Безопасность или как взломать блог?
Настраиваю свой блог и читаю много других блогов.
На этом блоге прочитал очень интересную статью о безопасности, думаю многим будет очень интересно почитать.Многие ли из вас, читатели, знают, что такое SECRET_KEY в новой версии движка?Небольшой экскурс в кодекс или читайте мою интерпретацию)В общем, многие знают, ну или подозревают, что до того, как попасть в базу данных пароль, вводимый пользователем, подвергается md5-преобразованию.
Это делается для того, чтобы даже если злоумышленник получит список паролей, реальных паролей на руках у него не было.
Проблема в том, что обычно пользователи указывают простые пароли вроде qwerty и прочих pass12345 у которых ВСЕГДА один и тот же md5-хэш.
И введя в тот же гугл полученную из БД строку “зашифрованного” пароля, мы получим на выходе оригинал пароля.
Так же существуют онлайн сервисы и оффлайн утилиты, которые просто генерят словари всех возможных слов с их md5-строками (получается некий брут-форс).Что предприняли ушлые разработчики вордпресс в новом релизе?Стоит отметить, что идея стара как мир, но ввели сей алгоритм в движок только сейчас.Они решили добавить некий случайный элемент в генерацию хэша, который бы не позволил “угадывать” пароль по его md5, не зная этого элемента.
Как вы поняли речь тут и идёт о SECRET_KEY, только проблема, на текущий момент такова, что о его существовании знают почти что только избранные (теперь и вы себя к ним можете причислить)).WordPress 2.5 не предлагает сменить этот ключ при установке и использует всё время прописанный в wp-config.php по-умолчанию:define(m"SECRET_KEYm", m"put your unique phrase herem");Так как 90% пользователей вордпресс создают wp-config.php через меню браузера, прописывая нужные параметры при установке, то получаем у 90% блогов один и тот же “случайный элемент”.Тов.
J.
Carlos Nieto, поднатужившись, написал огромное изыскание, где можно даже найти код программы для перебора паролей и местами это вообще похоже на hack-manual ]Так что, уважаемые читатели, мораль сей басни такова:“Если вы устанавливаете новую версию или апгрейдите старую до WordPress 2.5, то потрудитесь залезть в wp-config.php и исправить m"put your unique phrase herem" на что угодно (вам даже не обязательно запоминать эту фразу), например, m"Виктор сука ты маладчинкаm" “