Teme: WordPress

Sigurnosni rizik u novom WordPress-u?

Skraćena veza: http://pedja.supurovic.net/veza/8326

alert-mDa li ste svoj WordPress izmenili tako da putanja do admin sekcije nije ona uobičajena u nastojanju da predupredite pokušaje hakovanja? Jeste da to nije neki naročito efikasan način zaštite ali sigurno smanjuje rizik, odbijajući raznu skript dečurliju.

Ukoliko jeste primenili ovaj metod, pogledajte <link rel=“wlwmanifest“ … /> u zaglavlju svog bloga i otvorite link na koji taj tag pokazuje.

Videcete da je tačna adresa najbitnijih administrativnih opcija uvek javno dostupna svakome ma koliko je vi menjali.

Ovo je stiglo sa novom verzijom WordPress-a. Ugrađeno je u kod bloga i ne postoji opcija da isključite prikaz te inforamcije. Dakle, adrese vaših administrativnih opcija su uvek izložene javnosti.

Ovaj podatak je prikazan za potrebe nekog Windows Live Writer (nikad čuo do sada za taj program) koji omogućava neukim blogerima da pišu blogove na računaru umesto na samom blogu.

Pored ovog taga u zaglavlju se pojavljuje i tag <link rel=“EditURI /> koji je takođe potreban navedenom programu.

Ne sviđa mi se što je proizvođač WordPress-a počeo da gubi osećaj šta valja a šta ne valja. Nemam ništa protiv da neko koristi program Windows Live Writer i da WordPress ima podršku za taj rpogram, ali mi se ne sviđa što je ta opcija uključena i što korisnici nisu obavešteni, s obzirom da otkriva relativno važne interne podatke o blogu i izlaže ga napadima.

Ovakve mogućnosti, ako već postoje, ne treba da budu podrazumevano uključene i obavezno moraju imati mogućnost izbora za blogera, da li želi da to bude uključeno ili ne.

Rešenje

S obzirom da ne postoje opcije da se ovi podaci uklone u samoj konfiguraciji bloga, moraćete da se prihvatite kodiranja.

Bolji način je da napravite jednostavan dodatak, na primer ovakav:

<?php
/*
Plugin Name: Windows Live Writer Disabler
*/

remove_action('wp_head', 'wlwmanifest_link');
remove_action('wp_head', 'rsd_link');
?>

Stavite ga u direktorijum za dodatke i uključite ga u administraciji bloga.


Podelite ovaj članak sa prijateljima


Leave a Reply

 

 

 

You can use these HTML tags

<a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong>

Popunite izraz tako da bude tačan: *