首页 > 最新动态

最新动态

  • WordPress插件CompleteGalleryManager3.3.3任意文件上传漏洞允许远程的攻击者通过HTTP的POST方式上传文件,这个文件的扩展名可以是任意格式的,CompleteGalleryManager这个插件中没有严密的过滤代码来限制这些未经授权的特殊后缀名文件上传到服务器上。

    产生这个漏洞的文件位于/plugins/complete-gallery-manager/frames/路径的upload-images.php文件上。这个文件没有检查上传文件的内容,导致攻击者可以上传恶意文本内容或是webshells.

    在上传文件之后,远程的攻击者还能够将文件的后缀名,从一个格式转换成为另一个格式。例如,你可以上传.jpg再将它转换成.php文件。

    这个漏洞的利用,不需要与管理员发生互动,而且不需要有管理员的权限,甚至不需要普通用户的账号密码,就能完成这个攻击。

    想要成功地利用这个漏洞,只需要以上的那个文件路径没有被服务器所禁止,只要能访问到/plugins/complete-gallery-manager/frames/upload-images.php这个路径,你就可以直接上传任意文件啦。

    测试证明

    Manager

    阅读全文

  • 刚刚研究WordPress,发现很多功能都不会,例如添加友情链接。经过查资料,实验,终于弄出来了。现在分享给大家。

    1.新建友情链接模板

    复制主题下single.php,并改名为links.php。打开links.php,在页面文件最上面的注释第一行添加:

    /*

    *TemplateName:Links

    */

    找到页面输出部分这部分内容,可以用直接替换掉。

    PS:这种写法是显示全部链接,wp_list_bookmarks参数请查看这里wp_list_bookmarks

    2.登录后台,新建友情链接页面

    新建页面的时候,请注意右侧操作区域“页面属性”部分,模板要选择刚才新建的模板Links。

    3.添加友情链接内容

    links

    阅读全文

  • WordPress3.7今天正式发布了。WordPress3.7开发代号为Basie,是为了纪念CountBasie。大家可以手动下载,也可以到WordPress的菜单中获取更新。

    WordPress3.7新功能:

    ——在你睡觉时更新:在WordPress3.7中,你不需要做任何事,系统就会自动完成维护和安全更新。大部分站点都已能于后台完成这些更新。WordPress为升级过程加入了许多检查和保护措施,使升级更加可靠和安全。

    ——推广强密码:WordPress3.7中更新了密码强度指示条,以期发现更多会降低你密码的安全性的常见问题:日期、名字、按键序列(123456789)、甚至是流行文化。

    ——更加全球化:本地化的WordPress将会得到更新更完整的翻译。WordPress3.7将能够自动安装正确的语言文件,并保证它们是最新的。这对WordPress全球数百万非英语用户来说是一件大好事。

    WordPress37

    阅读全文

  • 由DaveMartin领导的WordPress后台“仪表盘”重新设计项目,已经基本确定了,新设计的WordPress3.8仪表盘界面将会给我们带来不同的感受,下面看看具体有那些改动吧!

    概况(RightNow)改为网站内容(SiteContent)

    快速发布(QuickPress)改为快速草稿(QuickDraft)

    快速草稿(QuickDraft)与近期草稿(RecentDrafts)合并

    快速草稿(QuickDraft)将只是用来发布草稿(drafts),而不是完成的文章

    活动/动态(Activity)一节将整合“定时发布的文章”和“评论”

    yibiaopan

    阅读全文

  • 近日博客框架Wordpress发布了Media Explorer,通过这个工具用户可以向博客中添加TwitterYouTube的留言和视频。 这个社交元素添加工具可以跟Wordpress进行融合,眼下网络上有19%的网站是采用Wordpress框架搭建的。通过这个Media Explorer工具,用户可以搜索和编辑各种社交元素。 现在Wordpress.com官网的用户和VIP用户已经可以使用这个工具了,而采用Wordpress框架的独立博客短期之后,即可使用。 通过推出Media Explorer,Wordpress希望能够成为一个平台,这样在跟类似Storify这样的工具比较的时候,可以胜出。

    MediaExplorer

    阅读全文

  • WordPress3.5.2简体中文版现已可用。这是3.5版本的第二个维护性发布,修复了12个bug。这是对所有之前版本的安全更新,我们推荐您立即升级您所有的站点。WordPress安全小组解决了7项安全问题,并且这次发布也包含了其他一些安全强化措施。

    安全修复包括:

    阻止了服务器端伪造请求攻击。该问题可能使得攻击者取得网站的权限。

    禁止了贡献者不适当地发布文章或修改文章的作者,分别由KonstantinKovshenin和LukeBryan报告。

    更新了SWFUpload外部库来修复跨站脚本隐患,由mala和SzymonGruszecki报告。

    阻止了一种拒绝服务攻击,这种攻击可能影响到使用受密码保护的文章的网站。

    更新了TinyMCE外部库来修复跨站脚本隐患,由WanIkram报告。

    修复了多种跨站脚本,由AndreaSantese和Rodrigo报告。

    避免了在文件上传失败时透露完整路径,由JakubGalczyk报告。

    我们感谢将这些问题负责任地透漏给我们的安全小组。要获取更多资讯,请参见发布说明或查阅修改列表。

    news

    阅读全文

  •       当2003年5月27日,Matt Mullenweg 和 Mike Little 决定从 B2 这个博客软件分支出来开发 WordPress 之后,他们可能也没有想到,10年之后,WordPress 会成为世界上最受欢迎的博客和内容管理软件(CMS),下面这幅信息图就就讲解了 WordPress 这十年的发展历程以及现在取得的成就:

    ten

    阅读全文

  •    近日身份不明的黑客对WordPress blogs系统采用了暴力破解的方式进行攻击,目前,美国知名主机商HostEase、IXwebHosting、Godaddy、Lunarpages都检查到其服务器出现了黑客暴力破解的迹象,为防止该攻击现象再度发生,只有做好防黑措施,才能有效的保护自己的Wordpress免受被攻击的危险。

       删除管理用户并更改密码
       暴力破解的攻击者首先扫描互联网上的Wordpress网站,然后利用Web服务器组建的僵尸网络不断尝试用户名和密码试图登录管理界面。明白了暴力破解的攻击方式,问题就好解决了,因为攻击者通常扫描的用户名都是Wordpress自带的admin用户名,所以,只要删除WordPress博客中的“Admin”用户,就能避免僵尸网络尝试用Admin用户名登陆,其次,定期更改密码也是非常好的方法,最好设置12位字符的密码,不要设置过于简单的密码,强有力的密码,可以有效的避免黑客暴力破解你的账户信息。

    阅读全文

  • 博客内容管理工具WordPress近日升级了其iOS客户端,新版本最大的变化就是支持草稿预览和自动保存。草稿预览可以让用户即时了解到博文发布出来的全貌,即时对文章内容和格式等进行调整,在新版中点击右侧的“眼睛”图标就能实现这个功能。现在在WordPress中编辑文章的时候,它会弹出一个“自动保存”的消息,表明文章草稿已经被保存。同时,创建一篇新文章的时候,正在编辑中的旧文章也会被自动保存。

    WordPress

    By Automattic

    Category: Social Networking

    Updated: Feb 21, 2013

    Version: 3.5

    Size: 5.9 MB

    ios

    阅读全文

  • WordPress 发布了 3.6 的 beta 3 测试版, 3.6 beta3测试版的主要新功能有:

    •日志格式:现在日志格式有了全新的 UI,主题作者可以通过模板函数实现结构化数据。

    •Twenty Thirteen:全新的 Twenty Thirteen(2013)主题。Twenty Thirteen 是一个具有丰富选线,色彩丰富,以博客为中心的主题,并且全面支持日志格式。

    •音频/视频:现在你无需插件或者第三方媒体托管服务,就可以在日志中嵌入音频或者视频了。

    •自动保存:日志将自动保存到本地,如果你的浏览器挂掉,或者电脑死机,设置服务器下线,你都不会丢失你撰写的日志。

    •日志锁定:可以看到有人正在编辑某篇日志,并且如果他长期没有动静,可以将他踢出去。

    •导航菜单:导航菜单被简化成可以折叠的 UI,并且可以通过一个单独标签来实现批量编辑分配菜单的位置。

    wordpress3.6

    阅读全文

同步内容