1
この脆弱性は、hereと記載されています。パッチはおそらくa 1-line replaceとなりました。hereのブランチライン/2.8/wp-login.php - the new patch should look this (check line 118)にあります。私の質問は - このパッチは十分ですか?そうでない場合は、提案はありますか?Wordpressリモート管理者パスワードリセットの脆弱性のためのパッチ
A
答えて
2
私が理解しているように、パッチはその特定の穴を閉じます。しかし、私が管理しているすべてのWPサイトでやるべきもう一つの基本的なセキュリティ対策は、「admin」ユーザーを削除することです。ユーザーのユーザー名を表示名と同じにするのは理想的ではありません。悪意のある人はユーザー名を推測するだけでなく、パスワードをハックする方法を見つけなければならないという点でセキュリティが2倍になります。
WordPress +セキュリティで検索することで見つかるセキュリティ対策がたくさんありますが、私はユーザー名の変更、インストール時のdbテーブル名の変更、基本的なアクセス許可の変更に悩まされています。 WPアップグレード中に必要な追加の保守を必要とせずに、これまでのところうまくいきました。
0
はい、これはWordpressの脆弱性に対する非常に良いパッチです。
if (empty($key) || is_array($key))
return new WP_Error('invalid_key', __('Invalid key'));
これはSQLインジェクションではありません。ユーザーの全テーブルをダンプすることができた場合です。あなたの名前を変更することは、非常に良いセキュリティ対策ではありません。あなたのコードを最新の状態に保つことは、常にやるべきことです。そうしないと、ハッキングされます。
関連する問題
- 1. Wordpressの脆弱性を理解する
- 2. Wordpressの脆弱性の問題
- 3. 春のセキュリティ認証管理の脆弱性
- 4. Mitigaing OSのインジェクション攻撃の脆弱性ASP.NETの脆弱性
- 5. インクルードファイルの脆弱性
- 6. ActiveXの脆弱性
- 7. Libpngの脆弱性
- 8. ネクサスセキュリティの脆弱性
- 9. クリックジャッキングの脆弱性
- 10. Javaのコマンドインジェクションの脆弱性
- 11. MoPubのセキュリティの脆弱性
- 12. Libpngの脆弱性問題
- 13. XSS HTMLリンクタグの脆弱性
- 14. ASP.NET MVCの脆弱性テスト
- 15. SQLインジェクションの脆弱性
- 16. Facebookトークンハイジャックの脆弱性
- 17. TOCTTOUコードの脆弱性
- 18. .swf魔法の脆弱性
- 19. asp.netハッシュテーブルの脆弱性
- 20. IBM AppDOS.ConnectionCloseの脆弱性
- 21. Rails SQLインジェクションの脆弱性
- 22. XSS PHPスクリプトの脆弱性
- 23. Strcmpr関数の脆弱性
- 24. 脆弱性/バグ修正のための依存関係の長いチェーンの管理
- 25. Night Owl DVR-HDA10PB-162_RS管理者パスワードリセット
- 26. Wordpressマルチサイト管理者のロックアウト
- 27. パス操作(セキュリティ脆弱性)
- 28. C#winformアプリケーションセキュリティ脆弱性テストツール
- 29. SoftLayer脆弱性スキャンPython
- 30. のOpenID認証の脆弱性
2.8.3セキュリティパッチの他の記事を見て、私の答えはあなたが本当に求めているものの低レベル/広すぎるかもしれないことに気づいた - 申し訳ありません! 2.8.4へのアップグレードでは不十分な理由は分かりません。または何らかの理由でそれを避けようとしていますか? – Michelle
@McGirlアップグレードするのは簡単ではありませんが、他のプログラマーがこの問題をどのように見ているか興味があります – pageman