przedstaw się, zostaniesz zhakowany

Mało śmieszna sytuacja z dzisiejszego dnia.

W nocy został wydany wordpress 2.3.3, w którym poprawiono poważny błąd bezpieczeństwa, który z grubsza polega na tym, że posiadając dowolnego użytkownika w serwisie, można zmienić posty, nawet jeżeli nie ma się do tego uprawnień.

Po przeczytaniu natychmiast wystawiłem zadanie do działu obsługi, żeby powiadomili klienta i rozpoczęli procedurę uaktualniania kilku serwisów opartych właśnie o wordpressa. Za około 30 minut klient sam podesłał zadanie, że w jednym z wpisów pojawiły się dziwaczne odnośniki (viagra, powiększanie, podróże), czyli generalnie automatycznie dodawany spam pozycjonerski.

Tym którym zależy na takiej promocji serwisów swoich klientów korzystają z prostych automatów wykorzystujących właśnie to, że opensource’owy soft zazwyczaj sam przedstawia się, czym jest, co znacznie ułatwia “pracę” tych, którzy to wykorzystują. Rozwinięcie tematu znajdziecie tutaj: WordPress – bezpieczeństwo, tutaj skupię się tylko na usunięciu wpisu o wersji.

Prawie w każdym themie jest linijka która podaje z jakiej wersji wordpressa korzystamy. Wpis zrobiony jest w części “head” za pomocą tagu meta z następującymi wartościami:
<meta name="generator" content="WordPress <?php bloginfo('version'); ?>" />
<!-- leave this for stats please -->

Widać, że wersja jest uzupełniana automatycznie.

Sugestia jest następująca: mimo prośby producenta, by zostawić wpis do tworzenia statystyk należy się tej linijki albo pozbyć, albo wpisać na sztywno jakąś poprzednią istniejącą wersję z sugestią na coś naprawdę archiwalnego. Z punktu widzenia blogera niczego to nie zmienia, a nieco poprawia nasza sytuację w czasie między wypuszczeniem aktualizacji, a wykonaniem jej w naszym serwisie. Bo aktualizację należy wykonać bezwzględnie, bo automaty często pomijają sprawdzanie wersji i po prostu próbują wstrzyknąć nam niechciane treści.

Jedna odpowiedź do “przedstaw się, zostaniesz zhakowany”

  1. Można po prostu zostawić tylko samo słowo WordPress, bez jakiejkolwiek informacji o wersji, tak chyba będzie najbardziej elegancko ;)
    Pozwolę sobie na autopromocję: pisałem o tym problemie (i innych związanych z bezpieczeństwem WP tu:

Możliwość komentowania jest wyłączona.

Jeżeli chcesz skomentować, napisz mail na adres marcin w domenie strony na której jesteś. Dodam twoj komentarz.