Mi a Wordpress verziószáma?

**szepe.viktor** · 2012-10-15, 13:35

Üdvözöllek!

Biztonságos esetben a WordPress verzió szám elrejtve van:
tutorial.hu/honlap-biztonsag-es-specialis-wordpress-vedekezesek/
Ebben összefoglaltam a betörések forrásait és a védekezéseket.

Ha nincs, akkor innen-onnan (readme stb.) össze lehet szedni letöltéssel.
Ha biztonságos az oldal, akkor - tárhelyszolgáltató lévén - a fájlokból pontosan kinyerhető:
/wp-includes/version.php: a $wp_version = '3.3.1'; sor az
ehhez érdemes egy pici bash szkriptet írni:

megnézi, hogy valamely könyvtában létezik-e
ki-parse-olja belőle a $wp_version-t
ha kisebb, mint az aktuális, akkor küldd a tulajdonosnak egy szép HTML levelet
egy sqlite db-ben felírja, kinél milyen verzió van

Azt, hogy mi az aktuális itt lehet megtudni:
/wp-includes/update.php

Kód:

		$query = array(
		'version'           => $wp_version,
		'php'               => $php_version,
		'locale'            => $locale,
		'mysql'             => $mysql_version,
		'local_package'     => isset( $wp_local_package ) ? $wp_local_package : '',
		'blogs'             => $num_blogs,
		'users'             => $user_count['total_users'],
		'multisite_enabled' => $multisite_enabled
	);

	$url = 'hxxp://api.wordpress.org/core/version-check/1.6/?' . http_build_query( $query, null, '&' );

	$options = array(
		'timeout' => ( ( defined('DOING_CRON') && DOING_CRON ) ? 30 : 3 ),
		'user-agent' => 'WordPress/' . $wp_version . '; ' . home_url( '/' ),
		'headers' => array(
			'wp_install' => $wp_install,
			'wp_blog' => home_url( '/' )
		)
	);

	$response = wp_remote_get($url, $options);

Ezt két óra alatt meg lehet írni bash-ben, és cron-ból futtatni egy éjjeli órán.
Minden jót kívánok!

**Geri** · 2012-10-15, 13:57

rudolf a rénszarvas eredeti hozzászólása

Geri, az a legkevésbé megbízható forrás a fentiek közül.
A meta adat és az admin felület is abból a php-ból szedi a verziószámot, amit írtam, a readme pedig egy html-fájl, ami vagy van, vagy nincs, vagy a wordpresshez tartozik, vagy nem, vagy frissítik, vagy nem. A tárhelyszolgáltató automatizált megoldását nem építheti erre.

Azzal a php fajlal amit te irtal egyetlen gond van. Kivulrol nem elerheto. Es ha lehet hogy csak en latom igy, de szerintem a tarhelyszolgaltato ne turkaljon az en fajljaim kozott a szerveren, tehat csak kivulrol elerheto modszerrel csekkolja ezt. A legjobb megoldas egyebkent egy Wp plugin lenne, mert az megbizhato adatbol tud dolgozni. Viszont sokan minimumon tartjak a telepitett pluginek szamat.

**rudolf a rénszarvas** · 2012-10-15, 14:02

A verziószám-eltüntetőkkel nem szeretnék azon vitatkozni, hogy ettől biztonságosabb lesz-e a wordpress-e vagy sem (szerintem nem), mindenesetre Viktor oldalán látszik, hogy ő is eltüntette a wordpress meta bejegyzését, ugyanakkor a wordpress a saját verziószámot nem követő pluginek végére odateszi a wordpress verziószámát (?ver=). Akit ez zavar, figyeljen oda erre is.

**rudolf a rénszarvas** · 2012-10-15, 14:08

Geri eredeti hozzászólása

ne turkaljon az en fajljaim kozott a szerveren

Szerintem ennél sokkal intimebb a kapcsolat a felhasználó és a szolgáltató közt

(pl. akkor ne is backupoljon? az is egy alapos turkálás a fájljaid közt, inkrementális mentésnél még össze is hasonlítja egy régi verzióval), de abban igazad van, hogy érdemes ezt engedélyeztetni a felhasználóval.

**DomainFlotta** · 2012-10-15, 15:21

Köszönöm a sok segítséget, elkezdem feldolgozni őket.

Ok, tehát akkor ha nem trükközik, akkor a forrásban kell lennie egy ilyennek:

<meta name="generator" content="WordPress 3.4.2" />

Ezt meg is találtam pár véletlenszerű wordpress oldalban. Ezt kiszedni alap tudást igényel?

A következő a /wp-admin/includes/update-core.php

/readme.html

Remek ötlet! Ez a fájl frissül mindig, ha frissítik a wordpresst?

wp-includes/version.php

Ezek szerint ezt kell megkeresni a forrásban= $wp_version és ez mindig az aktuális verziót tartalmazza. (köszi szepe.viktor)

Mielőtt tovább megyek úgy érzem fontos lenne tisztázni Geri aggályait.

Tényleg problémát jelent, ha a tárhely szolgáltató egy programmal automatikusan ellenőrzi a szerveren lévő fájlok forráskódját?

**szepe.viktor** · 2012-10-15, 15:59

Köszönöm az építő kritikát.

PHP kód:

 function remove_cssjs_ver( $src ) {
    if ( strpos( $src, '?ver=' ) )
        $src = remove_query_arg( 'ver', $src );
    return $src;
}
add_filter( 'style_loader_src', 'remove_cssjs_ver', 15, 2 );
add_filter( 'script_loader_src', 'remove_cssjs_ver', 15, 2 );

**Geri** · 2012-10-15, 16:06

DomainFlotta eredeti hozzászólása

Tényleg problémát jelent, ha a tárhely szolgáltató egy programmal automatikusan ellenőrzi a szerveren lévő fájlok forráskódját?

Kerd a beleegyezeset es akkor nem lehet gond belole.
En mondjuk nem egyeznek bele, mert ne vedd rosszneven, de egy olyan szolgaltatorol, aki egy forumon kerdezi meg, hogy hogyan deritse ki a wordpress verziojat, nem feltetelezem, hogy megbizhato koddal elemzi a fajlokat es nem okoz bennuk veletlenul hibat.

**szepe.viktor** · 2012-10-15, 16:09

Tényleg problémát jelent, ha a tárhely szolgáltató egy programmal automatikusan ellenőrzi a szerveren lévő fájlok forráskódját?

Úgy gondolom helyes eljárás, ha egyszer lefut a kereső szkript, és értesíti az ügyfelet a régi verzióról.
Az értesítő levélben benne lehet egy link, amivel beleegyezik a további vizsgálatokba.

Onnantól mindenkinek futhat, aki kérte.

A kis VPS-emen fut egy bash szkript óránként, ami lekérdezi a Google Safebrowsing-ból, mi a helyzet. Például az atw-nél jelez.
hxxp://safebrowsing.clients.google.com/safebrowsing/diagnostic?client=Firefox&hl=en-US&site=hxxp://users.atw.hu
(xx-eket tt-kre cserélni)

Kód:

# query
RESPONSE=`LC_ALL=C wget --post-file="$POSTFILE" -S -v -O "$VERDICTFILE" "$SBURL" 2>&1 1>/dev/null | \
 grep "HTTP/1.[01] [0-9]\{3\} " | cut -d" " -f4`

Ha valamelyik honlap fertőzött, le lehet cserélni a jelszavát.
A fertőzések kiküszöbölése nagyon hasznos - nem állítja le a betörő az egész szervert - de sok munkával jár.

Azt ajánlom, hogy a felbukkant hibákat mindig úgy orvosolják, hogy ne fordulhasson elő újra.

**Geri** · 2012-10-15, 16:21

szepe.viktor eredeti hozzászólása

A kis VPS-emen fut egy bash szkript óránként, ami lekérdezi a Google Safebrowsing-ból, mi a helyzet. Például az atw-nél jelez.
hxxp://safebrowsing.clients.google.com/safebrowsing/diagnostic?client=Firefox&hl=en-US&site=hxxp://users.atw.hu
(xx-eket tt-kre cserélni)

En az API-t hasznalnam a helyedben: https://developers.google.com/safe-browsing

**szepe.viktor** · 2012-10-15, 16:40

Bocsánat! Az elejét nem idéztem:

Kód:

POSTFILE=`mktemp /tmp/sb-postfile.XXXXXXX`
VERDICTFILE=`mktemp /tmp/sb-verdict.XXXXXXX`
APIKEY="??:??"
CLIENT="szepe.net-robot"
CLIENTVER="1.0"
SBURL="hxxps://sb-ssl.google.com/safebrowsing/api/lookup?client=${CLIENT}&apikey=${APIKEY}&appver=${CLIENTVER}&pver=3.0"