительные корректировки в безопасности и исправления, с которыми можно ознакомиться на багтрекере WordPress по этой ссылке.

via Daemony


Теги: , , ,

Вордпресс

Обновил WordPress до последней версии (по этому мануалу ©) и установил плагин Paginator – всегда просто мечтал иметь нечто подобное, а не какой-то костыль с доступом только к ограничеснному числу страниц. Автору мегареспект :).

Остался только один глюк, который я пока не знаю, как поправить (ну, точнее, просто ленюсь)). В посте почему-то сливаются абзацы, т.е. выглядеть они должны как на скриншоте, а на сайте выглядят совсем не так :(.


Теги: , ,

Удаленный сброс пароля админа в WordPress

В WordPress найдена уязвимость: злоумышленник может сбросить пароль администратора. Уязвимы все версии wordpress/wordpress-mu <= 2.8.3. Хороший момент в том, что пароль отправится админу на почту 🙂 и никуда больше. Но все равно не приятно.

Уязвимость

http://DOMAIN_NAME.TLD/wp-login.php?action=rp&key[]=

Вордпресс просто сбросит пароль и выдаст: “Проверьте ваш email для получения письма с новым паролем.”

Защита

// под этими строчками
if ( empty( $key ) )
return new WP_Error(‘invalid_key’, __(‘Invalid key’));

// добавьте еще эту проверку:
if ( is_array( $key ) )
return new WP_Error(‘invalid_key’, __(‘Invalid key’));


Теги: , , , , , , , , ,