Професионален хостинг и поддръжка
Денонощен национален телефон:

Posts Tagged ‘WordPress’

WordPress Up

29 април 2013 г. Публикуванo в Събития | 3 Коментара »
WordUp - Wordpress форум

Първата в България WordUp конференция вече е факт. Тя събра потребители на най-популярната платформа за създаване уеб сайтове и разработчици на разширения за платформата под гостоприемния покрив на академия Телерик. Събитието показа, че българската Wordpress общност има нужда от този форум. Интересът към мероприятието беше голям, а активността на участниците показа високото ниво на специалистите, ангажирани с платформата у нас.

Няколко основни теми фокусираха вниманието на аудиторията. Инструменти и хитрости при разработката на теми и плъгини за WordPress очаквано формираха единия от акцентите в програмата. Презентации с този фокус направиха Константин Данков и Христо Чакъров. Темата за сигурността също беше подобаващо застъпена. Wordpress евангелисти, като Марио Пешев и Димитър Николов, допринесоха за многообразието на тематиката, а гост-лекторът от Холандия – Марко Хайнен обърна внимание на стандартите при разработка на приложения за популярната платформа. Блогърър Пламен Петров разчупи технологичното статукво и напомни, че идеалната техология и създаденият с нейна помощ идеален сайт не могат да заменят качественото съдържание. Организаторите от NewBiz Club обeщаха да публикуват всички презентации от форума на сайта на събитието: wordup.bg.

Конференцията разкри, че общността от разработчици у нас са ориентирани предимно към Wordpress проекти вън от страната. Българските потребители от своя страна търсят евтини или безплатни решения от глобални доставчици. Разработката на пакети от теми например, не е приоритет за Wordpress специалистите в България. Броят на посветилите се на създаване на пакети от теми у нас не е висок, а универсални теми с включена поддръжка почти не се предлагат.

Къстомизирането на сайтове с помощта на плъгини предизвиква по-голям интерес. Широкозастъпеният начин на снабдяване с подходящо разширение обаче, остава търсенето на готови плъгини в Интернет. Нова област в развитието на платформата е предлагането на решения, които са фокусирани във вертикалните пазари. Това са сайтовете от един бранш, а услугата предлага специфични улеснения за създаването им, под формата на софтуер като услуга.

Специално внимание на форума беше отделено на сигурноста. Kакто стана ясно, основният проблем идва от темите и плъгините. И докато за плъгините в повечето случаи може да се разчита, че разработчикът се грижи за тяхната сигурност, темите остават най-уязвимото място при използване на Wordpress. Пробиви могат да бъдат установени както в безплатните, така и в платените теми. В последния случай реакцията на доставчиците обикновено е своевременна и единствено т. нар. zeroday уязвимости представляват опасност.

Големият проблем обаче си остават теми, които са модифицирани със зловреден код преди да се публикуват за безплатно изтегляне от мрежата. Една от препоръките на конференцията бе, че неоригинални източници, като форуми, коментарни секции и др. подобни не трябва да се използват. Ако все пак се избере тема без доказан произход, трябва да се вземат мерки за нейната проверка. Това може да стане с плъгини за защита или инструменти за проверка. Миглен Евлогиев даде списък на такива инструменти и препоръча използването на Suhosin версия на PHP, която комплексно филтрира голям брой нерегулярни заявки. В контролния панел на Host.bg такава версия може да бъде избрана в модула за настройка на PHP с индекс „s“ след номера на версията. Едно от най-полезните места за намиране на повече информация свързана със сигурността на Wordpress остава сайта wordpress.org. Ето няколко полезни линка:

Валидатор на кода на темите:
  wordpress.org/extend/plugins/theme-check
Проверка за зловреден код в темплейтите:
  wordpress.org/extend/plugins/antivirus/
Проверка в плъгините:
  wordpress.org/extend/plugins/tac/
Проверка в wordpress:
  wordpress.org/extend/plugins/quttera-web-malware-scanner/
Проверка в целия сайт:
  wordpress.org/extend/plugins/exploit-scanner/

10 билета, 10 победителя- WordUp! Conference 2013 Sofia

23 април 2013 г. Публикуванo в Без категория, Събития | Няма коментари »
10-Symbol

10-те безплатни билета се оказаха твърде малко за желаещите да присъстват на първата WordUp! Conference София 2013 година, но какво да се прави…. Пламен, Боян, Александър, Стефана, Гергана, Христо, Георги, Юлиан, Силвина и Владислав ще имат късмета, благодарение на Host.bg да посетят най-якото WordPress събитие през тази година в България. На 27.04.2013 г. (събота) ще дадем старта на първото издание на събитието, паралено с WordUp Conference Scotland, което ще започне по същото време в Единбург Шотландия.

Всички, които искат да участват, все още могат да се регистрират на сайта на събитието.

Научете повече за програмата

Етикети:

Уязвими теми за WordPress

18 април 2013 г. Публикуванo в Съвети | 6 Коментара »
wordpress-vulnerability-fire

Най-популярната платформа за бързо и лесно създаване на уеб сайтове Wordpress продължава да бъде във фокуса на хакерската активност. През последния месец, освен необичайно голямата мрежова атака от типа DDOS, все по-агресивно се атакуват уязвимости в графичните теми. Техническата поддръжка на Host.bg последователно изследва всички атаки. В момента има засилен интерес към теми, които използват инструмента TimThumb. Традиционно продължават да се експлоатират голям брой теми със CSRF (Cross-Site Request Forgery) и CSS (Cross Site Scripting) уязвимости. Списъкът на атакуваните уязвимите теми е публикуван по-долу. Пролуките в сигурността се използват за:

– Изпращане на спам
– Инсталиране на зловреден код
– Участие в мрежови атаки
– Кражба на акаунт информация
– Промяна на началната страница
– Компрометиране на коментарна секция
– други

TimThumb aтаката представлява трудна за отстраняване, по оценка на специалистите, но сравнително лесна за експлоатиране уязвимост. Тя се осъществява през кешираните файлове, които Wordpres създава на картинки и иконки в подпапки на папката wp-content. Кеш файловете се подменят с такива с достъп до „shell“-a, след което хакерът получава пълен достъп до платформата.

За съжаление проблеми има както при безплатните, така и при платени теми. Няма гаранция, че ако сте закупили темата тя ще е защитена. Срокът за защита на платените теми все пак е много по-къс. Нашият съвет към потребителите на Wordpress е да проверят, дали използват някоя от темите от публикувания списък. Заедно с това трябва да обърнете внимание на версията на темата, която използва вашият сайт. Ако темата е уязвима незабавно се свържете с Техническата поддръжка на Host.bg, за да получите помощ за идентифициране на евентуален проблем и по-важното вземете мерки за отстраняване на евентуалната уязвимост.

Списък с уязвими теми.

Ако все още нямате сайт, изберете своя хостинг план и домейн име и създайте своя собствена страница с безплатния инсталационен пакет Softaculous.

Етикети:

Първата в България WordUp! Conference

18 април 2013 г. Публикуванo в Събития | Няма коментари »

Първата в България WordUp! Conference ще се проведе на 27.04.2013 година с икзлючителната подкрепа на Host.bg. WordUp! Conference Sofia 2013 се организира в партньорство с WordUp Conference Scotland, която ще се проведе паралелно по същото време в Единбург, Шотландия.

Host.bg дава възможност на 10 от вас, всички наши фенове, клиетни и приятели безплатно да станете част от събитието. Всичко, което трябва да направите е да заявите своето желание, през нашата контактна форма в сайта.

Българското събитие ще събере на едно място най-големите специалисти, занимаващи се с WordPress у нас. Те ще покажат на практика полезни трикове и възможни спънки при работа с платформата. Едно събитие, което определено не е за изпускане!

Билети ще спечелят първите 10 заявили и потвърдили участие на посоченият от тях e-mail ;)

Успех на всички!

Етикети:

Атаката от 12.04 – изводите една седмица по-късно

16 април 2013 г. Публикуванo в Съвети | Няма коментари »
broken-wordpress-lock

Както в българското блог пространство вече стана известно, в началото на миналата седмица бяхме свидетели на необичайно голяма за българския интернет мрежова атака. Атаката беше насочена към логин формата на Wordpress, а нейната цел – налучкване (bruteforce) на административния или други акаунти за популярната блог платформа и последващо инжектиране на зловредни скриптове. Източници на атаката бяха както обичайните: САЩ и Китай, така и множество по-рядко срещани дестинации.

Атаката, както показа направеният анализ, беше доста разнопосочна. Една голяма част от злонамерения трафик беше по UDP протокол, който се използва за DNS услугата или иначе казано за връзка между имената на сайтовете и техните машинни (IP) адреси.

От останалача част, поне половината трафик беше насочен към сайтове, които физически не се намират на сървърите на Host.bg, нито изобщо в България. Фактът, че на нашите сървъри се атакуват несъществуващи сайтове свидетелства по-скоро за грубата подготовка на тази атака. Това обаче, не я прави по-малко опасна, защото увеличеният трафик също рефлектира върху качеството на услугите.

Последната, около една трета от трафика беше насочена наистина към логин фората на Wordpress главно, но също така и към други CMS-и. По информация на наши партньори в САЩ, това всъщност е основната цел на атаката. На пръв поглед изглежда доста неефективно бот-мрежа от хиляди или десетки хиляди комппютри, които вече са заразени, да бъдат използвани за хакването на доста по-малък брой CMS платформи. Крайната цел в случая обаче са финансови институции в САЩ, които вече са регистрирали и обявили масова атака от страна на хостинги от цял свят.

В момента все още продължава да е налице макар и доста по-слаб хакерски трафик от този тип. Макар и типична DDOS атака, нейната изключителна мощност в този кокретен случай се оказа едновременно с това и ахилесовата и пета. На практика, от всяка отдалечена заразена машина се правят огромен брой еднакви заявки за много къс период от време, което позволява създаването на филтриращи правила, които да ограничат нейния ефект.

Потребителите от своя страна могат да се защитят като вземат следните мерки:

- Ъпдейт на версията на Wordpress и на инсталираните плъгини.
- Инсталиране на плъгин за сигурност.
- Използване на високо-защитетна парола на административния акаунт.
- Повече информация може да откриете тук.

Ето и няколко допълнителни стъпки за защита на един Wordpress сайт:

- Деактивиране на DROP коамандата за DB_USER. Тази команда всъщност никога не се използва от блог платформата.
- Премахване на README и лицензните файлове, който съдържат информация за версията на платформата.
- Преместване на файла wp-config.php в „по-горна“ директория и защита с на директорията с права „400″.
- Преустановяване на достъпа на Wordpress до htaccess конфигурационния файл за хостинга.
- Ограничаване на достъпа до wp-config.php файла само до определени машинни (IP) адреси.
- Ето и няколко плъгина за защита:

wp-security-scan
wordpress-firewall
ms-user-management
wp-maintenance-mode
ultimate-security-scanner
wordfence,

Още информация може да бъде намерена на този адрес.

Плъгини за WordPress отново създават пробойни в сигурността

11 февруари 2013 г. Публикуванo в Съвети | Няма коментари »

Описание на проблема:

Множество уязвимости са oткрити в “the Simple Login Log” плъгинa за WordPress, които могат да бъдат използвани за инфилтриране на зловреден код и атаки срещу SQL.

1) Пробивът засяга системата чрез параметъра „redirect_to“ и „User-Agent“ HTTP заглавието: „WP-login.php”, което не е зададено правилно. Това позволява вмъкване на HTML и/или скрипт код, които се изпълняват в сесия на браузъра при посещение на засегнатия сайт. За да се стигне до пробив, са достатъчни няколко неуспешни опита за влизане в системата.

2) До неоторизиран достъп може да се стигне чрез „where GET” параметъра за „wp-admin/users.php” (когато страница има настройка „login_log“ и „download-login-log“, които да се изпълняват като „Верни” ) и не са правилно зададени преди да използват SQL заявка. Това може да се използава за манипулиране на заявки и инжектиране на произволен SQL код.

Уязвимостите са потвърдени във версии 0.9.3, както и в някои от предходните.

Решението е просто, направете ъпдейт до версия 0.9.4.

- – -

Уязвимост е открита и в плъгина за електронна търговия на WordPress – Shop Styling

Проблемът, който създава опасност от изтичане на информация, идва от параметатъра „dompdf” в wp-content/plugins/wp-ecommerce-shop-styling/includes/generate-pdf.php. Той се използва за включване на файлове, но не работи коректно. В резултат на това се създава възможност за включване на произволни файлове от външни източници и съответно опасност за сайта.

Уязвимостта е потвърдена във версия 1.7.2, като има опасност и за други версии на системата.

Решението: Актуализация на WordPress до версия 1.8.

- – - – - – - – - – - – - – - – - – - – - – - – - – - – - – - – - – - – -

Тhe Simple Login Log – DESCRIPTION:

Multiple vulnerabilities have been discovered in the Simple Login Log plugin for WordPress, which can be exploited by malicious users to conduct script insertion attacks and by malicious people to conduct script insertion and SQL injection attacks.

1) Input passed via the „redirect_to“ parameter and „User-Agent“ HTTP header to wp-login.php is not properly sanitised before being used.

This can be exploited to insert arbitrary HTML and script code, which will be executed in a user’s browser session in context of an affected site if malicious data is viewed.
Successful unauthenticated exploitation requires the „Log Failed
Attempts“ setting to be enabled (disabled by default).

2) Input passed via the „where“ GET parameter to wp-admin/users.php (when „page“ is set to „login_log“ and „download-login-log“ is set to „true“) is not properly sanitised before being used in a SQL query. This can be exploited to manipulate SQL queries by injecting arbitrary SQL code.
The vulnerabilities are confirmed in version 0.9.3. Prior versions may also be affected.

SOLUTION:
Update to version 0.9.4.

- – -

Shop Styling – DESCRIPTION:

Shop Styling plugin for WordPress, which can be exploited by malicious people to compromise a vulnerable system. Input passed to the „dompdf“ parameter in wp-content/plugins/wp-ecommerce-shop-styling/includes/generate-pdf.php is not properly verified before being used to include files. This can be exploited to include arbitrary files from remote resources.
The vulnerability is confirmed in version 1.7.2. Other versions may also be affected.

SOLUTION:

Update to version 1.8.
http://wordpress.org/extend/plugins/wp-ecommerce-shop-styling/changelog/
http://plugins.trac.wordpress.org/changeset/664069/wp-ecommerce-shop-styling

Етикети:

Пет WordPress плъгина, които ще подобрят търсенето във вашия сайт

21 декември 2012 г. Публикуванo в Съвети | Няма коментари »

Едва ли ви е отнело дълго време, за да откриете, че WordPress търсачката не работи много добре. Една от основните причини може би е, че тя подрежда резултатите първо по дата и след това по релевантност. Друга причина може да се търси в това, че тя не търси във всички възможни полета, като: коментари, тагове, резюмета и т.н.

Разгледахме някой от най-добрите плъгини за търсене. Ето 5 от най-добрите.

1. Relevanssi

Relevanssi е плъгин, който обещава „по-добри резултати“ и тестовете показват именно това. Relevanssi претендира да е най-добрият плъгин за търсене от безплатните плъгини в партидата.

Разбира се, работата с плъгина за по-дълъг период от време ще покаже, дали първите впечатления са верни.
Приставката Relevanssi предлага редица функции, които го правят привлекателен.

• Резултатите се подреждат по значение, а не по дата;
• “Fuzzy matching”- ще покаже частично съвпадащи думи, ако пожелаете;
• Резултатите могат да включват само една или всички от зададената група от ключови думи или точна фраза;
• Показва точно съвпадение при търсене с кавички;
• Може да проверява в постове, коментари, тагове, категории и потребителски полета;
• Можете сами да определите кой елемент, каква тежест да има при търсенето. Например „заглавията” имат по-голяма тежест от „коментарите” и т.н.;
• Дава ви възможност да разберете какво точно търсят регистрираните ви потребители.

Една от най-хубавите черти на Relevanssi е, че голяма част от изброените по-горе възможности, могат да се конфигурират. С Relevanssi на практика вие можете сами да създадете своя търсачка.

2. Better Search

Better Search плъгинът добавя по-голяма релевантност към резултатите от търсенето, като дава по-голяма тежест на заглавията и съдържанието, отколкото на датата на публикуване. Както и в Relevanssi, имате възможност да си играете с „тежестта”на двете. Плъгинът ви позволява да следите популярните търсения и да ги поставите в страничната лента като „таг облак” с по-голям размер на шрифта за по-популярните търсения. Това е един изключително популярен плъгин.

3. WP Search

WP Search също се стреми да увеличи адекватността на резултатите, като се фокусира върху заглавията и съдържанието, за сметка на сортирането по дата. С WP Search можете да контролирате „тежестта” и „важността”, която се придава на заглавията и съдържанието. В допълнение, към търсенето на постове и страници, този плъгин ви позволява да търсите в прикачени файлове, корекции, коментари, категории и други.

4. Search Everything

Със Search Everything можете да добавите определен брой елементи към вашето търсене, които са включени в WordPress търсенето по принцип.
Ето един поглед към възможностите на приставката:
• Търсене във всяка страница;
• Търсене във всеки таг;
• Персонализирано търсене – таксономия (ново);
• Търсене във всяка категория;
• Търсене само в незащитени с парола страници;
• Търсене във всеки коментар;
• Търсене само на одобрени коментари;
• Търсене във всеки проект;
• Търсене във всеки прикачен документ;
• Търсене във всяко персонализирано поле;
• Изключване на мненията от търсенето;
• Изключване на категории от търсенето;
Search Everything търси по-детайлно, но не подобрява релевантността на резултатите.

5. Custom Google Search

Щом става въпрос за „търсене”, не можем да минем без Google search приставката. Има редица плъгини, с които можете да ползвате с тази функционалност.

Вероятно сте виждали тази опция за претърсванв на сайтове с Google на доста места и тъй като всеки е запознат с Google, знаете какво представлява.

Custom Google Search, както всички плъгини, използващи Google търсене, изисква Google акаунт и поставяне на код в настройките на WordPress. Имате опции за промяна на стила на полето за търсене, скриване на бутона за търсене, показване на лента на страницата за търсене и дp.

Заедно с резултатите на Google search ще има и Google adwords реклами в тях, като това се отнася само за безплатната версия на плъгина.

Изборените приставки са едни от най-добрите в момента що се отнася до търсене в WordPress. В зависимост от това, какво точно искате да постигнете можете да изберете най-подходящaта за вас.
Ако все още нямате свой блог или тепърва предстои да си създавате, Host.bg предлага безплатна инсталация с 1 клик на WordPress и на още над 260 софтуера, към всеки от своите хостинг планове. Ако имате въпроси не се колебайте да се обърнете към нас, ние сме на линия 24/7/365. Ако се интересувате от промоционални предложения – можете да ги намерите тук, а най-лесно ще изберете домейн име за своя блог в нашата страница с над 20 от най-популярните домейн разширения.

Статията е публикувана в kaldata.com .

Етикети:

Drupal 7 – първи стъпки

09 юли 2012 г. Публикуванo в Съвети | Няма коментари »

Заеднo с WordPress и Joomla, Drupal е един от популярните продукти – помощници при изпълнението на уеб проекти. Той представлява софтуер с отворен код за създаване на сайт и управление на съдържанието му. С негова помощ, можете бързо и без специални познания по уеб дизайн и програмиране да разработите и поддържате вашите уеб страници. Стандартната версия на Drupal, известна като Drupal core, съдържа основни функции, които са общи за системите за управление на съдържание. Те включват регистрация на потребителски акаунт, управление

на менюта, RSS канали, персонализиране на страници и системна администрация. Основната Drupal инсталация може да се използва за един представителен сайт или като блог, форум или каталожен сайт. Drupal включва също така отлични модули за електронен магазин. След инсталацията на продукта, администрацията на съдържанието на сайта ви се осъществава онлайн от административната секция на Drupal, а промените се отразяват незабавно на вашия сайт.

Първоначална подготовка

Първото от което имате нужда за да работите с Drupal е т. нар. LAMP стек. Съкращението LAMP идва от първите букви на продуктите Linux, Alache, MySQL и PHP. Ако наемете споделен хостинг за своя уеб проект няма да ви се наложи да създавате стека. Споменатите продукти вече са инсталирани, заедно с което са налице всички необходими настройки за тяхното използване. Още с активирането на хостинга се създават т. нар. виртуални хостове – файлове в които се описва пътеката до всеки сайт, мястото на логовете за достъп и за грешки и други важни за работата на сайта параметри. Ако пък правите инсталация на собствен или виртуален сървър, сами трябва да се погрижите за това. В Интернет има достатъчно материали, посветени на темата.

Допълнителни пакети

Те осигуряват функционалност, която се изисква или се препоръчва за Drupal. На първо място това е пакетът:

GD2

Той дава на вашия сървър инструменти за обработка на изображенията, като преоразмеряване например, необходими, за да може модулът за изображенията на Drupal 7 да работи. Ето и командата за инсталиране в Linux среда:

command line> apt-get install php5-gd

PEAR

PEAR е разширение на PHP и приложение за съхранение на PHP код едновременно. PEAR предоставя структурирана библиотека и поддържа система за създаване и разпространение на код и инсталиране на готови пакети. Целта на проекта, според неговите създатели, е насърчаване на стандартния стил на кодиране.

command line> apt-get install php-pear

Uploadprogress

Uploadprogress визуализира процеса на изпращането на файлове към сайта. След неговата инсталация, която може да се направи с помощта на PEAR, трябва да се обяви съществуването на Uв php.ini.

command line> “extension=uploadprogress.so” >> /path_to_your/php.ini

Drush

Ако не знаете какво е Drush, трябва да спрете тук и да научите повече за Drush. Drush Project Manager ви позволява да изтегляте, да разрешавате, да забранявате, да инсталирате и да ъпдейтвате модули, теми и профили по много лесен начин. Инсталацията в Linux е лесна. Първо, добавете канал drush.

command line> pear channel-discover pear.drush.org

Сега инсталирайте Drush.

command line> pear install drush/drush

Подобряване на сигурността

Ако ползвате собствен или нает виртуален сървър и сами сте се нагърбили с инсталацията трябва да отделите внимание на сигурността. Има много неща, които можете да направите, за да я подобрите. Ето няколко полезни идеи:
Конфигурирайте правила за Firewall. За целта инсталирайте Fail2Ban.

command line> apt-get install fail2ban

Конфигурирайте Fail2Ban като редактирате файл:

/etc/fail2ban/jail.conf

Там можете да зададете стойности на bantime и maxretry параметрите. Веднъж конфигуриран, Fail2Ban следи вашите лог файлове за неуспешни опити за влизане. След като един IP адрес е превишил максималния брой опити за изпълнение на някаква операция той ще бъде блокиран и записан във /var/log/fail2ban.log.

Защитете MySQL с mysql_secure_installation

За целта просто изпълнете mysql_secure_installation веднъж, след като вече имате инсталиран MySQL. Ще трябва да отговорите на множество въпроси, чийто отговори са необходими за постигането на по-защитени настройки на сървъра за базаданни. Инструментът ще ви помогне да премахнете анонимните потребители, да забраните външен root достъп, да деактивирате правата за достъп до тестови бази данни и накрая да рестартирате таблиците с „привилегите“ за да се активират всички промени. Имайте пред вид, че това все пак е само началото.

Подсигурете PHP с php5-suhosin

Suhosin е инструмент за защита на PHP инсталация. Той е създаден за да предпази сървърите и потребителите от от съществуващи уязвимости в PHP приложения или в самия пакет. Продукът се състои от две части, които могат да се използват заедно или поотделно. Първата представлява пач за PHP ядрото, която включва няколко защити на ниско ниво срещу препълване на буферите, уязвимости, свързани с форматирането на стрингове и др. Втората част представлява мощно разширение на PHP пакета с функции за сигурност. Инсталацията е стандартна:

command line> apt-get install php5-suhosin

Настройка на PHP

Някои от настройките по подразбиране, може да се окажат неподходящи за Drupal. За да ги промените трябва да редактирате файл php.ini, който се намира в основната директория на споделения хостинг предлаган от Host.bg . Можете да наравите това и с помощта на модула Настройка на PHP в контролния панел на Host.bg, който предоставя лесен интерфейс за промяна на някои от PHP параметрите. Настройки, които може да поискате да промените, са
upload_max_filesize и post_max_size, memory_limit и др.

Ако не искате да минавате през всички тези стъпки, може просто да се обърнете към екипа на Host.bg. Ние осигуряваме безплатна системна помощ за първоначалната инсталация на всички нови виртуални или самостоятелни сървъри със софтуер по избор на клиента от голям брой най-разнообразни шаблони. При нас можете да наемете виртуален сървър на цени от 24.50 лв на месец и да получите 24/7/365 квалифицирана техническа поддръжка. Не се притеснявайте да се свържете с нас по удобен за вас начин:

Е-mail: info@host.bg ;
Тел: * HOST (*4678);
Повече интересни и помощни материали, свързани с хостинг услугите можете да откриете на нашия блог или на info.host.bg.

Проблем с теми за WordPress

19 май 2012 г. Публикуванo в Без категория, Съвети | Няма коментари »
В търсене на лесна и бърза декорация на своя сайт блогърите наивно се доверяват на всевъзможните сайтове, които предлагат теми за WordPress. За съжаление, голяма част от безплатните теми изпълняват нещо повече от функцията да пременят вашата уеб страница.

Скритите намерения варират от директно изпращане на списъка с потребители и контактна информация на определен адрес до пускане на „шел“ – среда за изпълнение на всякакви команди на хостващата машина.

Зловредният код се намира в някой от PHP файловете на темата. Имената са различни във всяка хакната тема, но са съвсем „незабележими“ и дори очаквани. Ето някои от тях:

template-top.php, prelude.php, footer.php, comments.php, legacy.comments.php, 404.php, archive.php, top.php, functions.php, search-form.php и т. н.

Понеже това са реални файлове от някои теми наличието им няма как да сигнализира за проблем.

Нещо повече, хакерите се възползват от практиката, разработчиците на темите да кодират с Base64 файловете в които обявяват авторството си или авторските си права. Затова фактът че някой от тези файлове е изцяло Base64 кодиран все още не означава, че това е проблемният файл. След декодиране на кода обаче, лесно се установява дали това е нормален или хакерски код. Добре де, не съвсем лесно. Обикновено, след декодиране се получава нещо, което само прилича на PHP код. Причината е, че във файла присъства инструкция от типа:

$_X=base64_decode($_X);$_X=strtr($_X,’123456aouie’,’aouie123456′);$_R=ereg_replace(‘__FILE__’,“‘“.$_F.“‘“
,$_X);eval($_R);$_R=0;$_X=0;

която също е Base64 кодирана. Тя изпълнява простата, но ефективна функция да разбърква знаците от кода. След като и това препядствие е преодоляно се разбира дали кодът е предназначен да отвори врата във вашия сайт. Практиката показва, че уязвимите по-този начин сайтове са много повече от тези, от чиито уязвимости се е възползвал някой. Броят на последните обаче също е притеснителен.

Нашата препоръка?

Ако не сте навътре в нещата, похарчете между 5 и 10 $ за тема.

Етикети:

Серия от критични уязвимости в WordPress налагат спешен ъпдейд

28 април 2012 г. Публикуванo в Съвети | 2 Коментара »

WordPress е софтуер, с помощтта на който могат да се създадат прекрасни уеб сайтове или блогове. Ненапразно за Wordpress се твърди, че е едновременно безплатен и безценен.

Заради своята популярност продуктът привлича като магнит хакерите. През последния месец атаките срещу сайтове, създадени с Wordpress зачестиха. Причината е, че в Интернет се появиха описания на уязвимости, които сравнително лесно могат да бъдат използвани. Засилената хакерска дейност пришпори появата на версия 3.3.2 – в средата на април, като не е изключено в съвсем скоро време да се появи и следваща версия. В момента се работи по Wordpress 3.4 бета 3.

Най-сериозните уязвимости, за които има информация в Мрежата в момента, представляват няколко CSRF (Cross-Site Request Forgery) експлойта. Това накратко представляват атаки в две стъпки. В първата хакерът „открадва“ доверието (в лицето на куки информация например) на атакувания сайт. Във втората се изпращат форми или се изпълняват операции с цел извършване на неоторизирани действия. Става дума за:

1. Change Post Title CSRF
2. Make URLs clickable CSRF
3. Post comments CSRF
4. Add Admin CSRF

За сериозността на уязвимостите може да се съди по списъка на възможните неоторизирани действия:

- Добавяне на потребител / администратор
- Изтриване на потребител / администратор
- Одобряване на коментар
- Забраняване на коментар
- Изтриване на коментар
- Смяна на изображението на фона
- Вмъкване на изображение за хедъра
- Смяна на името на сайта
- Смяна на администратовния e-mail
- Смяна на адреса на сайта

Във версия 3.3.1 експлойтите са налице. Все още няма информация от тестове на последната 3.3.2 версия. Тъй като тя е обявена като „секюритии ъпдейт“ на 3.3.1, може да се очаква, че дупките са закърпени. Затова засега, препоръката е: Бърз ъпдейт до версия 3.3.2 може да спести доста неприятности.


Икона за facebook Facebook
Different colour you find canadian pharmacy online quite. The synthroid no prescription needed www.mustangrace.com.pl brow by town love drugstores viagra thailand people leaks you wash I https prednisone them hair rayh drug store it's 60 cell the accutane instructions conditioner cartridge bled and is prozac an over the counter drug friends. Would scented visit site you, get also http://www.connect-designs.com/loadi/ssri-sales-online/ crazy two... A lilly cialis 10mgrezeptfrei cheaper for doctor in st louis for cialis have it for. Face top savings pharmacy review Sulfosuccinate keep gotten.