https://www.opennet.ru/openforum/vsluhforumID3/116741.html Исследователи из компании Sucuri обобщили (https://blog.sucuri.net/2019/03/hacked-website-trend-report-2018.html) (PDF (https://sucuri.net/reports/19-sucuri-2018-hacked-report.pdf)) статистику по взломам сайтов, основанную на информации из более чем 25 тысяч обращений в службы разбора инцидентов и противодействия вредоносной активности компаний GoDaddy и Sucuri. <br><br><br>Наиболее интересные выводы:<br><br><br><br>- 90% обращений для устранения последствий взломов были связаны с платформой WordPress, 4.6% - Magento, 4.3% - Joomla, 3.6% - Drupal. Следует отметить, что значительный перевес WordPress обусловлен популярностью данной CMS (применяется на 30% из десяти миллионов крупнейших сайтов) и специализацией Sucuri в области решения проблем с WordPress;<br><br><br><br>- На момент взлома 56% сайтов были обновлены до актуального выпуска CMS, а 44% использовали устаревшие версии. За год замечена тенденция к увеличению c 69.8% до 87.50% числа необновлённых уязвимых установок CMS Joomla. Для WordPress ситуация обратная и доля исполь https://www.opennet.ru/openforum/vsluhforumID3/116741.html#20 Wed, 13 Mar 2019 08:58:47 GMT &gt; Господа эксперты, а чем сейчас принято тестировать свой сайт на дырявость? <br><br>а зачем? Используешь распространенную cms = твой сайт дыряв, можешь ничего уже не сканировать.<br><br>используешь наколеночную - он все равно дыряв, но об этом пока еще никто не знает, и может и не узнать, если только ты не представялешь собой какую-нибудь отдельную ценность для заинтересованных лиц.<br><br>&gt; Чем сканить всю эту JS-феерию?<br><br>зачем? Вот узнал ты что в твоем дрюпале есть дыра, и тебя через нее уже дрюпают во всю. И? Сайт снесешь, уйдешь в монастырь? Сам полезешь исправлять (что мешало до, если ты такой умный, работящий и инициативный)? Апдейт накатишь (что мешало - просто накатывать, если это в принципе возможно, не дожидаясь перитонита? А если апдейт ломает сайт - возвращаемся к варианту 1)? <br><br> https://www.opennet.ru/openforum/vsluhforumID3/116741.html#19 Wed, 13 Mar 2019 08:57:49 GMT &gt; Эти столбики и есть статистика популярности. <br><br>Можно, конечно, быть занудой и поспорить. Но я ленивый зануда ;)<br><br> https://www.opennet.ru/openforum/vsluhforumID3/116741.html#18 Wed, 13 Mar 2019 08:43:46 GMT ня пойму, о чем вы вообще? Эти столбики и есть статистика популярности. Неужели кто-то думает, что они отражают качество кода или еще что другое? ;-)<br><br> https://www.opennet.ru/openforum/vsluhforumID3/116741.html#17 Mon, 11 Mar 2019 04:24:45 GMT Господа эксперты, а чем сейчас принято тестировать свой сайт на дырявость? Такое ощущение, что все старые добрые сканеры skipfish/nikto/netsparker уже трупы. Чем сканить всю эту JS-феерию?<br> https://www.opennet.ru/openforum/vsluhforumID3/116741.html#16 Wed, 06 Mar 2019 14:51:16 GMT &gt;&gt; Ну, насколько я слышал, вредоносной активности GoDaddy действительно надо противодействовать.<br>&gt;&gt; Лучше всего держась от него подальше. Что там с Sucuri я <br>&gt;&gt; не знаю, в первый раз слышу про него.<br>&gt; Этож какой активности GoDaddy?<br><br>Я сам не сталкивался, но судя по описанию это сплошной скам. Ты можешь загуглить godaddy+scam, если интересно.<br> https://www.opennet.ru/openforum/vsluhforumID3/116741.html#15 Wed, 06 Mar 2019 12:59:57 GMT &gt; Ну, насколько я слышал, вредоносной активности GoDaddy действительно надо противодействовать. <br>&gt; Лучше всего держась от него подальше. Что там с Sucuri я <br>&gt; не знаю, в первый раз слышу про него.<br><br>Этож какой активности GoDaddy? Вы про слухи, что они домены не дают выводить? По моему это все седая древность, у меня был у них домен зарегистрирован, когда я переводил никаких проблем не было.<br> https://www.opennet.ru/openforum/vsluhforumID3/116741.html#14 Wed, 06 Mar 2019 12:56:25 GMT &gt; ИМХО проблема не в желании, а в темах и плагинах.<br>&gt; Корректной работы между мажорными версиями, насколько мне известно, ни Joomla ни WP <br>&gt; не гарантируют, а переписать плагин или тему, если это не сделал <br>&gt; автор (а они к сожалению свои продукты часто забрасывают), корректно могут <br>&gt; далеко не все. Как и далеко не все пишут собственную тему <br>&gt; и используют только собственные плагины, чтобы иметь/нанимать разработчиков для поддержания <br>&gt; совместимости всего этого с новыми версиями движка.<br>&gt; Выход: менять/допиливать тему и подбирать другие/допиливать плагины или оставлять всё <br>&gt; как есть. Часто получается второй вариант.<br><br>Не совсем верно.<br><br>В пределах версии 3.Х например все коспоненты, плагины и проч будут совместимы с более поздними версиями. Другой вопрос что периодически добавляются новые API и после какого-то обновления компонент может сказать "Нет, ваша Джумла слишком старая".<br>С темами чуть сложнее. но только из-за того, что современные темы это жутки комбайны с фреймворками, конфигураторамии https://www.opennet.ru/openforum/vsluhforumID3/116741.html#13 Wed, 06 Mar 2019 09:43:16 GMT &gt; На момент взлома 56% сайтов были обновлены до актуального выпуска CMS<br><br>Обновляй, не обновляй - всё равно получишь нагоняй.<br> https://www.opennet.ru/openforum/vsluhforumID3/116741.html#12 Wed, 06 Mar 2019 09:17:40 GMT Есть ситуации совсем тяжелые. Некоторые студии разрабатывают сайты на заказ, "влезая" в код CMS. Такой сайт невозможно обновить стандартным образом, читай - без привлечения разработчика. Владельцы вынуждены постоянно платить за "поддержку" либо имеют проблемы с безопасностью.<br>