The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]



"Критические уязвимости в WordPress-плагинах, имеющих более 4..."
Вариант для распечатки  
Пред. тема | След. тема 
Форум Разговоры, обсуждение новостей
Изначальное сообщение [ Отслеживать ]

"Критические уязвимости в WordPress-плагинах, имеющих более 4..."  +1 +/
Сообщение от opennews (??), 18-Янв-20, 12:44 
В трех популярных плагинах для системы управления web-контентом WordPress, насчитывающих более 400 тысяч установок, выявлены критические уязвимости:...

Подробнее: https://www.opennet.me/opennews/art.shtml?num=52207

Ответить | Правка | Cообщить модератору

Оглавление

Сообщения [Сортировка по времени | RSS]


1. "Критические уязвимости в WordPress-плагинах, имеющих более 4..."  +5 +/
Сообщение от Аноним (1), 18-Янв-20, 12:44 
первый раз про них слышу. похоже, мне повезло на этот раз.
Ответить | Правка | Наверх | Cообщить модератору

33. "Критические уязвимости в WordPress-плагинах, имеющих более 4..."  +2 +/
Сообщение от Аноним (33), 18-Янв-20, 20:16 
Полон опасностей вордпрессомирок.
Ответить | Правка | Наверх | Cообщить модератору

45. "Критические уязвимости в WordPress-плагинах, имеющих более 4..."  –1 +/
Сообщение от XXX (??), 19-Янв-20, 05:30 
закрываешь инет для виртуалки с вордпрессом, изменения на запись в ФС - только через FTP, ставишь запрет на исполнение файлов в директории с uploads. Всё. Пусть пробуют "ломать".
Ответить | Правка | Наверх | Cообщить модератору

47. "Критические уязвимости в WordPress-плагинах, имеющих более 4..."  +2 +/
Сообщение от gogo (?), 19-Янв-20, 14:49 
да легко. например, если ломануть админа, можно отредактироват статьи, напихав в них скрытых ссылок на вродоносные сайты. спам. из upload можно инклюдом запускать свой код, например ДОС-ботов.
в общем, фантазия безгранична. в отличте от вашего метода "защиты изоляциией"
Ответить | Правка | Наверх | Cообщить модератору

56. "Критические уязвимости в WordPress-плагинах, имеющих более 4..."  +/
Сообщение от XXX (??), 24-Янв-20, 03:49 
> да легко. например, если ломануть админа, можно отредактироват статьи, напихав в них
> скрытых ссылок на вродоносные сайты. спам. из upload можно инклюдом запускать
> свой код, например ДОС-ботов.
> в общем, фантазия безгранична. в отличте от вашего метода "защиты изоляциией"

@gogo,
> инклюдом запускать свой код, например ДОС-ботов

как будет dos-bot отсылать запросы если интернет у него отключен?
разрешены только запросы на вход и на ответы через conntrack. (принцип stateful firewall)
> да легко. например, если ломануть админа

/wp-admin/, wp-login.php закрывается по IP адресу.
>из upload можно инклюдом

Про инклюд понял, здесь согласен. Но разве первые два метода не нивелируют любую пользу от взлома, разве что контент можно отдавать со скрытыми ссылками

Ответить | Правка | Наверх | Cообщить модератору

57. "Критические уязвимости в WordPress-плагинах, имеющих более 4..."  +/
Сообщение от XXX (??), 24-Янв-20, 03:56 
@gogo
> из upload можно инклюдом запускать свой код, например ДОС-ботов.

а что будет инклюдом запускаться ? если человек не может ничего записать в ФС (т.к. всё по ФТП)??
а инклюд извне по http запрещён?

Ответить | Правка | Наверх | Cообщить модератору

48. "Критические уязвимости в WordPress-плагинах, имеющих более 4..."  +1 +/
Сообщение от пох. (?), 20-Янв-20, 07:13 
> закрываешь инет для виртуалки с вордпрессом, изменения на запись в ФС - только через FTP

cms на этом перестает работать, обновление поставить нельзя, в том числе дырявого плагина, и первая же дырка с include решает проблему исполняемых uploads.
Не говоря уже про sql injections, которые тоже никуда не деваются.

Но твой бложег в безопасносте, Васян!

Ответить | Правка | К родителю #45 | Наверх | Cообщить модератору

2. "Критические уязвимости в WordPress-плагинах, имеющих более 4..."  +1 +/
Сообщение от Тико (?), 18-Янв-20, 12:46 
", имеющем более 20 тысяч установок позволяет подключиться с правами администратора без прохождения аутентификации." подключиться к матрице)?
Ответить | Правка | Наверх | Cообщить модератору

3. "Критические уязвимости в WordPress-плагинах, имеющих более 4..."  +5 +/
Сообщение от Аноним (3), 18-Янв-20, 12:48 
Ну так разве ж высококвалифицированный программист станет заниматься написанием плагинов для WordPress?
Ответить | Правка | Наверх | Cообщить модератору

4. "Критические уязвимости в WordPress-плагинах, имеющих более 4..."  +8 +/
Сообщение от N (?), 18-Янв-20, 13:25 
Да
Ответить | Правка | Наверх | Cообщить модератору

8. "Критические уязвимости в WordPress-плагинах, имеющих более 4..."  –8 +/
Сообщение от Аноним (8), 18-Янв-20, 14:23 
Разе любой человек в здравом уме станет использовать Вордпресс?  О количество установок лишь показывает процент душевнобольных.
Ответить | Правка | К родителю #3 | Наверх | Cообщить модератору

12. "Критические уязвимости в WordPress-плагинах, имеющих более 4..."  +3 +/
Сообщение от Антон (??), 18-Янв-20, 15:27 
А что вы предлагаете ставить для небольшого быстронастраиваемого сайта?
Ответить | Правка | Наверх | Cообщить модератору

18. "Критические уязвимости в WordPress-плагинах, имеющих более 4..."  +7 +/
Сообщение от дохтурЛол (?), 18-Янв-20, 16:13 
ничего, эти тупоголовые болтуны умеют только болтать фразами, которые бездумно переняли от других.

вордпресс - отличная открытая платформа, одна из лучших.
плагины к нему - нельзя как-то общо оценить, потому что качество каждого отдельного из них надо рассматривать отдельно.
есть куча прекарсных бесплатных плагинов под вордпресс с качественным кодом, есть ещё большая куча бесплатных плагинов с некачественным кодом, а есть ещё куча платных плагинов, но про них не могу ничего сказать, т.к. ни разу не пользовался.

популярность софта - это очень важный показатель, который очень высоко влияет на качество софта, особенно актуально для софта с открытым кодом и для категорий софта, где есть альтернативы.

альтенатив вордпрессу немного, в общем-то ~4:
1. opencart - сильно менее популярен чем wp;
2. битрикс - не знаю особо про него, но используется в основном на территории бывшего СССР;
3. magenta - это уже не подходит малому бизнесу, это уже сразу для среднего и крупного;
4. кастомные сайты, т.е. писать всё своё, с нуля - дорого, долго, недоступно для малого бизнеса.

Ответить | Правка | Наверх | Cообщить модератору

37. "Критические уязвимости в WordPress-плагинах, имеющих более 4..."  +3 +/
Сообщение от Антон (??), 18-Янв-20, 21:22 
так opencart и magenta это магазины, а битрикс это кучка говнокода на понтах чтобы впаривать его богатым заказчикам. Хлеб быдловебстудий.
Альтернатив вордпрессу в вашем списке нет, хотя они безусловно существуют в огромном количестве. october cms всякие.

Но популярность - да, это решает.

Ответить | Правка | Наверх | Cообщить модератору

39. "Критические уязвимости в WordPress-плагинах, имеющих более 4..."  –2 +/
Сообщение от Аноним (39), 18-Янв-20, 23:34 
О, так ты тот самый тяпляпыч и в продакшн. Приятно познакомится.
Ответить | Правка | К родителю #18 | Наверх | Cообщить модератору

19. "Критические уязвимости в WordPress-плагинах, имеющих более 4..."  +4 +/
Сообщение от Аноним (19), 18-Янв-20, 16:46 
Хостинг на Тильде же! Трясущейся от страха, готовой закрыть проекты за секунду, зато не вордпресс!
Ответить | Правка | К родителю #12 | Наверх | Cообщить модератору

22. "Критические уязвимости в WordPress-плагинах, имеющих более 4..."  +/
Сообщение от Сейд (ok), 18-Янв-20, 17:23 
concrete5
Ответить | Правка | К родителю #12 | Наверх | Cообщить модератору

36. "Критические уязвимости в WordPress-плагинах, имеющих более 4..."  +/
Сообщение от Антон (??), 18-Янв-20, 21:20 
ок. запомню называние, если в жизни представится случай посмотрю.
Ответить | Правка | Наверх | Cообщить модератору

41. "Критические уязвимости в WordPress-плагинах, имеющих более 4..."  –1 +/
Сообщение от Bx_ (?), 18-Янв-20, 23:53 
Надо бы HR'ам нашим сказать, Антонов ни в коем случае не брать.
Ответить | Правка | Наверх | Cообщить модератору

55. "Критические уязвимости в WordPress-плагинах, имеющих более 4..."  +/
Сообщение от Антон (??), 21-Янв-20, 16:03 
Я не специализируюсь на cms на пыхе (боже упоси), просто хочу быть в курсе как мимопроходил.
Ответить | Правка | Наверх | Cообщить модератору

23. "Критические уязвимости в WordPress-плагинах, имеющих более 4..."  –1 +/
Сообщение от Аноним (23), 18-Янв-20, 17:52 
static html. базовый набор тегов - их там максимум десяток будет - освоит любой, кто не пытается нажимать кнопку мыши в ответ на "press any key".
Ответить | Правка | К родителю #12 | Наверх | Cообщить модератору

35. "Критические уязвимости в WordPress-плагинах, имеющих более 4..."  +/
Сообщение от Антон (??), 18-Янв-20, 21:19 
это все здорово, а потом нужно отдать это пользователю для редактирования.
Я не зарабатываю этим на жизнь, но пару-тройку-десяток раз делал сайты для знакомых, на вордпрессе было довольно быстро, единственное что лень было изучать доку чтобы выбросить из шаблона лишнее.
Раньше cmsmadesimple использовал, но оно сдохло.
Ответить | Правка | Наверх | Cообщить модератору

16. "Критические уязвимости в WordPress-плагинах, имеющих более 4..."  –1 +/
Сообщение от Аноним (16), 18-Янв-20, 16:06 
https://automattic.com/

вот виновник этого - многомилионная коммерческая компания которая развивает ворпресс и продает хостинг на wordpress.com

Ответить | Правка | К родителю #8 | Наверх | Cообщить модератору

24. "Критические уязвимости в WordPress-плагинах, имеющих более 4..."  –1 +/
Сообщение от user90 (?), 18-Янв-20, 18:23 
"высококвалифицированный PHP-программист" ;) Такие ваще где-то есть? Это возможно?
Ответить | Правка | К родителю #3 | Наверх | Cообщить модератору

28. "Критические уязвимости в WordPress-плагинах, имеющих более 4..."  +1 +/
Сообщение от KonstantinB (??), 18-Янв-20, 19:10 
А что помешает высококвалифицированному программисту писать на PHP при необходимости? Другое дело, что это будет не PHP-программист, а просто программист.
Ответить | Правка | Наверх | Cообщить модератору

42. "Критические уязвимости в WordPress-плагинах, имеющих более 4..."  +/
Сообщение от Bx_ (?), 19-Янв-20, 00:12 
Хех, я даже одного такого знаю. Я когда увидел в кроне php, мягко говоря удивился, ан нет - "мне так удобно". И, ведь, б!"№;%:, я бы лучше не сделал.
Ответить | Правка | Наверх | Cообщить модератору

54. "Критические уязвимости в WordPress-плагинах, имеющих более 4..."  +/
Сообщение от Урри (?), 20-Янв-20, 16:20 
Наверное то же самое, что высококвалифицированному комбайнеру использовать газонокосилку?
Ответить | Правка | К родителю #28 | Наверх | Cообщить модератору

34. "Критические уязвимости в WordPress-плагинах, имеющих более 4..."  +/
Сообщение от commiethebeastie (ok), 18-Янв-20, 20:16 
facebook?
Ответить | Правка | К родителю #24 | Наверх | Cообщить модератору

5. "Критические уязвимости в WordPress-плагинах, имеющих более 4..."  +3 +/
Сообщение от Аноним (5), 18-Янв-20, 13:49 
Последняя вообще зашквар, и PHP тут не причём.
Ответить | Правка | Наверх | Cообщить модератору

6. "Критические уязвимости в WordPress-плагинах, имеющих более 4..."  +/
Сообщение от анон (?), 18-Янв-20, 14:17 
в последнем - это не баг, это - фича.
Ответить | Правка | Наверх | Cообщить модератору

11. "Критические уязвимости в WordPress-плагинах, имеющих более 4..."  +/
Сообщение от Аноним (11), 18-Янв-20, 15:03 
есть слово "антифича".
Ответить | Правка | Наверх | Cообщить модератору

17. "Критические уязвимости в WordPress-плагинах, имеющих более 4..."  +/
Сообщение от A.Stahl (ok), 18-Янв-20, 16:11 
А "недопереконтрантифича" слово есть?
Ответить | Правка | Наверх | Cообщить модератору

20. "Критические уязвимости в WordPress-плагинах, имеющих более 4..."  +/
Сообщение от Аноним (11), 18-Янв-20, 16:47 
Нет. Антифича и так несёт достаточно негативный оттенок. Негативнееттолько прямо сказать "бекдор".
Ответить | Правка | Наверх | Cообщить модератору

27. "Критические уязвимости в WordPress-плагинах, имеющих более 4..."  +1 +/
Сообщение от Урри (?), 18-Янв-20, 18:57 
Классический бекдор
Ответить | Правка | К родителю #6 | Наверх | Cообщить модератору

7. "Критические уязвимости в WordPress-плагинах, имеющих более 4..."  +/
Сообщение от Аноним (8), 18-Янв-20, 14:21 
Рили? Вот это неожиданность так неожиданность.
Ответить | Правка | Наверх | Cообщить модератору

26. "Критические уязвимости в WordPress-плагинах, имеющих более 4..."  +1 +/
Сообщение от Урри (?), 18-Янв-20, 18:56 
Никогда такого не было, скажи?
Ответить | Правка | Наверх | Cообщить модератору

31. "Критические уязвимости в WordPress-плагинах, имеющих более 4..."  +1 +/
Сообщение от анан (?), 18-Янв-20, 19:26 
и вот опять
Ответить | Правка | Наверх | Cообщить модератору

9. "Критические уязвимости в WordPress-плагинах, имеющих более 4..."  –1 +/
Сообщение от Аноним (9), 18-Янв-20, 14:25 
Дали им DjangoCMS - пользуйся! Не хочу, хочу pewemo.
Ответить | Правка | Наверх | Cообщить модератору

14. "Критические уязвимости в WordPress-плагинах, имеющих более 4..."  +/
Сообщение от Аноним (16), 18-Янв-20, 16:02 
там есть конструктор сайтов или крутые темы? нет - ну закопайте тогда

я для безопасности придумали JAM stack, который уже давно используют (https://jamstack.wtf/)
в том числе и для wordpress headless

Ответить | Правка | Наверх | Cообщить модератору

44. "Критические уязвимости в WordPress-плагинах, имеющих более 4..."  +/
Сообщение от пох. (?), 19-Янв-20, 01:42 
нет, там есть нескучный апи, который ты можешь изучать следующие пол-жизни.

Ну или готовые поделки НА этом фреймворке - теперь еще пол-жизни ты можешь изучать отдельный апи самой поделки.

Ответить | Правка | Наверх | Cообщить модератору

29. "Критические уязвимости в WordPress-плагинах, имеющих более 4..."  +2 +/
Сообщение от KonstantinB (??), 18-Янв-20, 19:18 
Вордпресс хоть и ужасен внутри, но по набору плагинов ничего близкого нет.

Проще поставить вордпресс и дать его копирайтерам с сеошниками, чем заниматься написанием всякой контентно-сеошной ерунды вместо занятия важными вещами.

Вопрос безопасности решается, на самом деле, довольно просто: для пейсателей поднимается контейнер, который напрямую не торчит в интернет, а в продакшен идет readonly-копия контейнера, который изолирован от остальных частей проекта и ограничен в правах по самое мяу. Синхронизируется по крону или кнопочке.

Ответить | Правка | К родителю #9 | Наверх | Cообщить модератору

38. "Критические уязвимости в WordPress-плагинах, имеющих более 4..."  +/
Сообщение от Антон (??), 18-Янв-20, 23:14 
слова не мальчика, но мужа
Ответить | Правка | Наверх | Cообщить модератору

43. "Критические уязвимости в WordPress-плагинах, имеющих более 4..."  +2 +/
Сообщение от Bx_ (?), 19-Янв-20, 00:22 
Ну-ну. Реализацию можно увидеть? Что-то я Антонов ...
Ответить | Правка | Наверх | Cообщить модератору

10. "Критические уязвимости в WordPress-плагинах, имеющих более 4..."  +/
Сообщение от nelsonemail (??), 18-Янв-20, 14:34 
если уж что - то и писать на пыхе, то, хотя бы, на основе компонентов какого-нибудь Symfony, но WP - это вообще за гранью добра и зла
Ответить | Правка | Наверх | Cообщить модератору

15. "Критические уязвимости в WordPress-плагинах, имеющих более 4..."  +/
Сообщение от Аноним (16), 18-Янв-20, 16:03 
пиши на том в чем разбираешся на здоровье
Ответить | Правка | Наверх | Cообщить модератору

13. "Критические уязвимости в WordPress-плагинах, имеющих более 4..."  +2 +/
Сообщение от Аноним (16), 18-Янв-20, 15:58 
WP2Static -> CDN или хостинг статических файлов - и не волнуют меня ваши уязвимости, ломайте html сколько влезет
Ответить | Правка | Наверх | Cообщить модератору

21. "Критические уязвимости в WordPress-плагинах, имеющих более 4..."  +1 +/
Сообщение от другие васяны (?), 18-Янв-20, 16:57 
жаль что твои васян-сайты тоже никого не волнуют, даже роботы не заходят.
Ответить | Правка | Наверх | Cообщить модератору

40. "Критические уязвимости в WordPress-плагинах, имеющих более 4..."  +/
Сообщение от Аноним (39), 18-Янв-20, 23:34 
400к васян сайтов тоже никому не нужны кроме ботнетов.
Ответить | Правка | Наверх | Cообщить модератору

25. "Критические уязвимости в WordPress-плагинах, имеющих более 4..."  +/
Сообщение от Я (??), 18-Янв-20, 18:54 
Вот и глянем как боты будут сканить нмших клиентов на эти дыры.
Потом, если будет что, отпишусь.
Ответить | Правка | Наверх | Cообщить модератору

30. "Критические уязвимости в WordPress-плагинах, имеющих более 4..."  +/
Сообщение от Аноним (-), 18-Янв-20, 19:23 
Походу дыры в плагинах вордпресса - мировая константа, типа скорости света, чтоли. Годы шли а дыры в плагинах вормпресса - вот они.
Ответить | Правка | Наверх | Cообщить модератору

32. "Критические уязвимости в WordPress-плагинах, имеющих более 4..."  +2 +/
Сообщение от BlackRot (ok), 18-Янв-20, 19:33 
Впервые слышу о таких планинах.
А ВордПресс рулит! 😋
Ответить | Правка | Наверх | Cообщить модератору

46. "Критические уязвимости в WordPress-плагинах, имеющих более 4..."  +/
Сообщение от iCat (ok), 19-Янв-20, 09:38 
1. "Говнокод" можно состряпать любым способом. Даже напрямую бинарный гавнокод.
2. Ошибки в любом коде возможны независимо от ЯП и опыта программиста.
3. Количество обнаруженных ошибок почти никогда не равно количеству ошибок вообще. И зависит это в большей степени от распространённости исходников, чем от ЯП и опыта программистов.
Ответить | Правка | Наверх | Cообщить модератору

49. "Критические уязвимости в WordPress-плагинах, имеющих более 4..."  –1 +/
Сообщение от пох. (?), 20-Янв-20, 07:16 
какая, говорите, версия TeX нынче последняя?

Не зависит от опыта, говорите?

Ответить | Правка | Наверх | Cообщить модератору

50. "Критические уязвимости в WordPress-плагинах, имеющих более 4..."  –1 +/
Сообщение от iCat (ok), 20-Янв-20, 10:34 
> какая, говорите, версия TeX нынче последняя?
> Не зависит от опыта, говорите?

Ты готов утверждать о том, что в TeX нет ошибок?

Ответить | Правка | Наверх | Cообщить модератору

52. "Критические уязвимости в WordPress-плагинах, имеющих более 4..."  –1 +/
Сообщение от пох. (?), 20-Янв-20, 14:31 
поинтересуйтесь на досуге, как устроена у него нумерация версий (у one-true-tex, а не адаптированных для бубунточки форков, разумеется). А потом, когда узнаете кое-что новое для себя, подумайте еще разок, что я пытался до вас донести.

Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема




Партнёры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру