该漏洞已记录在案here。根据分支第190行/ 2.8 / wp-login.php - a 1-line replace中的文档here,该补丁应该是the new patch should look this (check line 118) - 我的问题是 - 这个补丁是否足够?如果没有,有什么建议吗?
答案 0 :(得分:2)
根据我的理解,补丁关闭了那个特定的洞。但是,我管理的每个WP站点上的另一个基本安全措施是删除“admin”用户,理想情况下,任何用户的用户名都不会与其显示名称相同。这使得安全性加倍,因为坏人必须猜测用户名,并找出破解密码的方法。
通过搜索WordPress +安全性,您可以找到许多额外的安全措施,但我一直坚持改变用户名,更改安装时的db表名和基本权限。到目前为止,这种方法运行良好,在WP升级期间没有必要进行大量额外的维护,这些措施需要更强烈的安全措施。
答案 1 :(得分:0)
是的,这是Wordpress漏洞的一个非常好的补丁。
if ( empty( $key ) || is_array( $key ) )
return new WP_Error('invalid_key', __('Invalid key'));
这不是SQL注入,如果是,那么你可以转储整个用户表。改变你的名字不是一个很好的安全措施。保持代码最新是你必须经常做的,否则你将被黑客攻击。