RiverVanRain
Хороший парень MustLive очередной раз
намекает на безусловную возможность подбора пароля при использовании XML-RPC функции на сайте с двигом WP.
Эта хня по дефолту вырублена в Вп, начиная с версии 2.6 (т.к. были кучи уязвимостей, связанных с SQL-inj), но некоторые используют данную фичу удобства ради.
Например, постинг в блог через сторонние сервисы, с использованием "POSTилок" (программ для удаленного постинга напрямую с компа в блог), при запланированном постинге etc
Всем владельцам блогов на WP ахтунг! При вкл. XML-RPC ваш рес подвержен бруту, благодаря которому подобрать ваш суперский 12345-пароль от входа в консоль не составит особого труда.
Уязвимы все ВеПе, включая последний билд WordPress 3.3.1.
Окромя этой баги, имеется еще пару вариантов (BF атака, подбор печенек), чтобы проникнуть в кишки вашего сайта.
Актуально тем, кто до сих пор не может понять, как пробирается спам в комменты или лезут твари со своими ифреймами.
Оффтопик: [AD] Продам красивую, кастомизированную, чистую (без evil, base64 кода) тему для вашего блога. Ништяково смотрится на блогах с картинками. Демо тута. Вместе с доменом $15