Luki w bezpieczenstwie na stronie, http://www.romero.com.pl Opcje

[swiezak]

Witam.
Czy jestescie w stanie zweryfikowac ponizsze uwagi, dotyczace bezpieczenstwa witryny http://www.romero.com.pl ?

Ktos przeslal maila, a w nim takie oto informacje (jest sie czym przejmowac?).



1. http://www.xxx.romero.com.pl

http://www.romero.com.pl/?page_id=-1

2. Sciezka nawigacyjna nie dziala jak nalezy.

Po wybraniu z menu bocznego kategorii "Drobny sprzet masarski", a nastepnie "kloce masarskie i krajalnice" 'breadcrumbs' nie wskazuja niczego, a powinno to sie prezentowac mniej wiecej tak: :: Drobny sprzet masarski :: kloce masarskie i krajalnice.

Ponadto po wyborze kategorii produktow zawsze 'breadcrumbs' wskazuja nazwe produktu pierwszego na liscie, zamiast stosownych nazw kategorii

3. Brak tagow title oraz alt dla wiekszosci grafik umieszczonych na stronie - wplywa to ujemnie na pozycje w wyszukiwarkach.

4. Brak optymalizacji oraz "Leverage browser caching - expiration" dla grafik pochodzacych z templatki - wp-includes/themes/klient/

Przykladowo plik graficzny http://www.romero.com.pl/wp-content/themes...es/menuBtn2.png

powinien byc zoptymalizowany do takiej postaci:

http://gtmetrix.com/reports/romero.com.pl/...8187767ab66.png

5. Strona nie jest w nalezyty sposob zoptymalizowana pod katem wydajnosci - http://gtmetrix.com/reports/romero.com.pl/v1Oa2cNO

6. Brak stosownej informacji, gdy uzytkownik wylaczy obsluge JavaScript w swojej przegladarce.

7. http://www.romero.com.pl/author/admin/

8. site:romero.com.pl/author/admin/

Wyszukiwarka Google zaindeksowala administratora systemu

9. http://www.romero.com.pl/wp-includes/themes/klient/page.php

10. Brak poprawnej walidacji HTML, CSS

11. Zbyt latwy dostep do panelu administratora, jak rowniez formularza odzyskiwania hasla.

Dopisujac do nazwy domeny wp-admin naszym oczom ukazuje sie formularz, ktory moze stac sie w latwy sposob celem atakow typu Brute Force.
Ponadto mozna przy uzyciu skanera exploitow dokonywac zmian w adresie url, co w konsekwencji moze prowadzic do zmian w bazie danych: http://www.romero.com.pl/wp-login.php?acti...amp;login=admin

12. Brak odpowiednich wpisow w pliku .htaccess, blokujacych potencjalnie niebezpieczne boty.

13. Nie ma zabezpieczenia kluczowych folderow przed indeksacja - robots.txt, istnieje rowniez mozliwosc dostepu z zewnatrz do katalogu wp-admin.

14. Możliwosc ataku na witryne poprzez cookies sluzace do uwierzytelniania oraz XSS.

15. Atak typu SQL Injection jest mozliwy - http://www.romero.com.pl/?page_id=-1 union select 1,2,3,4,5,6,group_concat(user_login,----,user_pass),7,8,9,10,11,12,13,14,15,16,17,18,19,20,21,22,23,24,25,262,7,28,29,30
,31,32,33,34,35,36,37,38,39,40 from wp_users

16. Brak blokady dla katalogu skorek: http://romero.com.pl/wp-content/themes/klient/

17. Po instalacji CMS Wordpress nie wykasowano nastepujacych plikow:

http://www.romero.com.pl/license.txt
http://www.romero.com.pl/readme.html

18. Nie ma blokady dla katalogu wp-includes, mozna wyswietlic zawartosc dokumentu:

http://www.romero.com.pl/wp-includes/version.php

19. Zainstalowane wtyczki sa nieaktualne, jak rowniez sam CMS Wordpress. W tej chwili na serwerze jest zainstalowana wersja 3.7.3 (http://www.romero.com.pl/readme.html), podczas gdy aktualnie obowiazuje wersja 3.9.1.

[Pyton_000]

Za audyty się płaci grube pieniążki

[Contritio]

Cóż, firmy próbują w ten sposób zarobić, wyhaczają błedy i starają się zyskać klienta To niczym politycy w rzadzie, jedni drugim błędy wytykają by zyskać władze. Tak jak kolega napisał wyżej, trzeba za to grube pieniązki zapłacić

[tzm]

No to może zamiast popierać rządy które chcą tylko władzy wyjdźcie im na przeciw i róbcie darmowe audyty? Usługa za usługę np? Szybciej klienta zdobędziecie a korzyści też mogą być ciekawe.

[Pyton_000]

No to rób.