
Так как wordpress платформа, которая делает резервные копии базы данных и которая выполняет php сценарии на стороне сервера, это делает wordpress уязвимым для атак со стороны, с помощью вставки url-адреса. Командами которые отправляются в wordpress через url, могут воспользоваться хакеры и неправильно интерпретировать или воздействовать на какие либо параметры, не спрашивая на то разрешения.
Как может происходить атака:
1. SQL-инъекция
Вставляя url команды, хакер может достать, вставить, или удалить любую информацию в из базы данных.
Пример:
Допустим, что вами написанный скрипт, получив параметр id, будет использовать его для создания SQL-запроса:
1 2 |
$id = $_REQUEST['id']; $res = mysql_query("SELECT * FROM news WHERE id_news = $id"); |
И если передан параметр id=4 (http://site.ru/script.php?id=4), то выполнится следующее:
1 |
SELECT * FROM news WHERE id_news = 5 |
Но если хацкер передаст следующий параметр id=-1 OR 1=1 (http://site.ru/script.php?id=-1+OR+1=1), выполнится следующий SQL-запрос:
1 |
SELECT * FROM news WHERE id_news = -1 OR 1=1 |
И вместо одной записи, хацкер получит все записи находящиеся в базе данных.
Остальные примеры вы можете посмотреть на wikipedia.
2. Непреднамеренные PHP команды
Непреднамеренные PHP команды могут привести к внедрению вредоносных программ или к раскрытию конфиденциальной информации.
Чтобы избежать подобных угроз со стороны хацкеров, вам поможет небольшой код:
1 2 3 4 5 6 7 8 9 10 11 12 13 14 |
global $user_ID; if($user_ID) { if(!current_user_can('administrator')) { if (strlen($_SERVER['REQUEST_URI']) > 255 || stripos($_SERVER['REQUEST_URI'], "eval(") || stripos($_SERVER['REQUEST_URI'], "CONCAT") || stripos($_SERVER['REQUEST_URI'], "UNION+SELECT") || stripos($_SERVER['REQUEST_URI'], "base64")) { @header("HTTP/1.1 414 Request-URI Too Long"); @header("Status: 414 Request-URI Too Long"); @header("Connection: Close"); @exit; } } } |
Этот код нужно вставить в созданный вами плагин, или вы можете скачать и установить уже готовый плагин.
Скачать плагин для wordpress — защиты от вредоносных запросов URL.
Надеюсь вы воспользовались этим советом и обезопасили ваш ресурс. Удачи!