Vulnerabilitate WordPress, version 2.8.4 FAIL

Critical security bug, must read this.

Dacă în 12 august s-a trecut de la versiunea 2.8.3 la 2.8.4 din cauza unei vulnerabilităţi care permitea cu un “crafted URL” resetarea parolei de admin de către oricine şi Admin-ul primea un email cu noua parolă (mai mult o glumă proastă), de data asta e mult mai lată.

Fii atent două minute, nu vorbesc prostii sau poveşti din auzite, am văzut cu ochii mei că se poate.
Să zicem că un oarecare îşi face cont de subscriber de exemplu (că aşa e bifat default) la tine pe blog prin accesarea wp-register.php !

Tu, ca şi Administrator primeşti un email de la wordpress ca “X” şi-a făcut cont la tine pe blog cu adresa de email cutare.

“X”, care şi-a facut cont primeşte la rândul lui un email cu o parola de la wordpress cu care se poate loga la tine în wp-admin, dar cu drepturi limitate, NU în calitate de admin.

Până aici OK, aici vine faza tare. El se loghează la tine în wp-admin în calitate de subscriber, şi mai departe tot printr-un “crafted URL” poate intra în mod admin, pe româneşte spus preia controlul asupra blogului.

Pentru a evita posibile neplăceri, mergi în wp-admin/Settings/General şi DEbifează “Membership – Anyone can register”.

90% din voi nu aveți nevoie de acest feature. Cel puțin până când WordPress va rezolva şi acest bug într-un update viitor, dacă se prinde ce şi cum.

Articol preluat de pe: http://andrian.ro/webdesign/vulnerabilitate-wordpress-version-2-8-4-fail-fail-fail.

Related posts:

1. WordPress Admin Panel Security For Beginner !?
2. Favicon pentru WordPress
3. Free WordPress Tutorials
4. Free Web Hosting Features