分类目录归档:wordpress资讯

wordpress开发者社区,wordpress快报网聚国内外最新wordpress资讯,最新、最快、最全面的wordpress资讯。

WordPress 3.0-3.9.2版本通杀跨站漏洞(csrf,xss)

据报道,使用3.0至3.9.2版本的WordPress平台不久前被曝出了跨站脚本漏洞,多个使用WordPress的网站均受影响。该漏洞在可用于在评论功能里注入指定JavaScript脚本,该脚本能够直接绕过用户登录需求直接发布,在管理员进行评论管理时自动执行,并可导致站点遭受潜在安全攻击威胁。

WordPress 3.0-3.9.2版本通杀跨站漏洞(csrf,xss)-wordpress资讯-代码笔记

目前该跨站脚本漏洞会影响3.0至3.9.2采用WordPress平台的网站,该漏洞最初由Klikki Oy于9月26日报告,11月20日WordPress和IT企业发布报告称,86%采用WordPress平台的网站遭受此漏洞影响。Klikki Oy与WordPress表示正在着手修补此漏洞,而目前升级至4.0版本以上的网站并不受此漏洞影响。

致所有wordpress新手,如何检测下载的wordpress主题插件是否包含后门

扯蛋的寄语:小V又有一段时间没有更新网站的教程了,说实在的年底了人也懒了明明手上一大堆事没处理完还天天到处瞎逛实在是静不下心来好好的做一件事了。今天起床比较晚趁着还么起床小V就来更新一发比较使用的教程~

最近很多小伙伴一直在讨论网站被黑和下载的免费wordpress主题插件被挂马的话题,那么今天小V就来教大家如何识别wordpress主题插件是否被留了后门。首先来说下wordpress的运行环境,相信稍微有点常识的站长都知道wordpress是一款运行在php+mysql构架之上的建站系统,而且wordpress主题插件都是编写成.php后缀的可执行文件这是为什么wordpress的免费主题插件很容易留后门的问题。既然都是由php编写的,那么我们只要知道一般php后门常用程序就能一定程度上察觉到主题插件中是否存在后门木马,下面小V列出一些常见php后门函数:

执行系统命令: system, passthru, shell_exec, exec, popen, proc_open(高危)
代码执行: eval, assert, preg_replace('/$pattern/e')(高危)
文件操作:file_get_contents, file_put_contents, fputs, fwrite(高危)
字符串加密解密压缩解压隐藏:base64_decode, gzinflate, gzuncompress, gzdecode, str_rot13, base64_decode, gzcompress, chr(可疑)
wordpress创建后门用户:wp_create_user, WP_User, set_role(高危)

如果在主题中小V标注的高危代码基本就可以确定这款主题很有问题了,基本上都是为了留后门或者是做些小动作了。如果是发现了本文标注的可疑代码那就要注意了很有可能加密部分的代码就是后门。很多小伙伴肯定不懂preg_replace('/$pattern/e')这段代码是什么意思,下面小V就来给大家解释下,preg_replace函数使用e修饰符之后在执行逆向引用替换完之后会将替换的代码当作php代码运行,所以也是一种非常常见的后门代码。在检测主题插件是否包含后门的时候只要用文本搜索工具或者软件搜索主题插件的php文件是否包含以上关键字,在搜索到preg_replace时需要人工对比下代码查看是否包含e修饰符,如果主题文件出现大量的chr(2).chr(3).chr(58)这样类似的代码也要小心了,另外发现主题文件出现一大堆无规则的字符也要小心了一般都是加密后的代码很可能隐藏了后门。

PS:由于平时小V接到的主题插件投稿比较多,所以很难将所有的投稿文件都检查一边。最多也就检查下几个关键文件是否挂马,所以请大家在下载主题后尽量再自己检查一遍。

俄罗斯恶意软件SoakSoak已感染10万多个WordPress网站

据外媒报道,上周日,一款名为SoakSoak的俄罗斯恶意软件感染了10万多个Wordpress网站,大量博客沦为受害者。为了遏制破坏范围的进一步扩大,Google已经屏蔽了1.1万个域名。据安全公司Sucuri调查发现,SoakSoak利用了幻灯片播放插件Slider Revolution当中的一个漏洞发起攻击。

俄罗斯恶意软件SoakSoak已感染10万多个WordPress网站-wordpress资讯-代码笔记

虽然Slider Revolution已经在9月份的时候就知道了该漏洞的存在,但该软件开发团队似乎没能赶在黑客攻击前将漏洞堵上。

Sucuri称,由于很多网站持有者并不知道恶意软件的存在,所以想要彻底根除SoakSoak相对来说比较困难。除了移除软件中的恶意软件代码之外,Slider Revolution用户还需更新软件。如果这款软件已经成为网站主题的一部分,那么它就无法自动更新,用户需自己手动更新才行。

游戏网站Dulfy日前就已经移除了软件中的恶意代码并开启了防火墙功能。不过该网站持有人也表示,他们也不确定这样的措施是否就能彻底围堵该攻击。

WordPress是一个拥有7000多万个网站的内容管理系统。由于SoakSoak只攻击自托管网站,所以对于个人博客的用户,不会有什么影响。当然,如果该群体访问了已被感染的病毒那就另当别论了。

目前并不清楚该恶意软件散播者是出于何目的对Wordpress发起攻击。

原文:http://www.cnbeta.com/articles/354853.htm

WordPress 4.0.1 修复 8 项安全隐患和 23 个 bug

WordPress 4.0.1现已推出。这是一个针对先前版本的关键的安全更新,强烈建议立即更新你的网站。

支持自动后台更新的网站将在接下来的几个小时之内自动更新到 WordPress 4.0.1。如果你仍在使用WordPress 3.9.2,3.8.4 或 3.7.4,你将被更新到3.9.3,3.8.5,3.7.5。 (我们不支持老版本,所以请更新到最新最好的 4.0.1)

WordPress的版本3.9.2及更早版本都受到一个关键的跨站点脚本漏洞,该漏洞可能允许匿名用户破坏网站。这个问题不影响4.0版本,但4.0.1版本解决了以下这八个安全问题:

  • 3个跨站脚本问题,可以被投稿者(contributor)或作者(author)用来破坏网站

  • 1个跨站请求伪造,可以被用来欺骗用户更改密码

  • 1个问题,可能会在检查密码时导致拒绝服务

  • 当 WordPress 发送HTTP请求时,额外的服务器端请求伪造攻击

  • 一个极不可能的哈希冲突可能使用户的帐户受到影响,这也要求他们自2008年以来没有登录过(我希望我是在开玩笑)

  • WordPress 现在的密码重置邮件中的链接,如果用户记得他们的密码,登录,可以修改他们的邮件地址。

4.0.1 还修复了 4.0 的23个bug,同时我们还进行了两项硬化修改,其中包括更好的验证了摘录自上传照片的EXIF数据。

利用xmlrpc.php对wordpress进行暴力破解以及DDoS

在去年暑假的时候就发生过大规模的wordpress后台(wp-login.php)爆破事件,很多疏于管理的wordpress沦为了骇客手中的僵尸机。很多小伙伴开始安装各种登陆限制插件。最近不少小伙伴却遭到了一种另类的wordpress暴力破解攻击。骇客利用xmlrpc.php文件来绕过wordpress后台的登录错误限制进行爆破。

攻击方式:

这种利用xmlrpc.php的攻击可以绕过这些限制。攻击的方式直接POST以下数据到xmlrpc.php

<?xml version="1.0" encoding="iso-8859-1"?>
<methodCall>
  <methodName>wp.getUsersBlogs</methodName>
  <params>
   <param><value>username</value></param>
   <param><value>password</value></param>
  </params>
</methodCall>

其中username字段是预先收集的用户名。password是尝试的密码。关于getUsersBlogs接口的更多信息可以参考官方的指南。如果密码正确,返回为:

利用xmlrpc.php对wordpress进行暴力破解以及DDoS-wordpress资讯-代码笔记 %

密码错误返回为403:

利用xmlrpc.php对wordpress进行暴力破解以及DDoS-wordpress资讯-代码笔记 %

解决方法:安装Login Security Solution插件,或者删除xmlrpc.php文件。

至于利用xmlrpc.php文件进行DDOS请参考以下两篇文章:

http://www.v7v3.com/wpzixun/2014031103.html

http://www.breaksec.com/?p=6362

传 WordPress 运营方融资1.5亿美元:估值超10亿

北京时间4月16日早间消息,据美国《财富》杂志网络版报道,博客平台 WordPress.com 和 WordPress VIP 的运营商Automattic 将融资1亿至1.5亿美元。

Automattic 在本轮融资中的估值将超过10亿美元,略高于2013年9月的估值。当时,老虎环球管理公司和 Iconiq 共计向Automattic 投资7500万美元,主要是从早期投资者 Polaris Partners 手中购买股票。几个月前,老虎环球管理公司还在另外一轮投资中向该公司注资 5000 万美元,同样是从其他投资者手中购买股票。

此次交易可能用于购买新股,但 Automattic 拒绝对此置评。

WordPress 独立建站程序目前为全球22%的网站提供支持,高于去年7月的19%。例如,域名注册和互联网主机服务提供商GoDaddy托管的网站中有半数使用了 WordPress。Automattic 为 WordPress 提供了一个服务层,并且在其平台上引入了管理和编辑元素。

Automattic 上周刚刚收购了内容网站Longreads。该公司创始人麦特·穆伦威格(Matt Mullenweg)今年1月出任CEO,他之前的职责一直集中在产品领域。在几周前接受《财富》杂志采访时,穆伦威格称他早就在为此做准备,希望等到自己更加成熟、经验更丰富时再完成这一转变(他现在已经30岁)。

Automattic将使用最新获得的融资应对 Squarespace 等竞争对手的挑战。后者刚刚宣布通过 General Atlantic 融资4000万美元。另外,Twitter 联合创始人伊万·威廉姆斯(Evan Williams)的博客平台 Medium 也在对 WordPress 构成挑战。

文:水煮鱼

WordPress 3.9正式版发布,名为Smith

大家期待已久的 WordPress 3.9 正式版 终于发布了,该版本取名 Smith,用来纪念爵士风琴手Jimmy Smith。本次更新,最主要是改善了媒体编辑、主题自定义和安装方面的体验。部分细节如下:

更流畅的媒体编辑体验

改进的可视化编辑器

WordPress 3.9正式版发布,名为Smith-wordpress资讯-代码笔记 %

改善了可视化编辑器的速度、可访问性和对移动设备的支持。您可以将Word的内容直接粘贴到可视化编辑器,而不会浪费时间来清理凌乱的样式。

轻松编辑图片

WordPress 3.9正式版发布,名为Smith-wordpress资讯-代码笔记 %

随着裁剪和旋转工具的更快访问,现在可以更方便地在编辑文章的时候编辑图像。您也可以直接在编辑器中缩放图像以找到合适的大小。

拖放您的图片

WordPress 3.9正式版发布,名为Smith-wordpress资讯-代码笔记 %

上传你的图片比以往任何时候都更容易。只需从您的桌面抓住它们拖放到编辑器即可。

画廊预览

WordPress 3.9正式版发布,名为Smith-wordpress资讯-代码笔记 %

图像有画廊,现在我们已经添加了简单的音频和视频播放列表,这样你就可以展示你的音乐和剪辑。

小工具和头部在线预览

就在主题自定义界面添加、编辑和重新安排你的网站的小工具。没有“保存惊喜” – 预览更改过,然后当你满意后再保存它们。

改进后的标题图片工具还允许自定义主题的时候上传、裁剪和管理头部。

WordPress 3.9 改进了很多特性,对于主题和裁剪开发者,希望阅读一下官方文件http://make.wordpress.org/core/tag/3-9-dev-notes/,从而做好主题和插件对新版本WP的兼容。

同时也建议大家先下载 WordPress 3.9 在本地环境中进行测试,看看是否和你现在所用的主题和插件兼容!!

WordPress3.8.1红色警报xmlrpc.php拒绝服务漏洞

WordPress 3.8.1 /xmlrpc.php 文件有ping其他主机的功能,通过这个功能可以请求多个站点,DDOS攻击别的网站。

1. WordPress Pingback 漏洞的发现

早在2012 年 12 月 17 日一些采用 PHP 的知名博客程序 WordPress被曝光存在严重的漏洞,该漏洞覆盖WordPress 全部已发布的版本(包括WordPress 3.8.1)。该漏洞的 WordPress 扫描工具也在很多论坛和网站发布出来。工具可以利用 WordPress 漏洞来进行扫描,也可以发起DDoS 攻击。经过测试,漏洞影响存在 xmlrpc.php 文件的全部版本。

2. 漏洞的利用原理

Pingback 是三种类型的反向链接中的一种,当有人链接或者盗用作者文章时来通知作者的一种方法。可以让作者了解和跟踪文章被链接或被转载的情况。一些全球最受欢迎的 blog 系统比如 Movable Type、Serendipity、WordPress 和 Telligent Community 等等,都支持 Pingback 功能,使得可以当自己的文章被转载发布的时候能够得到通知。 WordPress 中有一个可以通过 xmlrpc.php 文件接入的 XMLRPC API,可以使用 pingback.ping 的方法加以利用。 其他 BLOG 网站向 WordPress 网站发出 pingback,当WordPress处理 pingback 时,会尝试解析源 URL。如果解析成功,将会向该源 URL 发送一个请求,并检查响应包中是否有本 WordPress 文章的链接。如果找到了这样一个链接,将在这个博客上发一个评论,告诉大家原始文章在自己的博客上。 黑客向使用WordPress论坛的网站发送数据包,带有被攻击目标的 URL(源 URL)。WordPress 论坛网站收到数据包后,通过 xmlrpc.php 文件调用 XMLRPC API,向被攻击目标 URL 发起验证请求。如果发出大量的请求,就会对目标 URL 形成 HTTP Flood。当然,单纯向 WordPress 论坛网站发出大量的请求,也会导致 WordPress 网站自身被攻瘫。 除了 DDoS 之外,黑客可以通过源 URL 主机存在与否将返回不同的错误信息这个线索,如果这些主机在内网中确实存在,攻击者可以进行内网主机扫描。

利用wordpress XMLRPC攻击的示例:

$ curl -D -  "www.abc.com/xmlrpc.php" -d '<methodCall><methodName>pingback.ping</methodName><params><param><value><string>http://www.baidu.com</string></value></param><param><value><string>www.bac.com/postchosen</string></value></param></params></methodCall>'

预防方法:删除xmlrpc.php文件或者禁止对xmlrpc.php文件的访问。

WordPress 3.8 发布,全新的 Modern 界面

WordPress.org 今天正式发布了WordPress 3.8 版本,主要介绍了全新的 Modern 界面,并称其为“史上最漂亮的更新”。WordPress 3.8 版本为了纪念美国爵士乐萨克斯管吹奏者和作曲家查理帕克(Charlie Parker)所以新版本名为“帕克” ,主要为管理控制中心带来的全新的视觉体验。

WordPress 3.8 发布,全新的 Modern 界面-wordpress资讯-代码笔记 %

WordPress 3.8版本主要带来了以下新特性:

◆ Modern审美界面设计:新的WordPress版本整个界面焕然一新,干净清晰简洁。

◆ 利落的版式:The Open Sans版式提供了简洁、友好的文本显示模式,并且能够根据桌面或者移动端进行自动适应。

◆ 精致的对比:凭借卓越的对比度和宽大舒适的类型,新的设计很容易阅读和愉快浏览。

◆ 在高速环境下的高清显示:WordPress能够根据你的屏幕来自动调整文字的显示,新的矢量图形在页面缩放中能够比以往任何时刻都来的清晰。

◆ 管理员配色方案:WordPress包含了8个全新的管理员配色方案,能够在你的设置页面中进行预览和更换。

◆ 精致的主题管理:新的主题屏幕能够让你的主题一目了然。

◆ 丰富的小工具:小部件已经被简化。在大型屏幕中显示能够显示多个部件的叠加。在平板上只需要一个小工具就能来添加它。

WordPress 3.8 发布,全新的 Modern 界面-wordpress资讯-代码笔记 %

谷歌眼镜非官方WordPress插件释出

谷歌眼镜非官方WordPress插件释出-wordpress资讯-代码笔记

谷歌眼镜虽然不能给你像Xmen里镭射眼一样的能力,但是它的功能却在不断增长。近日Weber Shandwick 发布了一款得到Wordpress非官方支持的谷歌眼镜插件,该插件可以允许用户用简单的口头命令将内容发布到任何Wordpress托管的博客上,如果你有谷歌眼镜的耳麦配件,你还可以通过该插件将你的多媒体内容发布到Wordpress上。目前该插件还子尝试通过官方认证当中,更多后续报道,敬请继续关注安珀网。

Source: Engadget