Плагин "Display Widgets", насчитывающий более 200 тысяч установок, окончательно удалён из каталога плагинов к WordPress после серии инцидентов (https://www.wordfence.com/blog/2017/09/display-widgets-malware/), в результате которых была осуществлена подстановка вредоносного кода в новые выпуски. Указанный код представлял собой бэкдор, позволяющий владельцам плагина контролировать контент на использующих плагин сайтах и выполнять подстановку своих рекламных блоков. Всем пользователям "Display Widgets" рекомендуется прекратить использование данного плагина.Проблемы начались после того, как автор плагина, заинтересованный в развитии других проектов, продал "Display Widgets" другому разработчику, который обещал продолжить сопровождение плагина. 21 июня, спустя месяц после завершения сделки, новым владельцем было выпущено обновление 2.6.0, в котором была представлена поддержка средств для определения местоположения по базе GeoIP.
На следующий день после релиза к администраторам каталога плагинов WordPress поступила жалоба о нарушении требований к размещаемым в каталоге дополнениям. В частности, было выявлено, что плагин загружает около 38 Мб данных, содержащих информацию о географической привязке IP-адресов от компании Maxmind. После удаления дополнения из каталога, спустя неделю новый владельц плагина выпустил обновление, в котором устранил проблему путём интеграции GeoIP БД в основную поставку в виде виде файла geolocation.php. Дополнение было восстановлено в каталоге.
Изучив код в нём вновь было найдено нарушение правил - плагин передавал сведения о посетителях на внешний сервер, нарушая конфеденциальность пользователей. 1 июля дополнение было блокировано второй раз, а 6 июля был выпущен релиз 2.6.2 с поддержкой включенной по умолчанию опцией для отключения отправки логов. 23 июля стали поступать жалобы о появлении спама на сайтах с плагином "Display Widgets", подтверждённые ссылками на кэш Google.Разбор проблем показал, что источником спама является файл geolocation.php, в котором оказался (https://www.pluginvulnerabilities.com/2017/09/11/wordpress-p.../) спрятан бэкдор, позволяющий владельцам плагина публиковать новый контент на сайтах пользователей, а также заменять или удалять содержимое страниц. При этом для зарегистрированных пользователей и администраторов вредоносный код отображал изначальное содержимое, а для остальных пользователей выводил изменённый контент. Вредоносный код использовался для подстановки сторонней рекламы, незаметно для постоянных пользователей и администраторов сайтов. 24 июля дополнение в третий раз было заблокировано.
2 сентября был сформирован релиз 2.6.3, в котором также присутствовал изменённый бэкдор. 7 сентября возобновились жалобы на появление спама на сайтах пользователей плагина. На данные жалобы разработчики отвечали советом почистить кэш браузера, установить новую версию "Display Widgets" (также содержащей бэкдор) и почистить содержимое таблицы wp_options. Разработчики также пытались ввести пользователей в заблуждение, указывая в качестве причины появления спама наличие уязвимости, проявляющейся только при включении режима GEO Location в сочетании с применением других дополнений. 8 сентября администрация WordPress в четвёртый раз заблокировала "Display Widgets" с предупреждением о наличии критических проблем с безопасностью.
Стефани Велс (Stephanie Wells), изначальный автор дополнения, прокомментировала (https://www.wordfence.com/blog/2017/09/man-behind-plugin-spa.../), что дополнение было продано Мэйсону Сойза (Mason Soiza) за 15 тысяч долларов, который заявлял, что уже владеет 34 плагинами и его компания Soiza Limited сосредоточена на разработке плагинов. Примечательно, что ранее наблюдалась аналогичная ситуация со спамом в плагине 404 to 301, который также купил Сойза. Также была договорённость о покупке плагина Finance Calculator, но его автор отменил сделку, узнав об инциденте с "Display Widgets".
URL: https://www.wordfence.com/blog/2017/09/man-behind-plugin-spa.../
Новость: http://www.opennet.me/opennews/art.shtml?num=47229
То есть это не исключительно гуглохромовское явление? Вот это наверное неслабый такой удар по мирку анонимус-диванус-экспертус-опеннетусов.
> То есть это не исключительно гуглохромовское явление?Какое? Продажа разработки единственным разработчиком совершенно левому чуваку, который ничего не обещал?
Наоборот же: "разработчику, который обещал...".
Девушка поверила.
Ну, как там в блоге у девушки написано, обещал взять на себя разработку и улучшить работу с последними версиями Wordpress. Может улучшить-то он и улучшил, а вот что он будет делать в плане разработки, он ничего не обещал :)
>Наоборот же: "разработчику, который обещал..."."Кто в экономике или политике верит на слово, тот круглый дурак". Ленин В.И.
Теперь любой скрипткидди знает как хакнуть кучу народа. С таким подходом - любая система уязвима, потому что каталоги дополнений не проверяют их на качество.
> С таким подходом - любая система уязвима, потому что каталоги дополнений не проверяют их на качество.Уязвима любая система, _использующая каталоги дополнений/приложений_.
Репы что ли проверяют? Там даже денег не надо платить. Такимим темпами любой сторонний совт опасен и надо покупать только эпло мелко шапко подобное.
> Репы что ли проверяют?В нормальных дистрибутивах — да. Во-первый, майнтейнер и разработчик как правило совершенно разные люди, во-вторых, новый пакет при добавлении проходит рецензирование. Ну и вообще в майнтейнеры кого попало с улицы не берут, на первое время назначают ментора и всё такое.
Ахаха, открою тебе секрет, мой друг Аноним.
Мэйнтейнить пакеты в некоммерческих дистрибутивах- дело сугубо добровольное, кто вызвался - того и взяли. Это как раз соответствует твоему "кого попало с улицы". Менторов на всех не напасёшься, максимум что могут сделать - это кикнуть проблемый пакет из репозитория, если на него сильно жалуются.
Ты это мне, майнтейнеру, рассказываешь?
> Теперь любой скрипткиддиЭтому баяну уже 5000 лет, когда плохие покупали известного, чтоб он говорил нужное. (см. Парламент)
>> Теперь любой скрипткидди знаетНу, да.
Берешь USD $150000, покупаешь 10 плагинов по $15000, а там оно само напишется.
Из уважения к трусам ихой бабушки сам собою возникнет вредоносный код.
>который также купил СойзаНу так посадите его. Неужели для его действий не найдётся статьи?
А вы ведь когда читали текст такого рода, хлопали в ладоши и умилялись опенсорсу, не так ли?
"
Вы используете продукт как есть, без каких - либо гарантий... Издатель не гарантирует применимость данного продукта для решения ваших задач... ну и т.д.
"
А никто и не требует никаких гарантий применимости. На лицо обычное мошенничество -- ПО выполняет очевидно вредительские функции, которые не были заявлены.
Да, продавать метиловую водку наказуемо, даже если на ней написать что водка вредит здоровью.
И к зачем ты этот обязательный фрагмент любой ЕУЛА написал?
И так понятно что тролль.
А с чего ты взял что это опенсорс??? там какая лицензия была?? ты видел??
Найдется. Мошенничество например.
Но в основе — разделение труда. Программист пишет код. Мэнтейнер — мэнтейнит и тд.
А юристу ещё надо самому объяснить что в кап.общЪстве может оказывается тоже быть открытый код.
Вон тролля выше как "колбаснуло" тою
>>который также купил Сойза
> Ну так посадите его. Неужели для его действий не найдётся статьи?Странно, что сразу не заблокировали. Видимо, случает когда кто-то закачивал бекдоры случайно не единичны.
>окончательно удалён из каталога плагинов к WordPress после серии инцидентов, в результате которых была осуществлена подстановка вредоносного кода в новые выпуски.А зачем удалять? Вычистить вредоносный код, заблокировать возможность обновления недоверенному автору. Не?
Ух ты! А мои плагины с парой десятков пользователей никто не хочет купить за 15 тысяч баксиков? Ну хоть за 14,999, а?...
>,Не совсем понимаю как ты хочешь получить третью девятку после запятой. Банки такое умеют?
В фин операциях до 4-го знака округление обычно.
В банковской сфере легко. Вообще многие варианты полей типа Currency в БД имют размерность 4 знака
Это очевидно не запятая, которая разделяет дробную и целую части, а запятая, разделяющая группы разрядов чисто для читаемости.
Группы разрядов разделяются апострофом, а не запятой.
LC_NUMERIC с тобой не согласен.
От региона зависит
> От региона зависитА мы что, по-китайски тут пищем, а сайт находится на .cn? По-русски надо писать, по-русски: 14 999, 14.999, 14999. Развелись тут "дети мира". понимаешь. Давить таких надо ещё в зародыше.
Люто, бешено плюсую.
>> От региона зависит
> А мы что, по-китайски тут пищем, а сайт находится на .cn? По-русски
> надо писать, по-русски: 14 999, 14.999, 14999. Развелись тут "дети мира".
> понимаешь. Давить таких надо ещё в зародыше.だってさー、中国語でも書けるんやで。だから、コンマを使うよ!
А запятая использована, доллары мы обсуждаем патамушта.
> Группы разрядов разделяются апострофом, а не запятой.Апострофом всякие футы да дюймы обозначают, не?
Дайте Мэйсону ещё один шанс, код не его, он лишь разместил плагин
И мопед не его, ага ^_^
Ты откуда такой, красавчег?
> жалобы о появлении спама на сайтах с плагином "Display Widgets"Спам на сайте? Это как?
Будем откровенны 95% населения — идиоты. Если вам нужны доказательства, посмотрите вокруг себя, на всех этих людей, которые прожигают свою жизнь. Почему они это делают, и как стать более свободным? Вы можете узнать на нашем авторском канале.
Но дырявый насквозь wordpress который к тому же стучит о себе на сайт авторов же сам по себе вредоносный софт...
Что после этих инцидентов предлагаешь переходить на другой движок? (К примеру Grav.)
> Flat-file CMSЗокопать.
Флэтфайл CMS будет в разы лучше, вместо того чем кормят студентов уровня Профессий СПО.Доступ к БД не нужен, странички работают на Markdown, Twig и HTML(Можно и PHP туда приписать, если постараться.) особых проблем с сайтом на этой CMS не наблюдается.
> Флэтфайлэто что за зверь?
> Доступ к БД не нужен, странички работают на Markdown, Twig и HTML(Можно
> и PHP туда приписать, если постараться.) особых проблем с сайтом на
> этой CMS не наблюдается.Recommended Tools
- Text Editors
- Markdown Editors
- FTP Clientsя всё понимаю: не можешь держаться чтобы не навалить в любой похожей теме свою кучу, но чтобы не было так смешно, ознакомься с предметом
> это что за зверь?Кириллизованное название типа. (Английское Flat-File)
> я всё понимаю: не можешь держаться чтобы не навалить в любой похожей теме свою кучу, но чтобы не было так смешно, ознакомься с предметом
Как "приятно" это читать, но что предложите взамен?
> Что после этих инцидентов предлагаешь переходить на другой движок? (К примеру Grav.)
> ну-ну https://getgrav.org/downloads/pluginsА что? Пусть пока плагинов не так много, но всё же лучше чем ничего.
Ни в коем случае. Если у вас извилины зашевелились только от "этих инцидентов", а то что это для wordpress норма вы не видите, вам что-то предлагать и советовать бесполезно. Кушайте дальше wordpress, не обляпайтесь.
> Ни в коем случае.Не спорю.
> Если у вас извилины зашевелились только от "этих инцидентов", а то что это для wordpress норма вы не видите, вам что-то предлагать и советовать бесполезно.Если для WP это норма то ладно, окей, "забить и вышвырнуть".
> Кушайте дальше wordpress, не обляпайтесь.На любое предложение может быть отказ и это итак понятно.
Да чтоб таких "программистов" и "хакеров" мучала всю жизнь страшная бессонница.(когда спать просто жесть как хочется, ты устал и вымотан, но заснуть никогда не получается)