Как минимум 78% серверов с PHP — решето

Потому что продали новый сайт, сделали, залили на хостинг и забыли. Некогда обновлять старые сайты, надо клепать новые.

А если без шашечек, если чтобы ехало — через описанные уязвимости хоть кого-то ломали? ИМХО, если б ломали, то уже была бы эпидемия, которая бы весь Интернет бы положила :D

У кого-то ещё есть вопросы на тему «откуда столько спама»?

Нет вопросов. Только сам PHP тут не при делах.

У меня один бложик на Wordpress ломали. Уязвимость явно эксплуатировали, т.к. сайт периодически лежал, а значит был занят явно не тем чем нужно. После выпиливания вирусни заработал нормально. Правда тут Wordpress виноват, а не PHP напрямую, но все равно.

WordPress это ужасное решето, давно известно, да. Причем не сам WordPress а плагины под него чаще всего, но тут ССЗБ.

Там просто очень древний WP был. Он и сейчас древний, только немного обновленный. И PHP 5.2 :) Ужас короче, но мне главное чтобы работал и не докучал мне.

Потому что продали новый сайт, сделали, залили на хостинг и забыли. Некогда обновлять старые сайты, надо клепать новые.

Вот-вот. Есть у меня один старый сайтик, дак мне лень его обновлять, я просто в два клика разворачиваю бэкап после каждого взлома и не парюсь. Ибо движок там юзается старый, обновить уже не так-то просто. Всё равно инфу на том сайте уже никто обновлять не будет, да и самой организации уже фактически нет, просто срок проплаты за поддержку (платили на 3 года вперёд) ещё не вышел.

Now, for our purposes, we'll assume that any 5.4.4 install will be secure, since we can't distinguish Debian versions (supported) from non-Debian installs (unsupported).
This means that our «secure» numbers will be over-inflated. But let's plug it in and see what happens.

Я правильно понял, что все, что не Debian, он посчитал unsecure by default? Уважаю.

Пока гром не грянет, пхпдебил не перекрестится.

КСЖ

Обновил ОП-пост.

Там не получится оставить статическую копию и перекинуть динамическую версию куда-нибудь в недоступное для всех интернетов место?

Возможно и получится, просто овчинка выделки не стоит. Его ломали два раза за последние пару лет: раз снесли базу, второй раз повесили вирусный скрипт. Ему осталось жить меньше года, потом срок поддержки закончится, и сайт благополучно будет свёрнут.

Правда тут Wordpress виноват, а не PHP

Ну так это совсем другая история и получается. А то бы ещё Linux решетом обозвали, так как WordPress под ним крутится :)

Отсюда и занижение.

Зачем вводишь людей в заблуждение? По отношению к цифре в заголовке это же завышение.

Это просто к высказыванию про то, что никто никого не ломает. Ломают, если просто.

И PHP 5.2 :)

Вот из-за толп таких вот граждан в интернете куча дырявых серверов с неподдерживаемой пыхой со старыми таймзонами.

Нет, это занижение. Например, все PHP версии 5.4.4 считают безопасными только потому, что она поддерживается в дебиане. Даже если это ванильная версия без дебианопатчей.

Аналогично с прочими дистрибутивами.

Как можно в одной таблице сравнивать ЯП, cms и вебсервера?

Желтота то какая, а ведь первое только завтра.

А, понял, спасибо.