A few months ago I explored 1000 of the most visited Czech websites and tried to detect if they use WordPress. If so, I was interested in which WP version they ran on. However there were only a few dozen sites running on WP. This research showed only a small preview of the Czech WordPress scene. I decided to do much more complex research and explore almost all active Czech Wordpress sites. I used our internal website index and wrote a crawler which searched other connected sites. In a month I revealed more than 65 thousand Czech WordPress sites.
Před několika měsíci jsem prozkoumal 1000 nejnavštěvovanějších českých webů a sledoval jsem, zda používají WordPress a v jaké verzi. WP webů bylo však ve výsledku pouze několik desítek, což stačilo pouze na letmý obrázek toho, jak česká scéna vypadá. Rozhodl jsem se tedy prozkoumat téměř všechny aktivní české WordPress weby. Použil jsem náš interní firemní index stránek a robota, který dále aktivně hledal další. Během měsíce jsem tak nasbíral přes 65 tisíc českých WordPress webů.
Redakční systém Wordpress je vzhledem ke své rozšířenosti častým cílem nejrůznějších útoků, což mu nedělá příliš dobrou pověst. V naprosté většině případů však není problém na straně samotného WP, ale na straně různých rozšíření třetích stran. Úvodní díl seriálu je především teoretický a jeho motto zní "Poznej svého útočníka".
Objevila se zajímavá bezpečnostní chyba v pluginu WP Slimstat, který je dle statistik na Wordpress.org velmi oblímeným pluginem pro statistiky. Chyba umožňuje provést blind SQL injection.
Včera vyšla nová opravená verze pluginu WordPress Video Gallery . Verze 2.7 obsahovala SQL injection díky špatně ošetřenému vstupu. Tento plugin má více než 100 000 stažení.
Technický popis další straší zranitelnosti. Tentokrát se jedná o oblíbený plugin Mail Poet (wysija-newsletters). Tato chyba, díky které mohl útočník na web nahrát libovolný soubor, v červenci 2014 postihla desítky tisíc webů.
Analýza zranitelnosti typu LFI (local file include) ve velmi populárním pluginu Slider Revolution od ThemePunch. Přestože je chyba již rok opravená, stále nalezneme velmi mnoho webů, které jí trpí.
Byla zveřejněna zranitelnost typu persistentního XSS ve velmi rozšířeném pluginu Fancybox for WordPress verze 3.0.2. Pokud tento plugin používáte, zkontrolujte si zda používáte aktuální verzi!
V podnikových sítích bývá často nežádoucí, aby uživatelé síť rozšiřovali připojením vlastních routerů, často určených pro domácí použití, nebo vytvářením Wi-Fi hotspotů pro svá mobilní zařízení. Mohou tak nejen snižovat bezpečnost sítě, ale i narušit stabilitu sítě. V článku se podíváme na nástroj NATDet, který slouží k detekci NAT.
Výzkum 1000 nejnavštěvovanějších webů pro nadcházející přednášku o bezpečnosti WordPressu. Jak je WordPress zastoupen? Starají se správci o jeho aktualizaci?
Odpovědi v článku a infografice.
