Пятница, 13 ноября, 2009 года

Береженого бог бережет




 

Обновляемся до WordPress 2.8.6

Обновляемся до WordPress 2.8.6


Вчера ночью набрел на статьи про атаки на WordPress старых версий и решил пора обновляться. Почитал, что последняя версия на сегодня 2.8.6
Цитата:
Версия 2.8.6 исправляет две проблемы с безопасностью, воспользоваться которыми могли зарегистрированные и авторизованные пользователи с правами публикации. Если на вашем блоге есть посторонние авторы, рекомендуем выполнить обновление до 2.8.6.
Первая проблема — XSS-уязвимость в закладке «Опубликовать» (Press This), о которой сообщил Benjamin Flesch. Вторую обнаружил Dawid Golunski — при обработке имён загружаемых файлов имел место недочёт, которым можно было воспользоваться на некоторых конфигурациях Apache.

Полез в сеть читать статьи по правильному безболезненному обновлению. Есть два варианта обновления «Автоматическое» и «Ручное». Автоматике я никогда не доверял – не наш метод. Поэтому делал все вручную.
Скачиваем WP 2.8.6, скажем здесь, распаковываем и находим в папке файл wp-config-sample.php который переименовываем в wp-config.php. В новый wp-config.php вносим свои данные из старого wp-config.php. Возможно и старый wp-config идентичен новому и можно просто его не перезаписывать, не изучал, поздно было, ночь, спать хотелось. Делаем бэкап базы мускула, на всякий и заливаем все файлы поверх старых на сервер. Заходим в админку, там, что-то про обновление базы данных, жмем Ок, перелогиниваемся и Вуаля – все готово.
Осталось проверить плагины на совместимость, в моем случае все подошли. Собственно на этом обновление и закончено 🙂

Пока искал про обновления до 2.8.6 попутно нашел инфу как снять тормоза с WordPress руками и через плагин. Все очень просто, улучшаем производительность движка в ущерб некоторой сомнительной функциональности. Открываем файл wp-includes/update.php и комменитруем значком # указанные ниже строки или ставим плагин, что гораздо удобнее. Отключил его — посмотрел какие плагины требуют обновления. Обновился — опять активировал плагин.
Пример:

#add_action( 'wp_version_check', 'wp_version_check' );
#add_action( 'load-plugins.php', 'wp_update_plugins' );
#add_action( 'admin_init', '_maybe_update_plugins' );
#add_action( 'wp_update_plugins', 'wp_update_plugins' );
#add_action( 'admin_init', '_maybe_update_themes' );
#add_action( 'wp_update_themes', 'wp_update_themes' );

Я использовал плагин, субъективно, блог стал грузиться быстрее.
Сделал еще маленький тюннинг мета-тегов в шаблоне темы. WordPress выводит некоторые мета -теги через запрос к базе данных, что замедляет работу всей CMS. Находим строчку выводящую кодировку, файл header.php лежит в папке шаблона который вы используете

<meta http-equiv="Content-Type" content="<?php bloginfo('html_type'); ?>; charset=<?php bloginfo('charset'); ?>" />

и меняем на эту строчку:

<meta http-equiv="Content-Type" content="text/html; charset=UTF-8" />

Если есть строка:

<meta name="generator" content="WordPress <?php bloginfo('version'); ?>" />

Сносим ее, она отображает название и версию движка.
Далее ищем строку:

<link rel="stylesheet" href="<?php bloginfo('stylesheet_url'); ?>" type="text/css" media="screen" />

Это адрес стилей .css, скорее всего у вас путь выглядит так:

<link rel="stylesheet" href="http://ваш домен.ru/wp-content/theme/название вашей темы/style.css" type="text/css" media="screen" />

Это конечно сильно не ускорит работу WP, но зачем лишнии запросы к базе.

Если вас все же взломали читаем инфу от Дмитрия Донченко по поиску нарушителей,
Цитата:

В WordPress найдена новая уязвимость, которая ломает структуру ссылок ЧПУ и дает доступ к администрированию WordPress блога. Рекомендуется обновить ваши WordPress блоги, до последней версии 2.8.6 и внимательно следить за обновлениями, в скором времени должны выпустить исправление безопасности которое устраняет эту уязвимость.

А пока рекомендуется сделать следующее:
1. Проверьте настройки ЧПУ вашего блога, нет ли там лишних символов?
2. Зайдите в раздел «Пользователи» и посмотрите на количество пользователей со статусом Администратор. Уязвимость позволяет создать пользователя с правами администратора невидимого в списке пользователей
3. Обновите блог до последней версии
Если вы подозреваете что ваш WP блог был атакован и взломан, этот способ поможет вам найти посторонних пользователей с правами администратора, которые могли быть созданы в результате атаки на ваш блог. Для выполнения этого действия, вам необходим доступ к базе MySQL вашего блога. Это может быть сделано через панель управления хостингом, с помощью инструмента phpMyAdmin либо с помощью WP-DBManager. Запрос который необходимо выполнить к базе данных блога выглядит вот так:

SELECT u.ID, u.user_login
FROM wp_users u, wp_usermeta um
WHERE u.ID = um.user_id
AND um.meta_key = 'wp_capabilities'
AND um.meta_value LIKE '%administrator%';

Этот запрос покажет всех пользователей блога, которые имеют права администратора. Если Вы найдете там кого-то кроме себя, наверняка у вас возникнет желание удалить этого пользователя, с помощью phpMyAdmin это сделать очень легко, просто удалите строчку с лишним пользователем и все.

Удачного обновления 🙂

 
 

Оставьте комментарий!

Записи в RSS и Комментарии в RSS.