Mozilla изцяло преминава към защитения HTTPS-протокол

Компанията Mozilla, създател на популярния браузър Firefox, постепенно ще се откаже от поддръжката на HTTP-протокола и изцяло ще премине към използването на зашифрования HTTPS-протокол. Рова решение бе взето след бурно онлайн-обсъждане.

Ерата на цялостен преход към шифровани връзки ще започне на два етапа. Първоначално ще бъде избрана датата, с настъпването на която всички нови функции на браузъра ще работят само с HTTPS. След това ще започне изключването поддръжката на HTTP-протокола за традиционните функционалности на браузъра. Кои функции ще се считат за нови ще бъде решавано след открито обсъждане.

Новият план не изключва цялостното използване на HTTP, но старите линкове ще се преобразуват в HTTPS чрез HSTS и атрибута upgrade-insecure-requests – средствата, които използва сървъра за преадресиране на всички запитвания към защитени канали. Mozilla призовава всички програмисти активно да се включат към подобряване на безопасността в Глобалната мрежа и възнамерява да представи своите препоръки на консорциума W3C.

За нормалната поддръжка на HTTPS, всеки собственик на уеб-сайт трябва да има съответния сертификат от доверена компания. Mozilla знае, че тези сертификати не са безплатни и се продават, но и сега могат да бъдат взети безплатни сертификати от  StartSSL и WoSign. В средата на 2015 година Mozilla ще стартира проекта Let’s Encrypt, от който ще е възможно получаването на безплатни сертификати в автоматичен режим.

Print Friendly
Categories: Новости

Пробив на WordPress чрез много дълъг коментар

Около 20 процента от всички уеб-сайтове в Интернет са базирани на софтуерната платформа WordPress и дори и най-малката уязвимост в CMS или плъгините за нея привличат вниманието на потребители и специалисти. Финландският компютърен експерт Йоуко Пинонен (Jouko Pynnönen) от компанията Klikki Oy разкри страхотен мега-бъг и показа техническите детайли в края на миналата седмица.

WordPress
WordPress

Това е критична уязвимост тип „нулев ден“, която засяга интегрираната в WordPress система за коментари, която и днес широко се използва в много уеб-сайтове. Оказа се, че ако се публикува достатъчно дълъг коментар (над 64 000 символа) сработва бъг, който позволява изпълняването на външен за уеб-страницата програмен код.

WPress2

Ето един пример за подобен коментар:
<a title=’x onmouseover=alert(unescape(/hello%20world/.source)) style=position:absolute;left:0;top:0;width:5000px;height:5000px  AAAAAAAAAAAA…[64 kb]..AAA’></a>

Самият код, предизвикващ изписването на „hello world“ се намира в началото на коментара, който след това е запълнен с еднакви символи. Този код се изпълнява дори и на компютъра на системния администратор.

WPress3

Уязвимостта е актуална за WordPress 4.2 и по-ранни версии. Пачът за този бъг излезе в понеделник, 27-ми април.

Print Friendly
Categories: Новости

Появиха се резултатите от първите тестове на браузъра Spartan

Project Spartan, който навярно ще има друго име във финалната версия на ОС Windows 10, получи значителни подобрения. В новата предварителна версия на операционната система в браузъра са направени значителни подобрения – използваният енджин Edge работи значително по-бързо и според последната информация, появила се в уеб-пространството, вече изпреварва по бързина останалите браузъри в някои тестове.

Spartan
Spartan

В най-новата версия на Spartan е включена експерименталната поддръжка на популярната библиотека asm.js, което в комбинация с други подобрения в енджина, осигурява голямото бързодействие на този браузър.

В бенчмарка Octane 2.0, новият Spartan демонстрира около 32 000 точки, а най-различни анализатори коментират, че това е повече, отколкото 64-битовата версия 42 на браузъра Chrome, а нощните компилации на Firefox едва достигат 27 000 точки. Да не забравяме, все пак, че това е предварителна версия на браузъра, в която не е известно на какво ниво е сигурността. Но стъпката по отношение на бързодействието е сериозна, понеже Internet Explorer 11 в Windows 8.1 показва около 17 000 точки.

В HTML5 тестовете новият Spartan набира около 400 точки, Explorer 11 при този тест показва бал от едва 336 точки, а Google Chrome и досега е лидер с 535 точки в този тест.

Print Friendly
Categories: Новости

XSS уязвимост засяга множество WordPress плъгини

ICN.bg ви уведомява за множество WordPress плъгини, които са уязвими към Cross-site Scripting (XSS), поради неправилно използване на add_query_arg() и remove_query_arg() функции. Това са популярни функции, използвани от разработчици за модифициране и изпращане на заявки към базата данни през URL адреси в WordPress.

Официалната документация на WordPress (Codex) не даде достатъчно яснота по този въпрос и някои разработчици останаха подведени, че всичко е наред. Те допуснаха, че тези функции филтрират потребителските входни данни, а всъщност това не се случва. Вижте повече за уязвимостта и как да се предпазите.

Списък на засегнатите плъгини:

  • Jetpack
  • WordPress SEO
  • Google Analytics by Yoast
  • All In one SEO
  • Gravity Forms
  • Multiple Plugins from Easy Digital Downloads
  • UpdraftPlus
  • WP-E-Commerce
  • WPTouch
  • Download Monitor
  • Related Posts for WordPress
  • My Calendar
  • P3 Profiler
  • Give
  • Multiple iThemes products including Builder and Exchange
  • Broken-Link-Checker
  • Ninja Forms

Вероятно съществуват и много други освен изброените по-горе. Ако използвате WordPress, ние силно ви препоръчваме да отидете в своя wp-admin dashboard и още сега да ъпдейтнете всички по-стари плъгини.

Ако сте разработчик, проверете своя код, за да видите как използвате тези две функции:

add_query_arg

remove_query_arg

Препоръчваме ви да използвате esc_url() (or esc_url_raw()) функции за тях.

Време за ъпдейтване!

Ако използвате някои от тези плъгини уверете се, че сте ги ъпдейтнали. Ето и няколко трика, които ще намалят риска от заплахи и ще помогнат за подобряването на вашата сигурност:

 

1. Подобрявайте. Ъпдейтвайте своя сайт.

2. Ограничавайте. Ограничавайте контрола за достъп. Ограничете своята wp-admin директория само до бял списък с IP адреси. Давайте администраторски достъп само на потребители, които наистина се нуждаят от него. Не влизайте като администратор, ако няма да извършвате администраторска дейност.

3.Мониторинг. Преглеждайте вашите влизания. Това ще ви помогне да разберете какво се случва с вашия сайт.

4.Намалете своя обхват. Използвайте само тези плъгини или теми, от които вашият сайт наистина има нужда.

5.Следете. Съветваме ви да сканирате своя сайт за компрометирани или изтекли софтуери.

6.Защита. Ако имате IPS (Intrusion Prevention System) или WAF (Web Application Firewall), те могат да ви помогнат да избегнете най-често срещаните форми на XSS exploit. Може да изпробвате и нашия CloudProxy.  Други начини за предотвратяване на този проблем е open source route, OSSEC, Snort и ModSecurity.

Print Friendly
Categories: Новости

Уязвимост в WordPress SEO by Yoast – Вижте как да се предпазите

WordPress SEO by Yoast e един от най-използваните плъгини за SEO оптимизация на WordPress сайтове. Към момента се използва от над 1 милион уеб сайта. Вчера обаче WPScan Vulnerability обявиха, че в последната версия на плъгина 1.7.3.3 е открита уязвимост. Тя е от типа Blind SQL Injection и засяга admin, editor и author потребителите. Откритата уязвимост може да доведе до кражба на вашите данни за достъп и хакване на вашия уеб сайт. Вижте как да се предпазите!

Blind SQL Injection уязвимостта може да бъде открита в следния файл: ‘admin/class-bulk-editor-list-table.php’.

Line 529:

$orderby = ! empty( $_GET[‘orderby’] ) ? esc_sql( sanitize_text_field( $_GET[‘orderby’] ) ) : ‘post_title’;

Line 533:

$order = esc_sql( strtoupper( sanitize_text_field( $_GET[‘order’] ) ) );

Използвайки тази уязвимост хакерите могат да създадат за себе си админ потребител, с който да компрометират целия WordPress сайт. Нашият Friendly Geeks екип препоръчва да обновите възможно най-бързо плъгина към версия 1.7.4 , която Yoast побързаха да релийзнат, за да предпазят потребителите си. В новата версия уязвимостта е отстранена и са добавени допълнителни защити.

В случай, че използвате Jetpack, можете да ъпдейтнете бързо като посетите https://wordpress.com/plugins/wordpress-seo. Там ще видите конкретно в кои ваши сайтове е инсталиран плъгина и ще можете да извършите бърз ъпдейт.

Нашите системни администратори също са се погрижили за защитата на всички сървъри за споделен хостинг. Във Firewall-a на сървърите са заложени правила, които не позволяват изпълнението на този тип SQL Injection.

Print Friendly
Categories: Новости

300 земеделски производители започнаха да пестят пари и време

Categories: Новости

Инсталиране, конфигуриране и защита на WordPress

Екипът на Friendly Geeks (ICN.bg) всяка седмица ви представя полезни клипове спрямо най-често срещаните клиентски запитвания, които получаваме. Тази седмица сме избрали да ви покажем как се инсталира и конфигурира WordPress, както и как можете да защитите WordPress сайта си от хакерски атаки.

Можете да инсталирате WordPress по 2 начина. Първият и най-бърз начин е чрез софтуер за инсталация на приложения от типа на Fantastico или Softaculous. Другият начин е като свалите архив на WordPress, разархивирате го и качите файловете чрез FTP във вашия хостинг акаунт.

За да инсталирате WordPress чрез Softaculous е необходимо да влезете във вашия cPanel и от менюто Softaculous да изберете WordPress иконката.

След това кликвате на бутон „Install“. Там виждате всички необходими настройки за WordPress, които можете да конфигурирте както сметнете за най-удобно и удачно за целите на вашия проект. Задавате следните променливи:

  • директорията, където желаете да инсталирате WordPress
  • база данни
  • име на сайта
  • администраторски данни за достъп
  • език на който WordPress да бъде инсталиран

Кликвате на бутона Install и вашия WordPress е успешно инсталиран. Това е най-лесния и най-бърз начин да инсталирате WordPress през вашия хостинг акаунт.

Другият начин да се инсталира WordPress отнема повече време и е необходимо да изтеглите файловете на WordPress системата. Файловете можете да изтеглите от: http://bg.wordpress.org

След като изтеглите файловете ги разархивирате на избрано от вас място и ги качвате във вашия хостинг акаунт посредством FTP. След като файловете са качени, трябва да създадете база данни, както и потребител към базата данни, който има необходимите права.

От вашия cPanel в меню MySQL бази данни създавате нова база данни, както и MySQL потребител. След като сте създали база данни и потребител добавяте потребителя към съответната база данни с пълни права. Отивате в папката, където сте качили файловете на WordPress системата и намирате: wp-config-sample.php

Преименувате файла на wp-config.php и го отваряте с текстови редактор.

Там на посочените по-долу места залагате MySQL база данни, потребителско име и парола:

define(‘DB_NAME’, ‘базаданни’);     // Име на базата от данни

define(‘DB_USER’, ‘потребител’);     // Вашето потребителско име за MySQL сървъра

define(‘DB_PASSWORD’, ‘парола’); // Парола за базата данни

След като сте конфигурирали wp-config.php файла, отваряте през browser директорията, където сте конфигурирали WordPress и виждате инсталационната страница. От там конфигурирате сайта си, задавайки му заглавие, администраторски данни за достъп и имейл адрес на администратора. Кликвате на бутона „Инсталиране на WordPress “ и WordPress е успешно инсталиран.

За да предпазите вашия WordPress администраторски панел от brute force атаки препоръчваме да създадете .htaccess файл в wp-admin папката, където залагате следния код:

deny from all

allow from ……. (IP адреса, от който ще достъпвате вашия панел)

Можете да видите своя IP адрес, чрез следния сайт: http://whatismyip.com

Например, ако IP адреса ви е 127.0.0.1 залагате следния код:

deny from all

allow from 127.0.0.1

Препоръчваме ви да преименувате папката wp-admin с друго нестандартно име, известно само за вас. По този начин ще намалите шанса за brute force към папката wp-admin.

WordPress е безплатна система, която може да се използва за създаване на личен или корпоративен блог или уебсайт.  За съжаление обаче, тя бива често  компроментирана. Съветваме ви да следите WordPress за ъпдейти и да поддържате своето приложение обновено до последната версия. Също така ви съветваме да ограничите използването на модули, плъгини и други темплейти до минимум, тъй като често те са в основата на хакерските атаки. Ако вече използвате такива, старайте се да ги обновявате до тяхната последна версия. Също така не оставяйте излишни файлове в директорията на вашия WordPress.

Старайте се да полагате необходимите грижи за сайта, който сте създали и по този начин ще се радвате на него дълго време! Повече за brute force атаките можете да научите в нашата статия на тема Brute force атаки засегнали WordPress.

Print Friendly
Categories: Новости