Безпека плагінів для WordPress
22:42 07.08.2009Окрім уразливостей в коді самого WordPress, часто уразливості мають місце в плагінах для WP. Тому розробники плагінів для даного движка повинні також слідкувати за безпекою.
Як я вже зазначав стосовно плагінів для WordPress - уразливостей в них вистачає, тому власникам сайтів на WP варто також слідкувати за плагінами, які вони використовують, і по можливості перевіряти їх безпеку. Сам я знаходив чимало уразливостей в різноманітних плагінах для WP, а також регулярно публікую інформацію про уразливості в плагінах для WordPress знайдених іншими секюріті дослідниками (таких добірок я опублікував вже 19).
Серед знайдених мною уразливостей в плагінах:
- Уразливості в Subscribe To Comments WordPress plugin (4 дірки)
- Cross-Site Scripting в WP-PHPList (1 дірка)
- Уразливості в WP-ContactForm (5 дірок)
- MoBiC-03: Peter’s Custom Anti-Spam Image CAPTCHA bypass (1 дірка)
- MoBiC-12: Peter’s Random Anti-Spam Image CAPTCHA bypass (1 дірка)
- MoBiC-12 Bonus: Peter’s Random Anti-Spam Image XSS (1 дірка)
- MoBiC-16: Cryptographp CAPTCHA bypass (1 дірка)
- MoBiC-23: Math Comment Spam Protection CAPTCHA bypass (1 дірка)
- MoBiC-23 Bonus: XSS in Math Comment Spam Protection (2 дірки)
- MoBiC-25: Anti Spam Image CAPTCHA bypass (1 дірка)
- MoBiC-26: Captcha! CAPTCHA bypass (2 дірки)
- MoBiC-26 Bonus: XSS in Captcha! (4 дірки)
- MoBiC-28 Bonus: XSS in Cryptographp (24 дірки)
- MoBiC-29: WP-ContactForm CAPTCHA bypass (1 дірка)
- MoBiC-29 Bonus: XSS in WP-ContactForm (9 дірок)
- Уразливості в плагіні WordPress Database Backup (4 дірки)
- XSS уразливість в Trashbin для WordPress (1 дірка)
- Уразливості в FireStats для WordPress (14 дірок)
- Численні уразливості в FireStats для WordPress (4 дірки)
- Уразливості в Contact Form ][ для WordPress (6 дірок)
- Нові уразливості в Contact Form ][ для WordPress (9 дірок)
- Уразливість в WP-ContactForm для WordPress (1 дірка)
- Уразливості в FeedBurner FeedSmith для WordPress (3 дірки)
- Уразливості в плагіні CapCC для WordPress (3 дірки)
- Нові уразливості в плагіні CapCC для WordPress (14 дірок)
- Уразливості в WP-Upload Manager для WordPress (3 дірки)
- Уразливості в Subscribe To Comments для WordPress (8 дірок)
Після публікації даного запису я ще опублікував наступні уразливості:
- Уразливості в Dumb math captcha для WordPress (2 дірки)
- Уразливість в Dumb math captcha плагіні для WordPress (1 дірка)
- Уразливості в WP-Cumulus для WordPress (2 дірки)
- Нові уразливості в Subscribe To Comments для WordPress (3 дірки)
- Уразливості в Gigya Socialize для WordPress (10 дірок)
- Уразливості в Belavir для WordPress (3 дірки)
- Уразливості в Cimy Counter для WordPress (5 дірок)
- Уразливості в WP-UserOnline для WordPress (7 дірок)
- Уразливості в WP-UserOnline для WordPress (7 дірок)
- Уразливості в плагіні WordPress Database Backup (3 дірки)
- Уразливості в плагіні WordPress Database Backup (3 дірки)
- Уразливості в Register Plus для WordPress (12 дірок)
- Уразливості в Register Plus Redux для WordPress (13 дірок)
- Уразливості в TimThumb - цей додаток використовується в багатьох темах для WordPress (6 дірок)
- Уразливість в MaxSite Anti Spam Image (1 дірка)
- Уразливості в Easy Contact для WordPress (6 дірок)
- Нові уразливості в Easy Contact для WordPress (8 дірок)
- Code Execution та FPD в Simple:Press Forum для WordPress (8 дірок)
- Численні уразливості в Register Plus для WordPress (33 дірки)
- Численні уразливості в Register Plus Redux для WordPress (32 дірки)
- CS та XSS в Simple:Press Forum для WordPress (5 дірок)
- Нові уразливості в Register Plus Redux для WordPress (8 дірок)
- XSS та IAA уразливості в Register Plus Redux для WordPress (28 дірок)
- Нові уразливості в Register Plus для WordPress (11 дірок)
В даних 50 описах уразливостей наводиться 339 різних уразливостей (Cross-Site Scripting, Insufficient Anti-automation, Cross-Site Request Forgery, Directory Traversal, Arbitrary File Deletion, Denial of Service, Full path disclosure, Insufficient Authorization, Information Leakage, Abuse of Functionality, HTTP Response Splitting, SQL Injection, CRLF Injection, Redirector, Code Execution та Content Spoofing) в 29 плагінах для WordPress.
Понеділок, 16:00 23.11.2009
Useful info on wordpress security issues.My question is this. Why are all the spammers for my website Russian? They all write in Russian or post a link to some random site… In Russian. Now I come here..hmm
Понеділок, 16:59 23.11.2009
Holly
You are welcome.
In this post I wrote about vulnerabilities in plugins for WordPress and in many other posts I wrote about holes in WP itself.
I don’t know that, you need to ask smammers themselves
. There are a lot of spammers from different countries. For example, different spammers post comments at my site, including spammers from Russia (they post spam as on Russian, as on English). But I have small amount of spam at my site due to using of captcha.
So you need to use captcha to protect yourself from spam. If you use WordPress, them read my above-mentioned posts from MoBiC project, where I wrote about many holes in captcha plugins for WP, to not have such vulnerable captchas. Use only reliable captchas at your sites.