Ogólnie WordPress jest zabezpieczony w rożnych miejscach. Fakt, jest kilka rzeczy, o których twórcy zapomnieli lub uzupełniają po czasie (jeśli w ogóle już to robią), np. w starszych wersjach WordPress zdradzał aktualnie używaną wersję. Wystarczyło wczytać plik readme, np.:
[*adres-twojej-strony.pl/readme.html
Dla ciekawskich znalazłem jeden z wielu adresów by pokazać jak to wyglądało:
Po czym ukazywała się używana wersja WordPres

Co z tego, że plik readme nie pokazuje używanej wersji skoro wystarczy zaglądnąć do źródła (CTRL + U) aby zobaczyć jaka jest aktualnie zainstalowana wersja, np.:
- <meta name="generator" content="WordPress 5.6" />
Za przykład niech posłuży też plik, którego kiedyś nie było - mowa o index.php
W starszych wersjach WordPress wpisując do paska adresu adres-twojej-strony.pl/wp-content/ można było przeglądać sobie pliki. Obecnie - jak wspomniałem wcześniej - jest plik index.php, a w środku znajdziesz
Cytat:<?php
// Silence is golden.
To są zmiany kosmetyczne i serio uważam, że twórcy WP powinni zadbać bardziej o bezpieczeństwo, a później rozwijać funkcjonalności i dodawać bajery typu nowy edytor Gutenberg. Znalazłem nawet stronę, która nie jest aktualizowana od 16 lat... rozumiesz? Wciąż jest zainstalowana wersja 1.2 wordpressa, wyszła 22 maja w 2004 roku (16 lat temu!) zgodnie ze stroną:
https://wordpress.org/news/2004/05/heres-the-beef/
Osoby takie jak ty czy ja sobie zabezpieczą ale jest zdecydowanie więcej osób, które nawet nie wiedzą, że pasuje zabezpieczyć stronę.
W zdecydowanej większości przypadków, to wina twórców wtyczek, że osoby nieuprawnione mają dostęp. Im bardziej zaawansowana wtyczka, tym większe prawdopodobieństwo skutecznego ataku na WP. Za kolejny przykład niech posłuży plugin Contact Form 7 (5 milionów instalacji!).
Błąd w pluginie umożliwiał nieograniczone przesyłanie plików i ataki z podwójnym rozszerzeniem pliku. Ku ścisłości przy pomocy pliku z podwójnym rozszerzeniem, np. PLIK.PHP .JPG (przerwa jest zrobiona 'tabulatorem'. Taki przycisk TAB na klawiaturze).
- Formularz usuwa rozszerzenie .JPG po czym na serwerze znajduje się PLIK.PHP ze złośliwym kodem. Wgrywający może nawet uzyskać dostęp do serwera.
Problem dotyczył wersji 5.3.1, więc wystarczy zaktualizować do 5.3.2 żeby problem znikł ale gwarantuję ci, że dużo stron nadal jest podatnych

Oj... trochę mnie poniosło.
(10-01-2021 23:41)rachman napisał(a): Przy okazji - może wiesz... Znajomy ma filmiki. W blogu tworzy wpisy i wkleja link do posta z grupy na Facebook, WP wygrzebuje sobie link do filmu sam i includuje go.
Powstaje u mnie problem Same Origin i ja widzę tylko linki do wpisu na grupie. U niego niby widać filmy (inna przeglądarka). Jak to ugryźć by nikt nie dostał jak ja samego linku a załadowany film? Już próbowałem wszystkich metod zamieszczania filmów, ale jedne widzę inne nie. Zmieniam przeglądarki itd. Miałeś już coś takiego?
Chciałbym pomóc ale nie wiem, nie przywiązuję uwagi do takich rzeczy. Jak rzuci mi się coś w oczy, to niezwłocznie dam znać!
Pozdrawiam