Envato Elements - pobieraj co chcesz, ile chcesz

Ostatnio na jednej ze stron która znajduje się w moich RSSach pojawiają się jakby „nieautoryzowane wpisy”, pisane w innym języku niż wszystkie inne, a i ich „jakoś merytoryczna” jest odwrotnie proporcjonalna do ilości linków jakie się w nich znajdują.

Kolejnym argumentem za ich „nieautoryzowanym pochodzeniem” jest fakt, że są one co jakiś czas kasowane – czyli jednak ktoś nad stroną czuwa, pewnie przy okazji publikacji kolejnych postów (ostatni 17 listopada) kasuje SPAM i – niestety – na tym się sprawa kończy.

Co w WordPressie Piszczy

Nie będę podawał celowo szczegółów które mogą jednoznacznie wskazywać na stronę (ale nie będę też jakoś specjalnie maskował „mniej dosłownych podpowiedzi”), bo celem tego wpisu nie jest konkretnie ta strona, a przypomnienie wszystkim posiadaczom stron (nie tylko na WordPressie) jak ważne są regularne aktualizacje elementów wykorzystanych do przygotowania strony (głównie skrypty ale nie tylko).

blog-e-prawnik-pl_rss01

Pamiętaj o aktualizacjach

Szybka analiza strony wykazała, że cały czas działa na WordPressie w wersji 3.0.1, gdy aktualne stabilne wydanie to 4.3.1, co może oznaczać, że WordPress nie był na tej stronie aktualizowany przez ponad 5 lat – a to w świecie IT prawdziwa przepaść, i w międzyczasie znaleziono wiele błędów, które były aktualizowane w kolejnych wersjach, o których osoby odpowiedzialne za stronę zapomniały (lub nikt im tego nie powiedział).

Jakby tego było mało – a wierzcie mi, że nie jest – to również wtyczka wykorzystywana do ochrony przed SPAMem aktualizacji dawno nie widziała (na serwerze 3.1.3, a ostatnia wersja to 4.1).

Dlatego powtórzę to, co zawsze pisze na tej stronie, i powtarzam wszystkim moim klientom – pamiętajcie o aktualizacjach, nie tylko systemu operacyjnego i programu antywirusowego, ale również serwera czy właśnie strony internetowej (choć akurat większość moich/naszych klientów ma to z głowy, bo taką „obsługę serwisową” powierza nam).

User Enumeration

Właściwie na deser – bo przy tak starej wersji WordPressa i tak by raczej nie pomogło – jest to, że na stronie nie zablokowano możliwości odczytania nazw użytkowników, co znacznie ułatwia ew. atak na stronę (próba siłowego odgadnięcia hasła).

Wystarczy wpisać adresy:

http://[—]/?author=17

by poznać nazwy wszystkich 17 (16 własnych + admin, którego również nie powinno tam być) użytkowników.

PS. Wysłałem informacje na znaleziony na stronie adres kontaktowy, może coś się w tym temacie zmieni…

(!) Zgłoś błąd na stronie
Potrzebujesz profesjonalnej pomocy? Skontaktuj się z nami!
Spodobał Ci się artykuł? Zapisz się do naszego Newslettera - ZERO SPAMu, same konkrety, oraz dostęp do dodatkowych materiałów przeznaczonych dla subskrybentów!
Na podany adres e-mail otrzymasz od nas wiadomość e-mail, w której znajdziesz link do potwierdzenia subskrypcji naszego Newslettera. Dzięki temu mamy pewność, że nikt nie dodał Twojego adresu przez przypadek. Jeśli wiadomość nie przyjdzie w ciągu najbliższej godziny (zazwyczaj jest to maksymalnie kilka minut) sprawdź folder SPAM.
Janusz i Janusz zapisali się do Newslettera WebInsider.pl i... sobie chwalą
WebInsider poleca księgowość wFirma
WebInsider korzysta z VPSa w HitMe.pl
WebInsider poleca VPSy DigitalOcean
WebInsider poleca serwis Vindicat
Napisz komentarz
wipl_napisz-komentarz_01Jeśli informacje zawarte na tej stronie okazały się pomocne, możesz nam podziękować zostawiając poniżej swój komentarz.

W tej formie możesz również zadać dodatkowe pytania dotyczące wpisu, na które – w miarę możliwości – spróbujemy Ci odpowiedzieć.
Linki partnerskie
Niektóre z linków na tej stronie to tzw. „linki partnerskie”, co oznacza, że jeśli klikniesz na link i dokonasz wymaganej akcji (np. zakup/rejestracja) możemy otrzymać za to prowizję. Pamiętaj, że polecamy tylko te produkty i usługi, z których sami korzystamy, i uważamy, że są tego na prawdę warte… :-)
Znaki towarowe i nazwy marek
W niektórych wpisach (oraz innych miejscach na stronie) mogą być przedstawione/użyte znaki towarowe i/lub nazwy marek, które stanowią własność intelektualną tych podmiotów, a zostały użyte wyłącznie w celach informacyjnych.
Na WebInsider.pl korzystamy z motywu Extra od Elegant Themes. Zobacz dlaczego...