home
31 May 2009 - By Ahmet Kakıcı

WordPress All in One SEO Pack XSRF açığını kapatma

Bugün friendfeed’de Onur Yılmaz’ın yazdığı mesajı görünce biraz panik yaptım. Çünkü All in One SEO Pack eklentisini ben de kullanıyorum. WordPress fonksiyonlarıyla çok fazla içli dışlı olmadığımdan dolayı hemen WordPress Codex sayfasına gidip kullanabileceğim bir kaç fonksiyon aradım ve sanırım aradığımı da buldum. Kendi bilgisayarımda denedim ve herhangi bir sorun ile karşılaşmadım.

Lafı fazla uzatmadan bu açığı nasıl kapatacağımıza bakalım.Sunucunuzda wordpress’in kurulu olduğu dizini açın ve aşağıdaki dosyaya kadar ilerleyin

wp-content/plugins/all_in_one_seo_pack/all_in_one_seo_pack.php

Dosyayı açıp aşağıdaki satırı bulun:

if ($_POST['action'] && $_POST['action'] == ‘aiosp_update’) { 

Bu satırın hemen altına aşağıdaki satırı ekleyin:

if (! wp_verify_nonce($nonce, ’seo-nonce’) ) die(’Dikkat’); 

Benim ‘Dikkat’ yazdığıma bakmayın, istediğiniz hata mesajını girebilisiniz. Daha sonra da form alanına bir nonce alanı ekleyelim. Bunun için de aynı dosyada aşağıdaki satırı bulun:

<input type=”hidden” name=”action” value=”aiosp_update” />

ve hemen altına şu satırı eklemeniz ile işlem tamamlanacaktır:

<input type=”hidden” name=”seo-nonce-input” value=”<?php echo wp_create_nonce(’seo-nonce’); ?>”> 

Eğer amacımıza ulaşamadıysak haber verin biraz daha kurcalayalım.

post tags: Wordpressxsrf