آگاه‌سازی‌ها
پاک‌کردن همه

باگ جدید در قالب وردپرس


(@admin)
عضو Admin
عضو شده: 11 سال قبل
ارسال‌: 3602
شروع کننده موضوع  

متاسفانه وجود حفره امنیتی در یکی از فایل های مورد استفاده در قالب وردپرس کشف گردید که بهتر است فایل قالب خود را به روز نمایید این فایل در بیشتر قالب ها برای عکس استفاده می شود نام این فایل timthumb.php بوده و تصاویر بند انگشتی را در پوستهای وردپرس بوجود می آورد به وسیله این باگ می توان به دیتابیس نفوذ کرد لازم به ذکر است که این حفره امنیتی جزو هسته نیست وخود وردپرس از این حفره مبری می باشدبرای آنکه خود را از شر این حفره امنیتی رها سازید بهتر است به آدرس زیررفته ومد مورد نظر را جایگزین کد فابل مورد نظر کنید

فایل به روز شده


نقل‌قول
(@ahmadreza)
Active Member
عضو شده: 11 سال قبل
ارسال‌: 7
 

درود
قالب من از این اسکریپت استفاده میکنه
فایل رو جایگذین کردم تنظیماتش رو هم انجام دادم ولی قالب ارور داد!
مشکل چیه؟


پاسخنقل‌قول
(@admin)
عضو Admin
عضو شده: 11 سال قبل
ارسال‌: 3602
شروع کننده موضوع  

لطفا ارور را بنویسید


پاسخنقل‌قول
(@ahmadreza)
Active Member
عضو شده: 11 سال قبل
ارسال‌: 7
 

لطفا ارور را بنویسید

ارور زیر رو میداد:

A TimThumb error has occured
The following error(s) occured:

You may not fetch images from that site. To enable this site in timthumb, you can either add it to $ALLOWED_SITES and set ALLOW_EXTERNAL=true. Or you can set ALLOW_ALL_EXTERNAL_SITES=true, depending on your security needs.

Query String : src="https://localhost/wordpress/wp-content/themes/Ahmadreza/images/logo.png"
TimThumb version : 2.8.9

مقادیر زیر رو تغییر دادم تصاویر نمایش داده شد ولی نمیدونم از نظر امنیت فرقی میکنه یا نه!
تو خط 32 و 33

//Image fetching and caching
if(! defined('ALLOW_EXTERNAL') )			define ('ALLOW_EXTERNAL', true);						// Allow image fetching from external websites. Will check against ALLOWED_SITES if ALLOW_ALL_EXTERNAL_SITES is false
if(! defined('ALLOW_ALL_EXTERNAL_SITES') ) 	define ('ALLOW_ALL_EXTERNAL_SITES', true);				// Less secure. 

ممنون میشم بدونم امنیتش پایینتر اومده یا نه!


پاسخنقل‌قول
(@admin)
عضو Admin
عضو شده: 11 سال قبل
ارسال‌: 3602
شروع کننده موضوع  

امنیت صد در صد تفاوت داره البته اگر شما اینطور استفاده نمایید
قدیم :

// external domains that are allowed to be displayed on your website
$allowedSites = array (
	'flickr.com',
	'picasa.com',
	'blogger.com',
	'wordpress.com',
	'img.youtube.com',
	'upload.wikimedia.org',
);

جدید :

if(! isset($ALLOWED_SITES)){
	$ALLOWED_SITES = array (
			'flickr.com',
			'picasa.com',
			'img.youtube.com',
			'upload.wikimedia.org',
			'photobucket.com',
			'imgur.com',
			'imageshack.us',
			'tinypic.com'
	);
}

پاسخنقل‌قول
اشتراک: