Wnioski z ataków wykorzystujących ostatnią lukę bezpieczeństwa w WordPressie

Ataki

Ostatnie dwa tygodnie były dla mnie dość pracowite, tak więc tylko kątem oka przyglądałem się temu, co działo się wokół krytycznej luki bezpieczeństwa w WordPressie 4.7 i 4.7.1. Zawierająca poprawkę błędu wersja 4.7.2 została wydana 26 stycznia, o czym wspomniałem na Facebooku i uznałem temat za zamknięty. Nie znalazłem niestety czasu na dokładniejsze opisanie tej podatności, a szkoda, bo luka jest nie tylko bardzo poważna, ale również nietypowa, a wykorzystujące ją zmasowane ataki, które rozpoczęły się na początku lutego, trwają do dzisiaj.

Zgłębiając temat doszedłem do kilku wniosków, którymi chciałbym się z wami podzielić.

Czytaj dalej komentarzy 7


WordPress 4.7 już jest – przegląd zmian i nowości

WordPress 4.7

Dzisiaj światło dzienne ujrzał WordPress 4.7, nazwany Vaughan (od nazwiska Sary „Sassy” Vaughan, amerykańskiej wokalistki jazzowej). Wersja została wydana zgodnie z realizowanym konsekwentnie od czterech lat planem wydawniczym: trzy „duże” aktualizacje rocznie, z czego ostatnia (wydawana w grudniu) wprowadza nowy motyw domyślny.

Nowy WordPress to jednak nie tylko nowy domyślny motyw Twenty Seventeen – to również wiele drobnych zmian, które ułatwiają codzienne korzystanie z naszego ulubionego CMSa (a w szczególności z Personalizatora), a także jedną ogromną, rewolucyjną wręcz zmianę dla deweloperów.

Czytaj dalej komentarze 33


Black Friday i Cyber Monday 2016 – zestawienie promocji

Black Friday 2016

Black Friday (Czarny Piątek) to doroczne święto promocji i przecen. Twórcy motywów i wtyczek dla WordPressa również przygotowali dla nas atrakcyjne oferty, dzięki którym możemy kupić sporo świetnych produktów w bardzo atrakcyjnych cenach.

Cyber Monday to z kolei akcja, która powstała z myślą o sklepach internetowych i produktach cyfrowych. To również dobra okazja dla mniejszych firm i sklepów, którym ciężko konkurować z większymi graczami w trakcie piątkowego zakupowego szaleństwa.

Specjalnie na tę okazję przygotowałem specjalną stronę, na której zebrałem wszystkie promocje związane z WordPressem, jakie udało mi się znaleźć. Zwróćcie uwagę na daty rozpoczęcia i zakończenia każdej z ofert – część z nich rozpoczyna się wcześniej, ale niektóre startują dopiero w piątek 25 listopada.
Strona jest na bieżąco aktualizowana, bo cały czas pojawiają się nowe oferty.

Black Friday i Cyber Monday 2016 →

Czytaj dalej Brak komentarzy


Google wprowadza nowe kary dla notorycznie zainfekowanych stron

Bezpieczne przeglądanie Google

Prawdopodobnie każdy użytkownik Internetu zobaczył kiedyś w przeglądarce charakterystyczną czerwoną stronę ostrzegającą przed wejściem na potencjalnie niebezpieczną witrynę. Ta strona to efekt działania wprowadzonego w 2005 roku mechanizmu Bezpieczne przeglądanie Google (Google Safe Browsing), chroniącego użytkowników przed stronami zawierającymi złośliwe oprogramowanie lub w jakiś sposób próbującymi wprowadzić ich w błąd. Mechanizm ten blokuje jednak nie tylko strony, których właściciele z premedytacją umieszczają na nich niebezpieczne treści, ale również zainfekowane witryny, których administratorzy często nie zdają sobie sprawy, że z ich stroną dzieje się coś złego.

Teraz Google wprowadza nowe, bardziej dotkliwe kary dla stron, które zdecydowanie zbyt często trafiają na „czarną listę”. Niestety, zmiany te dotkną również właścicieli zainfekowanych stron, którzy nie do końca potrafią poradzić sobie z wyczyszczeniem swoich witryn.

Czytaj dalej Brak komentarzy


Jak działa ranking popularności motywów w oficjalnym repozytorium i dlaczego nie jest on miarodajny

Popularne motywy WordPress.org

W oficjalnym repozytorium motywów dla WordPressa znajduje się zakładka Popular, w której (jak nietrudno się domyślić) wyświetlana jest lista najpopularniejszych motywów. Kilka dni temu serwis WP Tavern poruszył temat kontrowersyjnego sposobu, w jaki autorzy darmowych motywów wykorzystują popularność motywów komercyjnych do „oszukiwania” algorytmu tworzenia tej listy. Sam mechanizm jest znany od dość dawna, ale do tej pory osobiście odbierałem go bardziej jako niedogodność dla twórców motywów komercyjnych, niż jako sposób na wypromowanie darmowego motywu umieszczonego w oficjalnym repozytorium.

Czytaj dalej komentarze 3


WordPress Translation Day – pomóż w tłumaczeniu wtyczek i motywów dla WordPressa

WordPress Translation Day

12 listopada odbędzie się drugi Global WordPress Translation Day, czyli akcja mająca na celu zachęcenie jak największej liczby osób do tłumaczenia WordPressa oraz przeznaczonych dla niego wtyczek i motywów. Przez cały dzień na żywo będą transmitowane prelekcje poświęcone tematyce tłumaczeń, przeznaczone zarówno dla tłumaczy, jak i dla twórców motywów i wtyczek. Pomysłodawcy akcji zachęcają również do ogranizowania lokalnych spotkań osób chętnych do pomocy.

Czytaj dalej komentarzy 8


Poważna luka bezpieczeństwa we wtyczce W3 Total Cache

W3 Total Cache

W serwisie SecuPress pojawiła się informacja o luce bezpieczeństwa w popularnej wtyczce W3 Total Cache. Luka ta umożliwia wykonanie ataku XSS (Cross-site scripting) w panelu administracyjnym. Problem jest o tyle poważny, że z rozszerzenia tego aktywnie korzysta grubo ponad milion stron (dokładnych danych oczywiście brak), a autor nie wydaje się być zainteresowany dalszym rozwojem wtyczki.

Mimo że luki tej nie należy lekceważyć, to szum, jaki został wokół niej wywołany, ma nieco kontrowersyjne podłoże.

Aktualizacja 26.09.2016: pojawiła się wersja 0.9.5 wtyczki, która poprawia między innymi opisywany we wpisie błąd.

Czytaj dalej komentarzy 20


Twenty Seventeen – poznajcie nowy domyślny motyw WordPressa

twenty-seventeen

Co roku WordPress otrzymuje nowy motyw domyślny. Aktualnie jest to Twenty Sixteen, którego projekt został po raz pierwszy zaprezentowany prawie dokładnie rok temu, a który został oficjalnie wydany w grudniu 2015 wraz z WordPressem 4.4.

Wczoraj ekipa odpowiedzialna za rozwój WordPressa pokazała pierwszą wersję nowego motywu domyślnego, który (jak nietrudno się domyślić) będzie nazywał się Twenty Seventeen. Motyw zostanie dołączony do WordPressa 4.7, który ma zostać wydany w grudniu.

Czytaj dalej komentarze 3


„Bałam się, że nie zrozumiem prezentacji” – Katarzyna Gajewska opowiada o WordCampie 2016

WordCamp Gdynia 2016

Już za trzy tygodnie w Gdyni odbędzie się siódmy polski WordCamp, czyli doroczna „oficjalna” konferencja poświęcona WordPressowi. WPzen jest jednym z patronów medialnych tej imprezy, dlatego postanowiłem zadać kilka pytań Katarzynie Gajewskiej, głównej organizatorce tegorocznego WordCampa.

Jeśli wciąż nie możecie zdecydować się na udział w konferencji, nie czujecie się wystarczająco obeznani z WordPressem, nie rozumiecie tematów połowy prezentacji albo po prostu boicie się kontaktu z bardziej doświadczonymi WordPressowcami, to jestem pewien, że odpowiedzi Kasi rozwieją Wasze wątpliwości.

Przypominam, że na stronie WordCampa dostępna jest ostatnia pula biletów, tak więc decyzję trzeba podjąć możliwie szybko.

Czytaj dalej komentarzy 13


WordPress 4.6 już jest – przegląd zmian i nowości

WordPress 4.6 "Pepper"
Dzisiaj, zgodnie z planem, światło dzienne ujrzał WordPress 4.6, nazwany Pepper (od nazwiska saksofonisty Parka Fredericka „Peppera” Adamsa). Tym razem większość zmian i nowości jest schowana „pod maską” i prawdopodobnie nie zostanie nawet zauważona przez „zwykłych” użytkowników. Ten kierunek rozwoju na pewno nie sposoba się większości miłośników tego CMSa, ale najwyraźniej twórcy mieli swoje powody. A może po prostu brakuje im już pomysłów na usprawnienia i nowe funkcje?

Zapraszam do zapoznania się ze zmianami i nowościami, jakie znalazły się w nowej wersji WordPressa.

Czytaj dalej komentarzy 35