12 Август
Обновите свой WordPress!
WordPress никогда не славился своей безопасностью. Если быть точнее – WordPress вообще крайне дырявый CMS – в чем я убедился на собственном опыте. Вчера (или чуть раньше) был обнаружен баг – который позволял HTTP-запросом сбросить пароль администратора («admin»). Злоумышленник, конечно, при этом не получал доступ к АЦ, но все равно это доставляло неудобства. Проблему исправляет сегодняшняя v. 2.8.4.
Но это мелочь. В совсем старых версиях полно других дыр – которые позволяют гораздо большее. И что самое забавное – обновить совсем древнюю версию WP до последней – это не равносильно установки последней версии с нуля. В том смысле – что остаются некоторые дыры в именно базе данных. Их только вручную латать.
Я не специалист по WP, мне с безопасностью помог один хацкер. Какие выводы я для себя сделал? Во-первых, по-хорошему – надо вообще съезжать с WordPress на самописной CMS, серьезную разработку. Во-вторых, а если уж съезжать совсем не хочется – надо максимально оперативно обновлять версию WP + каждый плагин.
–
- оценить запись.
Loading ...
Понравилась статья? Хотите отблагодарить автора?
Тогда подпишитесь на блог через e-mail или .
Loading ...
Бесплатных и безопасных на 100% cms не бывает.Да и вообще почти в каждой цмс можно найти какую-нибудь уязвимость.
rushter, в том то и дело – найти можно везде! Но большинство хацкеров просто делятся в узких или широких кругах себеподобных дырами к известным движкам. Опыта/класса не хватает – чтобы находить дыры в самописных CMS.
У меня был gameslife.ru на самописном. Конкурентов у него полно. Но взломов именно движка – насколько я помню – не было.
И самописный также не очень безопасный. Хотя и лучше, потому что у хацкеров не будет исходного кода. Но не думаю я, что ктото будет меня ломать, буду сидеть на WordPress.
А что хакер говорит о сайтах на движке от Ucoz? И что вы вообще думаете о Ucoz?
Nometa, а зачем что-то говорить о Ucoz? Это несерьезно.
Druapl + WP2Druapl
Это не страшный баг =), паротль приходит в почту админа. А дыры – ну где же их нет? Кто-то создает, а кто-то ломает созданное. Всегда так.
Недавно по необходимости легко сломали drupal. Навертели там, пытаемся в бан отправить. Имхо было бы желание, CMS сломается. Вопрос в желании, умении и бабле :)
mikolka, представь – что пароль меняется (и приходит на почту) ежеминутно. :)
Дыры есть везде, но я писал выше:
«Но большинство хацкеров просто делятся в узких или широких кругах себеподобных дырами к известным движкам. Опыта/класса не хватает – чтобы находить дыры в самописных CMS.»
Опыта как раз хватает.Просто самый качественный и кропотливый анализ на уязвимости – анализ кода.В самописных цмс его во первых не получить(только иногда),во вторых это не выгодно,т.к на такой цмс может стоять все 1-2 сайта.
Интересно, кому нужно в эти дыры лезть? Из спортивного интереса?
Пытаешься быть скандальным, а демонстрируешь безграмотность.
Уязвимость не критическая, блогу навредить нельзя. Заплатка вышла утром.
Для бесплатной CMS это ОЧЕНЬ круто. А что там у тебя где «славится» – твой личный бред.
Мастер, например, iframe засунуть или ссылки в старых постах проставить незаметно.
Жилинский, так читать нужно внимательнее:
«Но это мелочь.»
“Но это мелочь” по сравнению с отечественными платными CMS :-D
Жилинский, а какие претензии к – например – Битриксу?
Ты или прикалывешься, или ни разу не видел его. Вордпресс по сравнению с Битриксом – CMS близкая к идеалу.
Даже не потому, что WP хорош, а потому, что битрикс говно убогое.
Жилинский, я о безопасности. И поконкретнее.
Приплачивают?
Жилинский, кто? Битрикс? :D
Да чёрт знает… Не удивлюсь. Они же пиарятся больше чем кодят.
Был последний раз в Москве, пришлось с этой белибердой поработать – полнейший fail, делали бы с нуля – справились бы в 4 раза быстрее и дешевле, надёжнее и производительнее.
Не преувеличиваю, замечу, ни разу.
Искал потом более-менее действущие сайты на битриксе, спрашивал у владельцев – как? Большинство отвечали, что эта хрень уже переписана на 99% и поэтому работает.
Жилинский, я был бы не против – если бы они мне приплачивали.
Меня неинтересует функционал и удобство. Меня интересует безопасность. Что ты скажешь о безопасности?
У меня исторически сложилось, живу на самописном движке. Мой сайт не столько для заработка, сколько для удовольствия – переписываю движок и радуюсь ))). Раньше иногда ломали, правда используя дыры ipb. Сейчас живу спокойно, время от времени привинчиваю новые сервисы. Короче, на своем спокойнее
Мастер,шелл на сайте стоит от 10 до 5000$.Вот тебе и интерес :).
Однако для серьезного большого проекта – не всегда своя CMS катит – программирование жрет очень много времени. К примеру, самописных форумов известных – думаю, не так и много. И тот же вопрос встает, какую CMS выбрать? К примеру, это – на чем сделано?
Хакеры недавно взломали мой аккаунт на Fulltilt и перевели на свой счёт 300$. Причём, я то думал, что это невозможно. Стоит антивирусная защита, антишпион и фаервол. Благо, я вовремя это заметил и написал шустренько письмо в техподдержку, деньги вернули. Правда не сразу, пришлось скан загранпаспорта и страхового полиса отослать. Всё, что сделано человеком, можно взломать при желании.
Маул, вот к примеру неплохая дырка в битриксе
Сломать можно все. И то, что какую-то CMS еще не сломать не значит, что она безопасна. Взлом – это дело времени.
Спасибо за информацию, обновился.
Жилинский, вы точно именно с Битриксом работали? :)
Ой, еще коммент увидел :)
Kalimdor, это дырка не в Битриксе, а в голове у админа.
Павел, а ты кто? Я в своих словах не путаюсь.
maul, когда же будет твой новый ДИЗАЙН ???????????
Павел
Вообще общая рега пользователей отключена, так что дырка разрабов. А вообще закрытый код не гарантия того, что не взломают, скорее наоборот. Если код открыт баги всплывают и фиксятся постоянно, закрытая cms так чщательно на момент багов проверена не будет в любом случае.
ДИЗАЙН, на блоге? Осенью. Там – просто – не только дизайн. :)
Я постоянно обновляю WP.
Не думаю что в нем когда-то будут такие дырки, чтобы можно было получить доступ админа, или удалить БД…
Dev, «Не думаю что в нем когда-то будут такие дырки, чтобы можно было получить доступ админа» – в смысле? В старых версиях полно таких дырок.
Только послето того как появилась безлимитка. поставил все проги на автообновление. Если все проги до последней версии обовлены. то и антивирус практически не нужен…
Абсурд – создавать под каждый блог самописную СМС. Блогер и программист – это разные люди.
Ну так и что? Все равно же взломщику никакой пользы от этого не будет.
Гадят тогда, когда можно какую-либо пользу поиметь.
Уже написано огромное количество заплат под вордпресс. Мне только не нравится, что с развитием проекта сильно увеличивается нагрузка на сервер. Приходится долго оптимизировать в ущерб функционалу
А кто то так просто будет ломать?Если захотят то взломоют,но тут очень медлено придется ломать WordPrees,но гдето 89% безопастности тут есть.
Добрый день, у меня вопрос, может немного не в тему, но все-таки задам его, потому что сама никак не разберусь. У меня есть домен .com, на платформе Вордпресса, хостинг в Америке. Хотела сделать блог на русском, да фигня какая-то получается! Вместо русских букв в посте – знаки вопроса, попыталась загрузить русский шаблон – не загружается, ошибку выдает, загрузила англ. шаблон, вставляю виджеты, пишу заголовок виджета русскими буквами (например, вместо Categories – Разделы), так он вообще этот виджет не показывает. ЧТо же делать? Может, плагин какой есть? Или где установки поменять надо? Почти паника! Помогите, профессионалы! Спасибо заранее!
Правда что не в тему. ПРи создании БД для сайта нужно указывать кодировку UTF-8.
Спасибо, разобралась с БД!!! Все заработало! Еще раз извините, откланяюсь засим.