URL: https://www.opennet.ru/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID3
Нить номер: 119522
[ Назад ]
Исходное сообщение
"Критические уязвимости в WordPress-плагинах, имеющих более 4..."
Отправлено opennews , 18-Янв-20 12:44 
В трех популярных плагинах для системы управления web-контентом WordPress, насчитывающих более 400 тысяч установок, выявлены критические уязвимости:...

Подробнее: https://www.opennet.ru/opennews/art.shtml?num=52207

Содержание
Сообщения в этом обсуждении
"Критические уязвимости в WordPress-плагинах, имеющих более 4..."
Отправлено Аноним , 18-Янв-20 12:44 
первый раз про них слышу. похоже, мне повезло на этот раз.
"Критические уязвимости в WordPress-плагинах, имеющих более 4..."
Отправлено Аноним , 18-Янв-20 20:16 
Полон опасностей вордпрессомирок.
"Критические уязвимости в WordPress-плагинах, имеющих более 4..."
Отправлено XXX , 19-Янв-20 05:30 
закрываешь инет для виртуалки с вордпрессом, изменения на запись в ФС - только через FTP, ставишь запрет на исполнение файлов в директории с uploads. Всё. Пусть пробуют "ломать".
"Критические уязвимости в WordPress-плагинах, имеющих более 4..."
Отправлено gogo , 19-Янв-20 14:49 
да легко. например, если ломануть админа, можно отредактироват статьи, напихав в них скрытых ссылок на вродоносные сайты. спам. из upload можно инклюдом запускать свой код, например ДОС-ботов.
в общем, фантазия безгранична. в отличте от вашего метода "защиты изоляциией"
"Критические уязвимости в WordPress-плагинах, имеющих более 4..."
Отправлено XXX , 24-Янв-20 03:49 
> да легко. например, если ломануть админа, можно отредактироват статьи, напихав в них
> скрытых ссылок на вродоносные сайты. спам. из upload можно инклюдом запускать
> свой код, например ДОС-ботов.
> в общем, фантазия безгранична. в отличте от вашего метода "защиты изоляциией"

@gogo,
> инклюдом запускать свой код, например ДОС-ботов

как будет dos-bot отсылать запросы если интернет у него отключен?
разрешены только запросы на вход и на ответы через conntrack. (принцип stateful firewall)
> да легко. например, если ломануть админа

/wp-admin/, wp-login.php закрывается по IP адресу.
>из upload можно инклюдом

Про инклюд понял, здесь согласен. Но разве первые два метода не нивелируют любую пользу от взлома, разве что контент можно отдавать со скрытыми ссылками

"Критические уязвимости в WordPress-плагинах, имеющих более 4..."
Отправлено XXX , 24-Янв-20 03:56 
@gogo
> из upload можно инклюдом запускать свой код, например ДОС-ботов.

а что будет инклюдом запускаться ? если человек не может ничего записать в ФС (т.к. всё по ФТП)??
а инклюд извне по http запрещён?

"Критические уязвимости в WordPress-плагинах, имеющих более 4..."
Отправлено пох. , 20-Янв-20 07:13 
> закрываешь инет для виртуалки с вордпрессом, изменения на запись в ФС - только через FTP

cms на этом перестает работать, обновление поставить нельзя, в том числе дырявого плагина, и первая же дырка с include решает проблему исполняемых uploads.
Не говоря уже про sql injections, которые тоже никуда не деваются.

Но твой бложег в безопасносте, Васян!

"Критические уязвимости в WordPress-плагинах, имеющих более 4..."
Отправлено Тико , 18-Янв-20 12:46 
", имеющем более 20 тысяч установок позволяет подключиться с правами администратора без прохождения аутентификации." подключиться к матрице)?
"Критические уязвимости в WordPress-плагинах, имеющих более 4..."
Отправлено Аноним , 18-Янв-20 12:48 
Ну так разве ж высококвалифицированный программист станет заниматься написанием плагинов для WordPress?
"Критические уязвимости в WordPress-плагинах, имеющих более 4..."
Отправлено N , 18-Янв-20 13:25 
Да
"Критические уязвимости в WordPress-плагинах, имеющих более 4..."
Отправлено Аноним , 18-Янв-20 14:23 
Разе любой человек в здравом уме станет использовать Вордпресс?  О количество установок лишь показывает процент душевнобольных.
"Критические уязвимости в WordPress-плагинах, имеющих более 4..."
Отправлено Антон , 18-Янв-20 15:27 
А что вы предлагаете ставить для небольшого быстронастраиваемого сайта?
"Критические уязвимости в WordPress-плагинах, имеющих более 4..."
Отправлено дохтурЛол , 18-Янв-20 16:13 
ничего, эти тупоголовые болтуны умеют только болтать фразами, которые бездумно переняли от других.

вордпресс - отличная открытая платформа, одна из лучших.
плагины к нему - нельзя как-то общо оценить, потому что качество каждого отдельного из них надо рассматривать отдельно.
есть куча прекарсных бесплатных плагинов под вордпресс с качественным кодом, есть ещё большая куча бесплатных плагинов с некачественным кодом, а есть ещё куча платных плагинов, но про них не могу ничего сказать, т.к. ни разу не пользовался.

популярность софта - это очень важный показатель, который очень высоко влияет на качество софта, особенно актуально для софта с открытым кодом и для категорий софта, где есть альтернативы.

альтенатив вордпрессу немного, в общем-то ~4:
1. opencart - сильно менее популярен чем wp;
2. битрикс - не знаю особо про него, но используется в основном на территории бывшего СССР;
3. magenta - это уже не подходит малому бизнесу, это уже сразу для среднего и крупного;
4. кастомные сайты, т.е. писать всё своё, с нуля - дорого, долго, недоступно для малого бизнеса.

"Критические уязвимости в WordPress-плагинах, имеющих более 4..."
Отправлено Антон , 18-Янв-20 21:22 
так opencart и magenta это магазины, а битрикс это кучка говнокода на понтах чтобы впаривать его богатым заказчикам. Хлеб быдловебстудий.
Альтернатив вордпрессу в вашем списке нет, хотя они безусловно существуют в огромном количестве. october cms всякие.

Но популярность - да, это решает.

"Критические уязвимости в WordPress-плагинах, имеющих более 4..."
Отправлено Аноним , 18-Янв-20 23:34 
О, так ты тот самый тяпляпыч и в продакшн. Приятно познакомится.
"Критические уязвимости в WordPress-плагинах, имеющих более 4..."
Отправлено Аноним , 18-Янв-20 16:46 
Хостинг на Тильде же! Трясущейся от страха, готовой закрыть проекты за секунду, зато не вордпресс!
"Критические уязвимости в WordPress-плагинах, имеющих более 4..."
Отправлено Сейд , 18-Янв-20 17:23 
concrete5
"Критические уязвимости в WordPress-плагинах, имеющих более 4..."
Отправлено Антон , 18-Янв-20 21:20 
ок. запомню называние, если в жизни представится случай посмотрю.
"Критические уязвимости в WordPress-плагинах, имеющих более 4..."
Отправлено Bx_ , 18-Янв-20 23:53 
Надо бы HR'ам нашим сказать, Антонов ни в коем случае не брать.
"Критические уязвимости в WordPress-плагинах, имеющих более 4..."
Отправлено Антон , 21-Янв-20 16:03 
Я не специализируюсь на cms на пыхе (боже упоси), просто хочу быть в курсе как мимопроходил.
"Критические уязвимости в WordPress-плагинах, имеющих более 4..."
Отправлено Аноним , 18-Янв-20 17:52 
static html. базовый набор тегов - их там максимум десяток будет - освоит любой, кто не пытается нажимать кнопку мыши в ответ на "press any key".
"Критические уязвимости в WordPress-плагинах, имеющих более 4..."
Отправлено Антон , 18-Янв-20 21:19 
это все здорово, а потом нужно отдать это пользователю для редактирования.
Я не зарабатываю этим на жизнь, но пару-тройку-десяток раз делал сайты для знакомых, на вордпрессе было довольно быстро, единственное что лень было изучать доку чтобы выбросить из шаблона лишнее.
Раньше cmsmadesimple использовал, но оно сдохло.
"Критические уязвимости в WordPress-плагинах, имеющих более 4..."
Отправлено Аноним , 18-Янв-20 16:06 
https://automattic.com/

вот виновник этого - многомилионная коммерческая компания которая развивает ворпресс и продает хостинг на wordpress.com

"Критические уязвимости в WordPress-плагинах, имеющих более 4..."
Отправлено user90 , 18-Янв-20 18:23 
"высококвалифицированный PHP-программист" ;) Такие ваще где-то есть? Это возможно?
"Критические уязвимости в WordPress-плагинах, имеющих более 4..."
Отправлено KonstantinB , 18-Янв-20 19:10 
А что помешает высококвалифицированному программисту писать на PHP при необходимости? Другое дело, что это будет не PHP-программист, а просто программист.
"Критические уязвимости в WordPress-плагинах, имеющих более 4..."
Отправлено Bx_ , 19-Янв-20 00:12 
Хех, я даже одного такого знаю. Я когда увидел в кроне php, мягко говоря удивился, ан нет - "мне так удобно". И, ведь, б!"№;%:, я бы лучше не сделал.
"Критические уязвимости в WordPress-плагинах, имеющих более 4..."
Отправлено Урри , 20-Янв-20 16:20 
Наверное то же самое, что высококвалифицированному комбайнеру использовать газонокосилку?
"Критические уязвимости в WordPress-плагинах, имеющих более 4..."
Отправлено commiethebeastie , 18-Янв-20 20:16 
facebook?
"Критические уязвимости в WordPress-плагинах, имеющих более 4..."
Отправлено Аноним , 18-Янв-20 13:49 
Последняя вообще зашквар, и PHP тут не причём.
"Критические уязвимости в WordPress-плагинах, имеющих более 4..."
Отправлено анон , 18-Янв-20 14:17 
в последнем - это не баг, это - фича.
"Критические уязвимости в WordPress-плагинах, имеющих более 4..."
Отправлено Аноним , 18-Янв-20 15:03 
есть слово "антифича".
"Критические уязвимости в WordPress-плагинах, имеющих более 4..."
Отправлено A.Stahl , 18-Янв-20 16:11 
А "недопереконтрантифича" слово есть?
"Критические уязвимости в WordPress-плагинах, имеющих более 4..."
Отправлено Аноним , 18-Янв-20 16:47 
Нет. Антифича и так несёт достаточно негативный оттенок. Негативнееттолько прямо сказать "бекдор".
"Критические уязвимости в WordPress-плагинах, имеющих более 4..."
Отправлено Урри , 18-Янв-20 18:57 
Классический бекдор
"Критические уязвимости в WordPress-плагинах, имеющих более 4..."
Отправлено Аноним , 18-Янв-20 14:21 
Рили? Вот это неожиданность так неожиданность.
"Критические уязвимости в WordPress-плагинах, имеющих более 4..."
Отправлено Урри , 18-Янв-20 18:56 
Никогда такого не было, скажи?
"Критические уязвимости в WordPress-плагинах, имеющих более 4..."
Отправлено анан , 18-Янв-20 19:26 
и вот опять
"Критические уязвимости в WordPress-плагинах, имеющих более 4..."
Отправлено Аноним , 18-Янв-20 14:25 
Дали им DjangoCMS - пользуйся! Не хочу, хочу pewemo.
"Критические уязвимости в WordPress-плагинах, имеющих более 4..."
Отправлено Аноним , 18-Янв-20 16:02 
там есть конструктор сайтов или крутые темы? нет - ну закопайте тогда

я для безопасности придумали JAM stack, который уже давно используют (https://jamstack.wtf/)
в том числе и для wordpress headless

"Критические уязвимости в WordPress-плагинах, имеющих более 4..."
Отправлено пох. , 19-Янв-20 01:42 
нет, там есть нескучный апи, который ты можешь изучать следующие пол-жизни.

Ну или готовые поделки НА этом фреймворке - теперь еще пол-жизни ты можешь изучать отдельный апи самой поделки.

"Критические уязвимости в WordPress-плагинах, имеющих более 4..."
Отправлено KonstantinB , 18-Янв-20 19:18 
Вордпресс хоть и ужасен внутри, но по набору плагинов ничего близкого нет.

Проще поставить вордпресс и дать его копирайтерам с сеошниками, чем заниматься написанием всякой контентно-сеошной ерунды вместо занятия важными вещами.

Вопрос безопасности решается, на самом деле, довольно просто: для пейсателей поднимается контейнер, который напрямую не торчит в интернет, а в продакшен идет readonly-копия контейнера, который изолирован от остальных частей проекта и ограничен в правах по самое мяу. Синхронизируется по крону или кнопочке.

"Критические уязвимости в WordPress-плагинах, имеющих более 4..."
Отправлено Антон , 18-Янв-20 23:14 
слова не мальчика, но мужа
"Критические уязвимости в WordPress-плагинах, имеющих более 4..."
Отправлено Bx_ , 19-Янв-20 00:22 
Ну-ну. Реализацию можно увидеть? Что-то я Антонов ...
"Критические уязвимости в WordPress-плагинах, имеющих более 4..."
Отправлено nelson , 18-Янв-20 14:34 
если уж что - то и писать на пыхе, то, хотя бы, на основе компонентов какого-нибудь Symfony, но WP - это вообще за гранью добра и зла
"Критические уязвимости в WordPress-плагинах, имеющих более 4..."
Отправлено Аноним , 18-Янв-20 16:03 
пиши на том в чем разбираешся на здоровье
"Критические уязвимости в WordPress-плагинах, имеющих более 4..."
Отправлено Аноним , 18-Янв-20 15:58 
WP2Static -> CDN или хостинг статических файлов - и не волнуют меня ваши уязвимости, ломайте html сколько влезет
"Критические уязвимости в WordPress-плагинах, имеющих более 4..."
Отправлено другие васяны , 18-Янв-20 16:57 
жаль что твои васян-сайты тоже никого не волнуют, даже роботы не заходят.
"Критические уязвимости в WordPress-плагинах, имеющих более 4..."
Отправлено Аноним , 18-Янв-20 23:34 
400к васян сайтов тоже никому не нужны кроме ботнетов.
"Критические уязвимости в WordPress-плагинах, имеющих более 4..."
Отправлено Я , 18-Янв-20 18:54 
Вот и глянем как боты будут сканить нмших клиентов на эти дыры.
Потом, если будет что, отпишусь.
"Критические уязвимости в WordPress-плагинах, имеющих более 4..."
Отправлено Аноним , 18-Янв-20 19:23 
Походу дыры в плагинах вордпресса - мировая константа, типа скорости света, чтоли. Годы шли а дыры в плагинах вормпресса - вот они.
"Критические уязвимости в WordPress-плагинах, имеющих более 4..."
Отправлено BlackRot , 18-Янв-20 19:33 
Впервые слышу о таких планинах.
А ВордПресс рулит! 😋
"Критические уязвимости в WordPress-плагинах, имеющих более 4..."
Отправлено iCat , 19-Янв-20 09:38 
1. "Говнокод" можно состряпать любым способом. Даже напрямую бинарный гавнокод.
2. Ошибки в любом коде возможны независимо от ЯП и опыта программиста.
3. Количество обнаруженных ошибок почти никогда не равно количеству ошибок вообще. И зависит это в большей степени от распространённости исходников, чем от ЯП и опыта программистов.
"Критические уязвимости в WordPress-плагинах, имеющих более 4..."
Отправлено пох. , 20-Янв-20 07:16 
какая, говорите, версия TeX нынче последняя?

Не зависит от опыта, говорите?

"Критические уязвимости в WordPress-плагинах, имеющих более 4..."
Отправлено iCat , 20-Янв-20 10:34 
> какая, говорите, версия TeX нынче последняя?
> Не зависит от опыта, говорите?

Ты готов утверждать о том, что в TeX нет ошибок?

"Критические уязвимости в WordPress-плагинах, имеющих более 4..."
Отправлено пох. , 20-Янв-20 14:31 
поинтересуйтесь на досуге, как устроена у него нумерация версий (у one-true-tex, а не адаптированных для бубунточки форков, разумеется). А потом, когда узнаете кое-что новое для себя, подумайте еще разок, что я пытался до вас донести.