SearchEngines.bg

Това е примерно съобщение за гост. Регистрирайте безплатен акаунт днес, за да станете потребител на SearchEngines.bg! След като влезете, ще можете да участвате в този сайт, като добавите свои собствени теми и публикации, както и да се свържете с други членове чрез вашата лична входяща кутия! Благодарим ви!

Да стегнем малко горкия, беззащитен Wordpress :)

Re: За: Re: Да стегнем малко горкия, беззащитен Wordpress :)

Re: За: Re: Да стегнем малко горкия, беззащитен Wordpress :)

Просто custom решението е писано самостоятелно и до сорс кода нямат достъп толкова много хора, че да откриват дупки. Не, че е невъзможно да има дупки в едно custom решение, но просто много по-трудно ще се открият, отколкото да седнеш и да разгледаш как работи кода и да ти дойде на ум, че тука може да се появи проблем при еди-каква си ситуация ;)

Аз съм на мнение, че една система ако е писана с мисъл и сигурността е била на дневен ред, тя няма хакване. При custom системите има по-голяма вероятност това да се случи, но не е гаранция, разбира се.

Крайно не съм съгласен с това, че дадена система е уязвима, когато я използват много потребители и/или кодът и е отворен. Така говореха преди за Windows-а, сега и за WordPress. С това не мога да се съглася.

Некадърно написания код си е некадърно написан. WordPress е живото доказателство за това. Всеки, разбиращ от програмиране, ще забележи елементарни пропуски в кода му. Лошото е, че в повечето случаи те са фундаментални, в смисъл, вече е късно да се оправят, защото нещо някъде ще спре да работи.

И истинските експлойти не изтичат в мрежата, откривателите си ги пазят за себе си и не са чак толкова нагли. Те взимат малко и не се набиват на очи.
 
За: Re: Да стегнем малко горкия, беззащитен Wordpress :)

За: Re: Да стегнем малко горкия, беззащитен Wordpress :)

Да ти покажа ли колко хора са репортнали JS вируса за WordPress 3.3.1 в техния форум и как това комюинити от стотици хиляди програмисти не си е направило труда да го запуши? Как е ме обедиш, че това комюнити ще поддържа дадена версия стабилна и защитета след като вече 4 месеца се дъвче един и същ проблем и никой от тях не го е фикснал. Какъв е комуникационния канал с тези стотици хиляди "програмисти" ? Ако ти хакнат къстъм система поне можеш да се съвржеш с тези 10 човека и те да ти пачнат експлойта, а в другия случай репортвате, репортвате и чакате да падне тавана. Между другото за тези, които ги е ударил JS вируса решението е: почистване и смяна на правата за .js файловете на (444 - само за четене). Под конзола става с една команда така, че тикет до съпорта върши работа и е по-малко инвазивно от това да го правите с FTP, особенно ако имате по30000 и нагоре файлове в акаунта си.

Аз не съм много съгласен с твърдението, че къстъма е по-сигурен. За малък сайт може би, но не и за по-сериозни проекти.
За мен не е възможно екип от хора (десетина да речем) да направят и защитят нещо толкова добре, колкото комюнити от десетки хиляди(да не кажа стотици хиляди) потребители, които съобщават за дадени бъгове, дупки и подобни. По-скоро проблемите идват от зле написани допълнителни функционалности за дадената система, които отварят дупки.

Разликата идва от там, че за безплатните CMS, когато излезне експлойт, той се разпространява бързо в определени среди, че достига и до потребители, които не знаят какво точно правят, но повтарят дадени стъпки и пробиват дадена система.
При къстъм система проблеми създават само разбиращи хора, които са решили да направят мръсотия.
 
За: Да стегнем малко горкия, беззащитен Wordpress :)

За: Да стегнем малко горкия, беззащитен Wordpress :)

Cloxy и съм склонен да се съглася и не съвсем...
Да прав си, че кадърно написаното си е кадърно написано, но в случая много по-лесно е да откриеш дупка, ако имаш сорс кода.. Практически е много трудно човек да предвиди всички сценарии и от там понякога изкачат проблемите.

Въпреки всичко голям % от хакванията са от небрежност на потребителите, щото просто не знаят как да се пазят. Обикновено след като се появи информация за сериозна дупка, се намират поне няколко теми в които се описва как да я фикснеш и т.н. За пример преди 2 дена попаднах на сайт на който беше инсталиран WP на субдомейн. На основният беше сложен WP, но не беше инсталиран. За пробата го инсталирах с външна db, ъплоаднах си c99 шел( за по-лесна работа ) с разширение за снимка... следва команда за промяна на разширението на .php, отворих си шела и вече имах почти пълен достъп до сайтовете на хостинга, включително и данните за локалното db и спомойно можех да си сменя паролата и да си скрия 2-3 линк-а... е от тогава се опитвам да се свържа с собственика да го предупредя за проблема и да си го оправи, щото не ми се мисли колко поразия може да му направи някой, буквално за секунди.

Ето един прекрасен пример, как човек сам застрашава сайтовете си... така, че колкото и да е перфектно написана една система, ако не знаеш как да я настроиш и да я подсигуриш и господ не може да ти помогне.
 
За: Да стегнем малко горкия, беззащитен Wordpress :)

За: Да стегнем малко горкия, беззащитен Wordpress :)

Ето ТУК Суперхостинг са описали няколко начина за защита на wp!Явно този пропуск на WordPress в защита е опарило доста хора включително и мен:(
 
Re: За: Re: Да стегнем малко горкия, беззащитен Wordpress :)

Re: За: Re: Да стегнем малко горкия, беззащитен Wordpress :)

Да ти покажа ли колко хора са репортнали JS вируса за WordPress 3.3.1 в техния форум и как това комюинити от стотици хиляди програмисти не си е направило труда да го запуши? Как е ме обедиш, че това комюнити ще поддържа дадена версия стабилна и защитета след като вече 4 месеца се дъвче един и същ проблем и никой от тях не го е фикснал. Какъв е комуникационния канал с тези стотици хиляди "програмисти" ? Ако ти хакнат къстъм система поне можеш да се съвржеш с тези 10 човека и те да ти пачнат експлойта, а в другия случай репортвате, репортвате и чакате да падне тавана. Между другото за тези, които ги е ударил JS вируса решението е: почистване и смяна на правата за .js файловете на (444 - само за четене). Под конзола става с една команда така, че тикет до съпорта върши работа и е по-малко инвазивно от това да го правите с FTP, особенно ако имате по30000 и нагоре файлове в акаунта си.

Разбрал си ме донякъде погрешно - под Комюнити не съм имал предвид програмисти, а потребители, които репортват. Това, че създателите все още не са предприели никакви мерки, говори лошо за тях като цяло. Никой в нищо не искам да убеждавам, а изказвам собственото си мнение :)
Масова смяна на правата може да се прави и с доста от FTP клиентите.
А и като цяло визирах CMS-ите, не само Wordpress. Лично не го ползвам - една две инсталации съм правил до момента - за проба на един-два плъгина и за редизайн на един шаблон.
Имам доста по-голям опит с Joomla и там е имало случаи да се изкарват версии буквално през 2-3 дена, защото е открита слабост.

Като цяло, непробиваема защита няма.
 
Re: За: Re: Да стегнем малко горкия, беззащитен Wordpress :)

Re: За: Re: Да стегнем малко горкия, беззащитен Wordpress :)

.... Между другото за тези, които ги е ударил JS вируса решението е: почистване и смяна на правата за .js файловете на (444 - само за четене).....
Имаш в предвид ВСИЧКИ .js файлове да се направят само за четене???
 
За: Re: За: Re: Да стегнем малко горкия, беззащитен Wordpress :)

За: Re: За: Re: Да стегнем малко горкия, беззащитен Wordpress :)

Да, тъй като заразяването става в различни .js файлове - горе долу на който попадне.
Имаш в предвид ВСИЧКИ .js файлове да се направят само за четене???
 
За: Да стегнем малко горкия, беззащитен Wordpress :)

За: Да стегнем малко горкия, беззащитен Wordpress :)

Това с js файловете бихте ли го препоръчали на всеки потребител да си го направи? В смисъл, ще има ли някакви негативни последствия? Примерно да не може да се редактират такива файлове през админ панела или да не работят някои плъгини?
 
За: Да стегнем малко горкия, беззащитен Wordpress :)

За: Да стегнем малко горкия, беззащитен Wordpress :)

Това с js файловете бихте ли го препоръчали на всеки потребител да си го направи? В смисъл, ще има ли някакви негативни последствия? Примерно да не може да се редактират такива файлове през админ панела или да не работят някои плъгини?

Мъка ще е като се ъпдейтва плъгин или вп-то - ще трябва да им разрешаваш писането всеки път ... изобщо... мъка мъка...
 
За: Да стегнем малко горкия, беззащитен Wordpress :)

За: Да стегнем малко горкия, беззащитен Wordpress :)

host.bg въвеждат suEXEC

Това до колко (дали) ще помогне за затваряне на дупките Wordpress-ки
 
За: Да стегнем малко горкия, беззащитен Wordpress :)

За: Да стегнем малко горкия, беззащитен Wordpress :)

Някой вече са го въвели и няма нищо общо с дупките на Wordpress-ки..... отностно мъките при ъпдейта на WP ако файловете .JS са с права само за четене коментара е следния:

направи баланс между мъката да си смениш правата 1 месечно заради ъпдейт и мъката да си чистиш сайта от JS shits всеки ден. Елементарна математика Алфредо.
 
За: Да стегнем малко горкия, беззащитен Wordpress :)

За: Да стегнем малко горкия, беззащитен Wordpress :)

Съгласен съм напълно, последните ми вопли 'мъка мъка' бяха по отношение на върдпреса като цяло, че си качат хората на главите голямам мъка с него и постоянен тормоз за неща за които не би трябвало да се сещат изобщо, вярвам, че си съгласен хаха
 
За: Да стегнем малко горкия, беззащитен Wordpress :)

За: Да стегнем малко горкия, беззащитен Wordpress :)

Точно защото WP е запислен като CMS, който дава възможност на потребителите да имат сайт в условията на "за неща за които не би трябвало да се сещат изобщо" (да се разбира: кликам по картинките), затова е на това положение през последните 4 месеца - купчина експлойти и няколко реда код между тях. На Запад вече виждам новообразувани фирми, които предлагат чистене на wordpress инсталации, щом това се е превърнало в индустрия сам си направи изводите за какво става въпрос. По някакви статистически данни на Hostgator, GoDaddy, Dreamhost, BlueHost от януари 2011 има приблизително по 100к инсталации на WP хаквани на ден. И това било комюнити,.... аз спирам да репортвам атаки към тях изобщо... на път съм да се откажа да пиша и тук за подобни, просто няма смисъл.
 
За: Да стегнем малко горкия, беззащитен Wordpress :)

За: Да стегнем малко горкия, беззащитен Wordpress :)

А какъв е най-лесния начин да се прави тази смяна на права на всички js файлове едновременно? Нещо, което аз мога да направя имам предвид, а не все да пиша на хостинга.
 
За: Да стегнем малко горкия, беззащитен Wordpress :)

За: Да стегнем малко горкия, беззащитен Wordpress :)

Знам, че сигурно много хора ще погледнат негативно на изказването ми, но защо някой, който има WP не инсталира и пробва ZB Block. Защитата е тествана и работи и на версия WP 3.3.1. След инсталацията, която трае по-малко от 5 минути, се добавя един тригерен ред във файла wp_load.php и това е всичко.
Wordpress
Version 3.3.1
Add ZB Hook to wp_load.php in your current template folder or any templates you use
Досега не знам някой у нас дали го е инсталирал, но от чужденците, потребители няма нито едно оплакване за хакнат сайт.
В крайна сметка, това е решение с много по-малко хамалогия, от всичко друго, което прочетох до момента. Какво пречи да го пробвате? Ами, ако вземе да ви помогне?
 
За: Да стегнем малко горкия, беззащитен Wordpress :)

За: Да стегнем малко горкия, беззащитен Wordpress :)

Е, мен забрави ли ме вече.. Работи на 3.3.1. Тествано.. :)
Честно казано, хич не се сетих, че твоят сайт е на WP. Тъкмо, ако някой има въпроси, ще можеш да дадеш и по-точни отговори от мен, защото аз не съм пробвал никога WP. :)
 
Re: За: Да стегнем малко горкия, беззащитен Wordpress :)

Re: За: Да стегнем малко горкия, беззащитен Wordpress :)

Темата е изключително актуална. Аз за мен намерих решение в Drupal, но не искам да си оставя и wordpress. Имам проблеми само с нажалените коментари и един два пъти са ми изтривали или всички коментари или всички статии. Добре, че второто беше на неразвит сайт.
 
За: Да стегнем малко горкия, беззащитен Wordpress :)

За: Да стегнем малко горкия, беззащитен Wordpress :)

Това грешно ли е?
Options All -Indexes
Не, това е вярното, аз съм сгрешил :)

scoobydoo каза:
А за 3-та точка, виждал съм го пак на няколко места да го препоръчват. Мисля, че целта е да не се индексират от търсачките разни неща, които евентуално ще разкрият някаква информация. И аз не знам точно защо.
Забраната в роботса НЕ забранява индексирането, а само обхождането ;).
 

Горе