| |
| |
| 3.45, XXX (??), 05:30, 19/01/2020 [^] [^^] [^^^] [ответить]
| –1 +/– |
закрываешь инет для виртуалки с вордпрессом, изменения на запись в ФС - только через FTP, ставишь запрет на исполнение файлов в директории с uploads. Всё. Пусть пробуют "ломать".
| | |
| |
| 4.47, gogo (?), 14:49, 19/01/2020 [^] [^^] [^^^] [ответить]
| +2 +/– |
да легко. например, если ломануть админа, можно отредактироват статьи, напихав в них скрытых ссылок на вродоносные сайты. спам. из upload можно инклюдом запускать свой код, например ДОС-ботов.
в общем, фантазия безгранична. в отличте от вашего метода "защиты изоляциией"
| | |
| |
| 5.56, XXX (??), 03:49, 24/01/2020 [^] [^^] [^^^] [ответить]
| +/– |
> да легко. например, если ломануть админа, можно отредактироват статьи, напихав в них
> скрытых ссылок на вродоносные сайты. спам. из upload можно инклюдом запускать
> свой код, например ДОС-ботов.
> в общем, фантазия безгранична. в отличте от вашего метода "защиты изоляциией"
@gogo,
> инклюдом запускать свой код, например ДОС-ботов
как будет dos-bot отсылать запросы если интернет у него отключен?
разрешены только запросы на вход и на ответы через conntrack. (принцип stateful firewall)
> да легко. например, если ломануть админа
/wp-admin/, wp-login.php закрывается по IP адресу.
>из upload можно инклюдом
Про инклюд понял, здесь согласен. Но разве первые два метода не нивелируют любую пользу от взлома, разве что контент можно отдавать со скрытыми ссылками
| | |
| |
| 6.57, XXX (??), 03:56, 24/01/2020 [^] [^^] [^^^] [ответить]
| +/– |
@gogo
> из upload можно инклюдом запускать свой код, например ДОС-ботов.
а что будет инклюдом запускаться ? если человек не может ничего записать в ФС (т.к. всё по ФТП)??
а инклюд извне по http запрещён?
| | |
|
|
| 4.48, пох. (?), 07:13, 20/01/2020 [^] [^^] [^^^] [ответить]
| +1 +/– | |
> закрываешь инет для виртуалки с вордпрессом, изменения на запись в ФС - только через FTP
cms на этом перестает работать, обновление поставить нельзя, в том числе дырявого плагина, и первая же дырка с include решает проблему исполняемых uploads.
Не говоря уже про sql injections, которые тоже никуда не деваются.
Но твой бложег в безопасносте, Васян!
| | |
|
|
|
| 1.2, Тико (?), 12:46, 18/01/2020 [ответить] [﹢﹢﹢] [ · · · ]
| +1 +/– |
", имеющем более 20 тысяч установок позволяет подключиться с правами администратора без прохождения аутентификации." подключиться к матрице)?
| | |
| 1.3, Аноним (3), 12:48, 18/01/2020 [ответить] [﹢﹢﹢] [ · · · ]
| +5 +/– |
Ну так разве ж высококвалифицированный программист станет заниматься написанием плагинов для WordPress?
| | |
| |
| 2.8, Аноним (8), 14:23, 18/01/2020 [^] [^^] [^^^] [ответить]
| –8 +/– |
Разе любой человек в здравом уме станет использовать Вордпресс? О количество установок лишь показывает процент душевнобольных.
| | |
| |
| 3.12, Антон (??), 15:27, 18/01/2020 [^] [^^] [^^^] [ответить]
| +3 +/– |
А что вы предлагаете ставить для небольшого быстронастраиваемого сайта?
| | |
| |
| 4.18, дохтурЛол (?), 16:13, 18/01/2020 [^] [^^] [^^^] [ответить]
| +7 +/– | |
ничего, эти тупоголовые болтуны умеют только болтать фразами, которые бездумно переняли от других.
вордпресс - отличная открытая платформа, одна из лучших.
плагины к нему - нельзя как-то общо оценить, потому что качество каждого отдельного из них надо рассматривать отдельно.
есть куча прекарсных бесплатных плагинов под вордпресс с качественным кодом, есть ещё большая куча бесплатных плагинов с некачественным кодом, а есть ещё куча платных плагинов, но про них не могу ничего сказать, т.к. ни разу не пользовался.
популярность софта - это очень важный показатель, который очень высоко влияет на качество софта, особенно актуально для софта с открытым кодом и для категорий софта, где есть альтернативы.
альтенатив вордпрессу немного, в общем-то ~4:
1. opencart - сильно менее популярен чем wp;
2. битрикс - не знаю особо про него, но используется в основном на территории бывшего СССР;
3. magenta - это уже не подходит малому бизнесу, это уже сразу для среднего и крупного;
4. кастомные сайты, т.е. писать всё своё, с нуля - дорого, долго, недоступно для малого бизнеса.
| | |
| |
| 5.37, Антон (??), 21:22, 18/01/2020 [^] [^^] [^^^] [ответить]
| +3 +/– |
так opencart и magenta это магазины, а битрикс это кучка говнокода на понтах чтобы впаривать его богатым заказчикам. Хлеб быдловебстудий.
Альтернатив вордпрессу в вашем списке нет, хотя они безусловно существуют в огромном количестве. october cms всякие.
Но популярность - да, это решает.
| | |
| 5.39, Аноним (39), 23:34, 18/01/2020 [^] [^^] [^^^] [ответить]
| –2 +/– |
О, так ты тот самый тяпляпыч и в продакшн. Приятно познакомится.
| | |
|
| 4.19, Аноним (19), 16:46, 18/01/2020 [^] [^^] [^^^] [ответить]
| +4 +/– |
Хостинг на Тильде же! Трясущейся от страха, готовой закрыть проекты за секунду, зато не вордпресс!
| | |
| |
| 5.36, Антон (??), 21:20, 18/01/2020 [^] [^^] [^^^] [ответить]
| +/– |
ок. запомню называние, если в жизни представится случай посмотрю.
| | |
| |
| 6.41, Bx_ (?), 23:53, 18/01/2020 [^] [^^] [^^^] [ответить]
| –1 +/– |
Надо бы HR'ам нашим сказать, Антонов ни в коем случае не брать.
| | |
| |
| 7.55, Антон (??), 16:03, 21/01/2020 [^] [^^] [^^^] [ответить]
| +/– |
Я не специализируюсь на cms на пыхе (боже упоси), просто хочу быть в курсе как мимопроходил.
| | |
|
|
|
| 4.23, Аноним (23), 17:52, 18/01/2020 [^] [^^] [^^^] [ответить]
| –1 +/– |
static html. базовый набор тегов - их там максимум десяток будет - освоит любой, кто не пытается нажимать кнопку мыши в ответ на "press any key".
| | |
| |
| 5.35, Антон (??), 21:19, 18/01/2020 [^] [^^] [^^^] [ответить]
| +/– |
это все здорово, а потом нужно отдать это пользователю для редактирования.
Я не зарабатываю этим на жизнь, но пару-тройку-десяток раз делал сайты для знакомых, на вордпрессе было довольно быстро, единственное что лень было изучать доку чтобы выбросить из шаблона лишнее.
Раньше cmsmadesimple использовал, но оно сдохло.
| | |
|
|
|
| 2.24, user90 (?), 18:23, 18/01/2020 [^] [^^] [^^^] [ответить]
| –1 +/– |
"высококвалифицированный PHP-программист" ;) Такие ваще где-то есть? Это возможно?
| | |
| |
| 3.28, KonstantinB (??), 19:10, 18/01/2020 [^] [^^] [^^^] [ответить]
| +1 +/– |
А что помешает высококвалифицированному программисту писать на PHP при необходимости? Другое дело, что это будет не PHP-программист, а просто программист.
| | |
| |
| 4.42, Bx_ (?), 00:12, 19/01/2020 [^] [^^] [^^^] [ответить]
| +/– |
Хех, я даже одного такого знаю. Я когда увидел в кроне php, мягко говоря удивился, ан нет - "мне так удобно". И, ведь, б!"№;%:, я бы лучше не сделал.
| | |
| 4.54, Урри (?), 16:20, 20/01/2020 [^] [^^] [^^^] [ответить]
| +/– |
Наверное то же самое, что высококвалифицированному комбайнеру использовать газонокосилку?
| | |
|
|
|
| |
| |
| |
| |
| 5.20, Аноним (11), 16:47, 18/01/2020 [^] [^^] [^^^] [ответить]
| +/– |
Нет. Антифича и так несёт достаточно негативный оттенок. Негативнееттолько прямо сказать "бекдор".
| | |
|
|
|
|
| |
| 2.14, Аноним (16), 16:02, 18/01/2020 [^] [^^] [^^^] [ответить]
| +/– | |
там есть конструктор сайтов или крутые темы? нет - ну закопайте тогда
я для безопасности придумали JAM stack, который уже давно используют (https://jamstack.wtf/)
в том числе и для wordpress headless
| | |
| |
| 3.44, пох. (?), 01:42, 19/01/2020 [^] [^^] [^^^] [ответить]
| +/– | |
нет, там есть нескучный апи, который ты можешь изучать следующие пол-жизни.
Ну или готовые поделки НА этом фреймворке - теперь еще пол-жизни ты можешь изучать отдельный апи самой поделки.
| | |
|
| 2.29, KonstantinB (??), 19:18, 18/01/2020 [^] [^^] [^^^] [ответить]
| +2 +/– | |
Вордпресс хоть и ужасен внутри, но по набору плагинов ничего близкого нет.
Проще поставить вордпресс и дать его копирайтерам с сеошниками, чем заниматься написанием всякой контентно-сеошной ерунды вместо занятия важными вещами.
Вопрос безопасности решается, на самом деле, довольно просто: для пейсателей поднимается контейнер, который напрямую не торчит в интернет, а в продакшен идет readonly-копия контейнера, который изолирован от остальных частей проекта и ограничен в правах по самое мяу. Синхронизируется по крону или кнопочке.
| | |
| |
| |
| 4.43, Bx_ (?), 00:22, 19/01/2020 [^] [^^] [^^^] [ответить]
| +2 +/– |
Ну-ну. Реализацию можно увидеть? Что-то я Антонов ...
| | |
|
|
|
| 1.10, nelson (??), 14:34, 18/01/2020 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
 если уж что - то и писать на пыхе, то, хотя бы, на основе компонентов какого-нибудь Symfony, но WP - это вообще за гранью добра и зла
| | |
| 1.13, Аноним (16), 15:58, 18/01/2020 [ответить] [﹢﹢﹢] [ · · · ]
| +2 +/– |
WP2Static -> CDN или хостинг статических файлов - и не волнуют меня ваши уязвимости, ломайте html сколько влезет
| | |
| 1.25, Я (??), 18:54, 18/01/2020 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
Вот и глянем как боты будут сканить нмших клиентов на эти дыры.
Потом, если будет что, отпишусь.
| | |
| 1.30, Аноним (-), 19:23, 18/01/2020 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
Походу дыры в плагинах вордпресса - мировая константа, типа скорости света, чтоли. Годы шли а дыры в плагинах вормпресса - вот они.
| | |
| 1.46, iCat (ok), 09:38, 19/01/2020 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
 1. "Говнокод" можно состряпать любым способом. Даже напрямую бинарный гавнокод.
2. Ошибки в любом коде возможны независимо от ЯП и опыта программиста.
3. Количество обнаруженных ошибок почти никогда не равно количеству ошибок вообще. И зависит это в большей степени от распространённости исходников, чем от ЯП и опыта программистов.
| | |
| |
| 2.49, пох. (?), 07:16, 20/01/2020 [^] [^^] [^^^] [ответить]
| –1 +/– | |
какая, говорите, версия TeX нынче последняя?
Не зависит от опыта, говорите?
| | |
| |
| 3.50, iCat (ok), 10:34, 20/01/2020 [^] [^^] [^^^] [ответить]
| –1 +/– |
> какая, говорите, версия TeX нынче последняя?
> Не зависит от опыта, говорите?
Ты готов утверждать о том, что в TeX нет ошибок?
| | |
| |
| 4.52, пох. (?), 14:31, 20/01/2020 [^] [^^] [^^^] [ответить]
| –1 +/– | |
поинтересуйтесь на досуге, как устроена у него нумерация версий (у one-true-tex, а не адаптированных для бубунточки форков, разумеется). А потом, когда узнаете кое-что новое для себя, подумайте еще разок, что я пытался до вас донести.
| | |
|
|
|
|
