В сети отмечается (http://www.wpsecuritylock.com/breaking-news-wordpress-hacked.../) всплеск взломов сайтов, построенных на базе движка Wordpress. Разработчикам пока не удалось выяснить причину взлома, так как взлому подверглись не только устаревшие версии, но и сайты на базе последней версии Wordpress. С другой стороны число пораженных сайтов не так велико, чтобы можно было утверждать о наличии в коде неизвестной неисправленной уязвимости.
В качестве предположений, рассматриваются (http://blog.sucuri.net/2010/05/new-attack-today-against-word...) варианты уязвимости в каком-то популярном, но нестандартном, плагине или целенаправленный взлом на основе перехваченных троянским ПО паролей. Примечательно еще и то, что все взломанные сайты, размещались на общем хостинге нескольких крупных американских хостинг-провайдеров, ни одного взлома установок Wordpress на собственном сервере зафиксировано небыло.
После взлома в код footer.php интегрируется спец...URL: http://www.h-online.com/open/news/item/Large-scale-attack-on...
Новость: http://www.opennet.me/opennews/art.shtml?num=26553
SSL для логина в администраторскую панель, видать, ниасилил хостер...
PHP убъёт планету.
скорее дураки. они ухитряются облажаться на любом языке программирования.
До "любого" они не доходят, оседают на PHP.
а на каком языке сам пыхэпэ пишется?
>а на каком языке сам пыхэпэ пишется?На сях.
а сколько ошибок в самом пыхэпэ?
PHP, PHP...
На нем больше быдла, в этом согласен, но при чем здесь язык вообще? Точно так же можно облажаться на чем угодно.
Уже обсуждали здесь проблемы PHP:
http://www.opennet.me/openforum/vsluhforumID3/63997.html#3
для SSL на своём Вордпрессе надо покупать выделенный айпи, что для многих личных сайтов просто глупо. Так что не надо.
Написано про SSL на админку хостинга. Для этого не надо выделенных IP.
ваше предложение похоже на полумеры. Что мешает осуществить взлом, зная пароль на админку Вордпресса и не зная пароля на хостинг?
>ваше предложение похоже на полумеры. Что мешает осуществить взлом, зная пароль на админку Вордпресса и не зная пароля на хостинг?Это не мое предложение и вообще не предложение, а предположение, причем достаточно обоснованное предположение, судя по характеру вживления кода.
И кстати зная пароль никакого "взлома" осуществлять не надо. И если вы думаете, что пароль на админку можно увидеть просто просмотром http трафика, вы опять ошибаетесь.
>>ваше предложение похоже на полумеры. Что мешает осуществить взлом, зная пароль на админку Вордпресса и не зная пароля на хостинг?
>
>Это не мое предложение и вообще не предложение, а предположение, причем достаточно
>обоснованное предположение, судя по характеру вживления кода.Не вижу никакого обоснования. Сам не сталкивался со случаями увода пароля на вордпресс через админку хостинга.
>И кстати зная пароль никакого "взлома" осуществлять не надо. И если вы
>думаете, что пароль на админку можно увидеть просто просмотром http трафика,
>вы опять ошибаетесь.Я просмотрел код страницы авторизации вордпресса, и пароль там передаётся запросом POST. Что помешает просмотреть его простым сниффанием трафика?
>Не вижу никакого обоснования. Сам не сталкивался со случаями увода пароля на вордпресс через админку хостинга.Да не нужен пароль к вордпресу как таковой, чтобы файл footer.php пропатчить. 100500 способов сделать это. Конечно учитывая нижесказанное могли и так действовать, но тогда в логах должны были наследить и об этом наверняка написали бы.
>Я просмотрел код страницы авторизации вордпресса, и пароль там передаётся запросом POST. Что помешает просмотреть его простым сниффанием трафика?
Ну с таким пренебрежением к безопасности удивительно, что люди вообще этим вордпресом пользуются и совсем не удивительно, что их ломают. Оно наверно сказочное решето.
тем кто еще не обновился думаю пора задуматься...
>тем кто еще не обновился думаю пора задуматься...о чём задуматься? Вы прочитали часть новости, где говорится, что взломали даже последний Вордпресс?
если покопаться старых версий полно, и обновиться все же не мешает.
достаточно вспомнить массовую истерию когда все кричали про аврору...
Народ довольно бодренько обновил браузеры до ИЕ8 или пересел на огнелиса и пр.Немножко воплей не повредит.
Мои сайты чисты ^_^
слишком много сомнений и неуверенности в одной новости
А мне по барабану, я Джумлу использую.
Сидит Джо на пороховой бочке, читает газету -- там про массовые взрывы пороховых бочек. Забеспокоился. А за бруствером сидит Джек на бочке с нитроглицерином и смеётся -- мол, мне по барабану...PS: для Джеков -- без наполнителя, как в динамите, нитроглицерин достаточно нестабилен, чтобы взрываться от малейших или даже без видимых причин -- брат Нобеля так и погиб, и не один танкер тоже. Ну, опасней пороха.
PPS: если всё-таки не доходит --
http://secunia.com/advisories/search/?search=joomla
http://www2.packetstormsecurity.org/cgi-bin/search/search.cg...
(ну и хоть mod_security прикручивайте, где возможно)
меня поражает когда человек на вопрос на чем ты будешь писать всегда отвечает одно и тоже ;( "на php а чё ..."работал я на заводе и вот начальник всего АСУ кроме php походу ни че не знал и явно пропагандировал быдло .net
отсюда громоздкость и постоянные сбои, утечки памяти и т.д. во многих приложениях писанных на заводе
так что php - это зло, при одном только упоминании об использовании php меня берет в дрожь
вообще php - это прошлый век, ИМХО
Любой из ныне широко используемых языков - прошлый век. Чисто по времени своего происхождения.
> работал я на заводе и вот начальник всего АСУ кроме php походу ни че не знал и явно пропагандировал быдло .netтыг .net это же основная платформа для программ для Windows ..
(вспоминается прям таки реклама -- "летайте самолётами аэрофлот")
все остальные (ну большенство) языки и их runtime-среды -- по сути этоже порты из unix, и к Windows они относяться а бы как...
# p.s.:
тут можно былобы вспомнить ещё про Delphi, но вродебы на windows он умер... или нет?
># p.s.:
>тут можно былобы вспомнить ещё про Delphi, но вродебы на windows он
>умер... или нет?# можно былобы вспомнить и про C/C++ (в наборе нструментов MS_Visual_Studio) -- но вродебы Microsoft его пропагондирует теперь как язык для написания низкоуровневых native-компонентов для .NET
(написал native-dll ==> подключай её к своему .NET-коду... :-) )# можно былобы вспомнить и другие компиляторы C/C++ и их компоненты (например mignw + gtk/qt) , ... но тут опять вспоминаем про порты....
>на php а чёВ самом деле, что?
>и явно пропагандировал быдло .net
А почему собственно .net - быдло?
>отсюда громоздкость и постоянные сбои, утечки памяти и т.д. во многих приложения
Вы не находите, что это можно сделать на любом языке?
>при одном только упоминании об использовании php меня берет в дрожь
Вот это уже уже достаточно серьёзно. Вы не обращались к врачам?
>работал я на заводе
Выгнали за дрожь?
>>и явно пропагандировал быдло .net
>
>А почему собственно .net - быдло?
>потому, что лично я воспринимаю .net - как "замануха" для дальнейших изысканий microsoft
и потому, что многие из моих знакомых, кто используют и восхваляют этот framework - напрочь забывают о его цели и сути.>>отсюда громоздкость и постоянные сбои, утечки памяти и т.д. во многих приложения
>
>Вы не находите, что это можно сделать на любом языке?нахожу
>>при одном только упоминании об использовании php меня берет в дрожь
>
>Вот это уже уже достаточно серьёзно. Вы не обращались к врачам?они меня не поймут ;)
>>работал я на заводе
>
>Выгнали за дрожь?нет. сам ушел
>После взлома в код footer.php интегрируется
>специально подготовленная php-вставкаСделал его read-only. Кому прислать мой
новый патч?
Там наверняка есть и header.php, его наверно тоже стоит в патч добавить, а так же любые классы которые мало мальски имеют отношение к генерации html для итоговой страницы.
1) А он что, был rw? Вам патчить нужно не файл, а что-то другое, ближе к стулу...
2) ЕМНИП, если файл недоступен для записи, WP позволяет занести изменения в БД и брать страничку оттуда, положив на этот ваш ro.