Вредоносный код навсегда сохранили в блокчейне
Один из старых хакерских трюков — распространять вредоносное ПО под видом обновления браузера. На взломанном сайте размещается плашка с утверждением, что для просмотра нужно обновить браузер. И кнопка для скачивания обновления, как на скриншоте с прошлогодней атаки ClearFake. Таким образом, жертва...
WordPress: разбор уязвимости в Discount Rules for WooCommerce
Добрый день, уважаемые читатели! Сегодня мы разберем одну старую уязвимость в плагине Discount Rules for WooCommerce < 2.2.0 для WordPress. WooCommerce - это плагин для создания онлайн-магазина на движке WordPress, а WooCommerce Discout Rules - дополнение для WooCommerсe для предоставления и...
Прессуем WordPress
Аккумулируем базовые знания, методы атак и нюансы самой популярной open-source CMS в рамках одного доклада. 9 декабря 2022 года я выступил на митапе «Клуба неанонимных багхантеров» от BI.ZONE. Там я рассказал об экосистеме WordPress: затронул структуру этой CMS, перечислил ее сильные и слабые...
Как начать заниматься багхантингом веб-приложений. Часть 2
В прошлый раз мы рассказали о том, что такое платформы и программы багбаунти, какой базовый инструментарий может использовать багхантер, чтобы облегчить или автоматизировать поиск, привели реальные примеры уязвимостей из старых версий приложений с открытым исходным кодом и посоветовали хорошую...
[Перевод] Как повысить безопасность вашего сайта на Wordpress
В этой статье описаны самые распространённые проблемы безопасности WordPress и способы их решения, включая советы, как избежать взлома. Безопасность WordPress является важной темой с тех пор, как эта система управления содержимым (Content Management System или сокращённо — CMS) была выпущена в 2003...
Новый плагин CrowdSec для защиты сайтов на WordPress
Всем привет! Мы активно работаем над развитием нашей системы блокировки нежелательных IP-адресов и сегодня рады рассказать сообществу о нашей новой разработке — плагине WordPress для упрощения жизни веб-мастеров и защиты администрируемых ими сайтов. Как и многие другие наши решения, новый баунсер...
Используем Zap Baseline Scan для непрерывного сканирования сайта на уязвимости
Некоторое время назад возникло желание реинкарнировать свой Wordpress-блог. Параллельно возникло желание упорядочить и систематизировать накопленные знания для сдачи экзамена ECSA. Все это привело меня к развертыванию блога на отдельно стоящем сервере. Через некоторый промежуток времени ожидаемо...
Выбираем плагин для двухфакторной аутентификации в Wordpress
Двухфакторная аутентификация значительно повышает уровень безопасности сайта при соблюдении остальных условий (таких как своевременное обновление движка-тем-плагинов, применение практик безопасного программирования и т.п.). Столкнувшись с вопросом подключения Google Authenticator к сайту на...
[Из песочницы] Критическая уязвимость в admin-ajax.php
На прошлой неделе столкнулся с крайне неприятным фактом. Зайдя на свой сайт, обнаружил, что он переадресовывает меня на неведомый мне ресурс, на который крайне сильно ругается антивирус Dr. Web Сайт работает на WordPress актуальной версии 5.1 Все выходящие обновления для движка, плагина и темы...
Первый шаг, установка WordPress
Здравствуйте новички, выбравшие WordPress, сейчас я вам опишу процесс установки этой cms на хостинг. Для начала вам необходимо скачать WordPress делаем это с официального сайта www.ru.wordpress.org. Также необходим хостинг и FTP-клиент(FileZilla) для заливки файлов на него. Открываем ранее...
Удаляем category из url
Категории, это такой придаток WordPress, от которого все хотят избавиться, но не все знают как это сделать или делают, но не совсем правильно. А избавляться надо, так как фрагмент “category” в адресе ваших страниц не несёт ни какой практической пользы для вашего сайта. Сравните, какой адрес вам...
Темы Wordpress и «бесплатный сыр»
Тот факт, что бесплатные шаблоны для cms, скачанные не с оригинальных сайтов, могут быть заражены, содержать “пасхальные яйца” или уязвимости, вряд ли кого-то удивит. На просторах интернета достаточно много материала на эту тему. Но статьи с предупреждениями об опасности...
И опять атака на сайты Wordpress — перебор + XMLRPC
С полудня субботы на моем сервере, где хостится около 25 сайтов на Wordpress, начались дикие тормоза. Так как мне удалось пережить предыдущие атаки (атака 1 — ровно год назад, атака 2 — в марте) не замеченными, то я не сразу понял, в чем дело. Когда разобрался, то выяснилось, что идет перебор...