취약점은 here에 문서화되어 있습니다. 이 패치는 아마도 a 1-line replace이고, 라인 번호 1902의 라인은 here입니다. /2.8/wp-login.php - the new patch should look this (check line 118) - 제 질문은 -이 패치가 충분한가요? 그렇지 않다면, 어떤 제안?Wordpress 원격 관리자 재설정 암호 재설정 취약점을위한 패치
1
A
답변
2
나는 그것을 이해하고 패치는 그 특정 구멍을 닫습니다. 그러나 내가 관리하는 모든 WP 사이트에서 취하는 또 다른 기본적인 보안 조치는 "admin"사용자를 삭제하는 것입니다. 그리고 어떤 사용자의 사용자 이름도 표시 이름과 동일하게 사용하지 않는 것이 이상적입니다. 악의적 인 사용자가 암호를 해킹 할 수있는 방법뿐만 아니라 사용자 이름을 추측해야한다는 점에서 보안이 두 배로 향상되었습니다.
WordPress + 보안에 대한 검색을 통해 찾을 수있는 추가 보안 조치가 많이 있지만 사용자 이름 변경, 설치시 db 테이블 이름 변경 및 기본 사용 권한 관련 문제가 있습니다. WP 업그레이드 중에 필요한 추가 유지 보수 없이도 지금까지 제대로 작동 했으므로 더욱 강력한 보안 조치가 필요했습니다.
0
예, 이것은 Wordpress 취약점에 대한 아주 좋은 패치입니다.
if (empty($key) || is_array($key))
return new WP_Error('invalid_key', __('Invalid key'));
이것은 SQL 인젝션이 아닙니다. 사용자의 전체 테이블을 덤프 할 수 있다면 그렇습니다. 당신의 이름을 바꾸는 것은 아주 좋은 보안 수단이 아닙니다. 코드를 최신 상태로 유지하면 항상 수행해야하는 작업이거나 해킹 당할 수 있습니다.
관련 문제
- 1. 진행중인 데이터베이스 관리자 암호 복구 또는 재설정
- 2. ruby sftp 오류 암호 재설정
- 3. 장고 암호 재설정 다시 설정
- 4. Windows가 관리자 재설정 PATH로 실행됩니다.
- 5. Oracle Apex 관리자 비밀번호 재설정
- 6. 체크 상자에서 mootools에 대한 재설정 재설정
- 7. 마지막 암호 재설정 이후 경과 시간
- 8. 사용자 지정 공급자 ASP.NET 암호 재설정 클라이언트
- 9. hg 원격 저장소의 상태로 로컬 저장소 재설정
- 10. 수동 재설정 이벤트, 자동 재설정 이벤트
- 11. WCF 정적 변수 호출마다 재설정 재설정
- 12. 재설정 및 MVC
- 13. 타이머 재설정
- 14. 재설정 또는
- 15. classpath 재설정
- 16. SharePoint 2010 클레임 인증/FBA - 암호 재설정 작동하지 않습니다.
- 17. 코알라를 잡는 방법 :: Facebook :: APIError OAuthException 또는 사용자 암호 재설정
- 18. 재설정 응용 프로그램에 대한 사용자 Oracle 암호 유효성 확인
- 19. StringReader의 위치 재설정
- 20. Settings.settings 파일 재설정 유지
- 21. 리소스 공급자 지우기/재설정
- 22. NIB로드 및 연결 재설정
- 23. Git 저장소 재설정 권한
- 24. 업로드 완료 재설정
- 25. 재설정 대기 커서 : 첨부
- 26. Matlab의 축 재설정
- 27. Jquery 지우기/재설정 .Queue()?
- 28. 힘내 색인 재설정 자체
- 29. ID로 재설정 확인란
- 30. jquery 재설정 조건부 필터
2.8.3 보안 패치에서 다른 게시물을 보았을 때 내 대답이 너무 낮거나 광범위하다는 사실을 깨달았습니다. 미안 해요! 나는 왜 2.8.4 로의 업그레이드가 충분하지 않은지 이해하지 못한다. 아니면 어떤 이유로 그것을 피하려고합니까? – Michelle
@McGirl 지금은 업그레이드하는 것이 간단하지만 다른 프로그래머가이 문제를 어떻게 보는지에 관심이 있습니다. – pageman