Webdesign &
การสร้างเว็บไซต์
รายการตรวจสอบ

    • บล็อก
    • info@onmascout.de
    • +49 8231 9595990
    whatsapp
    สไกป์

    บล็อก

    Easy WP SMTP Plug-In ความรับผิดชอบของ WordPress

    หน้าแรก-การออกแบบ ใน Nürnberg

    ปลั๊กอิน WordPress ยอดนิยมที่เรียกว่า “Easy WP SMTP Plugin” ด้วยการติดตั้งที่มีประสิทธิภาพมากกว่าแสนครั้งเพิ่งค้นพบว่ามีความเสี่ยง, ที่อนุญาตให้ผู้โจมตีเข้าควบคุมไซต์. บั๊กในปลั๊กอิน WordPress นี้ทำให้ไซเบอร์พังค์ได้, จับคู่รหัสผ่านของผู้ดูแลระบบอีกครั้งและรับการอนุญาตเต็มรูปแบบของเว็บไซต์.

    ช่องโหว่ WP SMTP แบบง่าย

    ช่องโหว่ที่ระบุอยู่ในไฟล์บันทึกการดีบัก, ซึ่งมีความเสี่ยงเนื่องจากข้อบกพร่องพื้นฐานอย่างมากในวิธีที่ปลั๊กอินจัดการโฟลเดอร์. โฟลเดอร์ปลั๊กอินบนเซิร์ฟเวอร์พร้อมไฟล์, เก็บไว้โดยผู้ใช้, ซึ่งมักจะมีไฟล์ index.html ว่างเปล่า. จุดประสงค์ของไฟล์นี้คือการทำสิ่งนี้, เพื่อป้องกันใครบางคน, ไปที่โฟลเดอร์นั้นและดูรายการไฟล์ในไดเร็กทอรีนั้น.

    หากใครดูรายการไฟล์นี้อยู่, เขาอาจกำลังเข้าถึงไฟล์เหล่านี้, ปัญหาคืออะไร.

    แฟ้ม, ไฟล์บันทึกการดีบักนี้อยู่ที่ไหน, ไม่มีไฟล์ index.html. บนเซิร์ฟเวอร์, โดยที่รายการดัชนีไดเรกทอรีไม่ถูกปิดใช้งาน, โดยค่าเริ่มต้น คนชั่วร้ายสามารถเข้าถึงไฟล์นี้ได้.

    ก่อนอื่นพวกเขาจะได้รับชื่อผู้ใช้ระดับผู้ดูแลระบบจากไซต์ WordPress. พวกเขาลอง, แฮ็คโดยใช้วิธีการที่รู้จัก.

    จากนั้นไปที่หน้าเข้าสู่ระบบ WordPress และส่งคำขอเพื่อรีเซ็ตรหัสผ่านบัญชีผู้ดูแลระบบ.

    พวกเขายังเข้าถึงไฟล์บันทึกการดีบักและกู้คืนลิงก์รีเซ็ตรหัสผ่าน, ส่งโดยเว็บไซต์ WordPress. เมื่อคุณเข้าถึงลิงค์นี้, ใส่มัน, รีเซ็ตรหัสผ่านแล้วเพลิดเพลินไปกับการเข้าถึงเว็บไซต์ได้อย่างเต็มที่.

    ปัญหาโฟลเดอร์ที่บันทึกไว้ในบันทึกการเปลี่ยนแปลง

    ปลั๊กอินช่องโหว่นี้เก็บบันทึกการเปลี่ยนแปลง, ที่บันทึกการเปลี่ยนแปลงทั้งหมดในการอัพเดทแต่ละครั้ง. ต้องอ่านบันทึกการเปลี่ยนแปลง, เพื่อให้ผู้ใช้รับรู้, มีการปรับปรุงอะไรบ้าง.

    เมื่อพบจุดอ่อน, คือสิ่งที่นักพัฒนาปลั๊กอินมักจะพบ, ว่าช่องโหว่จะถูกแก้ไข. ข้อมูลนี้จะช่วยให้นักพัฒนาเวิร์ดเพรสได้รับข้อมูล, ที่เขาต้องการ, เพื่อประกอบการตัดสินใจ. บันทึกการเปลี่ยนแปลง, แจ้งสำนักพิมพ์ให้ทราบ, ว่าการอัปเดตทำให้เกิดช่องโหว่ด้านความปลอดภัย, อนุญาตให้ผู้จัดพิมพ์, ตัดสินใจอย่างชาญฉลาดเกี่ยวกับการอัพเดตปลั๊กอิน, เพื่อหลีกเลี่ยงการโจมตีของแฮ็กเกอร์.

    ขอแนะนำอย่างยิ่ง, ที่ผู้ใช้ Easy WP SMTP Plugin ทั้งหมดอัปเกรดเป็นเวอร์ชันที่สูงกว่าเวอร์ชัน 1.4.2 ที่จะปรับปรุง.

    วิดีโอของเรา
    ข้อมูลติดต่อ