Надпись “Achtung! XSS attack?” при входе в админку

Вот это — "Achtung! XSS attack? Confirm transition: /wp-login.php?redirect_to=%2Fwp-admin%2F" мне выдает блог когда я захожу на wp-admin. Раньше такого никогда не было, версия блога — 2.3.2, плагин Anti-XSS attack закачен, только вот не помню активирован или нет:( Последний раз был в админке блога недели три назад.
Подскажите, пожалуйста, что это есть и что с этим делать?

Это защита от XSS2 См. http://maxsite.org/anti-xss-attack Собственно его задача предотвращать входы в админку "снаружи" с каким бы то ни было параметрами.

Попробуйте зайти через /wp-login.php или /wp-admin/. Если не получится, просто удалите плагин через ftp.

Кстати, путаницы с www / без www нет?

www никогда не использую, попробовал через wp-login — получилось, спасибо! Только вот непонятно, почему выскакивало это предупреждение, ведь я ничего не менял? Всегда заходил через wp-admin. Или была попытка XSS-атаки на блог?

Вы заходили по ссылке "/wp-login.php?redirect_to=%2Fwp-admin%2F", сохраненной где-то в фаворитах? Если да, то плагин увидел отсутствие своего домена в реферере, наличие GET-параметров и "wp-admin" в url и, не разобравшись, что эти волшебные буквы не в пути, а в параметре, поднял панику. Это, конечно, можно считать глюком. Но в этом деле, как по мне, лучше перебдеть. 😀

Да нет, я заходил по blog.ru/wp-admin, всегда так захожу.

При редиректе с /wp-admin/ на wp-login.php реферера в запросе нет. Остальное я описал выше.

Кстати, надо бы подправить в плагине это место. Спасибо, что обратили на это внимание.

Можно строку
if (strpos($_SERVER[‘REQUEST_URI’], ‘wp-admin’) === false ) return;
заменить на
if (strpos($_SERVER[‘REQUEST_URI’], ‘/wp-admin/‘) === false ) return;

Спасибо!

Добрый день! Я новичок.Помогите, пожалуйста. Я установила WordPress-2.5.1-ru_RU скачав у Вас (спасибо!!).Потом загрузила пару фото на сайт. Прошел день и при входе в панель администрирвоания читаю без удовольствия запись "Achtung! XSS attack? Confirm transition:(извините за ошибки) и далее предложение потвердить и адрес страницы рage.php и номер изображения. я переустановила пару раз WP проблема исчезла но при активации плагина хss защита -возникла вновь ( но отсылает в другие места) . Подскажите что это? Где мне прочитать как редактировать мои файлы (есть что-то вроде учебника)-рage.php в том числе. Как-то я растерялась. Подскажите, пожалуйста,я благодарю Вас.

Нина, для wp 25 скачайте отсюда плагин anti XSS attack
http://mywordpress.ru/plugins/anti-xss-attack/
(это тот же самый + строчки исправления для ВП 2.5, которые Ю.Б. в одном из топиков форума написал)
Кстати, Юрий Дмитриевич, может выложишь у себя новую версию плагина, а то Макс вроде как ВП больше не интересуется

Я подумаю 🙂

Это защита от XSS2 См. http://maxsite.org/anti-xss-attack Собственно его задача предотвращать входы в админку "снаружи" с каким бы то ни было параметрами.

Попробуйте зайти через /wp-login.php или /wp-admin/. Если не получится, просто удалите плагин через ftp.

Кстати, путаницы с www / без www нет?

Да. Через /wp-login.php входит без проблем. Но, не могу понять одного. Почему-то после такого входа исчезли кнопки стилей комментариев. Кнопки ЖИРНЫЙ, КУРСОР и другие рядом с ними. Может что-то с плагином quicktags-plus? Интересно.

Anonymous
Отправить
Ответ на: