myhken Skrevet 5. september 2009 Del Skrevet 5. september 2009 WordPress kom med en viktig oppdatering her om dagen, og den nye versjonen er nå 2.8.4. Vanligvis kommer slike oppdateringer ganske hyppig og det er ofte liten grunn til å være bekymret. Men forskjellen nå er at det er oppdaget en veldig farlig feil i de eldre versjonene, som lar andre opprette en administrator bruker som får tilgang til alt på serveren din. Helt ned på database nivå. Jeg fikk i dag en epost fra selskapet der jeg har mine VPS servere (altså mine hjemmesider) og de skriver følgende: Dear Kenneth, The following is a notice for those clients who use WordPress on their VPS or Dedicated servers. Normally we post vulnerability notices in our community forums; however, we are aware that a large number of our clients use WordPress. If you’re running a self-hosted WordPress (WordPress) blog that isn’t up-to-date (version 2.8.4), you’re advised to upgrade immediately to the latest version of the software to avoid an ongoing attack. The warning comes from Lorelle on WordPress after it was discovered that a nasty attack is exploiting security holes in previous versions of the blogging software, creating a new “hidden” Administrator account and getting right down to the database level. These attacks are said to be “growing by the hour”. Lorelle writes: There are two clues that your WordPress site has been attacked. There are strange additions to the pretty permalinks, such as example.com/category/post-title/%&(%7B$%7Beval(base64_decode($_SERVER%5BHTTP_REFER ER%5D))%7D%7D|.+)&%/. The keywords are “eval” and “base64_decode.” The second clue is that a “back door” was created by a “hidden” Administrator. Check your site users for “Administrator (2)” or a name you do not recognize. You will probably be unable to access that account. All users are advised to upgrade to the latest version of WordPress immediately. Thank you, Future Hosting Support https://manage.futurehosting.biz/cp Det er altså utrolig viktig at du oppdaterer din Wordpress installasjon om du kjører en, og som du selv må oppdatere. De som har blogger på f.eks wordpress.com etc får automatisk oppdatert sine blogger. Men alle som leier webhotell og har installert en blogg med Wordpress må sjekke sin versjon. Lenke til kommentar
genstian Skrevet 6. september 2009 Del Skrevet 6. september 2009 Oppdateringen kom vel for 3 uker siden. Lenke til kommentar
myhken Skrevet 6. september 2009 Forfatter Del Skrevet 6. september 2009 Oppdateringen kom vel for 3 uker siden. Men er nok mange som ikke har oppdatert enda. FutureHosting, der jeg har sidene mine, har opplevd flere angrep på sider i det siste. Og alle er nok ikke like flinke til å oppdatere sidene sine, er jo litt som operativsystemer. Lenke til kommentar
Left Blank Skrevet 8. september 2009 Del Skrevet 8. september 2009 Btw er noe feil her. 2.8.4 oppdatering fikset bare noen linjer i wp-login.php. Exploiten gjorde slik at en attacker kunne resette administrator passordet, men han kunne ikke SE passordet. Dermed kunne ikke exploiten gjore slik at man fikk tilgang, og alt det andre i den nyhetsbulletin greia er tull. Her kan du se http://wordpress.org/development/2009/08/2...curity-release/ Lenke til kommentar
Anbefalte innlegg
Opprett en konto eller logg inn for å kommentere
Du må være et medlem for å kunne skrive en kommentar
Opprett konto
Det er enkelt å melde seg inn for å starte en ny konto!
Start en kontoLogg inn
Har du allerede en konto? Logg inn her.
Logg inn nå