12 Август

Обновите свой WordPress!

Архив 2007-2009

Спонсор месяца — Биржа ссылок INDEK. Если добавите в INDEK.Биржа свой сайт — получите до 1500 рублей бонуса. Продажа ссылок до страниц 5 УВ.

WordPress никогда не славился своей безопасностью. Если быть точнее — WordPress вообще крайне дырявый CMS — в чем я убедился на собственном опыте. Вчера (или чуть раньше) был обнаружен баг — который позволял HTTP-запросом сбросить пароль администратора («admin»). Злоумышленник, конечно, при этом не получал доступ к АЦ, но все равно это доставляло неудобства. Проблему исправляет сегодняшняя v. 2.8.4.

Но это мелочь. В совсем старых версиях полно других дыр — которые позволяют гораздо большее. И что самое забавное — обновить совсем древнюю версию WP до последней — это не равносильно установки последней версии с нуля. В том смысле — что остаются некоторые дыры в именно базе данных. Их только вручную латать.

Я не специалист по WP, мне с безопасностью помог один хацкер. Какие выводы я для себя сделал? Во-первых, по-хорошему — надо вообще съезжать с WordPress на самописной CMS, серьезную разработку. Во-вторых, а если уж съезжать совсем не хочется — надо максимально оперативно обновлять версию WP + каждый плагин.

12345 - оценить запись.
Загрузка...

Понравилась статья? Хотите отблагодарить автора?
Тогда подпишитесь на блог через RSS, e-mail или Twitter.

Комментарии 47

  1. rushter

    Бесплатных и безопасных на 100% cms не бывает.Да и вообще почти в каждой цмс можно найти какую-нибудь уязвимость.

  2. MaulNet

    rushter, в том то и дело — найти можно везде! Но большинство хацкеров просто делятся в узких или широких кругах себеподобных дырами к известным движкам. Опыта/класса не хватает — чтобы находить дыры в самописных CMS.

    У меня был gameslife.ru на самописном. Конкурентов у него полно. Но взломов именно движка — насколько я помню — не было.

  3. kopaweb

    И самописный также не очень безопасный. Хотя и лучше, потому что у хацкеров не будет исходного кода. Но не думаю я, что ктото будет меня ломать, буду сидеть на WordPress.

  4. Nometa

    А что хакер говорит о сайтах на движке от Ucoz? И что вы вообще думаете о Ucoz?

  5. MaulNet

    Nometa, а зачем что-то говорить о Ucoz? Это несерьезно.

  6. mikolka

    Это не страшный баг =), паротль приходит в почту админа. А дыры — ну где же их нет? Кто-то создает, а кто-то ломает созданное. Всегда так.

  7. Терехов

    Недавно по необходимости легко сломали drupal. Навертели там, пытаемся в бан отправить. Имхо было бы желание, CMS сломается. Вопрос в желании, умении и бабле :)

  8. MaulNet

    mikolka, представь — что пароль меняется (и приходит на почту) ежеминутно. :)

    Дыры есть везде, но я писал выше:

    «Но большинство хацкеров просто делятся в узких или широких кругах себеподобных дырами к известным движкам. Опыта/класса не хватает – чтобы находить дыры в самописных CMS.»

  9. rushter

    Опыта как раз хватает.Просто самый качественный и кропотливый анализ на уязвимости — анализ кода.В самописных цмс его во первых не получить(только иногда),во вторых это не выгодно,т.к на такой цмс может стоять все 1-2 сайта.

  10. Мастер

    Интересно, кому нужно в эти дыры лезть? Из спортивного интереса?

  11. Жилинский

    Пытаешься быть скандальным, а демонстрируешь безграмотность.

    Уязвимость не критическая, блогу навредить нельзя. Заплатка вышла утром.
    Для бесплатной CMS это ОЧЕНЬ круто. А что там у тебя где «славится» — твой личный бред.

  12. MaulNet

    Мастер, например, iframe засунуть или ссылки в старых постах проставить незаметно.

  13. MaulNet

    Жилинский, так читать нужно внимательнее:

    «Но это мелочь.»

  14. Жилинский

    “Но это мелочь” по сравнению с отечественными платными CMS :-D

  15. MaulNet

    Жилинский, а какие претензии к — например — Битриксу?

  16. Жилинский

    Ты или прикалывешься, или ни разу не видел его. Вордпресс по сравнению с Битриксом — CMS близкая к идеалу.

    Даже не потому, что WP хорош, а потому, что битрикс говно убогое.

  17. MaulNet

    Жилинский, я о безопасности. И поконкретнее.

  18. Жилинский

    Приплачивают?

  19. MaulNet

    Жилинский, кто? Битрикс? :D

  20. Жилинский

    Да чёрт знает… Не удивлюсь. Они же пиарятся больше чем кодят.

    Был последний раз в Москве, пришлось с этой белибердой поработать — полнейший fail, делали бы с нуля — справились бы в 4 раза быстрее и дешевле, надёжнее и производительнее.

    Не преувеличиваю, замечу, ни разу.
    Искал потом более-менее действущие сайты на битриксе, спрашивал у владельцев — как? Большинство отвечали, что эта хрень уже переписана на 99% и поэтому работает.

  21. MaulNet

    Жилинский, я был бы не против — если бы они мне приплачивали.

    Меня неинтересует функционал и удобство. Меня интересует безопасность. Что ты скажешь о безопасности?

  22. Евгений Дорстер

    У меня исторически сложилось, живу на самописном движке. Мой сайт не столько для заработка, сколько для удовольствия — переписываю движок и радуюсь ))). Раньше иногда ломали, правда используя дыры ipb. Сейчас живу спокойно, время от времени привинчиваю новые сервисы. Короче, на своем спокойнее

  23. rushter

    Мастер,шелл на сайте стоит от 10 до 5000$.Вот тебе и интерес :).

  24. Евгений Дорстер

    Однако для серьезного большого проекта — не всегда своя CMS катит — программирование жрет очень много времени. К примеру, самописных форумов известных — думаю, не так и много. И тот же вопрос встает, какую CMS выбрать? К примеру, это — http://president.kremlin.ru/ на чем сделано?

  25. Иван

    Хакеры недавно взломали мой аккаунт на Fulltilt и перевели на свой счёт 300$. Причём, я то думал, что это невозможно. Стоит антивирусная защита, антишпион и фаервол. Благо, я вовремя это заметил и написал шустренько письмо в техподдержку, деньги вернули. Правда не сразу, пришлось скан загранпаспорта и страхового полиса отослать. Всё, что сделано человеком, можно взломать при желании.

  26. Kalimdor

    Маул, вот к примеру неплохая дырка в битриксе http://bablorub.blogspot.com/2009/08/blog-post_6974.html

  27. Andr1y

    Сломать можно все. И то, что какую-то CMS еще не сломать не значит, что она безопасна. Взлом — это дело времени.

  28. Пузат

    Спасибо за информацию, обновился.

  29. Павел

    Жилинский, вы точно именно с Битриксом работали? :)

  30. Павел

    Ой, еще коммент увидел :)
    Kalimdor, это дырка не в Битриксе, а в голове у админа.

  31. Жилинский

    Павел, а ты кто? Я в своих словах не путаюсь.

  32. ДИЗАЙН

    maul, когда же будет твой новый ДИЗАЙН ???????????

  33. Kalimdor

    Павел
    Вообще общая рега пользователей отключена, так что дырка разрабов. А вообще закрытый код не гарантия того, что не взломают, скорее наоборот. Если код открыт баги всплывают и фиксятся постоянно, закрытая cms так чщательно на момент багов проверена не будет в любом случае.

  34. MaulNet

    ДИЗАЙН, на блоге? Осенью. Там — просто — не только дизайн. :)

  35. Dev

    Я постоянно обновляю WP.
    Не думаю что в нем когда-то будут такие дырки, чтобы можно было получить доступ админа, или удалить БД…

  36. MaulNet

    Dev, «Не думаю что в нем когда-то будут такие дырки, чтобы можно было получить доступ админа» — в смысле? В старых версиях полно таких дырок.

  37. Рязанский бомж - без хаты и колес ! ! !

    Только послето того как появилась безлимитка. поставил все проги на автообновление. Если все проги до последней версии обовлены. то и антивирус практически не нужен…

  38. kwas

    Абсурд — создавать под каждый блог самописную СМС. Блогер и программист — это разные люди.

  39. Valdemarin (блог про AdSense)

    Ну так и что? Все равно же взломщику никакой пользы от этого не будет.
    Гадят тогда, когда можно какую-либо пользу поиметь.

  40. K_E_V_in

    Уже написано огромное количество заплат под вордпресс. Мне только не нравится, что с развитием проекта сильно увеличивается нагрузка на сервер. Приходится долго оптимизировать в ущерб функционалу

  41. Wardon Mpris

    А кто то так просто будет ломать?Если захотят то взломоют,но тут очень медлено придется ломать WordPrees,но гдето 89% безопастности тут есть.

  42. Уткина заводь

    Добрый день, у меня вопрос, может немного не в тему, но все-таки задам его, потому что сама никак не разберусь. У меня есть домен .com, на платформе Вордпресса, хостинг в Америке. Хотела сделать блог на русском, да фигня какая-то получается! Вместо русских букв в посте – знаки вопроса, попыталась загрузить русский шаблон – не загружается, ошибку выдает, загрузила англ. шаблон, вставляю виджеты, пишу заголовок виджета русскими буквами (например, вместо Categories – Разделы), так он вообще этот виджет не показывает. ЧТо же делать? Может, плагин какой есть? Или где установки поменять надо? Почти паника! Помогите, профессионалы! Спасибо заранее!

  43. kwas

    Правда что не в тему. ПРи создании БД для сайта нужно указывать кодировку UTF-8.

  44. Уткина заводь

    Спасибо, разобралась с БД!!! Все заработало! Еще раз извините, откланяюсь засим.

Добавить комментарий