Теме: WordPress

Сигурносни ризик у новом WordPress-у?

Скраћена веза: http://pedja.supurovic.net/veza/8326

alert-mДа ли сте свој WordPress изменили тако да путања до админ секције није она уобичајена у настојању да предупредите покушаје хаковања? Јесте да то није неки нарочито ефикасан начин заштите али сигурно смањује ризик, одбијајући разну скрипт дечурлију.

Уколико јесте применили овај метод, погледајте <link rel=“wlwmanifest“ … /> у заглављу свог блога и отворите линк на који тај таг показује.

Видецете да је тачна адреса најбитнијих административних опција увек јавно доступна свакоме ма колико је ви мењали.

Ово је стигло са новом верзијом WordPress-а. Уграђено је у код блога и не постоји опција да искључите приказ те инфорамције. Дакле, адресе ваших административних опција су увек изложене јавности.

Овај податак је приказан за потребе неког Windows Live Writer (никад чуо до сада за тај програм) који омогућава неуким блогерима да пишу блогове на рачунару уместо на самом блогу.

Поред овог тага у заглављу се појављује и таг <link rel=“EditURI /> који је такође потребан наведеном програму.

Не свиђа ми се што је произвођач WordPress-a почео да губи осећај шта ваља а шта не ваља. Немам ништа против да неко користи програм Windows Live Writer и да WordPress има подршку за тај рпограм, али ми се не свиђа што је та опција укључена и што корисници нису обавештени, с обзиром да открива релативно важне интерне податке о блогу и излаже га нападима.

Овакве могућности, ако већ постоје, не треба да буду подразумевано укључене и обавезно морају имати могућност избора за блогера, да ли жели да то буде укључено или не.

Решење

С обзиром да не постоје опције да се ови подаци уклоне у самој конфигурацији блога, мораћете да се прихватите кодирања.

Бољи начин је да направите једноставан додатак, на пример овакав:

<?php
/*
Plugin Name: Windows Live Writer Disabler
*/

remove_action('wp_head', 'wlwmanifest_link');
remove_action('wp_head', 'rsd_link');
?>

Ставите га у директоријум за додатке и укључите га у администрацији блога.


Поделите овај чланак са пријатељима


Leave a Reply

 

 

 

You can use these HTML tags

<a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong>

Попуните израз тако да буде тачан: *