此漏洞的存檔記錄爲here。這個補丁據說爲a 1-line replace,如here在分支/ 2.8/wp-login.php的第190行 - the new patch should look this (check line 118) - 我的問題是 - 這個補丁是否足夠?如果沒有,有什麼建議嗎?針對Wordpress遠程管理員重置密碼漏洞的修補程序
1
A
回答
2
據我所知,貼片封閉了那個特定的孔。但是,我管理的每個WP網站的另一個基本安全措施是刪除「admin」用戶,理想情況下永遠不會有任何用戶的用戶名與他們的顯示名稱相同。這使得安全性倍增,因爲壞人必須猜測用戶名,並找出破解密碼的方法。
有很多額外的安全措施,你可以通過做WordPress的+安全搜索找到,但我都堅持不斷變化的用戶名,在安裝改變數據庫表名和基本權限的東西。到目前爲止,這種方法運行良好,WP升級過程中沒有必要進行額外的維護,這是一些更爲強化的安全措施所要求的。
0
是的,這是一個很好的Wordpress漏洞補丁。
if (empty($key) || is_array($key))
return new WP_Error('invalid_key', __('Invalid key'));
這不是SQL注入,如果它是那麼你可以轉儲整個用戶的表。改變你的名字並不是一個很好的安全措施。讓代碼保持最新是您必須始終執行的操作,否則將被黑客入侵。
相關問題
- 1. Wix - 安裝無管理員權限的修補程序
- 2. PHP:管理url $ _GET修補程序
- 3. 針對修補程序和修補程序等發佈分支的Git rebase
- 4. 重置Oracle Apex管理員密碼
- 5. XAMPP管理員密碼重置
- 6. 如何重置Django管理員密碼?
- 7. MSI修補程序未針對修補版本(錯誤2356)
- 8. WPA2漏洞和密碼的WIFI對策
- 9. 針對全局管理員禁用Azure Active Directory用戶重置密碼按鈕
- 10. 凱撒密碼漏洞
- 11. 重置密碼python程序
- 12. 如何解密加密的WordPress管理員密碼?
- 13. 非管理員的遠程PowerShell執行
- 14. 如何使用Orbeon Forms在我部署的應用程序上應用YUI安全漏洞修補程序?
- 15. 修補程序/修補程序的構建和交付方法
- 16. 修補程序datetime.timedelta.total_seconds
- 17. Esky修補程序
- 18. 管理多個Windows系統的修補程序級別
- 19. 重置ColdFusion管理員密碼的潛在影響
- 20. 失去的sfGuard管理員密碼 - 需要重置
- 21. 如何重置Datastax Opscenter的管理員密碼?
- 22. 瞭解Wordpress漏洞
- 23. 更新遠程過期的管理員密碼沒有窗戶RDP
- 24. 通過PowerShell遠程更改工作組中本地管理員的密碼
- 25. 設備管理員密碼
- 26. 遠程管理
- 27. Psexec「作爲(遠程)管理員運行」
- 28. 遠程數據庫管理員
- 29. Wso2 - 帶加密的管理員密碼
- 30. 修復web應用程序的antiClickJacking漏洞
剛剛看到2.8.3安全補丁的其他文章,並意識到我的答案在這裏可能對於你真正要求的東西太低級/廣泛 - 對不起!我想我不明白爲什麼升級到2.8.4是不夠的?或者你是否出於某種原因試圖避免這種情況? – Michelle 2009-09-03 16:31:53
@McGirl現在升級是微不足道的,但我對其他程序員如何看待這個問題感興趣 – pageman 2009-09-05 07:21:48