6700 сайтов WordPress взломаны

Вордпресс берет новые рекорды
Уязвимость в стороннем плагине

Ок

Вот ЗАЧЕМ эти усложнения на ровном месте с пыхом и РСУБД для уютного бложика и сайта нижневартовской городской библиотеки? Бритвой Оккама - ррраз!

Только статический HTML, всегда и везде. Те, кому есть что разместить в интернете, осилят. Я гарантирую это.

Только статический HTML, всегда и везде.

Без смеха, мой статический сайт завистники-ЛОР'овцы(а кто ещё?) пытались взломать перебирая пароли и заDD0'сить и выкачивали с китайский ойпишников 1-1.5 ТБ инфы в месяц у хостера с безлимитным трафиком! Как я ржал тогда и здесь на ЛОР'е писал об этом. 😂😂😂

а кто ещё?

Боты. Они заполонили интернет и оппортунистически нападают на всё подряд.

А если бы его скомпилировали в .NET ?

https://www.peachpie.io/2017/02/wordpress-announcement.html

Motivation

There are several reasons why it is desirable to run WordPress on .NET:

    Performance: compiled code is fast and also optimized by the .NET ‘Jitter’ for your actual system. Additionally, the .NET performance profiler may be used to resolve bottlenecks.
    C# Extensibility: plugin functionality can be implemented in a separate C# project and/or PHP plugins may use .NET libraries.
    Sourceless distribution: after the compilation, most of the source files are not needed.
    Power of .NET: Peachpie allows the compiled WordPress clone to run in a .NET jittered, secure and manageable environment, updated through windows update.
    No need to install PHP: Peachpie is a modern compiler platform and runtime distributed as a dependency to your .NET project. It is downloaded automatically on demand as a NuGet package or it can be even deployed standalone together with the compiled application as its library dependency.

Last but not least, we simply wanted to prove that it works. This article will show how.

А зачем тебе пароль на статическойм сайте? На локалхосте обновлённый сайт статическим генератором собрал, на сервер залил и всё.

Аааа или они подбирали пароли к тому у чего нет паролей? :D Ну тогда просто боты ломились значит.

Аааа или они подбирали пароли к тому у чего нет паролей? :D

Ага 😅

2017

Бекдоры для PHP это отдельный вид искусства.

А куда исчез смайлик firkax ? ;)

в плагине Popup Builder

При чём тут вордпресс?

6700 сайтов оказались зараженными

Из 100000000 сайтов на вордпрессе. Невероятный масштаб эпидемии, да.

А WordPress в качестве генератора статики нельзя использовать?

Или со специальными плагинами защиты, которые делают почти тоже самое.

Пон.

да вообще всё можно, ходи по карте сайта, да записывай html-ки. Нужно просто иметь особый подход для нестатичных частей сайта, или писать их только на js. Но тогда время рендера увеличивается.

Это ещё и для выкладывающего проще, странно что это мало юзают

странно что это мало юзают

Многие хостеры накладывают ограничение на количество файлов. Например, в довольно популярном (не буду тыкать пальцем) хостинге,это ограничение равно 25000 файлов, в отличии от бд. Там проходил php по карте, получал отрендеренный контент и совал его в базу как base64, отдавал соответственно отрендеренный с базы,если он был.

Атлична. Вротпресс не нужен, похапе для макак

Ученый изнасиловал журналиста.

С миллионов вебсайтов на Вордпрессе, с 200к сайтов использующих плагин - 6700 зараженных, это как-то несерьезно.

Ничего бы не изменилось, там не уязвимость в стиле С когда буфер переполняется, а XSS.

Этот плагин нужен что бы в визуальном редакторе натыкать Popup, генератор статических сайтов такое не может предоставить человеку который не особо в компьютерах и разбирается.

новые рекорды

Нет.

Ничего бы не изменилось, там не уязвимость в стиле С когда буфер переполняется, а XSS.

Если бы не изменилось для данного плагина, то возможно изменилось бы для других и системы в целом. Потому что возможные и другие пока ещё неизвестные уязвимости.

Ничего нового. Вротпресс трахают через плагнины, трахали и будут трахать.

Они на это магазин ставят, а потом борятся за производительность.

Если бы не изменилось для данного плагина, то возможно изменилось бы для других и системы в целом

Нет, Bitrix, Drupal, Laravel, не используют низкий уровень, там из уязвимостей примерно тоже самое.

не тянет на рекорд.

Нет, Bitrix, Drupal, Laravel, не используют низкий уровень,

Эти CMS не используют backend ?

Не понял твоего вопроса. Я говорил про то что компиляция в .Net может убрать только уязвимости php.exe (и добавить своих) но не уязвимости Laravel.

Т.е. часть потенциальных уязвимостей Laravel, которые проявляются на PHP, могут исчезнуть после компиляции в .NET ?

Это не может быть уязвимостью Laravel, если она не в Laravel. Проблема в коде, а не в том на чем он запускается.

Однако фиксится такое вероятно иногда путём написания workaround вместо прямых фикcов PHP?

Не слышал о таком, Laravel вообще очень быстро развивается, ему нужны всегда самые новые версии PHP.

Самые новые версии чреваты проблемами. Серьёзный прод обычно работает на LTS.

У PHP нет LTS.

Это ужасно.

Тем более вероятны workarounds у тех, кто не может себе позволить частый upgrage PHP.

Сейчас нормальная LTS версия есть только у C и Perl.

PHP 8.1 время поддержки 2021 - 2024

.NET Core 3.1 (LTS) время поддержки 2019 - 2022