Статья написана в пользовательском блоге — редакция Партнеркина не вносит изменения в текст. Вся орфография, пунктуация и содержание сохранены Подробнее про пользовательские блоги и о том, как зарабатывать до 3 000 ₽ за статью 😎
12 августа 2009 43 850

Обновите свой WordPress!

Спонсор месяца - http://indek.ru/. Если добавите в INDEK.Биржа свой сайт - получите до 1500 рублей бонуса. Продажа ссылок до страниц 5 УВ.

WordPress никогда не славился своей безопасностью. Если быть точнее - WordPress вообще крайне дырявый CMS - в чем я убедился на собственном опыте. Вчера (или чуть раньше) был обнаружен http://habrahabr.ru/blogs/wordpress/66829/ - который позволял HTTP-запросом сбросить пароль администратора ("admin"). Злоумышленник, конечно, при этом не получал доступ к АЦ, но все равно это доставляло неудобства. Проблему исправляет сегодняшняя v. 2.8.4.

Но это мелочь. В совсем старых версиях полно других дыр - которые позволяют гораздо большее. И что самое забавное - обновить совсем древнюю версию WP до последней - это не равносильно установки последней версии с нуля. В том смысле - что остаются некоторые дыры в именно базе данных. Их только вручную латать.

Я не специалист по WP, мне с безопасностью помог один хацкер. Какие выводы я для себя сделал? Во-первых, по-хорошему - надо вообще съезжать с WordPress на самописной CMS, серьезную разработку. Во-вторых, а если уж съезжать совсем не хочется - надо максимально оперативно обновлять версию WP + каждый плагин.

--

Как вам статья?
Лучшие промокоды
Партнерки
Welcome Partners
Конвертируйте свой трафик в нише онлайн-казино
TRAFORCE
Дейтинговая СPA-сеть
Leadshub
Gambling и Betting CPA-сеть
Сервисы
Dolphin{anty}
Лучший антидетект браузер
PARTNERKIN
20%
iRent.Market
Aренда iOS-приложений с уникальной технологией
PARTNERKIN
20%
AdPlexity
Мониторинг мобильной, десктоп и нативной рекламы
partnerkin_m
25%

Бесплатных и безопасных на 100% cms не бывает.Да и вообще почти в каждой цмс можно найти какую-нибудь уязвимость.
12 августа 2009, 17:08 0
rushter, в том то и дело - найти можно везде! Но большинство хацкеров просто делятся в узких или широких кругах себеподобных дырами к известным движкам. Опыта/класса не хватает - чтобы находить дыры в самописных CMS.

У меня был gameslife.ru на самописном. Конкурентов у него полно. Но взломов именно движка - насколько я помню - не было.

12 августа 2009, 17:20 0
И самописный также не очень безопасный. Хотя и лучше, потому что у хацкеров не будет исходного кода. Но не думаю я, что ктото будет меня ломать, буду сидеть на WordPress.
12 августа 2009, 17:27 0
А что хакер говорит о сайтах на движке от Ucoz? И что вы вообще думаете о Ucoz?
12 августа 2009, 18:32 0
Nometa, а зачем что-то говорить о Ucoz? Это несерьезно.
12 августа 2009, 18:33 0
Druapl + WP2Druapl
12 августа 2009, 19:35 0
Это не страшный баг =), паротль приходит в почту админа. А дыры - ну где же их нет? Кто-то создает, а кто-то ломает созданное. Всегда так.
12 августа 2009, 19:43 0
Недавно по необходимости легко сломали drupal. Навертели там, пытаемся в бан отправить. Имхо было бы желание, CMS сломается. Вопрос в желании, умении и бабле :)
12 августа 2009, 20:28 0
mikolka, представь - что пароль меняется (и приходит на почту) ежеминутно. :)

Дыры есть везде, но я писал выше:

"Но большинство хацкеров просто делятся в узких или широких кругах себеподобных дырами к известным движкам. Опыта/класса не хватает – чтобы находить дыры в самописных CMS."

12 августа 2009, 20:34 0
Опыта как раз хватает.Просто самый качественный и кропотливый анализ на уязвимости - анализ кода.В самописных цмс его во первых не получить(только иногда),во вторых это не выгодно,т.к на такой цмс может стоять все 1-2 сайта.
12 августа 2009, 20:51 0
Мастер Ответить
Интересно, кому нужно в эти дыры лезть? Из спортивного интереса?
12 августа 2009, 21:41 0
Жилинский Ответить
Пытаешься быть скандальным, а демонстрируешь безграмотность.

Уязвимость не критическая, блогу навредить нельзя. Заплатка вышла утром.

Для бесплатной CMS это ОЧЕНЬ круто. А что там у тебя где "славится" - твой личный бред.

12 августа 2009, 21:48 0
Мастер, например, iframe засунуть или ссылки в старых постах проставить незаметно.
12 августа 2009, 21:48 0
Жилинский, так читать нужно внимательнее:

"Но это мелочь."

12 августа 2009, 21:50 0
Жилинский Ответить
“Но это мелочь” по сравнению с отечественными платными CMS :-D
12 августа 2009, 21:53 0
Жилинский, а какие претензии к - например - Битриксу?
12 августа 2009, 22:36 0
Жилинский Ответить
Ты или прикалывешься, или ни разу не видел его. Вордпресс по сравнению с Битриксом - CMS близкая к идеалу.

Даже не потому, что WP хорош, а потому, что битрикс говно убогое.

12 августа 2009, 22:39 0
Жилинский, я о безопасности. И поконкретнее.
12 августа 2009, 22:48 0
Жилинский Ответить
Приплачивают?
12 августа 2009, 22:50 0
Жилинский, кто? Битрикс? :D
12 августа 2009, 23:14 0
Жилинский Ответить
Да чёрт знает... Не удивлюсь. Они же пиарятся больше чем кодят.

Был последний раз в Москве, пришлось с этой белибердой поработать - полнейший fail, делали бы с нуля - справились бы в 4 раза быстрее и дешевле, надёжнее и производительнее.

Не преувеличиваю, замечу, ни разу.

Искал потом более-менее действущие сайты на битриксе, спрашивал у владельцев - как? Большинство отвечали, что эта хрень уже переписана на 99% и поэтому работает.

12 августа 2009, 23:19 0
Жилинский, я был бы не против - если бы они мне приплачивали.

Меня неинтересует функционал и удобство. Меня интересует безопасность. Что ты скажешь о безопасности?

12 августа 2009, 23:26 0
Евгений Дорстер Ответить
У меня исторически сложилось, живу на самописном движке. Мой сайт не столько для заработка, сколько для удовольствия - переписываю движок и радуюсь ))). Раньше иногда ломали, правда используя дыры ipb. Сейчас живу спокойно, время от времени привинчиваю новые сервисы. Короче, на своем спокойнее
13 августа 2009, 00:23 0
Мастер,шелл на сайте стоит от 10 до 5000$.Вот тебе и интерес :).
13 августа 2009, 00:42 0
Иван Ответить
Хакеры недавно взломали мой аккаунт на Fulltilt и перевели на свой счёт 300$. Причём, я то думал, что это невозможно. Стоит антивирусная защита, антишпион и фаервол. Благо, я вовремя это заметил и написал шустренько письмо в техподдержку, деньги вернули. Правда не сразу, пришлось скан загранпаспорта и страхового полиса отослать. Всё, что сделано человеком, можно взломать при желании.
13 августа 2009, 07:53 0
Сломать можно все. И то, что какую-то CMS еще не сломать не значит, что она безопасна. Взлом - это дело времени.
13 августа 2009, 13:41 0
Пузат Ответить
Спасибо за информацию, обновился.
13 августа 2009, 17:28 0
Павел Ответить
Жилинский, вы точно именно с Битриксом работали? :)
13 августа 2009, 19:26 0
Павел Ответить
Ой, еще коммент увидел :)

Kalimdor, это дырка не в Битриксе, а в голове у админа.

13 августа 2009, 19:30 0
Жилинский Ответить
Павел, а ты кто? Я в своих словах не путаюсь.
13 августа 2009, 20:11 0
ДИЗАЙН Ответить
maul, когда же будет твой новый ДИЗАЙН ???????????
13 августа 2009, 20:27 0
Kalimdor Ответить
Павел

Вообще общая рега пользователей отключена, так что дырка разрабов. А вообще закрытый код не гарантия того, что не взломают, скорее наоборот. Если код открыт баги всплывают и фиксятся постоянно, закрытая cms так чщательно на момент багов проверена не будет в любом случае.

13 августа 2009, 21:12 0
ДИЗАЙН, на блоге? Осенью. Там - просто - не только дизайн. :)
13 августа 2009, 22:58 0
Я постоянно обновляю WP.

Не думаю что в нем когда-то будут такие дырки, чтобы можно было получить доступ админа, или удалить БД...

16 августа 2009, 16:16 0
Dev, "Не думаю что в нем когда-то будут такие дырки, чтобы можно было получить доступ админа" - в смысле? В старых версиях полно таких дырок.
16 августа 2009, 18:13 0
Рязанский бомж - без хаты и колес ! ! ! Ответить
Только послето того как появилась безлимитка. поставил все проги на автообновление. Если все проги до последней версии обовлены. то и антивирус практически не нужен...
17 августа 2009, 15:01 0
Абсурд - создавать под каждый блог самописную СМС. Блогер и программист - это разные люди.
20 августа 2009, 12:57 0
Valdemarin (блог про AdSense) Ответить
Ну так и что? Все равно же взломщику никакой пользы от этого не будет.

Гадят тогда, когда можно какую-либо пользу поиметь.

17 сентября 2009, 19:52 0
K_E_V_in Ответить
Уже написано огромное количество заплат под вордпресс. Мне только не нравится, что с развитием проекта сильно увеличивается нагрузка на сервер. Приходится долго оптимизировать в ущерб функционалу
25 сентября 2009, 12:38 0
Wardon Mpris Ответить
А кто то так просто будет ломать?Если захотят то взломоют,но тут очень медлено придется ломать WordPrees,но гдето 89% безопастности тут есть.
24 ноября 2009, 18:40 0
Уткина заводь Ответить
Добрый день, у меня вопрос, может немного не в тему, но все-таки задам его, потому что сама никак не разберусь. У меня есть домен .com, на платформе Вордпресса, хостинг в Америке. Хотела сделать блог на русском, да фигня какая-то получается! Вместо русских букв в посте – знаки вопроса, попыталась загрузить русский шаблон – не загружается, ошибку выдает, загрузила англ. шаблон, вставляю виджеты, пишу заголовок виджета русскими буквами (например, вместо Categories – Разделы), так он вообще этот виджет не показывает. ЧТо же делать? Может, плагин какой есть? Или где установки поменять надо? Почти паника! Помогите, профессионалы! Спасибо заранее!
16 января 2010, 10:29 0
Правда что не в тему. ПРи создании БД для сайта нужно указывать кодировку UTF-8.
16 января 2010, 19:01 0
Уткина заводь Ответить
Спасибо, разобралась с БД!!! Все заработало! Еще раз извините, откланяюсь засим.
18 января 2010, 12:58 0