LINUX.ORG.RU

Вордпресс берет новые рекорды
Уязвимость в стороннем плагине

Ок

MOPKOBKA ★★★★★
()

Вот ЗАЧЕМ эти усложнения на ровном месте с пыхом и РСУБД для уютного бложика и сайта нижневартовской городской библиотеки? Бритвой Оккама - ррраз!

Только статический HTML, всегда и везде. Те, кому есть что разместить в интернете, осилят. Я гарантирую это.

token_polyak ★★★★★
()
Последнее исправление: token_polyak (всего исправлений: 3)
Ответ на: комментарий от token_polyak

Только статический HTML, всегда и везде.

Без смеха, мой статический сайт завистники-ЛОР'овцы(а кто ещё?) пытались взломать перебирая пароли и заDD0'сить и выкачивали с китайский ойпишников 1-1.5 ТБ инфы в месяц у хостера с безлимитным трафиком! Как я ржал тогда и здесь на ЛОР'е писал об этом. 😂😂😂

xwicked ★★☆
()
Последнее исправление: xwicked (всего исправлений: 1)
Ответ на: комментарий от xwicked

а кто ещё?

Боты. Они заполонили интернет и оппортунистически нападают на всё подряд.

token_polyak ★★★★★
()

А если бы его скомпилировали в .NET ?

https://www.peachpie.io/2017/02/wordpress-announcement.html

Motivation

There are several reasons why it is desirable to run WordPress on .NET:

    Performance: compiled code is fast and also optimized by the .NET ‘Jitter’ for your actual system. Additionally, the .NET performance profiler may be used to resolve bottlenecks.
    C# Extensibility: plugin functionality can be implemented in a separate C# project and/or PHP plugins may use .NET libraries.
    Sourceless distribution: after the compilation, most of the source files are not needed.
    Power of .NET: Peachpie allows the compiled WordPress clone to run in a .NET jittered, secure and manageable environment, updated through windows update.
    No need to install PHP: Peachpie is a modern compiler platform and runtime distributed as a dependency to your .NET project. It is downloaded automatically on demand as a NuGet package or it can be even deployed standalone together with the compiled application as its library dependency.

Last but not least, we simply wanted to prove that it works. This article will show how.
sanyo1234
()
Последнее исправление: sanyo1234 (всего исправлений: 1)
Ответ на: комментарий от xwicked

А зачем тебе пароль на статическойм сайте? На локалхосте обновлённый сайт статическим генератором собрал, на сервер залил и всё.

Аааа или они подбирали пароли к тому у чего нет паролей? :D Ну тогда просто боты ломились значит.

LINUX-ORG-RU ★★★★★
()
Ответ на: комментарий от LINUX-ORG-RU

Аааа или они подбирали пароли к тому у чего нет паролей? :D

Ага 😅

xwicked ★★☆
()

2017

Бекдоры для PHP это отдельный вид искусства.

IIIypuk ★★★★
()

в плагине Popup Builder

При чём тут вордпресс?

6700 сайтов оказались зараженными

Из 100000000 сайтов на вордпрессе. Невероятный масштаб эпидемии, да.

no-such-file ★★★★★
()
Ответ на: комментарий от token_polyak

А WordPress в качестве генератора статики нельзя использовать?

Или со специальными плагинами защиты, которые делают почти тоже самое.

sanyo1234
()
Ответ на: комментарий от sanyo1234

да вообще всё можно, ходи по карте сайта, да записывай html-ки. Нужно просто иметь особый подход для нестатичных частей сайта, или писать их только на js. Но тогда время рендера увеличивается.

alexmaru
()
Ответ на: комментарий от yu-boot

странно что это мало юзают

Многие хостеры накладывают ограничение на количество файлов. Например, в довольно популярном (не буду тыкать пальцем) хостинге,это ограничение равно 25000 файлов, в отличии от бд. Там проходил php по карте, получал отрендеренный контент и совал его в базу как base64, отдавал соответственно отрендеренный с базы,если он был.

skidphysic
() автор топика
Последнее исправление: skidphysic (всего исправлений: 1)

Атлична. Вротпресс не нужен, похапе для макак

DumLemming ★★★
()

Ученый изнасиловал журналиста.

С миллионов вебсайтов на Вордпрессе, с 200к сайтов использующих плагин - 6700 зараженных, это как-то несерьезно.

windows10 ★★★★★
()
Ответ на: комментарий от token_polyak

Этот плагин нужен что бы в визуальном редакторе натыкать Popup, генератор статических сайтов такое не может предоставить человеку который не особо в компьютерах и разбирается.

MOPKOBKA ★★★★★
()

новые рекорды

Нет.

AP ★★★★★
()
Ответ на: комментарий от MOPKOBKA

Ничего бы не изменилось, там не уязвимость в стиле С когда буфер переполняется, а XSS.

Если бы не изменилось для данного плагина, то возможно изменилось бы для других и системы в целом. Потому что возможные и другие пока ещё неизвестные уязвимости.

sanyo1234
()

Ничего нового. Вротпресс трахают через плагнины, трахали и будут трахать.

crutch_master ★★★★★
()
Ответ на: комментарий от token_polyak

Они на это магазин ставят, а потом борятся за производительность.

crutch_master ★★★★★
()
Ответ на: комментарий от sanyo1234

Если бы не изменилось для данного плагина, то возможно изменилось бы для других и системы в целом

Нет, Bitrix, Drupal, Laravel, не используют низкий уровень, там из уязвимостей примерно тоже самое.

MOPKOBKA ★★★★★
()

не тянет на рекорд.

xfilx ★★
()
Ответ на: комментарий от sanyo1234

Не понял твоего вопроса. Я говорил про то что компиляция в .Net может убрать только уязвимости php.exe (и добавить своих) но не уязвимости Laravel.

MOPKOBKA ★★★★★
()
Последнее исправление: MOPKOBKA (всего исправлений: 1)
Ответ на: комментарий от sanyo1234

Это не может быть уязвимостью Laravel, если она не в Laravel. Проблема в коде, а не в том на чем он запускается.

MOPKOBKA ★★★★★
()
Ответ на: комментарий от sanyo1234

Сейчас нормальная LTS версия есть только у C и Perl.

PHP 8.1 время поддержки 2021 - 2024

.NET Core 3.1 (LTS) время поддержки 2019 - 2022

MOPKOBKA ★★★★★
()
Последнее исправление: MOPKOBKA (всего исправлений: 2)
Закрыто добавление комментариев для недавно зарегистрированных пользователей (со score < 50)