przedstaw się, zostaniesz zhakowany

Mało śmieszna sytuacja z dzisiejszego dnia.

W nocy został wydany wordpress 2.3.3, w którym poprawiono poważny błąd bezpieczeństwa, który z grubsza polega na tym, że posiadając dowolnego użytkownika w serwisie, można zmienić posty, nawet jeżeli nie ma się do tego uprawnień.

Po przeczytaniu natychmiast wystawiłem zadanie do działu obsługi, żeby powiadomili klienta i rozpoczęli procedurę uaktualniania kilku serwisów opartych właśnie o wordpressa. Za około 30 minut klient sam podesłał zadanie, że w jednym z wpisów pojawiły się dziwaczne odnośniki (viagra, powiększanie, podróże), czyli generalnie automatycznie dodawany spam pozycjonerski.

Tym którym zależy na takiej promocji serwisów swoich klientów korzystają z prostych automatów wykorzystujących właśnie to, że opensource’owy soft zazwyczaj sam przedstawia się, czym jest, co znacznie ułatwia „pracę” tych, którzy to wykorzystują. Rozwinięcie tematu znajdziecie tutaj: WordPress – bezpieczeństwo, tutaj skupię się tylko na usunięciu wpisu o wersji.

Prawie w każdym themie jest linijka która podaje z jakiej wersji wordpressa korzystamy. Wpis zrobiony jest w części „head” za pomocą tagu meta z następującymi wartościami:
<meta name="generator" content="WordPress <?php bloginfo('version'); ?>" />
<!-- leave this for stats please -->
Widać, że wersja jest uzupełniana automatycznie.

Sugestia jest następująca: mimo prośby producenta, by zostawić wpis do tworzenia statystyk należy się tej linijki albo pozbyć, albo wpisać na sztywno jakąś poprzednią istniejącą wersję z sugestią na coś naprawdę archiwalnego. Z punktu widzenia blogera niczego to nie zmienia, a nieco poprawia nasza sytuację w czasie między wypuszczeniem aktualizacji, a wykonaniem jej w naszym serwisie. Bo aktualizację należy wykonać bezwzględnie, bo automaty często pomijają sprawdzanie wersji i po prostu próbują wstrzyknąć nam niechciane treści.