Hacket igen

Så blev min blog hacket igen. Nogen har fundet en måde at ændre mit brugernavn på; igen må der være tale om et SQL-injektionsangreb. For dem, der ikke ved hvad det er, er forklaringen denne: Siderne på denne blog bliver lavet, når de bliver kaldt. Det program, der laver siderne, er skrevet i scriptingsproget PHP, og det benytter de oplysninger om bloggen, der ligger i dens SQL-database. Det er bl.a. oplysninger om brugernavne (herunder mit brugernavn, som jeg bruger til at logge på med for at skrive og redigere i indlæg). I hvert fald nogle af PHP-funktionerne skal kunne kaldes direkte fra adresselinjen i en browser; det er bl.a. det, der sker, når man besøger bloggen. WordPress-koden er open source, dvs. alle kan se hvordan bloggens software er implementeret. Hvis man er tilstrækkeligt ihærdig, og hvis der er en fejl i softwaren (og/eller et sikkerhedshul i databasen) kan man derfor misbruge de PHP-funktioner, der findes, til at rette i databasen.

Som man vil kunne se, var fejlen nem at rette. Men træls, det var det. Og det føles som om nogen har været inde og rode i mine private “papirer”. Heldigvis er en ny WordPress-udgave lige på trapperne; den er sikkert også fyldt med nye og bedre fejl.

(Visited 42 times, 1 visits today)
Loading Facebook Comments ...

Skriv et svar