Intereting Posts

Является ли WordPress уязвимым для «комментариев подписи»?

Недавно я просмотрел свой сайт WordPress с помощью службы сканирования безопасности 6scan . Он сообщил о высокой степени уязвимости: «Wordpress comment posting подлог».

Технические данные от 6scan:

  • В отчете 6scan говорится: «Уязвимость CSRF позволяет злоумышленникам создавать поддельные сообщения». Он говорит, что затронутый URL-адрес – /wp-comments-post.php.

  • Когда я нажимаю ссылку на ссылку 6scan для получения более подробной информации, она направляет меня на эту страницу , которая является общей страницей, которая относится к уязвимостям с нулевым днем ​​(например, уязвимости, раскрытые в команде WordPress, но не общеизвестные). Однако эта страница не обновлялась с 17 июля 2012 года (почти год назад), и она не имеет конкретного упоминания об этой уязвимости CSRF.

  • В отчете 6scan также предлагается способ исправления проблемы вручную: предлагается вручную отредактировать wp-comments-post.php, чтобы добавить код, который в основном проверяет, чтобы $_SERVER[ "HTTP_REFERER" ] соответствовал $_SERVER[ "HTTP_HOST" ] .

Я запускаю WordPress 3.5.1 (в настоящее время самая последняя версия). Является ли WordPress действительно уязвимым для уязвимости с комментариями? Или это фиктивный отчет 6scan?

Я знаю, что в старых версиях WordPress есть некоторые уязвимости CSRF, но я считаю, что они были исправлены. Лично я считаю, что требование об уязвимости довольно сомнительное – но я думал, что буду проверять с другими.

Это ложная тревога. Многие «Программы безопасности» делают это. Это называется FUD .

WordPress не проверяет заголовок Referer , потому что он часто пуст, и настоящие спамеры в любом случае отправляют URL-адрес сайта как Referer .

Но все поля комментариев дезинфицированы, поэтому вредоносный код не будет введен. Установите плагин для защиты от спама, и все в порядке. Этот отчет явно подделка.

Вы всегда должны активировать Akismet. Он поймает 99,99% спама.