Scriam în urmă cu foarte mulți ani o serie de postări apropo de securitatea firmelor de hosting (le aveți aici: unu, doi, trei). Făceam asta din postura unui individ care la vremea respectivă lucra exclusiv în domeniul ăsta, al securității la o firmă de hosting. Nu am dezvăluit treaba asta atunci pentru că aveam un contract cu anumite clauze și am vrut să evit orice polemică la nivel profesional și orice conflict de interese. Totuși, treaba asta a securității firmelor de hosting e o chestie cu care încă interacționez mai ales pentru că și eu ofer acum hosting. Așa se […]
Programare
Tutorial: Rezolvarea Erorii Deprecate create_function() în Tema „Minimalia”
Recent m-am apucat să fac update la PHP 8.3 pe toate serverele mele și mi-am dat seama că pe site-urile cu teme de la MyThemeShop, versiuni ce nu mai sunt întreținute de ei aveam erori. Ca să înțelegeți cum puteți să corectați erorile astea v-am pregătit un tutorial mai jos: Descrierea Problemei: Întâmpinați o eroare în tema „Minimalia” de la MyThemeShop, care este legată de funcția obsoletă create_function(). Pasul 1: Identificați Codul cu create_function() Exemplu de cod obsolet cu create_function(): Pasul 2: Înțelegeți Codul Pasul 3: Înlocuiți create_function() cu o Funcție Anonimă Cod Actualizat cu Funcție Anonimă (După Reparare): Pasul […]
Blog / CMS / Wordpress
Exista piraterie si exista GPLDL
Mai devreme am vazut pe un forum o postare despre GPLDL, un site ce ofera spre download direct si gratis teme, pluginuri si extensii de WordPress si WooCommerce fara vreun fel de capcana precum content locker sau PPD. Mi-am facut cont si am descarcat doua teme la intamplare pentru a verifica daca vorbim de cod legitim si mai ales daca exista vreun backdoor sau mai stiu eu ce mizerie prin ele si am putut sa confirm faptul ca temele sunt curate si ca se pot descarca exact in felul in care sunt furnizate de developerii lor. Lucrul asta m-a convins […]
Securizare
Blocare user-agent gol
In ultima perioada am remarcat o serie de atacuri de bruteforce impotriva paginilor de login ale WordPress si Joomla ce folosesc un user-agent gol. Pentru ca astfel de atacuri vin de multe ori din partea unor retele de tip botnet sau din partea unor scripturi automate ce folosesc fie proxyuri fie un botnet pentru a putea executa un volum mare de solicitari intr-un timp foarte scurt de pe IP-uri diferite, iar acest lucru face in asa fel incat aproape orice firewall e incapabil sa le blocheze eficient astfel de atacuri, pentru blocarea oricarei solicitari ce vine din partea unui user-agent […]
CMS / Securizare / Wordpress
Securitatea pe WordPress
Am vazut la Informaticianul un infografic preluat de pe net privind securitatea site-urilor bazate pe WordPress. Astfel chiar daca infograficul in cauza e mai vechi si chiar daca e facut de o serie de developeri si contine o serie de cifre care nu mai sunt de actualitate am sa preiau din el o serie de idei destul de importante si aplicabile si azi. Cele mai comune vulnerabilitati pe o platforma WordPress sunt cauzate de: Folosirea numelui de utilizator „admin” sau folosirea unui nume de autor afisat public identic cu cel al administratorului si o parola foarte slaba pentru acesta. Folosirea de plugin-uri neactualizate […]
Vulnerabilitati / XSS
Vulnerabilitate in WP SuperCache
Plugin-ul de WordPress WP SuperCache versiunea 1.4.2 si anterioarele sufera de o vulnerabilitate cross site scripting (XSS) prin care un atacator poate injecta cod malicios in sistemul de caching al plugin-ului. Astfel pentru exploatarea cu succes a acestei vulnerabilitati este nevoie ca un utilizator de WordPress cu acces de administrator sa viziteze pagina infectata voluntar, moment in care se va executa codul malicios. Desi probabilitatea ca un utilizator sa acceseze tocmai pagina infectata este relativ mica, pe site-uri cu trafic intens si multi administratori sau pe site-uri mici unde paginile sunt verificate periodic de catre administratori, o astfel de exploatare […]
Blog / CMS / Wordpress
Cand incepi ceva e bine sa si termini
O instalare de CMS incompleta poate oricand sa fie sursa unei brese de securitate. Studiu de caz www.carteaortodoxa.ro: In timp ce rasfoiam diverse bloguri din top-ul zelist.ro am dat peste site-ul www.carteaortodoxa.ro care m-a redirectionat catre scriptul de instalare a WordPress pe server. La prima vedere acest lucru n-ar trebui sa constituie vreun motiv de ingrijorare, insa exploatarea unui cont de hosting si chiar server prin scriptul de instalare al WordPress e relativ simpla. Astfel, un utilizator rau intentionat poate continua procesul de instalare a WordPress-ului pe server, alegand limba si mergand mai departe la pasul care-i specifica ce […]