Уязвимость в Word Press позволяющая скачать admin-ajax.php

Итак, поглядел слегка в логи своего блога и обнаружил интересные строчки:

178.73.212.6 - /wp-admin/admin-ajax.php?action=revslider_show_image&img=../wp-config.php
178.73.212.6 - /wp-admin/admin-ajax.php?action=revslider_show_image&img=../wp-config.php

Попробовал зайти туда сам с браузера, выдали белую страничку с одним единственным символом «0», но каково же было мое удивление когда часть произвольно найденных на просторах инета блогов на WP на запрос в духе:

http://wpblog.com/wp-admin/admin-ajax.php?action=revslider_show_image&img=../wp-config.php

выдает для скачивания файлик admin-ajax.php в plaintext!!! Напомню что там кроме всякой фигни содержатся и данные по подключению к базе MySQL, как то название базы, логин, пароль! Я просто офигел! Проверьте свои блоги! Я проверил блоги моих друзей-знакомых — уязвимость не нашел. Гдето выдает «0», гдето видел «-1». Вобщем АХТУНГ!!!

P.S. Некоторое инфо нашел тут, также тут узнал что уязвимы все блоги независимо от версии WP в которых активирован плагин «Revolution Slider»!

  1. И не только там, где стоит этот плагин. Данная ссылка, которую вы привели в пример, может открыть файл и с некоторыми другими плагинами. Единственный выход, чтобы сильно не морочиться, переехать на хостинг с защитой. Я раньше был на Хостенко — там защиты было 0. Сейчас переехал сюда (вот ссылка — ukraine.com.ua/?page=24371), так там есть встроенная система защиты Mod Security, и при попытке входа на такие уязвимые страницы выдаёт следующее:

    «»Ошибка 424: заблокировано правилами безопасности
    Если Вы владелец сайта, информацию о причинах возникновения и методах решения данной ошибки можно найти в разделе FAQ.»»

    Да и лог имеется для просмотра того, кто и каким способом пытается взломать ваш сайт.

    • admin
    • Сентябрь 1st, 2015 8:05пп

    @Вова
    ну по поводу ukraine.com.ua могу сказать что на предыдущей работе достался в наследство сайт на этом хостинге. Так он хакнут был еще за царя гороха и участвовал в бот-нете 🙂 И ничего данный хостинг даже не крякнул на контактный email … сам случайно заметил, поскольку сайт не критичный был и ходили туда пару раз в год. Вот тут описывал кой какие моменты:
    http://diff.org.ua/archives/2302
    На Бога надейся, а сам не плошай!

  2. @admin
    Не скажите. Ну хотя конечно если так редко заходить то возможно да. Сайт по онлайн играм на Украине, проверяю каждый день по всяким тех проверкам, и т.д. Плюс ко всему в панели можно поставить ограничение по ip на фтп-сервер и базу данных, + в хтассес защиту вписать на админку (страницу входа). Ну а для панели Украины сделать авторизацию двойную (+смска). В итоге все дыры залатаны.

  1. Трэкбэков пока нет.

Why ask?