Tag: wordpress

WordPress 2.8.6

Ta aktualizacja WordPress 2.8.6 rozwiązuje dwa problemy z bezpieczeństwem, które mogą zostać wykorzystane przez zarejestrowanych użytkowników, zalogowanych użytkowników posiadających uprawnienia do tworzenia wpisów. Jeśli masz niezaufanych współtwórców WordPress aktualizacja jest szczególnie zalecana.

Pierwszy problem to luka XSS odkryty przez Benjamina Flescha natomiast drugi odkryty przez Dawida Golunskiego, który pozwalał na wykonanie kodu php w uploadowanych plikach o specjalnej nazwie tylko przy określonej konfiguracji Apache. Podziękowania dla Benjamina i Dawida, że znaleźli powyższe problemy i je zgłosili.

Pozostaje nam czekać na WordPress 2.9 i łatać dotychczasowe wersje WordPress lub może pod choinkę dostaniemy WordPress 3, nie wiadomo…

WordPress 2.8.5

WordPress

Jak już kurwa pisałem wordpress 2.8.5 poprawka bezpieczeństwa zaczynałem myśleć iż szatańska przepowiednia się by nie ziściła…

Jak wiecie w ciągu kilku ostatnich miesięcy pracujemy nad nowymi funkcjami w WordPress 2.9. Pracujemy także nad tym by WordPress był tak bezpieczny jak to możliwe, a podczas testów stwierdziliśmy iż niektóre poprawki bezpieczeństwa są wymagane w wersji 2.8 po to aby ją ulepszyć i uzyskać jak największe bezpieczeństwo.

Zasadnicze zmiany w tej wersji to:

  • Poprawka Trackback Denial-of-Service Attack jest aktualnie
  • Usuniecie obszarów kodu PHP, który był wywoływany ze zmiennych
  • Wysyłanie plików jest dostępne dla wszystkich użytkowników z białej listy włączając w to Administratorów
  • Przywrócenie dwóch importerów tagów ze starych wtyczek

Serdecznie polecam aktualizację wszystkich stron opartych o WordPress w celu zapewnienia jak największej ochrony i bezpieczeństwa.

Jeśli myślisz, że twoja strona mogła zostać zaatakowana przez jednego z grasujących exploitów i chcesz się upewnić czy usunąłeś wszelkie ślady po nim możesz skorzystać z WordPress Exploit Scanner. Jest to plugin przeszukujący pliki twojej strony internetowej, wpisy oraz komentarze jak i tabele w bazie danych w celu znalezienia czegokolwiek podejrzanego. Analizuje on również listę aktywnych wtyczek o nietypowych nazwach. Możesz przeczytać więcej o wtyczce WordPress Exploit Scanner na stronie: http://ocaoimh.ie/exploit-scanner/

GZIP & HTML Compress – WordPress Plugin

GZIP & HTML Compress – WordPress Plugin

Plugin do WordPressa, który po prostu usuwa zbędne znaki dzięki czemu rozmiar dokumentu przesyłanego do przeglądarki jest średnio o ~ 10% mniejszy dzięki temu zaoszczędzamy transfer oraz przyspieszamy wczytywanie strony.

Działa z osadzonym kodem JavaScript (<script></script>) oraz CSS (<style></style>), działa także ze znacznikami PRE, TEXTAREA (<pre></pre>,<textarea></textarea> – nie są one w ogóle kompresowane)

Dodatkowo osadzony JavaScript kompresuje za pomocą specjalnych tablic, niezależnie od kodu html tak samo z osadzonym CSS, wykorzystuje w tym celu dwie funkcje, pierwsza z nich to compress CSS code – compressor, a druga to compress JavaScript code – compressor.

Dodatkowo uruchamia kompresję GZIP, która powoduje zmniejszenie rozmiaru wysyłanego dokumentu do przeglądarki o około ~ 80% (polega to na tym, że jeśli przeglądarka obsługuje kompresje GZIP przesyłany jest do niej skompresowany dokument który jest o około ~ 80% mniejszy następnie przeglądarka go rozpakowuje i odczytuje, jeśli przeglądarka nie obsługuje GZIP dokument przesyłany jest bez kompresji)

Kategorycznie zalecam korzystanie z tej wtyczki równocześnie z wtyczką WP Super Cache!!!

Co dokładnie jest usuwane?
Otóż w kompresji HTML usuwane są takie zbędne śmieci jak:

  • Przejście do nowej linii (new line)
  • Powrót karetki (carriage return)
  • Usuwana jest Vertical Tab
  • Wszystkie tabulatory(oraz więcej wystąpień niźli jedno) zamieniane są na pojedynczą spację
  • Puste bajty, znaki zerowe
  • Każde wystąpienie spacji powyżej jednej jest zamieniane na zwykłą pojedynczą
  • Komentarze HTML, za wyjątkiem komentarzy warunkowych dla przeglądarki Internet Explorer

Zmniejsz zużycie transferu oraz przyspiesz ładowanie i renderowanie stron w wordpressie!

Dla porównania przykładowa strona która korzysta z tej wtyczki, oraz ta sama strona bez wtyczki (obydwie przy wykorzystaniu kompresji GZIP)

Wtyczka włączona?Oryginalny rozmiar (w bajtach)Rozmiar po kompresji GZIP(w bajtach)Procent kompresji GZIP(w procentach)
Tak16,4545,90064.1
Nie18,0136,54463.7

Dodatkowo prócz oszczędności i szybkości utrudniamy złodziejom kodu pracę… Znów przypominam, że zalecam korzystanie z tej wtyczki przy równoczesnym wykorzystaniu WP Super Cache.

Nazwa wtyczki: GZIP & HTML Compress
Najnowsza wersja: 0.1
Znane błędy:

  • W wersji 0.1 wyłączona została kompresja osadzonego kodu JavaScript
  • Brak innych błędów
Changelog
  • Version: 0.1 – first release, no compress embeded script’s
Download

Download: GZIP & HTML Compress 0.1

Installation

Skopiuj folder /gzip-html-compress/ do folderu /wp-content/plugins/. Następnie przejdź do panelu administratora do sekcji: Wtyczki i odnajdź na liście wtyczkę o nazwie: GZIP & HTML Compress, tuż pod jej nazwą wciśnij przycisk Aktywuj.

Jeśli używasz WP Super Cache po włączeniu wtyczki wyczyść cache i dopiero efekty będą widoczne.

wordpress 2.8.5 poprawka bezpieczeństwa

wordpress 2.8.5 poprawka bezpieczeństwa

Jako że WordPress rozpędził się z poprawkami to czemu ja nie miałbym robić tego samego…

Zawsze najnowszą wersje można pobrać ze strony: http://wordpress.org/download/

Lecz obstawiam że wyjdzie wersja wordpress 2.8.5, bo coś od wersji 2.8 ciekawe błędy odnajdują. Tylko pytanie kiedy ktokolwiek im powie gdzie są te błędy…

Często łatwiej coś zrobić od nowa niźli w nieskończoność naprawiać. Ale cóż albo doczekamy się poprawek albo wersji 2.9 która zapewne coś poprawi…

Szatan

Szatańska przepowiednia się spełniła WordPress 2.8.5 nie na marne skorzystałem z musku…

wordpress 2.8.4 poprawka bezpieczeństwa

wordpress 2.8.4 poprawka bezpieczeństwa

Poprawka poprawki, coś ostatnio nie mogą przestać…

Wczoraj odkryto lukę: specjalnie spreparowany adres URL może być wywołany, co pozwoli atakującemu na ominięcie zabezpieczeń w celu potwierdzenia prośby o przypomnienie hasła. W wyniku, pierwsze konto bez klucza w bazie danych (zwykle jest to konto administratora) jego hasło zostaje zresetowane i nowe hasło zostanie wysłane e-mailem na konto właściciela. To nie pozwala na zdalny dostęp, ale to jest bardzo denerwujące.

Ustaliliśmy ten problem ostatniej nocy, zostały przetestowane poprawki i szukamy innych problemów, od tamtego czasu. Po adresem: http://wordpress.org/download/ znajduje się Wersja 2.8.4, która naprawia wszystkie aktualnie znane problemy jest już dostępna do pobrania i jest wysoce zalecana dla wszystkich użytkowników WordPress.

Oryginalny wpis Matt Mullenweg:

Yesterday a vulnerability was discovered: a specially crafted URL could be requested that would allow an attacker to bypass a security check to verify a user requested a password reset. As a result, the first account without a key in the database (usually the admin account) would have its password reset and a new password would be emailed to the account owner. This doesn’t allow remote access, but it is very annoying.

We fixed this problem last night and have been testing the fixes and looking for other problems since then. Version 2.8.4 which fixes all known problems is now available for download and is highly recommended for all users of WordPress.