Блог компании WebPatron

24 июня 2014 года стало известно об очередной критической уязвимости в скрипте timthumb.php, который используется в огромном количестве тем и плагинов популярного движка wordpress. Хотим обратить внимание, что данный скрипт используется не только в wordpress, но и во многих других CMS, а также их расширениях.

Уязвимости подвержены абсолютно все версии timthumb, включая 2.8.13, а также и оригинальный проект WordThumb. Уязвимость позволяет злоумышленникам запускать исполнение вредоносного программного кода не имея доступа к вашему сайту.

Буквально вчера была обнародована критическая уязвимость в OpenSSL.

Уязвимость связана с отсутствием необходимой проверки границ в одной из процедур расширения Heartbeat (RFC6520) для протокола TLS/DTLS. Из-за маленькой ошибки кто угодно может получить доступ к оперативной памяти компьютеров, чьи коммуникации «защищены» уязвимой версией OpenSSL. В том числе, злоумышленник получает доступ к секретным ключам, именам и паролям пользователей и всему контенту, который должен передаваться в зашифрованном виде. При этом не остается никаких следов проникновения в систему.

Наверное многие знают о существовании плагина Contact Form 7, с помощью которого можно создавать практически любые формы обратной связи на сайтах, построенных на популярном движке WordPress. Плагин хорош, позволяет получать все введённые посетителем данные на ваш email. Но перед нами на днях поставили задачу по сложнее, необходимо было сделать так, чтобы после того, как пользователь ввёл свои данные на wordpress сайте, он тут же автоматически становился подписчиком на одну из рассылок, созданных с помощью сервиса unisender.com.

Раз нужно — значит сделаем.

Итак, что мы имеем: сайт на wordpress с несколькими формами, которые работают через Contact Form 7, и только две из них должны подписывать пользователей на рассылки в unisender. Причём каждая на свою.

Давно минули те старые добрые времена, когда сайты были сделаны на голом HTML и их страницы весили несколько десятков килобайт. А интернет был на dial-up.

Страницы современных сайтов весят уже несколько сотен килобайт, а частенько и несколько мегабайт. Картинки, скрипты, файлы стилей CSS — всё это непременные атрибуты нормального современного сайта и без них никак. А весит всё это «счастье» совсем не мало, и каждый раз посетители, зашедшие на ваш сайт, загружают всё это на свой компьютер. И пока загрузка не завершится, в браузере страница не откроется.

Рассмотрим метод борьбы с этой проблемой посредством вебсервера Nginx. Суть в том, что мы сделаем 2 вещи — сожмём все статические файлы (скрипты, файлы стилей) посредством gzip, и закэшируем их вместе с картинками в кэше браузера посетителя, чтобы они каждый раз не загружались с сайта, а брались прямо из кэша на компьютере посетителя сайта.

О подобных атаках мы уже писали ранее, но в последние дни они активизировались с невероятной силой. Суть атаки заключается в том, что боты перебирают пароли к администраторской панели сайта. Это опасно не только тем, что пароль рано или поздно они всё-таки могут подобрать, но и тем, что при этом создаётся довольно приличная нагрузка на сервер.

Так как атаки в последние дни приобрели просто невероятную силу, сервера многих хостеров просто не выдерживают таких запредельных нагрузок. Хостеры естественно пытаются справится с этой напастью, но это у них не всегда получается, так как количество ботов просто огромно и файрволы не могут справится с таким количеством блокировок. Поэтому некоторые из них, как временное решение, блокируют запросы к файлам wp-login.php для wordpress и administrator/index.php для Joomla.

Страница 4 из 6
  • Способы
    Оплаты:
  • visa
  • mastercard
  • qiwi
  • webmoney
  • yandex money
  • sberbank
  • mts bank
  • zpayment
  • liqpay
  • alfabank white
  • paxum e1411320249623
Copyright © 2012 - 2024 WebPatron Ltd. All rights reserved.