آگاه‌سازی‌ها
پاک‌کردن همه

باگ جدید در قالب وردپرس


ارسال‌: 3601
Admin
شروع کننده موضوع
(@admin)
عضو
عضو شده: 10 سال قبل

متاسفانه وجود حفره امنیتی در یکی از فایل های مورد استفاده در قالب وردپرس کشف گردید که بهتر است فایل قالب خود را به روز نمایید این فایل در بیشتر قالب ها برای عکس استفاده می شود نام این فایل timthumb.php بوده و تصاویر بند انگشتی را در پوستهای وردپرس بوجود می آورد به وسیله این باگ می توان به دیتابیس نفوذ کرد لازم به ذکر است که این حفره امنیتی جزو هسته نیست وخود وردپرس از این حفره مبری می باشدبرای آنکه خود را از شر این حفره امنیتی رها سازید بهتر است به آدرس زیررفته ومد مورد نظر را جایگزین کد فابل مورد نظر کنید

فایل به روز شده

4 پاسخ
ارسال‌: 7
(@ahmadreza)
Active Member
عضو شده: 10 سال قبل

درود
قالب من از این اسکریپت استفاده میکنه
فایل رو جایگذین کردم تنظیماتش رو هم انجام دادم ولی قالب ارور داد!
مشکل چیه؟

پاسخ
ارسال‌: 3601
Admin
شروع کننده موضوع
(@admin)
عضو
عضو شده: 10 سال قبل

لطفا ارور را بنویسید

پاسخ
ارسال‌: 7
(@ahmadreza)
Active Member
عضو شده: 10 سال قبل

لطفا ارور را بنویسید

ارور زیر رو میداد:

A TimThumb error has occured
The following error(s) occured:

You may not fetch images from that site. To enable this site in timthumb, you can either add it to $ALLOWED_SITES and set ALLOW_EXTERNAL=true. Or you can set ALLOW_ALL_EXTERNAL_SITES=true, depending on your security needs.

Query String : src="https://localhost/wordpress/wp-content/themes/Ahmadreza/images/logo.png"
TimThumb version : 2.8.9

مقادیر زیر رو تغییر دادم تصاویر نمایش داده شد ولی نمیدونم از نظر امنیت فرقی میکنه یا نه!
تو خط 32 و 33

//Image fetching and caching
if(! defined('ALLOW_EXTERNAL') )			define ('ALLOW_EXTERNAL', true);						// Allow image fetching from external websites. Will check against ALLOWED_SITES if ALLOW_ALL_EXTERNAL_SITES is false
if(! defined('ALLOW_ALL_EXTERNAL_SITES') ) 	define ('ALLOW_ALL_EXTERNAL_SITES', true);				// Less secure. 

ممنون میشم بدونم امنیتش پایینتر اومده یا نه!

پاسخ
ارسال‌: 3601
Admin
شروع کننده موضوع
(@admin)
عضو
عضو شده: 10 سال قبل

امنیت صد در صد تفاوت داره البته اگر شما اینطور استفاده نمایید
قدیم :

// external domains that are allowed to be displayed on your website
$allowedSites = array (
	'flickr.com',
	'picasa.com',
	'blogger.com',
	'wordpress.com',
	'img.youtube.com',
	'upload.wikimedia.org',
);

جدید :

if(! isset($ALLOWED_SITES)){
	$ALLOWED_SITES = array (
			'flickr.com',
			'picasa.com',
			'img.youtube.com',
			'upload.wikimedia.org',
			'photobucket.com',
			'imgur.com',
			'imageshack.us',
			'tinypic.com'
	);
}
پاسخ
اشتراک: