Luka bezpieczeństwa, której nie wykryli do tej pory developerzy? Da się złamać Wordpress'a? Którędy? W WP 2.2.3, najnowszym do tej pory wydaniu jest na tyle niezabezpieczony plik wp-login.php, że właściwie cała baza stoi przed nami otworem. Cóż smutna prawda. Właśnie dowiedziałem się tego dzięki kumplowi, który pomimo zablokowanej możliwości zakładania kont takie sobie założył i powiedział, że hasełka mógł nawet podpatrzeć.

(18:42:15) Koras: było rzekomo zamknięte
(18:42:18) ***: no
(18:42:23) Koras: i?
(18:42:26) ***: zalozylem
(18:42:32) Koras: po prostu?
(18:42:34) ***: xDDD

Podobno żeby się zabezpieczyć wystarczy funkcja - http://pl2.php.net/addslashes , tylko jak? Jest ktoś uzdolniony informatycznie, kto może zabezpieczyć wp-login.php? Ja średnio potrafię. Albo powiem inaczej, zrobiłem to, ale nie wiem czy działa, bo nie umiem Sql Injection wykonać

Ten post edytował koras 24.9.2007 - 20:00

Generalnie w jednej z wcześniejszych wersji była taka możliwość. Ostatnio wprowadzono filtry do znaczków potencjalnie niebezpiecznych dla bazy. Hasła są kodowane w MD5 i jakoś mi się nie chce wierzyć, że można je było wyciągnąć przez zapytanie z formularza logowania. Może więcej szczegółów ??

Co do haseł to mi nie pokazywał..., Ale kurcze, po prostu sobie konto założył, tak hop siup, a opcja zakładania kont jest zablokowana. Nie wiem jak to koleś zrobił. Postaram się czegoś więcej dowiedzieć, bo kurcze nieco przerażająca jest perspektywa, że sobie każdy może zakładać konta, pomijając formularz ich zakładania Hmmm, i taka mała sugestia, że koleś ma ojca informatyka, więc pewnie więcej sztuczek by zrobił niż tylko założenie "nielegalnie" konta.

Polecam zatem lekturę http://trac.wordpress.org/ - język angielski. No i czekamy na więcej informacji.
p.s. Na szybko patrząc wyłączenie możliwości rejestracji przerywa pętlę i wrzuca formularz logowania. Nawet jeśli podamy link. http://twoja domena/wp-login.php?action=register Nawiasem mówiąc u Ciebie ta opcja jest na blogu włączona. Chyba, że tu nie chodzi o Twoja stronę

Niee, chodzi o stronkę http://informatyczna91.staszic.eu.org , którą postawiłem na wordpressie. A co do większej ilości informacji to raczej się niczego nie dowiem. On to dla zabawy zrobił i nie będzie mi nic tłumaczył. Przeczytam to co podlinkowałeś

Ojej... Już przestańcie bo to zabawne się robi... Niech to udowodni, a jeśli nie to sprawy nie ma.
Sądzisz, że na calutkim świecie jest tysiące (miliony?) ludzi którzy nie zauważyli by tego tylko jeden twój znajomy złamał zawodowych programistów? Bez sensu... Zaktualizuj do 2.2.3 lub 2.3 i nie bój żaby.