forum.opennet.ru - "Критические уязвимости в WordPress-плагинах, имеющих более 4..." (55)

"Критические уязвимости в WordPress-плагинах, имеющих более 4..."

Форум Разговоры, обсуждение новостей
Вариант для распечатки		Пред. тема \| След. тема
Изначальное сообщение		[ Отслеживать ]

"Критические уязвимости в WordPress-плагинах, имеющих более 4..."	+1 +/–
Сообщение от opennews (??), 18-Янв-20, 12:44
В трех популярных плагинах для системы управления web-контентом WordPress, насчитывающих более 400 тысяч установок, выявлены критические уязвимости:... Подробнее: https://www.opennet.dev/opennews/art.shtml?num=52207
Ответить \| Правка \| Cообщить модератору

Оглавление

первый раз про них слышу похоже, мне повезло на этот раз , Аноним (1), 12:44 , 18-Янв-20, (1) +5

Полон опасностей вордпрессомирок , Аноним (33), 20:16 , 18-Янв-20, (33) +2

закрываешь инет для виртуалки с вордпрессом, изменения на запись в ФС - только ч, XXX (??), 05:30 , 19-Янв-20, (45) –1

да легко например, если ломануть админа, можно отредактироват статьи, напихав в, gogo (?), 14:49 , 19-Янв-20, (47) +2

gogo,как будет dos-bot отсылать запросы если интернет у него отключен разрешены, XXX (??), 03:49 , 24-Янв-20, (56)

gogoа что будет инклюдом запускаться если человек не может ничего записать в , XXX (??), 03:56 , 24-Янв-20, (57)

cms на этом перестает работать, обновление поставить нельзя, в том числе дырявог, пох. (?), 07:13 , 20-Янв-20, (48) +1

, имеющем более 20 тысяч установок позволяет подключиться с правами администрат, Тико (?), 12:46 , 18-Янв-20, (2) +1
Ну так разве ж высококвалифицированный программист станет заниматься написанием , Аноним (3), 12:48 , 18-Янв-20, (3) +5

Да, N (?), 13:25 , 18-Янв-20, (4) +8
Разе любой человек в здравом уме станет использовать Вордпресс О количество ус, Аноним (8), 14:23 , 18-Янв-20, (8) –8

А что вы предлагаете ставить для небольшого быстронастраиваемого сайта , Антон (??), 15:27 , 18-Янв-20, (12) +3

ничего, эти тупоголовые болтуны умеют только болтать фразами, которые бездумно п, дохтурЛол (?), 16:13 , 18-Янв-20, (18) +7

так opencart и magenta это магазины, а битрикс это кучка говнокода на понтах что, Антон (??), 21:22 , 18-Янв-20, (37) +3
О, так ты тот самый тяпляпыч и в продакшн Приятно познакомится , Аноним (39), 23:34 , 18-Янв-20, (39) –2

Хостинг на Тильде же Трясущейся от страха, готовой закрыть проекты за секунду, , Аноним (19), 16:46 , 18-Янв-20, (19) +4
concrete5, Сейд (ok), 17:23 , 18-Янв-20, (22)

ок запомню называние, если в жизни представится случай посмотрю , Антон (??), 21:20 , 18-Янв-20, (36)

Надо бы HR ам нашим сказать, Антонов ни в коем случае не брать , Bx_ (?), 23:53 , 18-Янв-20, (41) –1

Я не специализируюсь на cms на пыхе боже упоси , просто хочу быть в курсе как м, Антон (??), 16:03 , 21-Янв-20, (55)

static html базовый набор тегов - их там максимум десяток будет - освоит любой,, Аноним (23), 17:52 , 18-Янв-20, (23) –1

это все здорово, а потом нужно отдать это пользователю для редактирования Я не з, Антон (??), 21:19 , 18-Янв-20, (35)

https automattic com вот виновник этого - многомилионная коммерческая компания, Аноним (16), 16:06 , 18-Янв-20, (16) –1

высококвалифицированный PHP-программист Такие ваще где-то есть Это возможн, user90 (?), 18:23 , 18-Янв-20, (24) –1

А что помешает высококвалифицированному программисту писать на PHP при необходим, KonstantinB (??), 19:10 , 18-Янв-20, (28) +1

Хех, я даже одного такого знаю Я когда увидел в кроне php, мягко говоря удивилс, Bx_ (?), 00:12 , 19-Янв-20, (42)
Наверное то же самое, что высококвалифицированному комбайнеру использовать газон, Урри (?), 16:20 , 20-Янв-20, (54)

facebook , commiethebeastie (ok), 20:16 , 18-Янв-20, (34)

Последняя вообще зашквар, и PHP тут не причём , Аноним (5), 13:49 , 18-Янв-20, (5) +3

в последнем - это не баг, это - фича , анон (?), 14:17 , 18-Янв-20, (6)

есть слово антифича , Аноним (11), 15:03 , 18-Янв-20, (11)

А недопереконтрантифича слово есть , A.Stahl (ok), 16:11 , 18-Янв-20, (17)

Нет Антифича и так несёт достаточно негативный оттенок Негативнееттолько прямо, Аноним (11), 16:47 , 18-Янв-20, (20)

Классический бекдор, Урри (?), 18:57 , 18-Янв-20, (27) +1

Рили Вот это неожиданность так неожиданность , Аноним (8), 14:21 , 18-Янв-20, (7)

Никогда такого не было, скажи , Урри (?), 18:56 , 18-Янв-20, (26) +1

и вот опять, анан (?), 19:26 , 18-Янв-20, (31) +1

Дали им DjangoCMS - пользуйся Не хочу, хочу pewemo , Аноним (9), 14:25 , 18-Янв-20, (9) –1

там есть конструктор сайтов или крутые темы нет - ну закопайте тогдая для безоп, Аноним (16), 16:02 , 18-Янв-20, (14)

нет, там есть нескучный апи, который ты можешь изучать следующие пол-жизни Ну ил, пох. (?), 01:42 , 19-Янв-20, (44)

Вордпресс хоть и ужасен внутри, но по набору плагинов ничего близкого нет Проще , KonstantinB (??), 19:18 , 18-Янв-20, (29) +2

слова не мальчика, но мужа, Антон (??), 23:14 , 18-Янв-20, (38)

Ну-ну Реализацию можно увидеть Что-то я Антонов , Bx_ (?), 00:22 , 19-Янв-20, (43) +2

если уж что - то и писать на пыхе, то, хотя бы, на основе компонентов какого-ниб, nelson (??), 14:34 , 18-Янв-20, (10)

пиши на том в чем разбираешся на здоровье, Аноним (16), 16:03 , 18-Янв-20, (15)

WP2Static - CDN или хостинг статических файлов - и не волнуют меня ваши уязвимо, Аноним (16), 15:58 , 18-Янв-20, (13) +2

жаль что твои васян-сайты тоже никого не волнуют, даже роботы не заходят , другие васяны (?), 16:57 , 18-Янв-20, (21) +1

400к васян сайтов тоже никому не нужны кроме ботнетов , Аноним (39), 23:34 , 18-Янв-20, (40)

Вот и глянем как боты будут сканить нмших клиентов на эти дыры Потом, если будет, Я (??), 18:54 , 18-Янв-20, (25)
Походу дыры в плагинах вордпресса - мировая константа, типа скорости света, чтол, Аноним (-), 19:23 , 18-Янв-20, (30)
Впервые слышу о таких планинах А ВордПресс рулит 128523 , BlackRot (ok), 19:33 , 18-Янв-20, (32) +2
1 Говнокод можно состряпать любым способом Даже напрямую бинарный гавнокод 2, iCat (ok), 09:38 , 19-Янв-20, (46)

какая, говорите, версия TeX нынче последняя Не зависит от опыта, говорите , пох. (?), 07:16 , 20-Янв-20, (49) –1

Ты готов утверждать о том, что в TeX нет ошибок , iCat (ok), 10:34 , 20-Янв-20, (50) –1

поинтересуйтесь на досуге, как устроена у него нумерация версий у one-true-tex,, пох. (?), 14:31 , 20-Янв-20, (52) –1

Сообщения [Сортировка по ответам | RSS]

1. Сообщение от Аноним (1), 18-Янв-20, 12:44 +5 +/–

первый раз про них слышу. похоже, мне повезло на этот раз.

Ответить | Правка | Наверх | Cообщить модератору
Ответы: #33

2. Сообщение от Тико (?), 18-Янв-20, 12:46 +1 +/–

", имеющем более 20 тысяч установок позволяет подключиться с правами администратора без прохождения аутентификации." подключиться к матрице)?

Ответить | Правка | Наверх | Cообщить модератору

3. Сообщение от Аноним (3), 18-Янв-20, 12:48 +5 +/–

Ну так разве ж высококвалифицированный программист станет заниматься написанием плагинов для WordPress?

Ответить | Правка | Наверх | Cообщить модератору
Ответы: #4, #8, #24

4. Сообщение от N (?), 18-Янв-20, 13:25 +8 +/–

Да

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #3

5. Сообщение от Аноним (5), 18-Янв-20, 13:49 +3 +/–

Последняя вообще зашквар, и PHP тут не причём.

Ответить | Правка | Наверх | Cообщить модератору
Ответы: #6

6. Сообщение от анон (?), 18-Янв-20, 14:17 +/–

в последнем - это не баг, это - фича.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #5 Ответы: #11, #27

7. Сообщение от Аноним (8), 18-Янв-20, 14:21 +/–

Рили? Вот это неожиданность так неожиданность.

Ответить | Правка | Наверх | Cообщить модератору
Ответы: #26

8. Сообщение от Аноним (8), 18-Янв-20, 14:23 –8 +/–

Разе любой человек в здравом уме станет использовать Вордпресс? О количество установок лишь показывает процент душевнобольных.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #3 Ответы: #12, #16

9. Сообщение от Аноним (9), 18-Янв-20, 14:25 –1 +/–

Дали им DjangoCMS - пользуйся! Не хочу, хочу pewemo.

Ответить | Правка | Наверх | Cообщить модератору
Ответы: #14, #29

10. Сообщение от nelson (??), 18-Янв-20, 14:34 +/–

если уж что - то и писать на пыхе, то, хотя бы, на основе компонентов какого-нибудь Symfony, но WP - это вообще за гранью добра и зла

Ответить | Правка | Наверх | Cообщить модератору
Ответы: #15

11. Сообщение от Аноним (11), 18-Янв-20, 15:03 +/–

есть слово "антифича".

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #6 Ответы: #17

12. Сообщение от Антон (??), 18-Янв-20, 15:27 +3 +/–

А что вы предлагаете ставить для небольшого быстронастраиваемого сайта?

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #8 Ответы: #18, #19, #22, #23

13. Сообщение от Аноним (16), 18-Янв-20, 15:58 +2 +/–

WP2Static -> CDN или хостинг статических файлов - и не волнуют меня ваши уязвимости, ломайте html сколько влезет

Ответить | Правка | Наверх | Cообщить модератору
Ответы: #21

14. Сообщение от Аноним (16), 18-Янв-20, 16:02 +/–

там есть конструктор сайтов или крутые темы? нет - ну закопайте тогда
я для безопасности придумали JAM stack, который уже давно используют (https://jamstack.wtf/)
в том числе и для wordpress headless

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #9 Ответы: #44

15. Сообщение от Аноним (16), 18-Янв-20, 16:03 +/–

пиши на том в чем разбираешся на здоровье

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #10

16. Сообщение от Аноним (16), 18-Янв-20, 16:06 –1 +/–

https://automattic.com/
вот виновник этого - многомилионная коммерческая компания которая развивает ворпресс и продает хостинг на wordpress.com

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #8

17. Сообщение от A.Stahl (ok), 18-Янв-20, 16:11 +/–

А "недопереконтрантифича" слово есть?

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #11 Ответы: #20

18. Сообщение от дохтурЛол (?), 18-Янв-20, 16:13 +7 +/–

ничего, эти тупоголовые болтуны умеют только болтать фразами, которые бездумно переняли от других.
вордпресс - отличная открытая платформа, одна из лучших.
плагины к нему - нельзя как-то общо оценить, потому что качество каждого отдельного из них надо рассматривать отдельно.
есть куча прекарсных бесплатных плагинов под вордпресс с качественным кодом, есть ещё большая куча бесплатных плагинов с некачественным кодом, а есть ещё куча платных плагинов, но про них не могу ничего сказать, т.к. ни разу не пользовался.
популярность софта - это очень важный показатель, который очень высоко влияет на качество софта, особенно актуально для софта с открытым кодом и для категорий софта, где есть альтернативы.
альтенатив вордпрессу немного, в общем-то ~4:
1. opencart - сильно менее популярен чем wp;
2. битрикс - не знаю особо про него, но используется в основном на территории бывшего СССР;
3. magenta - это уже не подходит малому бизнесу, это уже сразу для среднего и крупного;
4. кастомные сайты, т.е. писать всё своё, с нуля - дорого, долго, недоступно для малого бизнеса.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #12 Ответы: #37, #39

19. Сообщение от Аноним (19), 18-Янв-20, 16:46 +4 +/–

Хостинг на Тильде же! Трясущейся от страха, готовой закрыть проекты за секунду, зато не вордпресс!

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #12

20. Сообщение от Аноним (11), 18-Янв-20, 16:47 +/–

Нет. Антифича и так несёт достаточно негативный оттенок. Негативнееттолько прямо сказать "бекдор".

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #17

21. Сообщение от другие васяны (?), 18-Янв-20, 16:57 +1 +/–

жаль что твои васян-сайты тоже никого не волнуют, даже роботы не заходят.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #13 Ответы: #40

22. Сообщение от Сейд (ok), 18-Янв-20, 17:23 +/–

concrete5

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #12 Ответы: #36

23. Сообщение от Аноним (23), 18-Янв-20, 17:52 –1 +/–

static html. базовый набор тегов - их там максимум десяток будет - освоит любой, кто не пытается нажимать кнопку мыши в ответ на "press any key".

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #12 Ответы: #35

24. Сообщение от user90 (?), 18-Янв-20, 18:23 –1 +/–

"высококвалифицированный PHP-программист" ;) Такие ваще где-то есть? Это возможно?

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #3 Ответы: #28, #34

25. Сообщение от Я (??), 18-Янв-20, 18:54 +/–

Вот и глянем как боты будут сканить нмших клиентов на эти дыры.
Потом, если будет что, отпишусь.

Ответить | Правка | Наверх | Cообщить модератору

26. Сообщение от Урри (?), 18-Янв-20, 18:56 +1 +/–

Никогда такого не было, скажи?

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #7 Ответы: #31

27. Сообщение от Урри (?), 18-Янв-20, 18:57 +1 +/–

Классический бекдор

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #6

28. Сообщение от KonstantinB (??), 18-Янв-20, 19:10 +1 +/–

А что помешает высококвалифицированному программисту писать на PHP при необходимости? Другое дело, что это будет не PHP-программист, а просто программист.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #24 Ответы: #42, #54

29. Сообщение от KonstantinB (??), 18-Янв-20, 19:18 +2 +/–

Вордпресс хоть и ужасен внутри, но по набору плагинов ничего близкого нет.
Проще поставить вордпресс и дать его копирайтерам с сеошниками, чем заниматься написанием всякой контентно-сеошной ерунды вместо занятия важными вещами.
Вопрос безопасности решается, на самом деле, довольно просто: для пейсателей поднимается контейнер, который напрямую не торчит в интернет, а в продакшен идет readonly-копия контейнера, который изолирован от остальных частей проекта и ограничен в правах по самое мяу. Синхронизируется по крону или кнопочке.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #9 Ответы: #38

30. Сообщение от Аноним (-), 18-Янв-20, 19:23 +/–

Походу дыры в плагинах вордпресса - мировая константа, типа скорости света, чтоли. Годы шли а дыры в плагинах вормпресса - вот они.

Ответить | Правка | Наверх | Cообщить модератору

31. Сообщение от анан (?), 18-Янв-20, 19:26 +1 +/–

и вот опять

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #26

32. Сообщение от BlackRot (ok), 18-Янв-20, 19:33 +2 +/–

Впервые слышу о таких планинах.
А ВордПресс рулит! 😋

Ответить | Правка | Наверх | Cообщить модератору

33. Сообщение от Аноним (33), 18-Янв-20, 20:16 +2 +/–

Полон опасностей вордпрессомирок.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #1 Ответы: #45

34. Сообщение от commiethebeastie (ok), 18-Янв-20, 20:16 +/–

facebook?

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #24

35. Сообщение от Антон (??), 18-Янв-20, 21:19 +/–

это все здорово, а потом нужно отдать это пользователю для редактирования.
Я не зарабатываю этим на жизнь, но пару-тройку-десяток раз делал сайты для знакомых, на вордпрессе было довольно быстро, единственное что лень было изучать доку чтобы выбросить из шаблона лишнее.
Раньше cmsmadesimple использовал, но оно сдохло.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #23

36. Сообщение от Антон (??), 18-Янв-20, 21:20 +/–

ок. запомню называние, если в жизни представится случай посмотрю.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #22 Ответы: #41

37. Сообщение от Антон (??), 18-Янв-20, 21:22 +3 +/–

так opencart и magenta это магазины, а битрикс это кучка говнокода на понтах чтобы впаривать его богатым заказчикам. Хлеб быдловебстудий.
Альтернатив вордпрессу в вашем списке нет, хотя они безусловно существуют в огромном количестве. october cms всякие.
Но популярность - да, это решает.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #18

38. Сообщение от Антон (??), 18-Янв-20, 23:14 +/–

слова не мальчика, но мужа

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #29 Ответы: #43

39. Сообщение от Аноним (39), 18-Янв-20, 23:34 –2 +/–

О, так ты тот самый тяпляпыч и в продакшн. Приятно познакомится.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #18

40. Сообщение от Аноним (39), 18-Янв-20, 23:34 +/–

400к васян сайтов тоже никому не нужны кроме ботнетов.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #21

41. Сообщение от Bx_ (?), 18-Янв-20, 23:53 –1 +/–

Надо бы HR'ам нашим сказать, Антонов ни в коем случае не брать.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #36 Ответы: #55

42. Сообщение от Bx_ (?), 19-Янв-20, 00:12 +/–

Хех, я даже одного такого знаю. Я когда увидел в кроне php, мягко говоря удивился, ан нет - "мне так удобно". И, ведь, б!"№;%:, я бы лучше не сделал.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #28

43. Сообщение от Bx_ (?), 19-Янв-20, 00:22 +2 +/–

Ну-ну. Реализацию можно увидеть? Что-то я Антонов ...

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #38

44. Сообщение от пох. (?), 19-Янв-20, 01:42 +/–

нет, там есть нескучный апи, который ты можешь изучать следующие пол-жизни.
Ну или готовые поделки НА этом фреймворке - теперь еще пол-жизни ты можешь изучать отдельный апи самой поделки.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #14

45. Сообщение от XXX (??), 19-Янв-20, 05:30 –1 +/–

закрываешь инет для виртуалки с вордпрессом, изменения на запись в ФС - только через FTP, ставишь запрет на исполнение файлов в директории с uploads. Всё. Пусть пробуют "ломать".

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #33 Ответы: #47, #48

46. Сообщение от iCat (ok), 19-Янв-20, 09:38 +/–

1. "Говнокод" можно состряпать любым способом. Даже напрямую бинарный гавнокод.
2. Ошибки в любом коде возможны независимо от ЯП и опыта программиста.
3. Количество обнаруженных ошибок почти никогда не равно количеству ошибок вообще. И зависит это в большей степени от распространённости исходников, чем от ЯП и опыта программистов.

Ответить | Правка | Наверх | Cообщить модератору
Ответы: #49

47. Сообщение от gogo (?), 19-Янв-20, 14:49 +2 +/–

да легко. например, если ломануть админа, можно отредактироват статьи, напихав в них скрытых ссылок на вродоносные сайты. спам. из upload можно инклюдом запускать свой код, например ДОС-ботов.
в общем, фантазия безгранична. в отличте от вашего метода "защиты изоляциией"

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #45 Ответы: #56

48. Сообщение от пох. (?), 20-Янв-20, 07:13 +1 +/–

> закрываешь инет для виртуалки с вордпрессом, изменения на запись в ФС - только через FTP
cms на этом перестает работать, обновление поставить нельзя, в том числе дырявого плагина, и первая же дырка с include решает проблему исполняемых uploads.
Не говоря уже про sql injections, которые тоже никуда не деваются.
Но твой бложег в безопасносте, Васян!

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #45

49. Сообщение от пох. (?), 20-Янв-20, 07:16 –1 +/–

какая, говорите, версия TeX нынче последняя?
Не зависит от опыта, говорите?

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #46 Ответы: #50

50. Сообщение от iCat (ok), 20-Янв-20, 10:34 –1 +/–

> какая, говорите, версия TeX нынче последняя?
> Не зависит от опыта, говорите?
Ты готов утверждать о том, что в TeX нет ошибок?

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #49 Ответы: #52

52. Сообщение от пох. (?), 20-Янв-20, 14:31 –1 +/–

поинтересуйтесь на досуге, как устроена у него нумерация версий (у one-true-tex, а не адаптированных для бубунточки форков, разумеется). А потом, когда узнаете кое-что новое для себя, подумайте еще разок, что я пытался до вас донести.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #50

54. Сообщение от Урри (?), 20-Янв-20, 16:20 +/–

Наверное то же самое, что высококвалифицированному комбайнеру использовать газонокосилку?

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #28

55. Сообщение от Антон (??), 21-Янв-20, 16:03 +/–

Я не специализируюсь на cms на пыхе (боже упоси), просто хочу быть в курсе как мимопроходил.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #41

56. Сообщение от XXX (??), 24-Янв-20, 03:49 +/–

> да легко. например, если ломануть админа, можно отредактироват статьи, напихав в них
> скрытых ссылок на вродоносные сайты. спам. из upload можно инклюдом запускать
> свой код, например ДОС-ботов.
> в общем, фантазия безгранична. в отличте от вашего метода "защиты изоляциией"
@gogo,
> инклюдом запускать свой код, например ДОС-ботов
как будет dos-bot отсылать запросы если интернет у него отключен?
разрешены только запросы на вход и на ответы через conntrack. (принцип stateful firewall)
> да легко. например, если ломануть админа
/wp-admin/, wp-login.php закрывается по IP адресу.
>из upload можно инклюдом
Про инклюд понял, здесь согласен. Но разве первые два метода не нивелируют любую пользу от взлома, разве что контент можно отдавать со скрытыми ссылками

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #47 Ответы: #57

57. Сообщение от XXX (??), 24-Янв-20, 03:56 +/–

@gogo
> из upload можно инклюдом запускать свой код, например ДОС-ботов.
а что будет инклюдом запускаться ? если человек не может ничего записать в ФС (т.к. всё по ФТП)??
а инклюд извне по http запрещён?

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #56

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2025 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру

1. Сообщение от Аноним (1), 18-Янв-20, 12:44	+5 +/–
первый раз про них слышу. похоже, мне повезло на этот раз.
Ответить \| Правка \| Наверх \| Cообщить модератору
Ответы: #33

2. Сообщение от Тико (?), 18-Янв-20, 12:46	+1 +/–
", имеющем более 20 тысяч установок позволяет подключиться с правами администратора без прохождения аутентификации." подключиться к матрице)?
Ответить \| Правка \| Наверх \| Cообщить модератору

3. Сообщение от Аноним (3), 18-Янв-20, 12:48	+5 +/–
Ну так разве ж высококвалифицированный программист станет заниматься написанием плагинов для WordPress?
Ответить \| Правка \| Наверх \| Cообщить модератору
Ответы: #4, #8, #24

4. Сообщение от N (?), 18-Янв-20, 13:25	+8 +/–
Да
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #3

5. Сообщение от Аноним (5), 18-Янв-20, 13:49	+3 +/–
Последняя вообще зашквар, и PHP тут не причём.
Ответить \| Правка \| Наверх \| Cообщить модератору
Ответы: #6

6. Сообщение от анон (?), 18-Янв-20, 14:17	+/–
в последнем - это не баг, это - фича.
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #5 Ответы: #11, #27

7. Сообщение от Аноним (8), 18-Янв-20, 14:21	+/–
Рили? Вот это неожиданность так неожиданность.
Ответить \| Правка \| Наверх \| Cообщить модератору
Ответы: #26

8. Сообщение от Аноним (8), 18-Янв-20, 14:23	–8 +/–
Разе любой человек в здравом уме станет использовать Вордпресс? О количество установок лишь показывает процент душевнобольных.
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #3 Ответы: #12, #16

9. Сообщение от Аноним (9), 18-Янв-20, 14:25	–1 +/–
Дали им DjangoCMS - пользуйся! Не хочу, хочу pewemo.
Ответить \| Правка \| Наверх \| Cообщить модератору
Ответы: #14, #29

10. Сообщение от nelson (??), 18-Янв-20, 14:34	+/–
если уж что - то и писать на пыхе, то, хотя бы, на основе компонентов какого-нибудь Symfony, но WP - это вообще за гранью добра и зла
Ответить \| Правка \| Наверх \| Cообщить модератору
Ответы: #15

11. Сообщение от Аноним (11), 18-Янв-20, 15:03	+/–
есть слово "антифича".
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #6 Ответы: #17

12. Сообщение от Антон (??), 18-Янв-20, 15:27	+3 +/–
А что вы предлагаете ставить для небольшого быстронастраиваемого сайта?
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #8 Ответы: #18, #19, #22, #23

13. Сообщение от Аноним (16), 18-Янв-20, 15:58	+2 +/–
WP2Static -> CDN или хостинг статических файлов - и не волнуют меня ваши уязвимости, ломайте html сколько влезет
Ответить \| Правка \| Наверх \| Cообщить модератору
Ответы: #21

14. Сообщение от Аноним (16), 18-Янв-20, 16:02	+/–
там есть конструктор сайтов или крутые темы? нет - ну закопайте тогда я для безопасности придумали JAM stack, который уже давно используют (https://jamstack.wtf/) в том числе и для wordpress headless
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #9 Ответы: #44

15. Сообщение от Аноним (16), 18-Янв-20, 16:03	+/–
пиши на том в чем разбираешся на здоровье
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #10

16. Сообщение от Аноним (16), 18-Янв-20, 16:06	–1 +/–
https://automattic.com/ вот виновник этого - многомилионная коммерческая компания которая развивает ворпресс и продает хостинг на wordpress.com
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #8

17. Сообщение от A.Stahl (ok), 18-Янв-20, 16:11	+/–
А "недопереконтрантифича" слово есть?
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #11 Ответы: #20

18. Сообщение от дохтурЛол (?), 18-Янв-20, 16:13	+7 +/–
ничего, эти тупоголовые болтуны умеют только болтать фразами, которые бездумно переняли от других. вордпресс - отличная открытая платформа, одна из лучших. плагины к нему - нельзя как-то общо оценить, потому что качество каждого отдельного из них надо рассматривать отдельно. есть куча прекарсных бесплатных плагинов под вордпресс с качественным кодом, есть ещё большая куча бесплатных плагинов с некачественным кодом, а есть ещё куча платных плагинов, но про них не могу ничего сказать, т.к. ни разу не пользовался. популярность софта - это очень важный показатель, который очень высоко влияет на качество софта, особенно актуально для софта с открытым кодом и для категорий софта, где есть альтернативы. альтенатив вордпрессу немного, в общем-то ~4: 1. opencart - сильно менее популярен чем wp; 2. битрикс - не знаю особо про него, но используется в основном на территории бывшего СССР; 3. magenta - это уже не подходит малому бизнесу, это уже сразу для среднего и крупного; 4. кастомные сайты, т.е. писать всё своё, с нуля - дорого, долго, недоступно для малого бизнеса.
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #12 Ответы: #37, #39

19. Сообщение от Аноним (19), 18-Янв-20, 16:46	+4 +/–
Хостинг на Тильде же! Трясущейся от страха, готовой закрыть проекты за секунду, зато не вордпресс!
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #12

20. Сообщение от Аноним (11), 18-Янв-20, 16:47	+/–
Нет. Антифича и так несёт достаточно негативный оттенок. Негативнееттолько прямо сказать "бекдор".
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #17

21. Сообщение от другие васяны (?), 18-Янв-20, 16:57	+1 +/–
жаль что твои васян-сайты тоже никого не волнуют, даже роботы не заходят.
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #13 Ответы: #40

22. Сообщение от Сейд (ok), 18-Янв-20, 17:23	+/–
concrete5
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #12 Ответы: #36

23. Сообщение от Аноним (23), 18-Янв-20, 17:52	–1 +/–
static html. базовый набор тегов - их там максимум десяток будет - освоит любой, кто не пытается нажимать кнопку мыши в ответ на "press any key".
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #12 Ответы: #35

24. Сообщение от user90 (?), 18-Янв-20, 18:23	–1 +/–
"высококвалифицированный PHP-программист" ;) Такие ваще где-то есть? Это возможно?
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #3 Ответы: #28, #34

25. Сообщение от Я (??), 18-Янв-20, 18:54	+/–
Вот и глянем как боты будут сканить нмших клиентов на эти дыры. Потом, если будет что, отпишусь.
Ответить \| Правка \| Наверх \| Cообщить модератору

26. Сообщение от Урри (?), 18-Янв-20, 18:56	+1 +/–
Никогда такого не было, скажи?
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #7 Ответы: #31

27. Сообщение от Урри (?), 18-Янв-20, 18:57	+1 +/–
Классический бекдор
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #6

28. Сообщение от KonstantinB (??), 18-Янв-20, 19:10	+1 +/–
А что помешает высококвалифицированному программисту писать на PHP при необходимости? Другое дело, что это будет не PHP-программист, а просто программист.
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #24 Ответы: #42, #54

29. Сообщение от KonstantinB (??), 18-Янв-20, 19:18	+2 +/–
Вордпресс хоть и ужасен внутри, но по набору плагинов ничего близкого нет. Проще поставить вордпресс и дать его копирайтерам с сеошниками, чем заниматься написанием всякой контентно-сеошной ерунды вместо занятия важными вещами. Вопрос безопасности решается, на самом деле, довольно просто: для пейсателей поднимается контейнер, который напрямую не торчит в интернет, а в продакшен идет readonly-копия контейнера, который изолирован от остальных частей проекта и ограничен в правах по самое мяу. Синхронизируется по крону или кнопочке.
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #9 Ответы: #38

30. Сообщение от Аноним (-), 18-Янв-20, 19:23	+/–
Походу дыры в плагинах вордпресса - мировая константа, типа скорости света, чтоли. Годы шли а дыры в плагинах вормпресса - вот они.
Ответить \| Правка \| Наверх \| Cообщить модератору