취약점은 here에 문서화되어 있습니다. 이 패치는 아마도 a 1-line replace이고, 라인 번호 1902의 라인은 here입니다. /2.8/wp-login.php - the new patch should look this (check line 118) - 제 질문은 -이 패치가 충분한가요? 그렇지 않다면, 어떤 제안?Wordpress 원격 관리자 재설정 암호 재설정 취약점을위한 패치
나는 그것을 이해하고 패치는 그 특정 구멍을 닫습니다. 그러나 내가 관리하는 모든 WP 사이트에서 취하는 또 다른 기본적인 보안 조치는 "admin"사용자를 삭제하는 것입니다. 그리고 어떤 사용자의 사용자 이름도 표시 이름과 동일하게 사용하지 않는 것이 이상적입니다. 악의적 인 사용자가 암호를 해킹 할 수있는 방법뿐만 아니라 사용자 이름을 추측해야한다는 점에서 보안이 두 배로 향상되었습니다.
WordPress + 보안에 대한 검색을 통해 찾을 수있는 추가 보안 조치가 많이 있지만 사용자 이름 변경, 설치시 db 테이블 이름 변경 및 기본 사용 권한 관련 문제가 있습니다. WP 업그레이드 중에 필요한 추가 유지 보수 없이도 지금까지 제대로 작동 했으므로 더욱 강력한 보안 조치가 필요했습니다.
예, 이것은 Wordpress 취약점에 대한 아주 좋은 패치입니다.
if (empty($key) || is_array($key))
return new WP_Error('invalid_key', __('Invalid key'));
이것은 SQL 인젝션이 아닙니다. 사용자의 전체 테이블을 덤프 할 수 있다면 그렇습니다. 당신의 이름을 바꾸는 것은 아주 좋은 보안 수단이 아닙니다. 코드를 최신 상태로 유지하면 항상 수행해야하는 작업이거나 해킹 당할 수 있습니다.
2.8.3 보안 패치에서 다른 게시물을 보았을 때 내 대답이 너무 낮거나 광범위하다는 사실을 깨달았습니다. 미안 해요! 나는 왜 2.8.4 로의 업그레이드가 충분하지 않은지 이해하지 못한다. 아니면 어떤 이유로 그것을 피하려고합니까? – Michelle
@McGirl 지금은 업그레이드하는 것이 간단하지만 다른 프로그래머가이 문제를 어떻게 보는지에 관심이 있습니다. – pageman