Eğer blogunuz için WordPress kullanıyorsanız. En son sürüm olan WordPress 2.8.4′e hemen yükseltme yapmanızda büyük fayda var.
Bunun nedeni WordPress 2.8.3′ün (ve muhtemelen daha öncekilerin) büyük bir güvenlik açığı içermesi. Bu güvenlik açığını sömüren herhangi bir saldırgan WordPress ile çalışan blogunuzdaki kullanıcı şifrelerini değiştirebilir. Buna admin şifresi de dahil.
Güvenlik açığı şu şekilde çalışıyor:
Normalde şifre hatırlatma sayfası size bir kullanıcı adı veya e-posta adresi soruyor. Eğer bu geçerli ise de size e-posta ile bir link gönderiyor. Bu sırada şifre değişmiyor. Dolayısı ile de bunu gözardı edip işinize bakabilirsiniz.
Ve fakat kötü niyetli bir kişi adres çubuğuna aşağıdaki satırı yazarak WordPress’i kandırabilir.
http://www.blogismi.com/wp-login.php?action=rp&key[]=
Bunun sebebi WordPress’in wp-login.php dosyasındaki bir hatadan kaynaklanıyor. Suçlu 190′ıncı satırda ki bu kod.
if ( empty($key) )
olması gereken ise
if (empty($key)) || is_array( $key )
Kısaca şifre değiştiren fonksiyon $key değişkenin geçersiz veya boş olması durumda değişikliğe izin vermiyor ama birisi boş bir array gönderirse durum değişiyor.
Bu satırı değiştirerek bu güvenlik açığını kapatmak mümkün. Ama genede 2.8.4 sürümüne yükseltmenizde fayda var.
Bilgi için teşekkürler.
çok güzel bir çalışma olmuş çok faydalı teşekkürler
Çok güzelmişş
Teşekkürler bilgilendirme için
Tşk hocam bilgi için
Bilgi İçin Teşekkürler
slm arkadaslar verdiği Örnekte if denetlemesi yani Kullanıcı adı veya şifre aynı herhangi biri dogru isee buyur içeri gir demek is array dan öncekı parametreler || yaanı or acıgı demektır if denetmelesine sadece arasında bir üstündekı $key değişkenişni tanımlarsanız herhangi bir sorun kalmaz
Mysql Codin KRALŞaH SohbetMaster.Com
Bu Faydali Makale bilginiz icin tesekkür ederim. http://www.Chatulkesi.Com Sitemde Güvenligi üst siralara cikardim sayenizde tessekür ederim
bilgiler icin tesekkurler