WordPress 2.4のセキュリティ強化
エンジン自体はまだ30%の準備が整っていますが、安全なCookieの使用や保存されたパスワードの新しい暗号化アルゴリズムなど、楽しいイノベーションが既に発表されています。
この.pdf (英語では116Kb)で安全なCookieプロトコルについて読むことができます。要するに、新しいCookieは次のようになります。
ユーザー名|有効期限| HMAC (ユーザー名|有効期限|キー)
さらに、キー= HMAC(ユーザー名|有効期限|秘密キー)、なんと!
新しいプロトコルは、サーバー側での有効期限の制御、すべてのCookieの一括検証、プライバシーの向上などの機能を実装しています。
ここで 、 phpassを使用してパスワードをハッシュします。これにより、通常のmd5ハッシュにソルトを追加する機能が追加されます( 「ソルト」は特定の文字セットです。通常、これらは両方ともパスワード自体またはパスワードの合計 )、短いパスワードを伸ばします。 これにより、ハッシュをソートすることで、ハッキングの複雑さが大幅に増加します。
また、phpassはDrupalとphpBBでも使用されることを忘れないでください。これは、各ユーザーがサイト内で同じ登録データを使用する可能性があることを意味します。
原則として、Cookieと暗号化phpass'omを担当するコードは、既にダウンロードして試すことができます。アクティブなブログではこれをしないでください。 ユーザーテーブルは絶望的に破損します。バックアップをまだ行っていない場合は...
WordPress 2.3.xのいくつかのアクティブな穴
1.特定のアクションを実行するときに、管理者を含む他のユーザーが作成した下書きにアクセスする可能性があります。 したがって、機密情報をドラフトに保存しないようにしてください。 これまでのところ、この穴は2.3.1にあり、ほとんどすべての以前のバージョンにあります。 アップデートによるバグ修正を待っています。
2. Wp-ContactFormプラグインの穴。これにより、攻撃者はHTMLコードを挿入し、転送されたデータを受信できます。 修正バグはありませんが、プラグイン自体は古いので、特にSonicからロシア語版をダウンロードできるため、 Cforms IIに変更することをお勧めします。
3. Seo Eggheadの男性によって脆弱性が発見されました 。 それは、古い投稿にリンクを埋め込む機能にあります。さらに、通常はそうであるように見えますが、ここではPRが自然に減少します。 2.1から2.3.1までのすべてのバージョンは、このような「ハッキング」の対象です。
卵頭の男は、mp3、ダウンロード、adshelper、softicana、casino、viagraなどのような単語をブログで検索することをお勧めします(通常はスパムとは言いません))
パーマリンクを正しく更新する
2.3.1に切り替えた後、一部のユーザーは厄介なバグ、またはエラーを受け取りました。
「警告:/home/wallis3/public_html/wordpress/wp-includes/classes.php行92のforeach()に無効な引数が指定されました」
これは非常に単純に処理されますが、同時に明らかではありません。まず、デフォルトでインストールされているパーマリンクにリセットする必要があります(設定>パーマリンク>デフォルト>「リンクテンプレートの更新」)。消えなければなりません。
WordPress.comブログコードマークアップ
WordPress.com (無料のWordPressブログプラットフォームと混同しないでください)は、BlogSpot / Bloggerまたはがより頻繁に使用されますが、そうではないため、このメモの有用性は疑わしいでしょう。
WordPress.comでブログを作成している場合、ソースコードの美しいマークアップのために、組み込みの実装があります。 このように動作します
[ソースコード言語= '言語']
回線コード1
...
行コードn
[/ソースコード]
ここで、言語はcpp、csharp、css、delphi、java、jscript、php、python、ruby、sql、vb、xmlです。
基礎は、 SyntaxHighlighter 、私たちの同胞(私が理解しているように)アレックス・ゴルバチョフです。
トラックバックを見つけてください
WordPressマークアップタグには、トラックバックアドレスを決定するために、一部のプログラムや検索ボットで使用される、ユーザーには表示されないコードを埋め込むtrackback_rdfなどの奇跡があります。 タグ自体はループの内側に配置し、読者の目に留まらないようにhtmlコメントで非表示にする必要があります。 次のようになります。
<!-
<?php trackback_rdf(); ?>
->
さて、今日は以上です。 じゃあね そして、あなた自身とあなたのブログの世話をしてください。
-オリジナル記事「しかし、男性はそれを知らない:Wordpress 2.4での保護、2.3での穴と更新、構文の強調表示」