Любой программный продукт без иключения имеет дыры и уязвимости. Поэтому вполне понятно, что во всех версиях WordPress есть дыры. Другое дело, что не все они ещё определены и известны. Следовательно злоумышленник может обнаружить уязвимость, а далее — сформировать специальный запрос к вашему сайту таким образом, чтобы в итоге получить доступ с правами администратора.
Также точно, например, злоумышленник может написать небольшую html-страницу, где разместит скрытую форму, которая автоматически будет, скажем, добавлять пользователя с админскими правами на ваш сайт. А поскольку большинство из нас не разлогинивается после работы с блогом, то после перехода на ссылку злоумышленника вы по-сути от своего имени (и с вашими разрешениями) создадите еще одного админа.
Проблема (XSS) касается не только WordPress, но и всех других «движков» и скриптов. Для защиты от подобных действий нужно проверять откуда идет запрос — т.н. referer: если он не с вашего же сайта, то возможно это XSS-атака.
Работает «Anti-XSS attack» так:
Если на сайт приходят данные в «wp-admin», то проверяется реферер. Если это _GET (то есть в виде url), и реферер не совпадает с адресом вашего сайта, то выполнение скрипта останавливается и выводится сообщение с ссылкой, по которой можно подтвердить действие.
В другом случае, если же данные передаются в скрытом виде (_POST) и реферер не совпадает с вашим сайтом, то выполнение скрипта прекращается.
Установка плагина очень проста и не займет много времени: копируем содержимое архива в каталог plugins и активируем плагин в админ-панели. Однако, если у вас в браузере отключена передача referer — в этом случае все ваши действия WordPress будет воспринимать как XSS-атаку. Если из-за этого вы не можете получить доступ к админ-панели, то удалите файл плагина. WordPress автоматом его деактивирует.
Пн | Вт | Ср | Чт | Пт | Сб | Вс |
---|---|---|---|---|---|---|
1 | 2 | 3 | 4 | 5 | 6 | 7 |
8 | 9 | 10 | 11 | 12 | 13 | 14 |
15 | 16 | 17 | 18 | 19 | 20 | 21 |
22 | 23 | 24 | 25 | 26 | 27 | 28 |
29 | 30 | 31 |