Комментарии: Неприятный баг в WordPress

Автор: StewardTZ

StewardTZ — Wed, 12 Aug 2009 10:32:17 +0000

Ну я как всегда буду ждать Lecactus-а
Да и эту уязвимость в своём блоге я закрыл – напрямую в коде

Автор: -bsv-

-bsv- — Wed, 12 Aug 2009 10:04:22 +0000

Спасибо!

Но, как уже сказали выше, уже вышло обновление. К тому же, только и русская версия уже появилась. Так что – можно обновляться

Автор: StewardTZ

StewardTZ — Wed, 12 Aug 2009 06:09:41 +0000

2 Жилинский – ну вообщем я конечно согласен )))

2 boris – уже вышло обновление от команды WordPress – версия 2.8.4

Автор: boris

boris — Wed, 12 Aug 2009 06:06:07 +0000

будет неприятно если пароль будут сбрасывать каждые пять минут

Автор: Жилинский

Жилинский — Wed, 12 Aug 2009 06:01:45 +0000

У 80% пользователей в качестве пароля установлена одна из 20 наиболее популярных комбинаций (см. мою заметку про взлом аккаунтов), так что смена пароля на автогенерируемый по сути лишь усложнит задачу брутфорса.

admin update:
я удалил rel=»nofollow» – хорошие ссылки должны фоловится – не стесьняйся

Автор: StewardTZ

StewardTZ — Wed, 12 Aug 2009 05:59:20 +0000

А то что пароль всего 12 символов.. и только буквы и некоторые служебные символы (типа & # $) – такой пароль можно подобрать брутфорсом (перебором по словарю) быстрее чем админский пароль, созданный человеком.

Хотя конечно у многих я думаю пароль проще чем сгенерированный самим WordPress-ом

Я бы не сказал что уязвимость не критическая.. ведь на WordPress работают не только блоги…

Автор: Жилинский

Жилинский — Wed, 12 Aug 2009 04:57:50 +0000

Забавно, но уязвимость не критическая – ну сбросят пароль админу, ну придёт ему письмо – и что? Профита нет, фишка бесполезна.