В WordPress-дополнении OptinMonster, имеющем более миллиона активных установок и применяемом для организации вывода всплывающих уведомлений и предложений, выявлена уязвимость (CVE-2021-39341), позволяющая разместить свой JavaScript-код на сайте, использующем указанное дополнение. Уязвимость устранена в выпуске 2.6.5. Для блокирования доступа через захваченные ключи после установки обновления разработчики OptinMonster аннулировали все ранее созданные ключи доступа к API и добавили ограничения по использованию ключей WordPress-сайтов для изменения кампаний OptinMonster...Подробнее: https://www.opennet.ru/opennews/art.shtml?num=56073
Больше всего на свете я ненавижу назойливые окна на сайтах, на которые зашёл в поиске информации с поисковика. Предложение подписаться или чат, любые. Каждый раз проклинаю всех причастных и ухожу навсегда. Неужели это вызывает положительные эмоции у кого-то из посетителей?
Это для тупых людей, а таких много, очень много, настолько много, что это можно считать нормой.
К великому сожалению, - горькая правда...
Если бы эта назойливость не работала, ее бы просто никто не производил.
Не соглашусь. Офтопик не работает, но ее производят биллиардами.
> Не соглашусь. Офтопик не работает, но ее производят биллиардами.Вы можете не согласится со мной, но если посмотрите на чем делают деньги в гугле и мордакниге, то увидите, что Marketing - это основной источник дохода. Пипл очень ленив, даже искать что-то, что хотят, но проблема в том, что они даже не знают что они хотят, поэтому и работает на ура - "О-о-о, класс, хочу..."
Работает. Чего бы не хотелось его ненавистникам.
Миллион установок в мире вордпресса - не так и много. Менее 5% от всех сайтов, использующих WP
Так это не уязвимость, это обычный бекдор.
> В WordPress-...Как неожиданно!
Да действительно, для CMS-ки, которая работает на 40% сайтов в сети, весьма неожиданно находить увизгвимости.
Она же не на расте, значит в топку её. Если бы она была на 100% сайтов и на расте то в ней всё равно бы не было уязвимостей.
Не факт. Можно и на С https://www.webtoolkit.eu/wt
> REST-API /wp-json/omapp/v1/support, доступ к которому был возможен без аутентификацииКак это знакомо! "Ща пабыринькому прототип накидаем, основной функционал отработаем, а контроль доступа, интернационализацию, поведение под перегрузкой и всякое такое потом прикрутим", потом - "Всё, прототип работает - можно в прод выкатывать".
Как бы 99% современного кода пишется именно таким образом.
Может быть. Но одно дело сначала реализовать основной функционал, а потом добавить все вспомогательные (но от этого ничуть не менее необходимые) возможности, а другое дело - выкатить побыстрее сырую поделку в прод и на этом успокоиться.
А кто потом деньги платить будет, когда сразу готовое выставишь ??
Когда уже пхп закопают. Этот шит давно не нужен, как и пердл. Как и цмс на них.
Если бы WordPress со всеми своими плагинами из сомнительных источников были бы написаны на C++ или rust. Проблема бы никуда не делась. Проблема именно в сомнительных источниках кода, а не в языке. Если Вы думаете, что на Вашем любимом языке нельзя так накосячить, то глубоко заблуждаетесь.
> или rust. Проблема бы никуда не делась.Странно... А растаманы по другому говорят...
> Когда уже пхп закопают. Этот шитПохапэшники - самые низкооплачиваемые программисты. Так что никогда не закопают.
И название у плагина хорошее, и назначение - соответствует ..