Исследователи безопасности из компаний Wordfence и WebARX выявили несколько опасных уязвимостей в пяти плагинах для системы управления web-контентом WordPress, в сумме насчитывающих более миллиона установок...Подробнее: https://www.opennet.me/opennews/art.shtml?num=52398
шо опять?
а если бы это была новость про софт на C, - твой коммент удалили бы
да нет, люто заплюсовали бы и брызгали слюной про раст
такая реакция на C/C++ уже моднейший тренд пару лет как
Пользуются же этим дерьмом, идиотики, ничему жизнь не учит
А альтернативы какие? Markdown? Paint?
Написать самому на б-жественном питонячем django, очевидно.
На железо куча денег уйдет + внесешь свой вклад в глобальное потепление.
Если на уровне международных соглашений запретить пых, глобальное потепление отложится лет на сто.
> Если на уровне международных соглашений запретить пых, глобальное потепление отложится
> лет на сто.Но это все равно будет даже близко не так эффективно, как повсеместный отказ от питона.
А что даст повсеместный отказ от питона, если питон используется в основном в прототипах и скриптах автоматизации?
> А что даст повсеместный отказ от питона, если питон используется в основном
> в прототипах и скриптах автоматизации?Было бы очень здорово если это было бы правдой.
Как правило все это использование PHP и Python прототипов дальше никогда не развивают, так как только стартап начинает давать реальный доход всем уже совершенно налпевать используеться там PHP 4, 5 или 7.Таким образом для юных предпринимателей WordPress это отличный вариант стартануть и проверить свою концепцию, а нанимать пару сеньеров за 200 к. в месяц и просить их сделать сайт визитку на каком-нибудь Rust это просто сожрать весь стартовый бюджет за пару месяцев и получить такой же результат, что и от WordPress.
Теперь о дальнейшем развитии сайтов на WordPress когда "кофейная лавка" масштабирует свой бизнес и начинает приносить доход компания стоит перед выбором или свой штатный "пи3дюк" (штатный PHP разработчик уровня Junior или Middle с фантазиями о великой карьере - короче "двигун") или "спиногрызы" (компания оутсорсер отжирающая бабки каждый месяц за красивые диаграммы).
Вернемся к застрявшим на WordPress вот сидят люди проверяют концепцию и ждут у удочки улова, а тут ходят всякие и говорят что-то о эффективности WordPress.
Другое дело, что конечно нужно на всех форумах WaordPress писать рамки применимости инструмента, а то был у меня знакомый, так он реально пытался на свободных плагинах сделать что-то вроде биллинга короче на головудвинутый товарищь - жаль его конечно.
Выбирай: https://en.wikipedia.org/wiki/Category:Free_content_manageme...
Да уж, есть из чего выбирать - джумла и друпал. И под капотом все тот же пых.Оба движка из вышеназванных требуют изрядных познаний в php/css и постоянных танцев с бубном при работе. WP, по крайней мере, "искаропки" выдает почти все, что заявлено, без ковыряния в кодах.
Длинный список прочих маргинальных и не очень систем даже не стал пролистывать до конца. Статистика говорит, что де-факто ниша CMS поделена между Drupal, Joomla и Wordpress, а это означает, что вменяемую поддержку в сети ты найдешь только для этих систем.
> Статистика говоритЧё, правда? А, ну да, миллионы мух же...
> Чё, правда?Да, правда. Мух миллионы.
Да, правда. Основным источником питания взрослых мух, относящихся к группе "копрофаги факультативные" являются экскременты человека и животных.
Самое печальное это то, что когда в Джумле закрывают очередную уязвимость (к счастью давно не было серьезных) широта диапазона уязвимых версий просто поражает, скажем 2.5-3.9.14, ну или просто 3.0.0-3.9.14, т.е. уязвимости фактически ОЧЕНЬ старые и существуют годы, пока на них либо не наткнутся либо не спалят их наличие. Свежих, "недавно добавленных" уязвиостью очень мало.
http://opensourcecms.com/
даже иногда демки стоят
Наоборот - учит. И всем плевать на эти уязвимости. Интернет-помойка сильно переоценена. Всё правильно делают. Точнее не делают.
А в нашем православном Битрикс такого не бывает ибо встроенный модуль "Проактивная защита" стоит на страже пользователей :)Шутка конечно, но в каждой шутке ... Если "Проактивную защиту" выставить в самый параноидальныы режим то действительно взлом даже через модули (плагины в терминологии Вордпресс) из Маркетплейса практически нереален.
только и те модули тоже перестают работать, ага? ;-)Ну и да - за те деньги, которых с меня хотят жадные п-сы из Калининграда (каждый, небось, по БМВ себе купил, и детям по две, судя по ценам и активности использования их недоделка? А, нет, им на запоржопец не хватило. На БВМ раскатывает семья Нуралиева, прикупившего этих рабов за рупь пучок) я куплю с потрохами трех хохляцких кодерков, которые на 6ешплатном вротпрессе сделают вдесятеро лучше и вдвое менее требовательное к ресурсам.
Ну а снаружи прикрою 6ешплатным nginx+modsecurity. Его, по крайней мере, проще настраивать, если начнет давать ложные срабатывания.
P.S. дыра в gdrp-вякалке - просто праздник какой-то!
> за деньги, которых хотят жадные п-сы
> каждый, небось, по БМВ себе купил
> прикупившего этих рабов за рупь пучок
> я куплю с потрохами трех хохляцких кодерковДа что же ты, чёрт побери, такое?!!
Ну у меня модуль "Проактивная защита" в Битрикс удалён.И стоит nginx+Apache а к Apache как раз modsecurity прикручен.
Но это мы с вами можем/умеем а для скажем домохозяйки с сайтом-блогом это нереально.
А вот встроенная по умолчанию защита в Битрикс лучше чем в Вордпресс.
P.S.
Второй раз за Битрикс заступаюсь - интересно предыдущий рекорд по минусам в репутацию побъет пост или нет ? :) Тяжко идти против тренда хейтить Битрикс.
Если бы мне достался в наследство сайт на вротпрессе - я бы может и ненавидел вротпресс. (хотя, опять же, он хотя бы не вымогал бы денег)Но, к сожалению, мне достался - битриксный.
> Но, к сожалению, мне достался - битриксный.Это судьба :)))
> Но, к сожалению, мне достался - битриксный.Так они хотят с вас или с вашей конторы?
Или вы так активно прихватизируете её бюджет, что уже не видите никакой разницы?
С меня. Контора способна содержать целые стаи веб-макак, которые с ее задачами и без меня справляются.А вы кроме краж бюджета так в жизни ничего и не сделали?
За что его ненавидеть-то? Можно подумать, оно одно такое.Если у заказчика (или себя любимого) стоит Битрикс - ну либо менять на что полегче и не такое мутное-дорогое, либо сопровождать и не жаловаться. Всё прочее тривиально неконструктивно.
Один из этих разработчиков Битрикса тут на опеннете околачивается. Ник burjui можешь у него даже уточнить что именно он себе купил на твои деньги.
> с потрохами трех хохляцких кодерковсудя по всему.
мне кажется, что в Калиниграде не такие большие зарплаты. Даже у сотрудников 1С.
Тупые ВП-хейтеры как всегда не в состоянии понять, что
а) уязвимости устранены моментально
б) пострадали воры, натянувшие с помоек ворованные темы и плагины и ламеры, не следящие за обновлениями.
> Тупые ВП-хейтеры как всегда не в состоянии понять,они хотя бы читать умеют - в отличие от тебя
> а) уязвимости устранены моментально
Уязвимость в плагине ThemeREX Addons, применяемом на 44 тысячах сайтов. Проблеме присвоен уровень опасности 9.8 из 10. Уязвимость позволяет неаутентифицированному пользователю выполнить свой PHP-код на сервере и осуществить подстановку учётной записи администратора сайта
Пользователям рекомендует как можно быстрее удалить данный плагин.
Прекрасно "устранено".Ну и конечно же - быстроподнятое не считается упавшим, да?
Подумаешь, поломали - вот же ж апдейт, больше сегодня не поломают, если только не найдут еще одной дырки.
Дурашка. Эти поделки (включая и из оф. репо) к самому ВП отношения не имеют. А коммерческие и вовсе - дно.
Если бы еще и не могли исправить, после того как им о них сообщили, это было бы уже совсем.Поймите, решето является решетом с момента появления дырки в кодовой базе, а не с момента сообщения о ее наличии.
В таком случае любой софт - шерето, и тем более непонятны визги.
Вордпресс — это даже не рeшето, это рыболовная сеть, на 99.99% состоящая из дыpок.
Жуть то какая!!
Это ты еще сайты на nodejs не видел :)
Сайты на nodejs только апишечку отдают и все все остальное реакт вуе по вкусу.
A ведь писали бы сайты на Cи, - скорость была бы больше, в разы, а уязвимостей больше бы не стало!
> A ведь писали бы сайты на Cи, - скорость была бы больше,
> в разы, а уязвимостей больше бы не стало!Не останавливайтесь - если бы на расте то уязвимостей вообще бы не было :)
Так сначала надо на си написать- на расте ведь только переписывать можно.
Там и переписывать сложно, лучше уж сразу на ассемблере
На ассемблере, желательно 8086, взломать нереально!
А гонять в DOSEmu?
У меня на 286 машине веб сервер работал норм...
https://ideafix.name/?p=3354
Интересный блог, спасибо. И респект за использование Devuan.
https://m.habr.com/en/post/318916/
> en
> простыня на русскомОх уж эти картонные "иностранцы"!
скорость работы сайта определяется не скоростью работы языка, а тем, сколько требуется скачать для открытия страницы, производительностью базы данных, и оптимизацией структуры страницы и последовательностью загрузки ресурсов.
А уж кто будет отдавать эти ресурсы - php или ассемблер - это дело десятое
> скорость работы сайта определяется не скоростью работы языкалооооол
был бы у вас django проект с 10000 одновременных кликов который будет всё это дело пережвывать в один поток, вы бы так не говорили
Смешно смотреть, когда смешивают Джангу и "скорость". С архитектурой у вас явные проблемы. Тем более в один поток, что говорит о том, что у вас отсутствуют серьезные операции, которые могут блокировать IO + выделена достаточно производительная машина.То, что вы написали - я бы не стал гордиться
В Вебе скорость разработки важнее.
Я так понимаю не смущает что Wordfence не имеет адреса и это с их блога новость, их услуги очень попахивают. Один вопрос занесли?
Короче, переходим на телефон с дисковым набором, (из предыдущей новости), а ворд-бес это не клево!
блог-платформа на шаблонизаторе HTML - это, безусловно, ну очееень надёжное решение )
PHP давно не шаблонизатор. Нормальное ООП (привет Питону), прекрасная скорость (второй привет Питону), отсутствие строгой необходимости в балансировщике, колоссальная стандартная библиотека, нормальные и стабильные фреймворки, ORM. Огромное количество проверенных временем либ . И самое главное - у языка есть специализация (третий привет Питону).P.S. Я активно юзаю и Python и JS и Java и C# и PHP и Golang. У каждого языка есть специализация.
WordPress не виноват в том, что эти плагины дырявые. Но дело ваше, меньше потом из вашего лагеря о помощи на форумах просят.
Царь не виноват, это холопы дырявые.
А как иначе? В любом ПО со сторонними плагинами будет подобная проблема.
Не хочешь проблем - не ставь плагины.
Не хочешь проблем - правильно проектируй систему. Если система запускает плагины на своем уровне - это плохая система. Если система запускает плагины на уровне плагинов, не пуская напрямую на системный уровень - это хорошая система.Вордпресс - плохая система. И дыры в ней будут появляться постоянно.
Сравнивать палец с огурцом мама научила?
Про flat-file CMS писать не буду, ведь тут в комментах одни аутисты секты wp
Flatfile cms специфичны, хотя для большинства сайтов самое то. Но у многих из них еще и с поддержкой странная ситуация (например getSimpleCMS - что-то перестали обновлять :-( )
А главное всем пофиг!!! Wordpress позволяет быстро накатать свой сайт и запустить бизнес, сколько там уязвимостей или троянов это уже не их проблема, знаю по личному опыту. Я тут недавно общался с разрбом который работает на NYC стартап, так они за неделю наклипали и запустили сайт на Wordpress и пару самописных плагинов к нему. Там был старый WP с кучер дыр так ещё и троян от одного из бесплатных плагинов прилетел. Реакции от компании и создателей ноль. Сайт до сих пор в сети и бизнес успешен.
Согласен с вами. Wordpress по показателю эффективность/трудозатраты - на очень высоких позициях.Тем более надо понимать, что у любой системы с такой популярностью и открытостью (в хорошем смысле) - с легкостью найдутся и куда более серьезные дыры.
Типичная ошибка выжившего.У меня вот дядька знакомый до 92 лет дожил, куря с детства. Предлагаю ввести обязательное курение, ведь до 92(!) дожыл жы.
Этих "выживших" на Upwork подавляющее большинство.
И их стараниями живут и процветают ботнеты.
К чести говоря, основная муть у WordPress именно из-за плагинов, которые ужасного качества. И на это не раз обращали внимание сами разработчики WordPress. Более того, в отличии от разработчиков самой CMS, которые не могут резко менять архитектуру, API и пр. и ведут консервативную политику, что правильно - разработчики плагинов делают что хотят и из версии к версиям.P.S. Я не осуждаю WordPress и прекрасно понимаю их сложности. Это не так легко разрабатывать систему, с учетом того, что нельзя резко менять API как минимум лет 5. И еще интереснее тот факт, что из всех тех, кто ругает WordPress - практически никто не взялся (или тупо не смог) сделать - "Правильно и кошерно".
> И еще интереснее тот факт, что из всех тех, кто ругает WordPress - практически никто не взялся (или тупо не смог) сделать - "Правильно и кошерно".Золотая эпоха CMS ушла лет эдак 7-10 назад. Спасибо социалочкам, в которые перехали блоги, и новомодным фреймворкам, позволяющим клепать корпоративные лендинги на раз-два (причём практически весь интерактив вынесен на фронт).
Самый популярный движок в вебе. Понятно, что под него будут писать плагины все подряд, даже те, кто не совсем понимает, что он делает. Используйте голый WordPress по назначению (бложики) без левых плагинов - и не будет проблем.
Мне вот тоже истерика в данном контексте кажется несколько необдуманной. Плагины написанные кем-то непонятным.. Плагины которые ставило ворье себе... А ругают Вордпресс...Стив джобс кстати, когда отвергал возможность работы флэша на ИОС как раз об этом и говорил - что всякие злые люди будут писать овнокод на овноплатформе, а ругать то пользователи будут ИОС...
> Стив джобс кстати, когда отвергал возможность работы флэша на ИОС как раз об этом и говорил - что всякие злые люди будут писать овнокод на овноплатформе, а ругать то пользователи будут ИОС...Согласен, надо отвергнуть возможность работы WP на PHP. Потому что все мы знаем средний уровень квалификации PHP-разработчиков.
>> бложикибложики можно сделать на каком-нибудь джанго - там хотя бы какое-то подобие архитектуры в отличие от wp-поделки
Вам не кажется, что вы сравниваете ортогональные вещи: готовый движок для блогов и фреймворк для разработки любых веб-приложений?
>> вы сравниваете ортогональные вещи: готовый движок для блогов и фреймворк для разработки любых веб-приложенийприменительно к вопросу о создании блога эти вещи не так уж и ортогональны
> применительно к вопросу о создании блога эти вещи не так уж и
> ортогональныНу это как с браузером. Можно взять готовый Firefox, и напильником доработать его до нужного состояния. Или взять движок Gecko, и пилить на его основе совсем новый браузер. Если Firefox уже отвечает почти всем требованиям, совсем свой велосипед пилить не обязательно.
бложики надо вести в блогоплатформах - фейсбуках, твиттерах и подобном дерьме.
Я вообще удивлен, откуда столько народу пошло советовать Джанго ? Они сами его использовали ? О его предназначении знают ? Бесит блин, т.к. говнокодеров под Питон в последние годы стало больше чем под PHP. Быстренько пробегутся по курсам аля skillbox или geekbrains, где сплошь и рядом python, а потом суют его туда, куда не следует. Особенно обидно за Джанго, т.к. в последнее время целый шторм проектов ужасно говнистого качества на Джанго.
Именно потому, что Джанге, как и на пыхе, можно делать по парадигме "фигак-фигак и в продакшен".
Среди современных web-разработчиков это must have.
Зачем для бложика Wordpress? Чтобы он тормозил, а потом его взломали? Для бложика сгодится любой движок для статичных сайтов, тот же Hugo. Бложик будет летать как птица, а не ползать как черепаха на Worspress.
> Зачем для бложика Wordpress?Не все ещё осознали, что на дворе 2k20. Кто-то до сих пор застрял в web 2.0, который без навороченного бэка на пыхе немыслим.
И даже в 2020 кто-то ещё думал, что писать 2k20 - модно =)
Он из будущего, у него 200020 год.
Нет, я с Нибиру. Мы немного старше, чем ваша не до конца остывшая планетка.
Чтобы была возможность общаться с пользователями в комментариях? Для статичных сайтов движок как бы и не нужен.
Так ты из криокамерных? Для комментов есть disqus, hypercomments даже черт в ступе для этого есть. Но ты продолжаешь как 15 лет назад для комментов использовать Wordpress. Вот таких как ты троянят по самые помидоры. А они и рады, что показывает статистика.
Почти все эти сервисы собирают аналитику и пр. в таких бешеных количествах, что уму непостижимо. Тормозные, глючные, с огромным количеством ограничений и рекламы. Помимо прочего еще и коменты теряют. А техподдержка у disqus вообще мечта, т.к. её практически нет. Платный аккаунт - ок, но при этом техподдержка реагирует шаблонными фразами.Не всем нравится быть зависимыми от сторонних сервисов.
> Почти все эти сервисы собирают аналитику и пр. в таких бешеных количествах, что уму непостижимо.Ну должна же быть хоть какая-то полезная информация с этих комментариев!
Ну с этим не могу не согласиться :)
Можно поискать что-нибудь опенсорсное и self-hosted. Навскидку пару вариантов - https://staticman.net/ и https://www.talkyard.io/blog-comments
Хостить на своей VPS-ке — кормить дядю-хостера и зависеть от него.
Хостить на подкроватном серваке — кормить дядю-провайдера из зависеть от него.
> Хостить на своей VPS-ке — кормить дядю-хостера и зависеть от него.
> Хостить на подкроватном серваке — кормить дядю-провайдера из зависеть от него.В любом случае в интернете придётся кого-то кормить. Тут просто нужно решить для себя, кого кормить допустимо, а кого нет.
Гугл аналитикс и Яндекс-метрика которую ты прикручиваешь к своему вордпрессу, представь, ТОЖЕ собирает аналитику. И уж куда больше. В остальном тоже самое можно сказать про плагины к вордпрессу.
Плюсик всяким дискусам по сравниею с WP+plugins — дыры там находят гораздо реже.
Да там хотя бы штатные Одмэны за этим следят, а васян он поставил и забыл работает же.
Тыничонепонимаеш!!!!!111
В современном васяносайтостроении всё должно быть на отсосинге. Капча на гугле, каменты на дискусе, сам сайт - на вордпресе, и так далее.
> Так ты из криокамерных? Для комментов есть disqus, hypercommentsЗачем мне мне на моём сайте какие-то левые тормозящие сервисы комментариев, работу которых я, к тому же, не контролирую? Если бы мне нужно было "хочу хоть как-то", то я бы завёл страничку в социалочке. А если уж я и поднимаю свой бложик, то мне нужно, чтобы была возможность оформить его именно так как хочется, подправить функционал именно так как нужно. Можно написать самому хоть с нуля, если времени не жалко. Можно взять готовое и допилить. Для последнего - WordPress создан для блогов, он с этим справляется. Если у кого-то бомбит от того что он мегапопулярен - так это не мои проблемы.
> Чтобы была возможность общаться с пользователями в комментариях? Для статичных сайтов движок
> как бы и не нужен.Есть куча сервисов для встраивания хоть в такие сайты, хоть в Wordpress. Есть даже готовые сервисы для комментов, которые можно запускать на своём сервере. Это совсем не проблема.
и подарить траффик дяде :)
Ценность комментариев обычно такова, что дяде их отдать не жалко.
С пониманием этой простой истины закончилась эпоха вебдваноля.
:) вы просто не в теме. совсем совсем :)
Cлив засчитан, спасибо.
да без вопросов. Подучишься - обращайся.
Спасибо, сливать я и так умею. Делов-то — кнопочку на бачке нажать.
Что ж, вы достигли в своем навыке большого мастерства.
> и подарить траффик дяде :)Я же писал, что есть движки для комментов, который можно ставить себе на сервер и он будет работать только у тебя, если ты так боишься дядю)
Можно и APEX c Oracle себе на сервер поставить? но ЗАЧЕМ!!! если в вордпрессе оно УЖЕ есть?
> Можно и APEX c Oracle себе на сервер поставить? но
> ЗАЧЕМ!!! если в вордпрессе оно УЖЕ есть?В Wordpress есть много всего ненужного. И ради системы комментов, ставить целый Wordpress на php в 2020 году? Серьёзно?
Обычно такого вопроса вообще не задается. ну какая разница целый он или нецелый если абсолютно фиолетово куда вы тыкаете мышкой "далее""далее""далее" и получаете кучу всего сразу, включая удобную админку и мгновенные фиксы багов?
И работу на дядю, занимающегося распространением ботнетов.
Возможно, на нескольких дядь сразу. Ну, не считая тех денег, которые вы платите хостеру.
Это по желанию. Хотите- работаете на дядю, хотите- на себя. Как вам удобнее...
> Обычно такого вопроса вообще не задается. ну какая разница целый он или
> нецелый если абсолютно фиолетово куда вы тыкаете мышкой "далее""далее""далее" и получаете
> кучу всего сразу, включая удобную админку и мгновенные фиксы багов?Но все же придерживаются подхода х*як, х*як и в продакшен. Это как раз wordpress ниша, клепать всякие ГС.
В последние годы он даже эту нишу сдаёт.
Чтобы сделать днищевый сайт по меркам 2020 года, достаточно material design, endless scroll и interactive popups (типа "Наш консультант Вася в сети, напишите ему").
PHP уже не обязателен.
Интеркатив попап это вон из профессии имхо, особенно когда он всплывает без просу с дурацкими вопросами.
О, попапы :) это рульная вещь, особенно когда всплывает с задержкой, ты уже начинаешь тыкать куда-нибудь на ссылку, а тебе - на! под курсором всплыл чат с Васей.
Сейчас 2020 год селфхостед решения вовсе не нужны. Ни вордпрес ни хуго. Только конструкторы с дефолтными темами типа wix или любой другой на свой вкус и соцсети, которые считай те же конструкторы.Все эти фирмы однодневки которым подавай свой вордпресс просто живут в прошлом тысячелетии.
действительно, зачем быть хозяином если можно работать на чужого дядю?
Распространять вирусы лишь бы не работать на дядю. У этих пыхеров с головой еще хуже чем казалось. Цукерберг и Дуров(условный) да и кто там главный в wix свои деньги и не маленькие уже заработал. А ты когда поднимаешь свою визитку на вордпрессе в подвальном датацентре за доллар в месяц ничего не зарабатываешь. Зато эти империалисты не получат от тебя не копеки, ух.
> Зато эти империалисты не получат от тебя не копеки, ух.На правильного дядю, который хостер, поработать можно.
А ещё лучше — работать посредником между хостером и ботнетоводами. Ты платишь деньги хостеру, ботнеты резвятся на твоей впске, авторы ботнетов платят тебе аж целое нифига. Крутой бизнес, я считаю!
а между тем доля вордпресса в сайтах растет.. в 2015 там было чтото около 25%, в 2018- 30%, сейчас вот 35,9% и продолжает расти...
Конечно чтобы стать умным человеком нужно потратить время. А чтобы стать дураком времени не надо. Достаточно просто скачать вордпресс и сделать на нем сайтик.
> Сейчас 2020 год селфхостед решения вовсе не нужны. Ни вордпрес ни хуго.
> Только конструкторы с дефолтными темами типа wix или любой другой на
> свой вкус и соцсети, которые считай те же конструкторы.
> Все эти фирмы однодневки которым подавай свой вордпресс просто живут в прошлом
> тысячелетии.О, диванные аналитики подъехали. Давайте всех уволим и будем клепать сайты на конструкторах )))
> О, диванные аналитики подъехали. Давайте всех уволим и будем клепать сайты на конструкторах )))Вы не поверите, но именно об этом мечтают "веб-мастера" из 2010 года, умеющие только клепать сайты на конструкторах.
Разгонять не обязательно просто сменить технологию. Знаю что есть васяны которые проставляют услугу создания сайтов и сразу пишут что на конструкторе. И заказчики есть и троянов никаких не распространяется все довольны.
Это технический форум, как-никак, давайте обсуждать уязвимости а не нужность или ненужность WP. Последнее из области гуманитарного. Но если уж так хочется гуманитарных наук,.. ну нате =)Есть корреляция между "популярностью технологии" и "найденными уязвимостями". Комментаторам опеннета на заметку, важно понимать, что это корреляция, а не импликация.
Причинно-следственную связь проследить сложно, но получается как-то так...
1. Пусть есть простые маленькие реализации одной и той же маленькой технологии 1, 2 и 3 (по KISS).
2. И пусть реализация 3 непропорционально популярнее у пользователей, чем 1 и 2 благодаря внешним не техническим причинам (истории, привычкам, маркетингу).
3. Всегда найдутся злоумышленники, желающие сломать реализацию технологии.
4. В виду большей популярности реализации 3, и попыток взлома будет больше для 3.
5. Большая вовлеченность в реализацию 3 порождает большую борьбу со злоумышленниками в 3.
6. Большее количество борьбы приведёт к большему количеству найденных уязвимостей.Обратите внимание, что абзац выше - это не логическая цепочка, посылки 1 и 2 не приводят к 6, как к выводу! В ней нет прямого следствия, его вообще построить нельзя. Это всё из области гуманитарных наук. Тезисы 3 и 4 изучает криминология. 5 и 6 - социология. И это всё корреляции.
Усугубляется ситуация тем что при увеличении технологий защиты от уязвимостей в реализации 3:
1. Она попросту может выпругнуть из KISS, превратившись в огромный комбайн. Архитектура усложнилась и стало еще больше параметров для анализа (уязвимости в подсистеме безопасности и всё в таком духе)
2. Может быть найдена архитектурная недоработка в самой технологии / протоколе, что потребует изменения всех реализаций.
И все замеры будут на смарку.С виду обывателю, анализируя найденные уязвимости, может показаться, что технология 1 и 2 безопаснее 3. На деле, там скорее синдром Неуловимого Джо. Мало кто находит, мало кто ищет, мало кто ломает, мало кто пользуется.
В общем случае мы увидели сколько находят страшных уязвимостей в WP и связываем это с его популярностью. Ура!
"Безопасность" языков программирования в смысле синтаксис/семантика. Возможность человека совершить в нём ошибки, сложность борьбы с статистически распространенными уязвимостями в реализациях на конкретном ЯП - всё это тоже из области гуманитарного.
P.S. Пишу этот гуманитарный бред в надежде, что закапыватели <нужное вставить> увидят, что вся их аргументация к закапыванию не имеет технической природы и посмотрят как глупо выглядит любая попытка что-то похоронить используя техническое сравнение протоколов, языков, реализаций вместо реальных гуманитарных аргументов на гуманитарную тему.
Ты не умничай, что сказать-то хотел?
Он хотел сказать, что вордпресс не плохо спроектированное говно, а просто сильно популярная платформа. Поэтому плохие дяди прикладывают много усилий, чтобы вордпресс выглядел как плохо спроектированное говно.
> Поэтому плохие дяди прикладывают много усилий, чтобы вордпресс выглядел как плохо спроектированное говно.Это вы так обозвали разработчиков wordpress и то, чем они занимаются?
вот так понятно, плохие дяди спроектировали говно.
То что популярно то и ломают.То что не популярно, то не понятно безопасно или нет, потому что никто не ломает и нет статистики.
Вордпресс в 2020 году? Популярен?
Вы серьёзно?
WordPress 35.9%
PHP 78.9%
https://w3techs.com/
Как ни посмотришь логи на сервере - всё пытаются "какой-то" WordPress нащупать. Видать, дырень на дыре.
вы так похвастались что у вас есть сервер? потому что если у вас действительно рабочий сервер- то вордпресс там хоть и популярный- но далеко не единственный ТОПчик на поиск дыр.
Их там всего два. Второй — phpmyadmin.
У пыхеров в методичка дальше написан ответ: "Вы все врете". Они логи смотреть не умеют поэтому ты все врешь нет логов нет доказательств.
Ага, в логи смотрят профессиональные админы. А админы с пользователями всяких джумл и PMA не очень пересекаются.:) SELECT request_url, count() AS c FROM logs.nginx WHERE log_date>=yesterday() AND status=404 GROUP BY request_url ORDER BY c DESC LIMIT 20 FORMAT CSV
"/test.php",110
"/1.php",81
"/wp-login.php",75
"/index.php",72
"/vendor/phpunit/phpunit/src/Util/PHP/eval-stdin.php",66
"/shell.php",61
"/apple-touch-icon.png",61
"/qq.php",60
"/TP/public/index.php",57
"/?XDEBUG_SESSION_START=phpstorm",52
"/x.php",51
"/cmd.php",50
"/TP/index.php",48
"/thinkphp/html/public/index.php",45
"/html/public/index.php",42
"/log.php",41
"/api.php",41
"/confg.php",40
"/public/index.php",40
"/ss.php",40
Ну все ты убедил нас ярых поклонников PHP что это PHP это дно. Мы перестаем заниматься PHP и начинаем учить другие "правильные" языки программирования.
А еще мы перестаем программировать на PNG чтобы нас не взломали через apple-touch-icon.png
зря ты так про пнг... это всего лишь маркер к дальнейшим действиям.
маркер чего?
Твоей умственной неполноценности наш дорогой пхп кодер.
а вот там ниже в логе
"/test.php",110 , "/index.php",72 ,"/shell.php",61
это к вордпресс относится или к phpmyadmin? помогите разобраться.. я что-то туплю...
index.php по идее относится к почти любому сайту на php, просто у автора похоже php нет вообще.
А вот запросы к как-бы wordpress это да, обычное дело. Я лично специально отавляю на сервер файлы заглушки имитирующие наличие WP, после этого боты начинают долбить по ним своими эксплойтами, естественно впустую.
Или возвращать 403 вместо 404 - у мамкиных кулхацкеров случается истерика, они не могут понять, как происходит аутентификация.
> Или возвращать 403 вместо 404 - у мамкиных кулхацкеров случается истерика, они
> не могут понять, как происходит аутентификация.Для защиты большинства кулхацкеров достаточно HTTP Auth сделать, это их массово отметает. Для верности сменить basic режим на digest и некоторые их боты вообще перестают понимать что говорит ваш сервер.
Это к пхп. Ты не повершиь пхп кодеры зачем-то в конце каждого файла дописывают расширение пхп. И так на север и заливают. Наверно чтобы не забыть на чем пишут.
Эх, вот в PostNuke было всё!
И галереи, и каменты, и форум встроенный...