Host Header Injection Fix

Включает настраиваемые заголовки для уведомлений по электронной почте WP. Также исправление безопасности «установи и забудь» для WP <5.5. Важно! Начиная с WordPress 5.5, этот плагин больше не требуется для исправления проблемы безопасности заголовка хоста, о которой сообщалось в заявке № 25239, наконец, исправлена, и упоминается в этом посте WordPress 5.5 Beta 4. Спасибо разработчикам WordPress! Этот плагин все еще полезен? Да, он позволяет вам выбирать заголовки «От», «Имя» и «Обратный путь» для всех электронных писем с уведомлениями WP. А для версий WordPress ниже 5.5 этот плагин продолжает исправлять проблему безопасности внедрения заголовка хоста. Возможности Этот простой плагин выполняет три функции: Устанавливает пользовательские параметры From, Name и Return-Path для уведомлений WP. Исправляет уязвимость в системе безопасности в версиях WordPress <5.5. следующие параметры: Использовать настройки WordPress по умолчанию (небезопасно для WP <5.5). Использовать «Адрес электронной почты» из общих настроек WP. Использовать собственное имя и адрес. Кроме того, есть возможность использовать указанный адрес «От» в качестве заголовка «Обратный путь». Почему? Проблема безопасности, устраняемая этим плагином, была известна еще в WordPress версии 2.3. Были разговоры об исправлении, но ничего не было реализовано. Хотя проблема не затрагивает все сайты, она затрагивает значительный процент из них, включая некоторые из моих собственных проектов. Поэтому, не желая быть взломанным, я решил написать собственное решение. Надеюсь, эта проблема будет исправлена в будущей версии WordPress, и этот плагин станет ненужным. В качестве бонуса установка явного адреса «От» решает давнюю ошибку, из-за которой недействительный адрес электронной почты создается при следующих условиях: адрес «От» не установлен, а $ _SERVER ['SERVER_NAME'] пуст. установив адрес «От», мы предотвратим появление этой ошибки. Проблема безопасности Какую проблему безопасности решает этот плагин? Ниже приводится краткое изложение. Чтобы узнать больше, ознакомьтесь с ресурсами, указанными в следующем разделе. WordPress использует $ _SERVER ['SERVER_NAME'] для установки заголовка «От» в уведомлениях по электронной почте. Это включает конфиденциальные уведомления по электронной почте, такие как сброс пароля и регистрация пользователя. В некоторых случаях злоумышленник может изменить заголовок «От» и перехватить электронное письмо. электронной почты, злоумышленник может получить доступ к вашему сайту и нанести ущерб. Дополнительная информация Эта уязвимость системы безопасности хорошо известна и существует уже давно. Чтобы узнать больше, ознакомьтесь со следующими статьями: WP Core Trac Ticket WP Vulnerability Database Exploit Box Info Еще больше информации Конфиденциальность Этот плагин не собирает и не хранит какие-либо пользовательские данные. Он не устанавливает файлы cookie и не подключается к сторонним местоположениям. Таким образом, этот плагин никак не влияет на конфиденциальность пользователей. Поддержка разработки этого плагина Я разрабатываю и поддерживаю этот бесплатный плагин с любовью к сообществу WordPress. Чтобы продемонстрировать поддержку, вы можете сделать пожертвование или приобрести одну из моих книг: The Tao of WordPress Копаться в WordPress. Pro - Автоматическая блокировка плохих ботов Banhammer Pro - Мониторинг трафика и бан плохих парней GA Google Analytics Pro - Подключение WordPress к Google Analytics USP Pro - Неограниченные интерфейсные формы Ссылки, твиты и лайки также приветствуются. Спасибо! 🙂

Автор: Jeff Starr

Версия: 2.4

Последнее обновление: 2021-07-13 9:31pm GMT