WordPress

mybeNi websecurity 網站最近揭露了七個 Wordpress 目前最新的 2.2.1 版本漏洞，而其中又以頭尾兩個危害特別嚴重。

1. Wordpress Persistant XSS Vulnerability in the Default Theme (v.2.2)
2. Wordpress /options.php SQL Injection Vulnerability
3. Wordpress /options.php Information Disclosure
4. Wordpress /options.php Persistant XSS Vulnerability
5. Wordpress /edit-comments.php Database Error (Bug)
6. Wordpress /link-import.php XSS Vulnerability
7. Wordpress /upload.php XSS Vulnerability

如之前提過的統計，目前仍有非常多 WordPress 網站未更新至最新版本，當然這可能是因為更新上的困難、Plugins 的相容問題或是最難處理的懶病爆發。Josiah Cole dot com 也是這些網站之一，因此該站長特別提供了號稱近乎完美的 .htaccess 配置，將下面內容存檔為 .htaccess 並放置於 WordPress 網站根目錄，進而達成下列幾種目的：
 繼續閱讀 »

wp-scanner online 本來是一個 Perl Script 掃描工具，為了便於更多人利用，作者將其改以網頁方式發行，掃描結果範例1, 範例2，這個工具可提供：

‧WordPress 版本檢查 (目前支援七個版本)。將來發佈的 wp-scanner 即使目標移除了版本資訊仍可以檢查。
‧測試 WordPress 佈景是否存在基本的 XSS 漏洞
‧列舉 WordPress Plugins
 繼續閱讀 »