forum.opennet.ru - "Критические уязвимости в WordPress-плагинах, имеющих более 4..." (55)

"Критические уязвимости в WordPress-плагинах, имеющих более 4..."

Форум Разговоры, обсуждение новостей
Вариант для распечатки		Пред. тема \| След. тема
Изначальное сообщение		[ Отслеживать ]

"Критические уязвимости в WordPress-плагинах, имеющих более 4..."	+1 +/–
Сообщение от opennews (??), 18-Янв-20, 12:44
В трех популярных плагинах для системы управления web-контентом WordPress, насчитывающих более 400 тысяч установок, выявлены критические уязвимости:... Подробнее: https://www.opennet.dev/opennews/art.shtml?num=52207
Ответить \| Правка \| Cообщить модератору

Оглавление

первый раз про них слышу похоже, мне повезло на этот раз , Аноним (1), 12:44 , 18-Янв-20, (1) +5

Полон опасностей вордпрессомирок , Аноним (33), 20:16 , 18-Янв-20, (33) +2

закрываешь инет для виртуалки с вордпрессом, изменения на запись в ФС - только ч, XXX (??), 05:30 , 19-Янв-20, (45) –1

да легко например, если ломануть админа, можно отредактироват статьи, напихав в, gogo (?), 14:49 , 19-Янв-20, (47) +2

gogo,как будет dos-bot отсылать запросы если интернет у него отключен разрешены, XXX (??), 03:49 , 24-Янв-20, (56)

gogoа что будет инклюдом запускаться если человек не может ничего записать в , XXX (??), 03:56 , 24-Янв-20, (57)

cms на этом перестает работать, обновление поставить нельзя, в том числе дырявог, пох. (?), 07:13 , 20-Янв-20, (48) +1

, имеющем более 20 тысяч установок позволяет подключиться с правами администрат, Тико (?), 12:46 , 18-Янв-20, (2) +1
Ну так разве ж высококвалифицированный программист станет заниматься написанием , Аноним (3), 12:48 , 18-Янв-20, (3) +5

Да, N (?), 13:25 , 18-Янв-20, (4) +8
Разе любой человек в здравом уме станет использовать Вордпресс О количество ус, Аноним (8), 14:23 , 18-Янв-20, (8) –8

А что вы предлагаете ставить для небольшого быстронастраиваемого сайта , Антон (??), 15:27 , 18-Янв-20, (12) +3

ничего, эти тупоголовые болтуны умеют только болтать фразами, которые бездумно п, дохтурЛол (?), 16:13 , 18-Янв-20, (18) +7

так opencart и magenta это магазины, а битрикс это кучка говнокода на понтах что, Антон (??), 21:22 , 18-Янв-20, (37) +3
О, так ты тот самый тяпляпыч и в продакшн Приятно познакомится , Аноним (39), 23:34 , 18-Янв-20, (39) –2

Хостинг на Тильде же Трясущейся от страха, готовой закрыть проекты за секунду, , Аноним (19), 16:46 , 18-Янв-20, (19) +4
concrete5, Сейд (ok), 17:23 , 18-Янв-20, (22)

ок запомню называние, если в жизни представится случай посмотрю , Антон (??), 21:20 , 18-Янв-20, (36)

Надо бы HR ам нашим сказать, Антонов ни в коем случае не брать , Bx_ (?), 23:53 , 18-Янв-20, (41) –1

Я не специализируюсь на cms на пыхе боже упоси , просто хочу быть в курсе как м, Антон (??), 16:03 , 21-Янв-20, (55)

static html базовый набор тегов - их там максимум десяток будет - освоит любой,, Аноним (23), 17:52 , 18-Янв-20, (23) –1

это все здорово, а потом нужно отдать это пользователю для редактирования Я не з, Антон (??), 21:19 , 18-Янв-20, (35)

https automattic com вот виновник этого - многомилионная коммерческая компания, Аноним (16), 16:06 , 18-Янв-20, (16) –1

высококвалифицированный PHP-программист Такие ваще где-то есть Это возможн, user90 (?), 18:23 , 18-Янв-20, (24) –1

А что помешает высококвалифицированному программисту писать на PHP при необходим, KonstantinB (??), 19:10 , 18-Янв-20, (28) +1

Хех, я даже одного такого знаю Я когда увидел в кроне php, мягко говоря удивилс, Bx_ (?), 00:12 , 19-Янв-20, (42)
Наверное то же самое, что высококвалифицированному комбайнеру использовать газон, Урри (?), 16:20 , 20-Янв-20, (54)

facebook , commiethebeastie (ok), 20:16 , 18-Янв-20, (34)

Последняя вообще зашквар, и PHP тут не причём , Аноним (5), 13:49 , 18-Янв-20, (5) +3

в последнем - это не баг, это - фича , анон (?), 14:17 , 18-Янв-20, (6)

есть слово антифича , Аноним (11), 15:03 , 18-Янв-20, (11)

А недопереконтрантифича слово есть , A.Stahl (ok), 16:11 , 18-Янв-20, (17)

Нет Антифича и так несёт достаточно негативный оттенок Негативнееттолько прямо, Аноним (11), 16:47 , 18-Янв-20, (20)

Классический бекдор, Урри (?), 18:57 , 18-Янв-20, (27) +1

Рили Вот это неожиданность так неожиданность , Аноним (8), 14:21 , 18-Янв-20, (7)

Никогда такого не было, скажи , Урри (?), 18:56 , 18-Янв-20, (26) +1

и вот опять, анан (?), 19:26 , 18-Янв-20, (31) +1

Дали им DjangoCMS - пользуйся Не хочу, хочу pewemo , Аноним (9), 14:25 , 18-Янв-20, (9) –1

там есть конструктор сайтов или крутые темы нет - ну закопайте тогдая для безоп, Аноним (16), 16:02 , 18-Янв-20, (14)

нет, там есть нескучный апи, который ты можешь изучать следующие пол-жизни Ну ил, пох. (?), 01:42 , 19-Янв-20, (44)

Вордпресс хоть и ужасен внутри, но по набору плагинов ничего близкого нет Проще , KonstantinB (??), 19:18 , 18-Янв-20, (29) +2

слова не мальчика, но мужа, Антон (??), 23:14 , 18-Янв-20, (38)

Ну-ну Реализацию можно увидеть Что-то я Антонов , Bx_ (?), 00:22 , 19-Янв-20, (43) +2

если уж что - то и писать на пыхе, то, хотя бы, на основе компонентов какого-ниб, nelson (??), 14:34 , 18-Янв-20, (10)

пиши на том в чем разбираешся на здоровье, Аноним (16), 16:03 , 18-Янв-20, (15)

WP2Static - CDN или хостинг статических файлов - и не волнуют меня ваши уязвимо, Аноним (16), 15:58 , 18-Янв-20, (13) +2

жаль что твои васян-сайты тоже никого не волнуют, даже роботы не заходят , другие васяны (?), 16:57 , 18-Янв-20, (21) +1

400к васян сайтов тоже никому не нужны кроме ботнетов , Аноним (39), 23:34 , 18-Янв-20, (40)

Вот и глянем как боты будут сканить нмших клиентов на эти дыры Потом, если будет, Я (??), 18:54 , 18-Янв-20, (25)
Походу дыры в плагинах вордпресса - мировая константа, типа скорости света, чтол, Аноним (-), 19:23 , 18-Янв-20, (30)
Впервые слышу о таких планинах А ВордПресс рулит 128523 , BlackRot (ok), 19:33 , 18-Янв-20, (32) +2
1 Говнокод можно состряпать любым способом Даже напрямую бинарный гавнокод 2, iCat (ok), 09:38 , 19-Янв-20, (46)

какая, говорите, версия TeX нынче последняя Не зависит от опыта, говорите , пох. (?), 07:16 , 20-Янв-20, (49) –1

Ты готов утверждать о том, что в TeX нет ошибок , iCat (ok), 10:34 , 20-Янв-20, (50) –1

поинтересуйтесь на досуге, как устроена у него нумерация версий у one-true-tex,, пох. (?), 14:31 , 20-Янв-20, (52) –1

Сообщения [Сортировка по времени | RSS]

1. "Критические уязвимости в WordPress-плагинах, имеющих более 4..." +5 +/–

Сообщение от Аноним (1), 18-Янв-20, 12:44

первый раз про них слышу. похоже, мне повезло на этот раз.

Ответить | Правка | Наверх | Cообщить модератору

33. "Критические уязвимости в WordPress-плагинах, имеющих более 4..." +2 +/–

Сообщение от Аноним (33), 18-Янв-20, 20:16

Полон опасностей вордпрессомирок.

Ответить | Правка | Наверх | Cообщить модератору

45. "Критические уязвимости в WordPress-плагинах, имеющих более 4..." –1 +/–

Сообщение от XXX (??), 19-Янв-20, 05:30

закрываешь инет для виртуалки с вордпрессом, изменения на запись в ФС - только через FTP, ставишь запрет на исполнение файлов в директории с uploads. Всё. Пусть пробуют "ломать".

Ответить | Правка | Наверх | Cообщить модератору

47. "Критические уязвимости в WordPress-плагинах, имеющих более 4..." +2 +/–

Сообщение от gogo (?), 19-Янв-20, 14:49

да легко. например, если ломануть админа, можно отредактироват статьи, напихав в них скрытых ссылок на вродоносные сайты. спам. из upload можно инклюдом запускать свой код, например ДОС-ботов.
в общем, фантазия безгранична. в отличте от вашего метода "защиты изоляциией"

Ответить | Правка | Наверх | Cообщить модератору

56. "Критические уязвимости в WordPress-плагинах, имеющих более 4..." +/–

Сообщение от XXX (??), 24-Янв-20, 03:49

> да легко. например, если ломануть админа, можно отредактироват статьи, напихав в них
> скрытых ссылок на вродоносные сайты. спам. из upload можно инклюдом запускать
> свой код, например ДОС-ботов.
> в общем, фантазия безгранична. в отличте от вашего метода "защиты изоляциией"
@gogo,
> инклюдом запускать свой код, например ДОС-ботов
как будет dos-bot отсылать запросы если интернет у него отключен?
разрешены только запросы на вход и на ответы через conntrack. (принцип stateful firewall)
> да легко. например, если ломануть админа
/wp-admin/, wp-login.php закрывается по IP адресу.
>из upload можно инклюдом
Про инклюд понял, здесь согласен. Но разве первые два метода не нивелируют любую пользу от взлома, разве что контент можно отдавать со скрытыми ссылками

Ответить | Правка | Наверх | Cообщить модератору

57. "Критические уязвимости в WordPress-плагинах, имеющих более 4..." +/–

Сообщение от XXX (??), 24-Янв-20, 03:56

@gogo
> из upload можно инклюдом запускать свой код, например ДОС-ботов.
а что будет инклюдом запускаться ? если человек не может ничего записать в ФС (т.к. всё по ФТП)??
а инклюд извне по http запрещён?

Ответить | Правка | Наверх | Cообщить модератору

48. "Критические уязвимости в WordPress-плагинах, имеющих более 4..." +1 +/–

Сообщение от пох. (?), 20-Янв-20, 07:13

> закрываешь инет для виртуалки с вордпрессом, изменения на запись в ФС - только через FTP
cms на этом перестает работать, обновление поставить нельзя, в том числе дырявого плагина, и первая же дырка с include решает проблему исполняемых uploads.
Не говоря уже про sql injections, которые тоже никуда не деваются.
Но твой бложег в безопасносте, Васян!

Ответить | Правка | К родителю #45 | Наверх | Cообщить модератору

2. "Критические уязвимости в WordPress-плагинах, имеющих более 4..." +1 +/–

Сообщение от Тико (?), 18-Янв-20, 12:46

", имеющем более 20 тысяч установок позволяет подключиться с правами администратора без прохождения аутентификации." подключиться к матрице)?

Ответить | Правка | Наверх | Cообщить модератору

3. "Критические уязвимости в WordPress-плагинах, имеющих более 4..." +5 +/–

Сообщение от Аноним (3), 18-Янв-20, 12:48

Ну так разве ж высококвалифицированный программист станет заниматься написанием плагинов для WordPress?

Ответить | Правка | Наверх | Cообщить модератору

4. "Критические уязвимости в WordPress-плагинах, имеющих более 4..." +8 +/–

Сообщение от N (?), 18-Янв-20, 13:25

Да

Ответить | Правка | Наверх | Cообщить модератору

8. "Критические уязвимости в WordPress-плагинах, имеющих более 4..." –8 +/–

Сообщение от Аноним (8), 18-Янв-20, 14:23

Разе любой человек в здравом уме станет использовать Вордпресс? О количество установок лишь показывает процент душевнобольных.

Ответить | Правка | К родителю #3 | Наверх | Cообщить модератору

12. "Критические уязвимости в WordPress-плагинах, имеющих более 4..." +3 +/–

Сообщение от Антон (??), 18-Янв-20, 15:27

А что вы предлагаете ставить для небольшого быстронастраиваемого сайта?

Ответить | Правка | Наверх | Cообщить модератору

18. "Критические уязвимости в WordPress-плагинах, имеющих более 4..." +7 +/–

Сообщение от дохтурЛол (?), 18-Янв-20, 16:13

ничего, эти тупоголовые болтуны умеют только болтать фразами, которые бездумно переняли от других.
вордпресс - отличная открытая платформа, одна из лучших.
плагины к нему - нельзя как-то общо оценить, потому что качество каждого отдельного из них надо рассматривать отдельно.
есть куча прекарсных бесплатных плагинов под вордпресс с качественным кодом, есть ещё большая куча бесплатных плагинов с некачественным кодом, а есть ещё куча платных плагинов, но про них не могу ничего сказать, т.к. ни разу не пользовался.
популярность софта - это очень важный показатель, который очень высоко влияет на качество софта, особенно актуально для софта с открытым кодом и для категорий софта, где есть альтернативы.
альтенатив вордпрессу немного, в общем-то ~4:
1. opencart - сильно менее популярен чем wp;
2. битрикс - не знаю особо про него, но используется в основном на территории бывшего СССР;
3. magenta - это уже не подходит малому бизнесу, это уже сразу для среднего и крупного;
4. кастомные сайты, т.е. писать всё своё, с нуля - дорого, долго, недоступно для малого бизнеса.

Ответить | Правка | Наверх | Cообщить модератору

37. "Критические уязвимости в WordPress-плагинах, имеющих более 4..." +3 +/–

Сообщение от Антон (??), 18-Янв-20, 21:22

так opencart и magenta это магазины, а битрикс это кучка говнокода на понтах чтобы впаривать его богатым заказчикам. Хлеб быдловебстудий.
Альтернатив вордпрессу в вашем списке нет, хотя они безусловно существуют в огромном количестве. october cms всякие.
Но популярность - да, это решает.

Ответить | Правка | Наверх | Cообщить модератору

39. "Критические уязвимости в WordPress-плагинах, имеющих более 4..." –2 +/–

Сообщение от Аноним (39), 18-Янв-20, 23:34

О, так ты тот самый тяпляпыч и в продакшн. Приятно познакомится.

Ответить | Правка | К родителю #18 | Наверх | Cообщить модератору

19. "Критические уязвимости в WordPress-плагинах, имеющих более 4..." +4 +/–

Сообщение от Аноним (19), 18-Янв-20, 16:46

Хостинг на Тильде же! Трясущейся от страха, готовой закрыть проекты за секунду, зато не вордпресс!

Ответить | Правка | К родителю #12 | Наверх | Cообщить модератору

22. "Критические уязвимости в WordPress-плагинах, имеющих более 4..." +/–

Сообщение от Сейд (ok), 18-Янв-20, 17:23

concrete5

Ответить | Правка | К родителю #12 | Наверх | Cообщить модератору

36. "Критические уязвимости в WordPress-плагинах, имеющих более 4..." +/–

Сообщение от Антон (??), 18-Янв-20, 21:20

ок. запомню называние, если в жизни представится случай посмотрю.

Ответить | Правка | Наверх | Cообщить модератору

41. "Критические уязвимости в WordPress-плагинах, имеющих более 4..." –1 +/–

Сообщение от Bx_ (?), 18-Янв-20, 23:53

Надо бы HR'ам нашим сказать, Антонов ни в коем случае не брать.

Ответить | Правка | Наверх | Cообщить модератору

55. "Критические уязвимости в WordPress-плагинах, имеющих более 4..." +/–

Сообщение от Антон (??), 21-Янв-20, 16:03

Я не специализируюсь на cms на пыхе (боже упоси), просто хочу быть в курсе как мимопроходил.

Ответить | Правка | Наверх | Cообщить модератору

23. "Критические уязвимости в WordPress-плагинах, имеющих более 4..." –1 +/–

Сообщение от Аноним (23), 18-Янв-20, 17:52

static html. базовый набор тегов - их там максимум десяток будет - освоит любой, кто не пытается нажимать кнопку мыши в ответ на "press any key".

Ответить | Правка | К родителю #12 | Наверх | Cообщить модератору

35. "Критические уязвимости в WordPress-плагинах, имеющих более 4..." +/–

Сообщение от Антон (??), 18-Янв-20, 21:19

это все здорово, а потом нужно отдать это пользователю для редактирования.
Я не зарабатываю этим на жизнь, но пару-тройку-десяток раз делал сайты для знакомых, на вордпрессе было довольно быстро, единственное что лень было изучать доку чтобы выбросить из шаблона лишнее.
Раньше cmsmadesimple использовал, но оно сдохло.

Ответить | Правка | Наверх | Cообщить модератору

16. "Критические уязвимости в WordPress-плагинах, имеющих более 4..." –1 +/–

Сообщение от Аноним (16), 18-Янв-20, 16:06

https://automattic.com/
вот виновник этого - многомилионная коммерческая компания которая развивает ворпресс и продает хостинг на wordpress.com

Ответить | Правка | К родителю #8 | Наверх | Cообщить модератору

24. "Критические уязвимости в WordPress-плагинах, имеющих более 4..." –1 +/–

Сообщение от user90 (?), 18-Янв-20, 18:23

"высококвалифицированный PHP-программист" ;) Такие ваще где-то есть? Это возможно?

Ответить | Правка | К родителю #3 | Наверх | Cообщить модератору

28. "Критические уязвимости в WordPress-плагинах, имеющих более 4..." +1 +/–

Сообщение от KonstantinB (??), 18-Янв-20, 19:10

А что помешает высококвалифицированному программисту писать на PHP при необходимости? Другое дело, что это будет не PHP-программист, а просто программист.

Ответить | Правка | Наверх | Cообщить модератору

42. "Критические уязвимости в WordPress-плагинах, имеющих более 4..." +/–

Сообщение от Bx_ (?), 19-Янв-20, 00:12

Хех, я даже одного такого знаю. Я когда увидел в кроне php, мягко говоря удивился, ан нет - "мне так удобно". И, ведь, б!"№;%:, я бы лучше не сделал.

Ответить | Правка | Наверх | Cообщить модератору

54. "Критические уязвимости в WordPress-плагинах, имеющих более 4..." +/–

Сообщение от Урри (?), 20-Янв-20, 16:20

Наверное то же самое, что высококвалифицированному комбайнеру использовать газонокосилку?

Ответить | Правка | К родителю #28 | Наверх | Cообщить модератору

34. "Критические уязвимости в WordPress-плагинах, имеющих более 4..." +/–

Сообщение от commiethebeastie (ok), 18-Янв-20, 20:16

facebook?

Ответить | Правка | К родителю #24 | Наверх | Cообщить модератору

5. "Критические уязвимости в WordPress-плагинах, имеющих более 4..." +3 +/–

Сообщение от Аноним (5), 18-Янв-20, 13:49

Последняя вообще зашквар, и PHP тут не причём.

Ответить | Правка | Наверх | Cообщить модератору

6. "Критические уязвимости в WordPress-плагинах, имеющих более 4..." +/–

Сообщение от анон (?), 18-Янв-20, 14:17

в последнем - это не баг, это - фича.

Ответить | Правка | Наверх | Cообщить модератору

11. "Критические уязвимости в WordPress-плагинах, имеющих более 4..." +/–

Сообщение от Аноним (11), 18-Янв-20, 15:03

есть слово "антифича".

Ответить | Правка | Наверх | Cообщить модератору

17. "Критические уязвимости в WordPress-плагинах, имеющих более 4..." +/–

Сообщение от A.Stahl (ok), 18-Янв-20, 16:11

А "недопереконтрантифича" слово есть?

Ответить | Правка | Наверх | Cообщить модератору

20. "Критические уязвимости в WordPress-плагинах, имеющих более 4..." +/–

Сообщение от Аноним (11), 18-Янв-20, 16:47

Нет. Антифича и так несёт достаточно негативный оттенок. Негативнееттолько прямо сказать "бекдор".

Ответить | Правка | Наверх | Cообщить модератору

27. "Критические уязвимости в WordPress-плагинах, имеющих более 4..." +1 +/–

Сообщение от Урри (?), 18-Янв-20, 18:57

Классический бекдор

Ответить | Правка | К родителю #6 | Наверх | Cообщить модератору

7. "Критические уязвимости в WordPress-плагинах, имеющих более 4..." +/–

Сообщение от Аноним (8), 18-Янв-20, 14:21

Рили? Вот это неожиданность так неожиданность.

Ответить | Правка | Наверх | Cообщить модератору

26. "Критические уязвимости в WordPress-плагинах, имеющих более 4..." +1 +/–

Сообщение от Урри (?), 18-Янв-20, 18:56

Никогда такого не было, скажи?

Ответить | Правка | Наверх | Cообщить модератору

31. "Критические уязвимости в WordPress-плагинах, имеющих более 4..." +1 +/–

Сообщение от анан (?), 18-Янв-20, 19:26

и вот опять

Ответить | Правка | Наверх | Cообщить модератору

9. "Критические уязвимости в WordPress-плагинах, имеющих более 4..." –1 +/–

Сообщение от Аноним (9), 18-Янв-20, 14:25

Дали им DjangoCMS - пользуйся! Не хочу, хочу pewemo.

Ответить | Правка | Наверх | Cообщить модератору

14. "Критические уязвимости в WordPress-плагинах, имеющих более 4..." +/–

Сообщение от Аноним (16), 18-Янв-20, 16:02

там есть конструктор сайтов или крутые темы? нет - ну закопайте тогда
я для безопасности придумали JAM stack, который уже давно используют (https://jamstack.wtf/)
в том числе и для wordpress headless

Ответить | Правка | Наверх | Cообщить модератору

44. "Критические уязвимости в WordPress-плагинах, имеющих более 4..." +/–

Сообщение от пох. (?), 19-Янв-20, 01:42

нет, там есть нескучный апи, который ты можешь изучать следующие пол-жизни.
Ну или готовые поделки НА этом фреймворке - теперь еще пол-жизни ты можешь изучать отдельный апи самой поделки.

Ответить | Правка | Наверх | Cообщить модератору

29. "Критические уязвимости в WordPress-плагинах, имеющих более 4..." +2 +/–

Сообщение от KonstantinB (??), 18-Янв-20, 19:18

Вордпресс хоть и ужасен внутри, но по набору плагинов ничего близкого нет.
Проще поставить вордпресс и дать его копирайтерам с сеошниками, чем заниматься написанием всякой контентно-сеошной ерунды вместо занятия важными вещами.
Вопрос безопасности решается, на самом деле, довольно просто: для пейсателей поднимается контейнер, который напрямую не торчит в интернет, а в продакшен идет readonly-копия контейнера, который изолирован от остальных частей проекта и ограничен в правах по самое мяу. Синхронизируется по крону или кнопочке.

Ответить | Правка | К родителю #9 | Наверх | Cообщить модератору

38. "Критические уязвимости в WordPress-плагинах, имеющих более 4..." +/–

Сообщение от Антон (??), 18-Янв-20, 23:14

слова не мальчика, но мужа

Ответить | Правка | Наверх | Cообщить модератору

43. "Критические уязвимости в WordPress-плагинах, имеющих более 4..." +2 +/–

Сообщение от Bx_ (?), 19-Янв-20, 00:22

Ну-ну. Реализацию можно увидеть? Что-то я Антонов ...

Ответить | Правка | Наверх | Cообщить модератору

10. "Критические уязвимости в WordPress-плагинах, имеющих более 4..." +/–

Сообщение от nelson (??), 18-Янв-20, 14:34

если уж что - то и писать на пыхе, то, хотя бы, на основе компонентов какого-нибудь Symfony, но WP - это вообще за гранью добра и зла

Ответить | Правка | Наверх | Cообщить модератору

15. "Критические уязвимости в WordPress-плагинах, имеющих более 4..." +/–

Сообщение от Аноним (16), 18-Янв-20, 16:03

пиши на том в чем разбираешся на здоровье

Ответить | Правка | Наверх | Cообщить модератору

13. "Критические уязвимости в WordPress-плагинах, имеющих более 4..." +2 +/–

Сообщение от Аноним (16), 18-Янв-20, 15:58

WP2Static -> CDN или хостинг статических файлов - и не волнуют меня ваши уязвимости, ломайте html сколько влезет

Ответить | Правка | Наверх | Cообщить модератору

21. "Критические уязвимости в WordPress-плагинах, имеющих более 4..." +1 +/–

Сообщение от другие васяны (?), 18-Янв-20, 16:57

жаль что твои васян-сайты тоже никого не волнуют, даже роботы не заходят.

Ответить | Правка | Наверх | Cообщить модератору

40. "Критические уязвимости в WordPress-плагинах, имеющих более 4..." +/–

Сообщение от Аноним (39), 18-Янв-20, 23:34

400к васян сайтов тоже никому не нужны кроме ботнетов.

Ответить | Правка | Наверх | Cообщить модератору

25. "Критические уязвимости в WordPress-плагинах, имеющих более 4..." +/–

Сообщение от Я (??), 18-Янв-20, 18:54

Вот и глянем как боты будут сканить нмших клиентов на эти дыры.
Потом, если будет что, отпишусь.

Ответить | Правка | Наверх | Cообщить модератору

30. "Критические уязвимости в WordPress-плагинах, имеющих более 4..." +/–

Сообщение от Аноним (-), 18-Янв-20, 19:23

Походу дыры в плагинах вордпресса - мировая константа, типа скорости света, чтоли. Годы шли а дыры в плагинах вормпресса - вот они.

Ответить | Правка | Наверх | Cообщить модератору

32. "Критические уязвимости в WordPress-плагинах, имеющих более 4..." +2 +/–

Сообщение от BlackRot (ok), 18-Янв-20, 19:33

Впервые слышу о таких планинах.
А ВордПресс рулит! 😋

Ответить | Правка | Наверх | Cообщить модератору

46. "Критические уязвимости в WordPress-плагинах, имеющих более 4..." +/–

Сообщение от iCat (ok), 19-Янв-20, 09:38

1. "Говнокод" можно состряпать любым способом. Даже напрямую бинарный гавнокод.
2. Ошибки в любом коде возможны независимо от ЯП и опыта программиста.
3. Количество обнаруженных ошибок почти никогда не равно количеству ошибок вообще. И зависит это в большей степени от распространённости исходников, чем от ЯП и опыта программистов.

Ответить | Правка | Наверх | Cообщить модератору

49. "Критические уязвимости в WordPress-плагинах, имеющих более 4..." –1 +/–

Сообщение от пох. (?), 20-Янв-20, 07:16

какая, говорите, версия TeX нынче последняя?
Не зависит от опыта, говорите?

Ответить | Правка | Наверх | Cообщить модератору

50. "Критические уязвимости в WordPress-плагинах, имеющих более 4..." –1 +/–

Сообщение от iCat (ok), 20-Янв-20, 10:34

> какая, говорите, версия TeX нынче последняя?
> Не зависит от опыта, говорите?
Ты готов утверждать о том, что в TeX нет ошибок?

Ответить | Правка | Наверх | Cообщить модератору

52. "Критические уязвимости в WordPress-плагинах, имеющих более 4..." –1 +/–

Сообщение от пох. (?), 20-Янв-20, 14:31

поинтересуйтесь на досуге, как устроена у него нумерация версий (у one-true-tex, а не адаптированных для бубунточки форков, разумеется). А потом, когда узнаете кое-что новое для себя, подумайте еще разок, что я пытался до вас донести.

Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру

1. "Критические уязвимости в WordPress-плагинах, имеющих более 4..."	+5 +/–
Сообщение от Аноним (1), 18-Янв-20, 12:44
первый раз про них слышу. похоже, мне повезло на этот раз.
Ответить \| Правка \| Наверх \| Cообщить модератору


	33. "Критические уязвимости в WordPress-плагинах, имеющих более 4..."	+2 +/–
	Сообщение от Аноним (33), 18-Янв-20, 20:16
	Полон опасностей вордпрессомирок.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	45. "Критические уязвимости в WordPress-плагинах, имеющих более 4..."	–1 +/–
	Сообщение от XXX (??), 19-Янв-20, 05:30
	закрываешь инет для виртуалки с вордпрессом, изменения на запись в ФС - только через FTP, ставишь запрет на исполнение файлов в директории с uploads. Всё. Пусть пробуют "ломать".
	Ответить \| Правка \| Наверх \| Cообщить модератору


	47. "Критические уязвимости в WordPress-плагинах, имеющих более 4..."	+2 +/–
	Сообщение от gogo (?), 19-Янв-20, 14:49
	да легко. например, если ломануть админа, можно отредактироват статьи, напихав в них скрытых ссылок на вродоносные сайты. спам. из upload можно инклюдом запускать свой код, например ДОС-ботов. в общем, фантазия безгранична. в отличте от вашего метода "защиты изоляциией"
	Ответить \| Правка \| Наверх \| Cообщить модератору


	56. "Критические уязвимости в WordPress-плагинах, имеющих более 4..."	+/–
	Сообщение от XXX (??), 24-Янв-20, 03:49
	> да легко. например, если ломануть админа, можно отредактироват статьи, напихав в них > скрытых ссылок на вродоносные сайты. спам. из upload можно инклюдом запускать > свой код, например ДОС-ботов. > в общем, фантазия безгранична. в отличте от вашего метода "защиты изоляциией" @gogo, > инклюдом запускать свой код, например ДОС-ботов как будет dos-bot отсылать запросы если интернет у него отключен? разрешены только запросы на вход и на ответы через conntrack. (принцип stateful firewall) > да легко. например, если ломануть админа /wp-admin/, wp-login.php закрывается по IP адресу. >из upload можно инклюдом Про инклюд понял, здесь согласен. Но разве первые два метода не нивелируют любую пользу от взлома, разве что контент можно отдавать со скрытыми ссылками
	Ответить \| Правка \| Наверх \| Cообщить модератору


	57. "Критические уязвимости в WordPress-плагинах, имеющих более 4..."	+/–
	Сообщение от XXX (??), 24-Янв-20, 03:56
	@gogo > из upload можно инклюдом запускать свой код, например ДОС-ботов. а что будет инклюдом запускаться ? если человек не может ничего записать в ФС (т.к. всё по ФТП)?? а инклюд извне по http запрещён?
	Ответить \| Правка \| Наверх \| Cообщить модератору


	48. "Критические уязвимости в WordPress-плагинах, имеющих более 4..."	+1 +/–
	Сообщение от пох. (?), 20-Янв-20, 07:13
	> закрываешь инет для виртуалки с вордпрессом, изменения на запись в ФС - только через FTP cms на этом перестает работать, обновление поставить нельзя, в том числе дырявого плагина, и первая же дырка с include решает проблему исполняемых uploads. Не говоря уже про sql injections, которые тоже никуда не деваются. Но твой бложег в безопасносте, Васян!
	Ответить \| Правка \| К родителю #45 \| Наверх \| Cообщить модератору

2. "Критические уязвимости в WordPress-плагинах, имеющих более 4..."	+1 +/–
Сообщение от Тико (?), 18-Янв-20, 12:46
", имеющем более 20 тысяч установок позволяет подключиться с правами администратора без прохождения аутентификации." подключиться к матрице)?
Ответить \| Правка \| Наверх \| Cообщить модератору

3. "Критические уязвимости в WordPress-плагинах, имеющих более 4..."	+5 +/–
Сообщение от Аноним (3), 18-Янв-20, 12:48
Ну так разве ж высококвалифицированный программист станет заниматься написанием плагинов для WordPress?
Ответить \| Правка \| Наверх \| Cообщить модератору


	4. "Критические уязвимости в WordPress-плагинах, имеющих более 4..."	+8 +/–
	Сообщение от N (?), 18-Янв-20, 13:25
	Да
	Ответить \| Правка \| Наверх \| Cообщить модератору


	8. "Критические уязвимости в WordPress-плагинах, имеющих более 4..."	–8 +/–
	Сообщение от Аноним (8), 18-Янв-20, 14:23
	Разе любой человек в здравом уме станет использовать Вордпресс? О количество установок лишь показывает процент душевнобольных.
	Ответить \| Правка \| К родителю #3 \| Наверх \| Cообщить модератору


	12. "Критические уязвимости в WordPress-плагинах, имеющих более 4..."	+3 +/–
	Сообщение от Антон (??), 18-Янв-20, 15:27
	А что вы предлагаете ставить для небольшого быстронастраиваемого сайта?
	Ответить \| Правка \| Наверх \| Cообщить модератору


	18. "Критические уязвимости в WordPress-плагинах, имеющих более 4..."	+7 +/–
	Сообщение от дохтурЛол (?), 18-Янв-20, 16:13
	ничего, эти тупоголовые болтуны умеют только болтать фразами, которые бездумно переняли от других. вордпресс - отличная открытая платформа, одна из лучших. плагины к нему - нельзя как-то общо оценить, потому что качество каждого отдельного из них надо рассматривать отдельно. есть куча прекарсных бесплатных плагинов под вордпресс с качественным кодом, есть ещё большая куча бесплатных плагинов с некачественным кодом, а есть ещё куча платных плагинов, но про них не могу ничего сказать, т.к. ни разу не пользовался. популярность софта - это очень важный показатель, который очень высоко влияет на качество софта, особенно актуально для софта с открытым кодом и для категорий софта, где есть альтернативы. альтенатив вордпрессу немного, в общем-то ~4: 1. opencart - сильно менее популярен чем wp; 2. битрикс - не знаю особо про него, но используется в основном на территории бывшего СССР; 3. magenta - это уже не подходит малому бизнесу, это уже сразу для среднего и крупного; 4. кастомные сайты, т.е. писать всё своё, с нуля - дорого, долго, недоступно для малого бизнеса.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	37. "Критические уязвимости в WordPress-плагинах, имеющих более 4..."	+3 +/–
	Сообщение от Антон (??), 18-Янв-20, 21:22
	так opencart и magenta это магазины, а битрикс это кучка говнокода на понтах чтобы впаривать его богатым заказчикам. Хлеб быдловебстудий. Альтернатив вордпрессу в вашем списке нет, хотя они безусловно существуют в огромном количестве. october cms всякие. Но популярность - да, это решает.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	39. "Критические уязвимости в WordPress-плагинах, имеющих более 4..."	–2 +/–
	Сообщение от Аноним (39), 18-Янв-20, 23:34
	О, так ты тот самый тяпляпыч и в продакшн. Приятно познакомится.
	Ответить \| Правка \| К родителю #18 \| Наверх \| Cообщить модератору


	19. "Критические уязвимости в WordPress-плагинах, имеющих более 4..."	+4 +/–
	Сообщение от Аноним (19), 18-Янв-20, 16:46
	Хостинг на Тильде же! Трясущейся от страха, готовой закрыть проекты за секунду, зато не вордпресс!
	Ответить \| Правка \| К родителю #12 \| Наверх \| Cообщить модератору


	22. "Критические уязвимости в WordPress-плагинах, имеющих более 4..."	+/–
	Сообщение от Сейд (ok), 18-Янв-20, 17:23
	concrete5
	Ответить \| Правка \| К родителю #12 \| Наверх \| Cообщить модератору


	36. "Критические уязвимости в WordPress-плагинах, имеющих более 4..."	+/–
	Сообщение от Антон (??), 18-Янв-20, 21:20
	ок. запомню называние, если в жизни представится случай посмотрю.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	41. "Критические уязвимости в WordPress-плагинах, имеющих более 4..."	–1 +/–
	Сообщение от Bx_ (?), 18-Янв-20, 23:53
	Надо бы HR'ам нашим сказать, Антонов ни в коем случае не брать.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	55. "Критические уязвимости в WordPress-плагинах, имеющих более 4..."	+/–
	Сообщение от Антон (??), 21-Янв-20, 16:03
	Я не специализируюсь на cms на пыхе (боже упоси), просто хочу быть в курсе как мимопроходил.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	23. "Критические уязвимости в WordPress-плагинах, имеющих более 4..."	–1 +/–
	Сообщение от Аноним (23), 18-Янв-20, 17:52
	static html. базовый набор тегов - их там максимум десяток будет - освоит любой, кто не пытается нажимать кнопку мыши в ответ на "press any key".
	Ответить \| Правка \| К родителю #12 \| Наверх \| Cообщить модератору


	35. "Критические уязвимости в WordPress-плагинах, имеющих более 4..."	+/–
	Сообщение от Антон (??), 18-Янв-20, 21:19
	это все здорово, а потом нужно отдать это пользователю для редактирования. Я не зарабатываю этим на жизнь, но пару-тройку-десяток раз делал сайты для знакомых, на вордпрессе было довольно быстро, единственное что лень было изучать доку чтобы выбросить из шаблона лишнее. Раньше cmsmadesimple использовал, но оно сдохло.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	16. "Критические уязвимости в WordPress-плагинах, имеющих более 4..."	–1 +/–
	Сообщение от Аноним (16), 18-Янв-20, 16:06
	https://automattic.com/ вот виновник этого - многомилионная коммерческая компания которая развивает ворпресс и продает хостинг на wordpress.com
	Ответить \| Правка \| К родителю #8 \| Наверх \| Cообщить модератору


	24. "Критические уязвимости в WordPress-плагинах, имеющих более 4..."	–1 +/–
	Сообщение от user90 (?), 18-Янв-20, 18:23
	"высококвалифицированный PHP-программист" ;) Такие ваще где-то есть? Это возможно?
	Ответить \| Правка \| К родителю #3 \| Наверх \| Cообщить модератору


	28. "Критические уязвимости в WordPress-плагинах, имеющих более 4..."	+1 +/–
	Сообщение от KonstantinB (??), 18-Янв-20, 19:10
	А что помешает высококвалифицированному программисту писать на PHP при необходимости? Другое дело, что это будет не PHP-программист, а просто программист.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	42. "Критические уязвимости в WordPress-плагинах, имеющих более 4..."	+/–
	Сообщение от Bx_ (?), 19-Янв-20, 00:12
	Хех, я даже одного такого знаю. Я когда увидел в кроне php, мягко говоря удивился, ан нет - "мне так удобно". И, ведь, б!"№;%:, я бы лучше не сделал.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	54. "Критические уязвимости в WordPress-плагинах, имеющих более 4..."	+/–
	Сообщение от Урри (?), 20-Янв-20, 16:20
	Наверное то же самое, что высококвалифицированному комбайнеру использовать газонокосилку?
	Ответить \| Правка \| К родителю #28 \| Наверх \| Cообщить модератору


	34. "Критические уязвимости в WordPress-плагинах, имеющих более 4..."	+/–
	Сообщение от commiethebeastie (ok), 18-Янв-20, 20:16
	facebook?
	Ответить \| Правка \| К родителю #24 \| Наверх \| Cообщить модератору

5. "Критические уязвимости в WordPress-плагинах, имеющих более 4..."	+3 +/–
Сообщение от Аноним (5), 18-Янв-20, 13:49
Последняя вообще зашквар, и PHP тут не причём.
Ответить \| Правка \| Наверх \| Cообщить модератору


	6. "Критические уязвимости в WordPress-плагинах, имеющих более 4..."	+/–
	Сообщение от анон (?), 18-Янв-20, 14:17
	в последнем - это не баг, это - фича.
	Ответить \| Правка \| Наверх \| Cообщить модератору