Найдена новая уязвимость, благодаря которой злоумышленник используя специальный скрипт может провести DOS-атаку на Ваш блог через файла wp-trackback.php. В результате чего блог перестанет отвечать на запросы пользователей, либо будет делать это слишком медленно из-за загруженности сервера хостинга.
Сегодня на нулледе прочитал довольно не плохую статью про улучшения безопасности сайта на WordPress. По скольку на нулледе текст виден только зарегистрированным пользователям с определенным количеством постов, выложу статью у себя на блоге, для общественного пользования 😉 В общем всем также предлагаю ознакомиться и внести свои предложения и исправления (если конечно они будут).
За прошедшие выходные от взлома пострадал не один десяток блогов. Взлому подвергались почти все блоги на которых был установлен WordPress от версии 2.2.3 до версии 2.8.3 (версия 2.8.4 не имеет данной уязвимости).
Уязвимость заключается в том что, червь регистрируется у Вас в блоге (не важно включена ли регистрация или нет), попадает на страницу постоянных ссылок (permalink) и добавляет в них вредоносный код.
Французский программист Лорен Гаффье обнаружил, что с помощью ввода следующего несложного кода (http://Имя_Блога.ру/wp-login.php?action=rp&key[]=) можно сбросить (обновить) пароль администратора у любого блога на основе WordPress или WordPress MU версии <= WordPress 2.8.3.