脆弱性はここに文書化されています。このパッチは、 branchs/2.8/wp-login.php の 190 行目に記載されているように、おそらく1 行の置換です。新しいパッチは次のようになります (118 行を確認してください)。私の質問は、このパッチで十分ですか? そうでない場合、何か提案はありますか?
2 に答える
2
私が理解しているように、パッチはその特定の穴を塞ぎます。ただし、私が管理するすべての WP サイトで行うもう 1 つの基本的なセキュリティ対策は、「管理者」ユーザーを削除することです。理想的には、ユーザーのユーザー名が表示名と同じになることはありません。これにより、悪者がユーザー名を推測し、パスワードをハッキングする方法を見つけなければならないという点で、セキュリティが 2 倍になります。
WordPress + セキュリティで検索すると、他にも多くのセキュリティ対策を見つけることができますが、私はユーザー名の変更、インストール時のデータベース テーブル名の変更、および基本的なアクセス許可の変更に固執しています。より強力なセキュリティ対策のいくつかが必要とするWPのアップグレード中に必要な大量の追加の維持費なしで、これはこれまでのところうまく機能しています.
于 2009-09-03T16:28:51.433 に答える
0
はい、これは Wordpress の脆弱性に対する非常に優れたパッチです。
if ( empty( $key ) || is_array( $key ) )
return new WP_Error('invalid_key', __('Invalid key'));
これは SQL インジェクションではありません。そうであれば、ユーザーのテーブル全体をダンプできます。名前を変更することは、あまり良いセキュリティ手段ではありません。コードを最新の状態に保つことは、常に行う必要があることです。そうしないと、ハッキングされてしまいます。
于 2009-10-03T09:02:32.883 に答える