此漏洞的存档记录为here。这个补丁据说为a 1-line replace,如here在分支/ 2.8/wp-login.php的第190行 - the new patch should look this (check line 118) - 我的问题是 - 这个补丁是否足够?如果没有,有什么建议吗?针对Wordpress远程管理员重置密码漏洞的修补程序
1
A
回答
2
据我所知,贴片封闭了那个特定的孔。但是,我管理的每个WP网站的另一个基本安全措施是删除“admin”用户,理想情况下永远不会有任何用户的用户名与他们的显示名称相同。这使得安全性倍增,因为坏人必须猜测用户名,并找出破解密码的方法。
有很多额外的安全措施,你可以通过做WordPress的+安全搜索找到,但我都坚持不断变化的用户名,在安装改变数据库表名和基本权限的东西。到目前为止,这种方法运行良好,WP升级过程中没有必要进行额外的维护,这是一些更为强化的安全措施所要求的。
0
是的,这是一个很好的Wordpress漏洞补丁。
if (empty($key) || is_array($key))
return new WP_Error('invalid_key', __('Invalid key'));
这不是SQL注入,如果它是那么你可以转储整个用户的表。改变你的名字并不是一个很好的安全措施。让代码保持最新是您必须始终执行的操作,否则将被黑客入侵。
相关问题
- 1. Wix - 安装无管理员权限的修补程序
- 2. PHP:管理url $ _GET修补程序
- 3. 针对修补程序和修补程序等发布分支的Git rebase
- 4. 重置Oracle Apex管理员密码
- 5. XAMPP管理员密码重置
- 6. 如何重置Django管理员密码?
- 7. MSI修补程序未针对修补版本(错误2356)
- 8. WPA2漏洞和密码的WIFI对策
- 9. 针对全局管理员禁用Azure Active Directory用户重置密码按钮
- 10. 凯撒密码漏洞
- 11. 重置密码python程序
- 12. 如何解密加密的WordPress管理员密码?
- 13. 非管理员的远程PowerShell执行
- 14. 如何使用Orbeon Forms在我部署的应用程序上应用YUI安全漏洞修补程序?
- 15. 修补程序/修补程序的构建和交付方法
- 16. 修补程序datetime.timedelta.total_seconds
- 17. Esky修补程序
- 18. 管理多个Windows系统的修补程序级别
- 19. 重置ColdFusion管理员密码的潜在影响
- 20. 失去的sfGuard管理员密码 - 需要重置
- 21. 如何重置Datastax Opscenter的管理员密码?
- 22. 了解Wordpress漏洞
- 23. 更新远程过期的管理员密码没有窗户RDP
- 24. 通过PowerShell远程更改工作组中本地管理员的密码
- 25. 设备管理员密码
- 26. 远程管理
- 27. Psexec“作为(远程)管理员运行”
- 28. 远程数据库管理员
- 29. Wso2 - 带加密的管理员密码
- 30. 修复web应用程序的antiClickJacking漏洞
刚刚看到2.8.3安全补丁的其他文章,并意识到我的答案在这里可能对于你真正要求的东西太低级/广泛 - 对不起!我想我不明白为什么升级到2.8.4是不够的?或者你是否出于某种原因试图避免这种情况? – Michelle 2009-09-03 16:31:53
@McGirl现在升级是微不足道的,但我对其他程序员如何看待这个问题感兴趣 – pageman 2009-09-05 07:21:48