Друзья, у Wordpress вышло обновление безопасности, где была закрыта потенциальная возможность SQL инъекции на сайте. Обязательно обновитесь, если используете эту CMS.
https://wordpress.org/news/2017/10/wordpress-4-8-3-security-release/
#wordpress
https://wordpress.org/news/2017/10/wordpress-4-8-3-security-release/
#wordpress
WordPress News
WordPress 4.8.3 Security Release
WordPress 4.8.3 is now available. This is a security release for all previous versions and we strongly encourage you to update your sites immediately. WordPress versions 4.8.2 and earlier are affec…
Меня тут межу делом спросили, не станет ли канал очередным складом курсов и сливов. Нет, не станет. У меня тут ещё достаточно годноты и полезностей, которыми с вами хочется поделиться. Хотя косметические изменения (название, описание канала) запланированы, в связи с последним обновлением Telegram и пришедшим с ним поиском. Так что не пугайтесь, если вдруг что-то изменится - это так и было задумано. 🤓
Но вернёмся к всяческой всячине. Вот например, интересная утилита для управления Wordpress'ом прямо из командной строки:
https://github.com/wp-cli/wp-cli
Умеет очень многое - от установки и обновления плагинов и CMS, до запуска собственного встроенного веб-сервера для определённой WP инсталляции. Тем кто плотно с Wordpress работает, но о cli ещё не знает - рекомендую к ознакомлению.
#будничное #wordpress
Но вернёмся к всяческой всячине. Вот например, интересная утилита для управления Wordpress'ом прямо из командной строки:
https://github.com/wp-cli/wp-cli
Умеет очень многое - от установки и обновления плагинов и CMS, до запуска собственного встроенного веб-сервера для определённой WP инсталляции. Тем кто плотно с Wordpress работает, но о cli ещё не знает - рекомендую к ознакомлению.
#будничное #wordpress
GitHub
GitHub - wp-cli/wp-cli: ⚙️ WP-CLI framework
⚙️ WP-CLI framework. Contribute to wp-cli/wp-cli development by creating an account on GitHub.
Как-то совсем не по новогоднему, но всё же проблема назрела, так что будьте в курсе, друзья... Похоже что к трендовым ныне установкам майнеров на сайт, добавился ещё один кейс - покупка обычного, более-менее популярного плагина для популярной CMS c последующим встраиванием в него бекдора или какого-то другого потенциально проблемного кода. Треьего дня, в Wordpress были найдены ещё (это в дополнение к Captcha) три плагина, содержащих в себе бекдоры:
- Duplicate Page and Post
- No Follow All External Links
- WP No External Links
Принцип работы бекдоров похож - в код встраивается адрес, с которого, при определённых сочетаниях юзерагента и url сайта, отдаётся код, выполняющийся на сайте жертвы. При этом, каждый новый посетитель, зарегистрированный пользователь, администратор или поисковый бот могут получить совершенно разный код, выполняющий разные действия. На данный момент, известно о случаях простановки скрытых ссылок на сайтах и сборе статистики на них.
Занятно в данном случае то, что все три плагина были куплены, и только после покупки, с очередным обновлением получили вредоносный код. Исследование показало, что "виновник торжества", во всех этих случаях скорее всего один и тот же - платежи при покупке плагинов были сделаны с иденичных реквизитов, соединения бекдорами выполняются на один и тот же сервер, во всех случаях, в ситуации принимает участие некая компания Orb Online.
Плагины, там где они ещё используются, рекомендуется удалить, из репозитория Wordpress они так же были удалены. Подробнее о том, какой код встраивается, к какому IP идут соединения, что grep'ать для того что бы увидеть, заражён ли сайт вашего клиента, можно прочитать по ссылке ниже:
https://goo.gl/cJXZ7o
#wordpress #security
- Duplicate Page and Post
- No Follow All External Links
- WP No External Links
Принцип работы бекдоров похож - в код встраивается адрес, с которого, при определённых сочетаниях юзерагента и url сайта, отдаётся код, выполняющийся на сайте жертвы. При этом, каждый новый посетитель, зарегистрированный пользователь, администратор или поисковый бот могут получить совершенно разный код, выполняющий разные действия. На данный момент, известно о случаях простановки скрытых ссылок на сайтах и сборе статистики на них.
Занятно в данном случае то, что все три плагина были куплены, и только после покупки, с очередным обновлением получили вредоносный код. Исследование показало, что "виновник торжества", во всех этих случаях скорее всего один и тот же - платежи при покупке плагинов были сделаны с иденичных реквизитов, соединения бекдорами выполняются на один и тот же сервер, во всех случаях, в ситуации принимает участие некая компания Orb Online.
Плагины, там где они ещё используются, рекомендуется удалить, из репозитория Wordpress они так же были удалены. Подробнее о том, какой код встраивается, к какому IP идут соединения, что grep'ать для того что бы увидеть, заражён ли сайт вашего клиента, можно прочитать по ссылке ниже:
https://goo.gl/cJXZ7o
#wordpress #security
Wordfence
Three Plugins Backdoored in Supply Chain Attack
In the last two weeks, the WordPress.org repository has closed three plugins because they contained content-injection backdoors. “Closing” a plugin means that it is no longer available for download from the repository, and will not show up in WordPress.org…
❗️ Уязвимость в Wordpress.
Камрады, тут в Wordpress обнаружилась очередная проблема, которая вполне сойдёт за уязвимость, позволяющую парализовать работу сайта, а в нужных руках натворить куда больше проблем.
Если кратко - то к скрипту wp-admin/load-scripts.php можно сформировать специальный запрос, который вернёт ответом большое количество данных. Можно взять какой-нибудь doser.py скрипт и сгенерировать большое количество обращений им, и этого уже будет достаточно что бы положить ресурс на лопатки, если на сервере не настроены лимиты. А можно пойти чуть дальше и начать подменять IP...
Подробности о произошедшем можно прочитать здесь:
https://goo.gl/epYnMj
Разработчики WP на данный момент не сочли проблему серьёзной, судя по всему, так что нашедший уязвимость Barak Tawily сделал форк WP, где поправил проблему так, как счёл правильным, плюс, подготовил BASH скрипт, который патчит текущую установку CMS. Спешить ставить этот патч не стоит, возможно таки разработчики отреагируют на проблему, но о его существовании будьте в курсе:
https://github.com/Quitten/WordPress/blob/master/wp-dos-patch.sh
#wordpress #security #dos
Камрады, тут в Wordpress обнаружилась очередная проблема, которая вполне сойдёт за уязвимость, позволяющую парализовать работу сайта, а в нужных руках натворить куда больше проблем.
Если кратко - то к скрипту wp-admin/load-scripts.php можно сформировать специальный запрос, который вернёт ответом большое количество данных. Можно взять какой-нибудь doser.py скрипт и сгенерировать большое количество обращений им, и этого уже будет достаточно что бы положить ресурс на лопатки, если на сервере не настроены лимиты. А можно пойти чуть дальше и начать подменять IP...
Подробности о произошедшем можно прочитать здесь:
https://goo.gl/epYnMj
Разработчики WP на данный момент не сочли проблему серьёзной, судя по всему, так что нашедший уязвимость Barak Tawily сделал форк WP, где поправил проблему так, как счёл правильным, плюс, подготовил BASH скрипт, который патчит текущую установку CMS. Спешить ставить этот патч не стоит, возможно таки разработчики отреагируют на проблему, но о его существовании будьте в курсе:
https://github.com/Quitten/WordPress/blob/master/wp-dos-patch.sh
#wordpress #security #dos
Blogspot
How to DoS 29% of the World Wide Websites - CVE-2018-6389
According to wordpress.com, the WordPress platform powers 29% of the worldwide internet websites. In this article I am going to explain ...
🔏 ModSecurity и CVE-2018-6389.
Не так давно писал об очередной проблеме в Wordpress, эксплуатируя которую, злоумышленники могут нарушить работу ресурса. Помимо патча от нашедшего уязвимость, теперь доступно и решение для ModSecurity, которое позволяет использование уязвимости ограничить. Описание того как это сделать и все сопутствующие ссылки доступны в заметке.
📗 Открыть на сайте
#security #wordpress #modsecurity
Не так давно писал об очередной проблеме в Wordpress, эксплуатируя которую, злоумышленники могут нарушить работу ресурса. Помимо патча от нашедшего уязвимость, теперь доступно и решение для ModSecurity, которое позволяет использование уязвимости ограничить. Описание того как это сделать и все сопутствующие ссылки доступны в заметке.
📗 Открыть на сайте
#security #wordpress #modsecurity
Media is too big
VIEW IN TELEGRAM
Семь убийц производительности WordPress от Константина Ковшенина.
Без лишней воды, всё по делу. Если планируете работать с WP, обязательно посмотрите.
#видео #wordpress
Без лишней воды, всё по делу. Если планируете работать с WP, обязательно посмотрите.
#видео #wordpress
📺 Wordpress тюнинг.
Недавно выложенное видео оказалось размером в 1Гб, я понадеялся что Telegram ужмёт его, но нет.
Нашёл таки и это видео в сети, и ещё одно занятное, так что прикладываю ссылками:
🔨 Константин Ковшенин: 7 убийц производительности WordPress.
🔧 Геннадий Ковшенин: Профилирование кода в WordPress.
Ну и в принципе, все интересующиеся Wordpress'ом, могут ресурс wordpress.tv полистать, возможно найдёте что-то ещё интересное.
#видео #wordpress
Недавно выложенное видео оказалось размером в 1Гб, я понадеялся что Telegram ужмёт его, но нет.
Нашёл таки и это видео в сети, и ещё одно занятное, так что прикладываю ссылками:
🔨 Константин Ковшенин: 7 убийц производительности WordPress.
🔧 Геннадий Ковшенин: Профилирование кода в WordPress.
Ну и в принципе, все интересующиеся Wordpress'ом, могут ресурс wordpress.tv полистать, возможно найдёте что-то ещё интересное.
#видео #wordpress
WordPress.tv
Константин Ковшенин: 7 убийц производительности WordPress
На WordCamp Russia в этом году Константин затронет тему производительности сайтов на WordPress. Он расскажет самые популярные причины медленных сайтов, частые ошибки при разработке тем и плагинов, …
📊 WordPress Google Site Kit.
Владельцев сайтов на Wordpress (да, я использую WP в работе, ага), Google приглашает на бета-тест нового плагина, который будет показывать статистику как для всего сайта целиком, так и для отдельных страниц по четырём службам: Search Console, PageSpeed Insights, Analytics, AdSense.
ℹ️ Подробнее здесь: https://sitekit.withgoogle.com/
Попроситься на beta-тест можно по ссылке:
https://docs.google.com/forms/d/e/1FAIpQLScuPDz9VlslHwFfeV-PrmWJoRy6ia9eXWtoar2fTHyMJEEwbQ/viewform
#wordpress #google
Владельцев сайтов на Wordpress (да, я использую WP в работе, ага), Google приглашает на бета-тест нового плагина, который будет показывать статистику как для всего сайта целиком, так и для отдельных страниц по четырём службам: Search Console, PageSpeed Insights, Analytics, AdSense.
ℹ️ Подробнее здесь: https://sitekit.withgoogle.com/
Попроситься на beta-тест можно по ссылке:
https://docs.google.com/forms/d/e/1FAIpQLScuPDz9VlslHwFfeV-PrmWJoRy6ia9eXWtoar2fTHyMJEEwbQ/viewform
#wordpress #google
🕹 WordPress 5.0.0 RCE.
У кого тут ещё не обновлённые WP остались? Обновитесь обязательно. Ну и между делом посмотрите на разбор одной RCE уязвимости в движке:
https://blog.ripstech.com/2019/wordpress-image-remote-code-execution/
#wordpress #напочитать
У кого тут ещё не обновлённые WP остались? Обновитесь обязательно. Ну и между делом посмотрите на разбор одной RCE уязвимости в движке:
https://blog.ripstech.com/2019/wordpress-image-remote-code-execution/
#wordpress #напочитать
Записки админа
📊 WordPress Google Site Kit. Владельцев сайтов на Wordpress (да, я использую WP в работе, ага), Google приглашает на бета-тест нового плагина, который будет показывать статистику как для всего сайта целиком, так и для отдельных страниц по четырём службам:…
📊 WordPress Google Site Kit - плагин вышел и доступен для установки. https://wordpress.org/plugins/google-site-kit/ Владельцам сайтов на WP рекомендуется к ознакомлению.
#wordpress #google
#wordpress #google
🔩 How to move WordPress into a Linux container - запаковываем наш любимый Wordpress в наш любимый Podman контейнер и запускаем его с помощью systemd.
#wordpress #podman #напочитать
#wordpress #podman #напочитать
🆖 Nginx Unit и запуск Wordpress на нём: https://unit.nginx.org/howto/wordpress/ Там же по ссылке несколько других примеров.
#nginx #wordpress #напочитать
#nginx #wordpress #напочитать