В позапрошлой записи я рассказывал про удаление уязвимостей в All in One SEO Pack. После этого я подумал, нет ли похожих уязвимостей в других плагинах? Не зря ко мне пришли эти мысли, уязвимости есть, причем не только в плагинах, но и в файлах самого движка!
Какие уязвимости?
Уязвимостью здесь я буду называть вывод информации о установленной версии движка или плагина, так как это может значительно упростить взлом блога. Рассмотрим код страницы http://site.com/feed/.
Но такую картинку мы увидим только после удаления уязвимости. А сейчас, если Вы посмотрите исходный код своего фида, то увидите там Вашу версию WordPress.
Когда я заметил эту проблему, начал внимательно просматривать все файлы, где в названии бы употреблялось «rss» или «feed», и был очень удивлен, там не было необходимого для исправления кода! Пришлось скачать все файлы сайта на компьютер и сделать поиск с помощью Notepad++ по всем файлам. Вот так я и обнаружил этот код в файле site.ru/wp-includes/general-template.php, начиная со строки 2227.
Вторая уязвимость находится в популярном плагине «Google XML Sitemaps».
Здесь мне удалось намного быстрее определить файл с уязвимостью: site.ru/wp-content/plugins/google-sitemap-generator/sitemap-core.php, начиная со строки 1684.
Как решить проблемы?
1. Страница Feed. В файле general-template.png заменяем выражения ' . get_bloginfo_rss( 'version' ) . '
и ' . get_bloginfo( 'version' ) . '
. Я, например, заменил на 100500, но поля с ссылками я сделал чуть-чуть другими, дабы не было битых ссылок (может плохо сказаться на отношении ПС к сайту).
Видим в итоге.
Теперь смотрим исходный код страницы фида. Если все сделали строго по инструкции, уязвимость должна исчезнуть.
2. Sitemap.xml. В файле sitemap-core.php заменяем . get_bloginfo('version') . "
и " . $this->GetVersion() . "
, опять же, на произвольные значения.
Итог должен быть примерно таким.
Клип к социальной сети Google+. Если есть желание там общаться, пишите в комментариях, отправлю инвайт.
День добрый. Вопрос. Вы сказали, что изменения могут плохо сказаться на отношения поисковиков к сайту. Комбинация цифр имеет какое-либо значение? Или цифры любые?
А конкретно, после того как вы у себя провели эти изменения, как к этому отнеслись Яндекс и Гугл?
И еще один вопрос: Существует ли плагин который сканирует сайт на наличие битых ссылок и если да, то как он называется?
Здравствуйте.
Дмитрий, просто сделайте все так же, как и у меня на скрине.
Поисковики к этим изменениям никак не отнеслись, то есть значимых изменений я не заметил. Для поиска битых ссылок рекомендую пользоваться Xenu.
Комбинация цифр не имеет никакого значения, это число взято просто из воздуха, так скажем.
Еще один вопрос. После обновления WordPress необходимо по новой делать эти изменения?
После обновления зайдите на страницу site.ru/feed/. Откройте исходный код. Если там присутствует информация о текущей версии WordPress, а не та информация, на которую вы заменили при изменениях, то надо делать все снова. Иначе — нет.
Спасибо, все понятно. Много для себя полезного почерпнул на вашем сайте. Подписываюсь на обновления.
Добрый день. У меня к вам очередной вопрос. По той ссылке, что вы дали, я перешел, программу Xenu скачал, просканировал сайт на наличие «битых ссылок» — их много, но как их удалить с сайта? Вот в чем вопрос! Неужели вручную сидеть, перебирать и каким образом? На сайте, где я скачал эту программу, ни слова об удалении этих ссылок.
Спасибо.
Дмитрий, битые ссылки удаляются вручную. Можете написать мне, посмотрю что там за проблемы.