В WordPress-плагине wpDiscuz, который установлен на более чем 80 тысячах сайтов, выявлена опасная уязвимость, позволяющая без аутентификации загрузить любой файл на сервер. В том числе можно загрузить PHP-файлы и добиться выполнения своего кода на сервере. Проблеме подвержены версии с 7.0.0 по 7.0.4 включительно. Уязвимость устранена в выпуске 7.0.5...Подробнее: https://www.opennet.dev/opennews/art.shtml?num=53477
Насколько я помню из своего опыта работы с вордпресс, в нем каждый второй плагин такой.
wp - самый активный запрос на серваках для пробития дыр
одни и те же уязвимости, когда ещё в нулевых загружали на форумы аватарки с php-кодом.
Обучаемость - это не про пыхеров.
Дело не в обучаемости. Многие просто не понимают а что такого. Ну возникнет проблема, будем фиксить, главное что работает!
"при выполнении PHP-файлов интерпретатор игнорирует все части вне блоков "<?php""Гупость написали :)
Вне этих блоков содержимое выводится в STDOUT.
Да еще и короткая форма <? прижилась.
> Вне этих блоков содержимое выводится в STDOUTКак будто это помешает выполнить код внутри блока.
С такой особенности пыхи даже я только что офигел. Когда впервые мне показали пыху ещё в школе, я спросил "что это за кусок?". Чуйка моей пятой точки ещё ни разу не подводила меня.
Никогда такого не было и вот опять.
В старом анекдоте была такая фраза "евреи не жалейте заварки".Стоит на сайт выделить чуть больший бюджет и сайт можно будет сделать не на WP а на Битрикс - в котором уже есть модуль "Проактивная защита" который физически не допустит подобных ситуаций. Кроме того Битрикс вообще как правило не нуждается в сторонних плагинах - всё нужное есть из коробки.
Итог: жадность порождает бедность!
> на БитриксТонко. Зачот.
Торгует им или кодит на нем.
Лавры Шерлока Холмса Вам не по плечу :)1. Не торгую (моя работа вообще с IT или Web-ом не связана.
2. Не программист ни разу, сайты не делаю.
Но у меня сайт на Битрикс (хобби для души - без какой-либо монетизации, рекламы, услуг и т.п.) про хрюш которых я люблю искренне и бескорыстно :)
Но я немного разбираюсь в "технологиях" и стараюсь быть в теме чтобы грамотно ТЗ уметь составлять.
Вроде бы получается - во всяком случае мой сайт ("тяжёлой" версии Эксперт плюс добавленный сложный функционал под капотом который снаружи не виден, но помогает мне в работе с сайтом) "быстрее" чем большинство сайтов на WP.
Можете сами проверить: https://www.babai.ru
Раз не программист, тогда и нечего рассуждать.По качеству кода Битрикс находится под тем же плинтусом, рядом с вордпрессом.
Снобизм свой поумерить не хотите ?Да, не программист но хостмастером себя назвать вполне могу :)
Ну скажем в докaзательствльство:
Возьмём к примеру лучший сервис проверки tls - immuniweb (раньше назывался htbridge).
https://www.immuniweb.com/ssl/#about
"The following security experts helped us improve this free product:"
Первым в списке ваш покорный слуга :)
Прикольные истории для малышков у вас. :)
https://www.babai.ru/video/ видео не открываются. FF 78.0.2
1. Спасибо :) Вы сказки имеете ввиду ?2. Странно - проверил - показывает в 79-ом. Может глюк какой у Ютуба ?
Этот ваш битрикс никому кроме пары стран не нужОн. И даже если заказчик с одной из них, то ему понадобится не "чуть больший бюджет", а намного больший (пишу как человек, работающий с этим всем)."как правило не нуждается в сторонних плагинах" - это также относится в категории "чуть больший бюджет". Там, где в вп можно поставить плагин и не заморачиваться, в бх зачастую придется искать прогера, который впилит этот функционал, или опять же покупать модуль (далеко не факт, что таковой найдется).
Никоим образом не защищаю вп, но предлагать бх как альтернативу, такое себе. Аксиома Эскобара в общем.
>Там, где в вп можно поставить плагинНу а потом что удивляться тому что взломали ?
Я же писал выше - жадность порождает бедность :)
Вы пропустили последнее слово "вокруг".
> даже если заказчик с одной из них, то ему понадобится не "чуть больший бюджет",
> а намного большийне будь лохом, найми исполнителя с другой из них - там по 500 ре работают и благодарят еще.
Полностью поддерживаю. Битрикс - это лучшее что доступно для разработки сайтов.
Ну если у вас пошли такие "предложения", то упомяну TYPO3 -- оно не только поспорит с битриксом, а и свободное.
Михаил, вот от вас я не ожидал такого пиара CMS на PHP+MySQL, ведь это принципиально неправильная архитектура для CMS, пихать в СУБД всё подряд, а потом мучительно оптимизировать и кэшировать - это просто извращения и перверсия, по 10 раз сериализировать данные просто чтобы тупо отдать их через http - неужели вы такое поддерживаете, Михаил?
Сравнивают две CMS на PHP+[My]SQL, упомянул третью; Вы точно так же вправе назвать любой другой вариант, который считаете красивым и оптимальным, желательно по опыту. :)Мне TYPO3 была вполне симпатична как проект, когда занимался созданием и поддержкой сайтов около osdn.org.ua (да, можно делать статическую вёрстку или статическую генерацию и при слэшдот-эффекте ровно это и спасло; только поддерживать такое я не был готов даже в две руки). Это было лет пятнадцать-десять назад.
Сейчас предпочитаю с такими задачами обращаться к тогдашнему коллеге по участию в тех же переводах и исправлениях -- Валере Романчеву; его ttlab продолжил заниматься именно CMS и сайтостроением. (2 ыы: вот _теперь_ самое время подскакивать и повизгивать про пиар, а мы похлопаем :)
И что характерно, CMS всё так же развивается и работает.
Питоньи фреймворки и CMS "не зашли" (хотя это у меня, а тот же NauDoc представлял из себя "цельнодраный Plone", по словам cray@, который одно время тащил это всё в альте и перетаскивал на новые питоны).
Java-вые -- тоже (особенно с учётом того, что довольно долго *.linux.kiev.ua, включая ftp, www и lists, крутились вообще на одном Duron 800/512М с аккуратно разведённой кучкой дисков и vserver/ovz); хотя контакты с ребятами, которые умеют готовить ту же Alfresco, где-то наверняка остались.
PS re #24: а как у 1С с эльбрусами? (я-то знаю, как -- с Пухом вместе ещё "Ломоносова" строили, но раз набежали с козырей -- извольте)
Собирался ставить Друпал - он норм?
Хотел всё это подружить в ЛДАПом, но как-то оказалось пока чересчур мудрёно
Как typo3 с кассами и эквайрингом?
У битрикса в комплекте идет.
Интеграции с crm и учетными системами?
>Интеграции с crm и учетными системами?Самое главное - с 1С. Если этого нет, то рассматривать нельзя.
С какими такими кассами? Typo3 - это международный проект, если что. С чего бы местечковая российская специфика там должна быть в комплекте?Плагины для всяких там Paypal-ов и всяких Zoho CRM конечно есть.
>Битрикс - это лучшее что доступно для разработки сайтов.Нет. Лучшее - это прямые руки и фреймворк. Пусть и на пыхе.
> Кроме того Битрикс вообще как правило не нуждается в сторонних плагинах - всё нужное есть из
> коробки.ага, вот например тут речь шла о плагине для более-менее полноценного форума, где видно кто кому отвечал и о чем.
А что есть форум "из коробки" в битриксе, кроме дерьма на палочке? ОТОЖ. Причем форум не комментарий, и комментарий не форум - комментарии битрикса отдельны для каждого модуля (для некоторых их нет вообще) и каждый имеет свой нескучный интерфейс и убогую кастрированную функциональность, еще слабее чем их дерьмофорум.
При этом скока-скока захочет не безнадежно косорукий битриксопейсатель про заек, чтобы это все хоть как-то похоже было на работающее?
1. Форум есть в Битриксе (функционал конечно так себе - Вы правы).2. Если хочется нормальный форум то платить придётся как в WP так и в Битриксе.
3. Общий смысл моего поста Вы прекрасно поняли - если не пожалеть средств то из Битрикса можно сделать конфетку, а из WP никогда ибо суть его в сторонних плагинах.
> Общий смысл моего поста Вы прекрасно поняли - если не пожалеть средств то из Битрикса можно
> сделать конфеткуну дык дать деньгов wp-разработчику - тоже самое и будет. И может даже дешевле (хотя и неочевидно).
Может даже какой waf хоть на базе mod_security тебе поставит (чему доверия все же поболее битриксового встроенного и на пехепе).
А собирая из готовых модулей без ансамбля и не понимая как они работают - ну, получаешь что получаешь, затобесплатное.
Ну вот мы с Вами и сошлись во мнениях !Просто из "коробки" Битрикс:
А) Для "обычной" работы сайта не требует плагинов
Б) С включённым по умолчанию модулем "Проактивная защита" уже безопаснее чем WP.Разумеется спец может и там и там настроить грамотно. К примеру у меня Битрикс но Проактивная защита отключена и стоит mod_security, но повторюсь для "обычных" владельцев "обычных" сайтов Битрикс намного надёжнее чем WP что и подтверждает эта новость которую мы обсуждаем.
🤮Все кого знаю из пользователей Битрикса так же хотели "заплатить и забыть". В итоге через время все (именно все) жалели о потраченных деньгах.
Половина наняла толкового разработчика или команду, и переписали свои сервисы на нормальных фреймворках. Остальные довольствовалась тем что получили, изредка доплачивая 100500 деревянных за мелкие доработки, тогда как при нормальной разработке на нормальных продуктах эти же правки стоили бы копейки и буквально минуты времени программистов и прочих верстальщиков (есть десятки примеров из личного опыта).Ах, да. Ещё разработка сайта на битриксе в студиях обойдется не дешевле, а то и дороже, и качество будет очень сомнительное. Так как в студиях часто нет компетентных разработчиков, ибо в Битриксом нормальные программисты не хотят связываться, а если связываются, то только за доплату 100500 тех же деревянных денег.
Либо:1. Все ваши знакомые владеют проектами с посещаемостью сотни тысяч в день.
2. Но скорее всего не умеют искать нормальных исполнителей / составлять нормальное ТЗ / жадные до расходов на программистов.
Да, Битрикс надо уметь готовить. Но я же писал не об этом - Битрикс вот прямо из коробки без сторонних плагинов намного функциональное чем WP (тоже без сторонних плагинов) и соответственно и намного безопаснее - что данная новость и подтверждает!
Хмм. Имел опыт в оптимизации плагина (разрабатывал его не я) для последующей публикации на wordpress.org, так их ревьюеры такую простыню по безопасности выкатили: и ввод чисть, и права на доступ к этому функционалу проверяй, и еще много чего другого. И все это через стандартный функционал вп. Проверяют же плагины, а все равно вп - решeто в плане безопасности.
Зачем вообще пользовательские файлы смешивать с кодом сайта (код сайта пропускается через интерпретатор, а пользовательские данные вообще обрабатываться не должны, а должны просто отдаваться с минимальным оверхедом)?
> Зачем вообще пользовательские файлы смешивать с кодом сайтадля дерьмохостингов, у которых вообще все файлы - "код сайта".
Отдельными настройками "тут играем, тут рыбу заворачивали" - никто париться не будет, все равно типовому юзеру не поможет.
.htaccess, не?
полож на место имя моей аватарки!
Никогда не было и вот опять
как в wordpress запретить показывать какие плагины используются?
Никак.
я правильно понимаю что там небинарные php-файлы, которые можно изменять по своему усмотрению? или там настолько анальная лицензия что за админом смотрит party van?
Правильно понимаете. Всё открыто, можете редактировать что угодно на своё усмотрение.
Не использовать wordpress?
Или зашифровать вообще всё
Хахаха, классика котссигаретой.джпг
Это да. Сам движок если и появляется какая то уязвииость фиксится в считанные минуты, а вот плагины это отдельная история
Жопаболь блоггеров?
"Уязвимость вызвана недоработкой в коде проверки загружаемых типов файлов, используемом для прикрепления изображений к комментариям."А кто-нибудь подскажет зачем таким файлам права на исполнение? ведь если он с 644, то интерпретатор его не должен выполнять вне зависимости от его содержимого.
> если он с 644, то интерпретатор его не должен выполнятьЭто же пыхпых...
> ведь если он с 644, то интерпретатор его не должен выполнятьА это и не интерпретатор, это препроцессор гипертекста. Так что выполняет всё подряд.
"Сколько лет служу, а <s>пароль</s>проблема не меняется"ЧСХ, быд..сообщество ПХП отвергло инициативу P++ год назад.
Да сколько уже дыр в этих плагинах, теперь по каждому новость писать?