1

该漏洞在此处记录。该补丁应该是一个 1 行替换,如此处所述的分支/2.8/wp-login.php 的第 190 行 -补丁应该看起来像这样(检查第 118 行) - 我的问题是 - 这个补丁是否足够?如果没有,有什么建议吗?

4

2 回答 2

2

据我了解,补丁关闭了那个特定的洞。但是,我对我管理的每个 WP 站点采取的另一项基本安全措施是删除“管理员”用户,理想情况下,任何用户的用户名都不能与其显示名称相同。这使坏人必须猜测用户名并找出破解密码的方法使安全性加倍。

通过在 WordPress + 安全性上进行搜索,您可以找到许多额外的安全措施,但我一直坚持更改用户名、更改安装时的 db 表名以及基本权限。到目前为止,这运作良好,在 WP 升级期间无需进行一些更严格的安全措施所需的大量额外维护。

于 2009-09-03T16:28:51.433 回答
0

是的,这是一个非常好的针对 Wordpress 漏洞的补丁。

if ( empty( $key ) || is_array( $key ) )
    return new WP_Error('invalid_key', __('Invalid key'));

这不是 SQL 注入,如果是,那么您可以转储整个用户表。更改您的姓名不是一个很好的安全措施。使您的代码保持最新是您必须始终做的事情,否则您将被黑客入侵。

于 2009-10-03T09:02:32.883 回答