Wordpress решето

Никогда такого не было, и вот опять.

Не ясно кто на ком стоял. Сначала попёрли плагин из-за копирайта, а потом в нём нашли, уже существовавший ранее, код качающий бэкдор?

Мухаха, лайвхак:

Cойза скупает плагины для WordPress и внедряет в них бэкдоры, которые использует для перенаправления пользователей на спам-сайты,

Что за плагин то?

Wordpress решето

Здравствуйте, кэп.

Забавно было, как однажды сайт на вордпрессе брутили через xmlrpc (если правильно помню, это для мобильного приложения файл).

Вордпресс всегда был дырявым тяжелым говном.

Что смищно, из коробки без хаков этот xmlrpc хер отключишь, нужно лезть в сорцы/в конфиги сервера.

А при чём тут WP, это сторонний плагин.

Снести файл, нет?

опиши подробней, интересно обсудить.

This code triggers an automatic update process that downloads a ZIP file from https://simplywordpress[dot]net/captcha/captcha_pro_update.php, then extracts and installs itself over the copy of the Captcha plugin running on site.

Святые щи. Это, что, нормальное дело для плагинов?

Кидаться какахами в какой-то левый плагин не интересно, кидаться какахами в сам WP гораздо интереснее

Коммерческие плагины и темы (особенно темы) в WP вообще часто вызывают фэйспалм своей архитектурой.
По хорошему надо надо что-то делать с аудитом плагинов силами сообщества (нечто более осмысленное чем расстановка оценок по пятибалльной)

По хорошему надо надо что-то делать с аудитом плагинов силами сообщества (нечто более осмысленное чем расстановка оценок по пятибалльной)

Это утопия. Начать стоит с безопасного API плагинов и системы разрешений, при которой вот просто так взять и скачать хер пойми откуда ничем не подписанный бинарь, распаковать его на сервере и выполнить оттуда произвольный код будет нельзя при всём желании.

Коммерческие плагины и темы (особенно темы) в WP вообще часто вызывают фэйспалм своей архитектурой.

Есть такое.

Начать стоит с безопасного API плагинов и системы разрешений, при которой вот просто так взять и скачать хер пойми откуда ничем не подписанный бинарь, распаковать его на сервере и выполнить оттуда произвольный код будет нельзя при всём желании.

Ну был бы он подписанный и что? В google play тоже периодически всплывают какие-то мутные приложения. Одна недавняя история с Whatsapp чего стоит.

Подозреваю что в php реализовать такое невозможно в принципе, единственный вариант изоляции приложений там это разные процессы запущенные от разных пользователей (что никаким боком не укладывается в архитектуру похапэшного веб-приложения). Разве-что написать на php виртуальную машину для выполнения php (или любого другого языка)…

Ну был бы он подписанный и что?

Вы забыли про остальные пункты. А подписаны должны быть, конечно же, сами плагины.

Опыт гуглоплэя показывает что и соблюдения всех перечисленных пунктов недостаточно для того чтобы можно было жрать абы что из софтопомойки (основной сценарий использования для гуглоплея, репозитория плагинов WP и прочих подобных «сторов»)

Ну вот не скажите. Если приложение запрашивает неочевидные разрешения, я его, скорее всего, ставить не буду. Плюс, есть пути обрезать лишние права средствами ОС. С WP же сейчас единственный способ распознать подвох - это внимательное чтение исходника плагина.

И тем не менее вопли вроде «фанарик обчистил мой банковский счёт» раздаются регулярно. В любом случае надо либо поддерживать чистоту в репозитории, либо смотреть что тянешь в рот. Конечно система пермешенов упрощает второй вариант, но:
1) Очевидно это всё равно не решает проблему
2) В данном случае это просто не реализуемо

И тем не менее вопли вроде «фанарик обчистил мой банковский счёт» раздаются регулярно.

Ну это же классическое подтверждение теории Эйнштейна о двух бесконечностях. А вот нормальным людям бояться теперь почти нечего.

Конечно система пермешенов упрощает второй вариант, но: 1) Очевидно это всё равно не решает проблему 2) В данном случае это просто не реализуемо

Это решает 95% проблемы и куда более реализуемо, чем ручное вычитывание каждой строки кода каждого плагина.

куда более реализуемо

Как например?

Как например?

Ну чисто теоретически это возможно, если плагины запускаются как отдельные процессы и взаимодействуют через IPC.

…и от другого пользователя.
Как-то это не очень вяжется с архитектурой PHP-вебни, тебе не кажется?

А при чём тут WP, это сторонний плагин.

Притом, что рядовой WP почти целиком слеплен из этого говна. В противном случае он ни для чего не годен.

Это утопия. Начать стоит с безопасного API плагинов и системы разрешений, при которой вот просто так взять и скачать хер пойми откуда ничем не подписанный бинарь, распаковать его на сервере и выполнить оттуда произвольный код будет нельзя при всём желании.

Это - не меньшая утопия.

Хотя что тут обсуждать

Таки да. WP говно, все кто что-то делают на нём - муд беспечные люди.
/thread

Как-то это не очень вяжется с архитектурой PHP-вебни, тебе не кажется?

Нет, не кажется. Но примеров такого, чтобы не самописное, а именно из коробки, я не знаю, и не только на php (язык тут ни при чём).

рядовой WP почти целиком слеплен из этого говна

рядовой %whatever% почти целиком слеплен из этого говна

рядовой %whatever% почти целиком слеплен из этого говна

Ну, не скажи. Тот же opencart в основном доделывается напильником + пара плагинов сорцы которых можно смотреть без ide. С wp всё не так.

Ну-ну. Эдак ты скоро изобретёшь микросервисную архитектуру

Нет, конечно реализовать то о чём ты говоришь на PHP можно, вот только это будет весьма инфернальный кадавр

Так себе сравнение. OC — это магазин, а такой функционал для WP нужно ставить плагином, разумеется код этого плагина будет ни разу не простой, а примерно такой, как весь opencart.

WP тоже можно доделывать напильником, вместо обмазывания плагинами. Единственное что мешает это делать — наличие кучи готовых плагинов. Но едва-ли наличие альтернативы напильнику стоит ставить в укор WP

Так себе сравнение.

Ну если под «что угодно» понимать всякий кал сделанный по принципу WP, то да, без разницы. Если помойку развести можно, то её разведут.

WP тоже можно доделывать напильником, вместо обмазывания плагинами.

Только там придется брать сразу болгарку, фрезер и токарный.

Единственное что мешает это делать

И еще кривая архаичная архитектура, вместо няшного MVC.

Эдак ты скоро изобретёшь микросервисную архитектуру

Это она и есть.

то о чём ты говоришь на PHP можно, вот только это будет весьма инфернальный кадавр

Что в нём инфернального? Даже если не рассматривать всякие PHPReact, а обычный пых в формате запрос-ответ, то можно запускать сначала ядро, которое запускает отдельные сервисы и работает с ними через pub/sub. Да, это тормоза, но безопасно - за всё надо платить.

С wp всё не так.

Конечно не так, для wp есть херова туча плагинов на все случаи жизни, так что до напильника обычно руки не доходят.

opencart в основном доделывается напильником

Для этого нужен человек владеющий инструментом. Мне так кажется, что при наличии такого человека всё-таки проще и быстрее провести аудит имеющегося кода и выбрать адекватные готовые плагины, а не заводить велосипед.

Только там придется брать сразу болгарку, фрезер и токарный.

Если делать из бложика интернет-магазин — да, для чего-то менее радикального хватает напильника. Зачастую проще и быстрее написать свой плагин на десяток другой строк, чем перебирать кучу вроде-как-подходящих в поисках действительно подходящего

И еще кривая архаичная архитектура, вместо няшного MVC.

Это да

кривая архаичная архитектура, вместо няшного MVC.

Я тебе открою секрет, WP это MVC + pub/sub на события.

Это да

Не соглашусь. Модели есть? Есть WP_Post. Вьюхи есть? Есть, шаблоны темы, шаблоны в плагинах. Контроллер замысловатый и размазан по коду, но очевидно тоже присутствует. Внутри плагинов вообще каждый дрочит как он хочет, хоть сторонний фреймворк целиком тащи.

Для изоляции модулей их придётся запускать от отдельных пользователей, значит понадобится либо запускать мастер-процесс от рута, либо настраивать sudo. В этом разрезе мне всё менее понятно зачем тут PHP и при-чём тут вордпресс. Бери python/node/rust/go и пиши на нём свою инновационную CMS. Зачем насиловать PHP, если вписаться в готовую нишу WP всё-равно не выйдет?

что при наличии такого человека всё-таки проще и быстрее провести аудит имеющегося кода и выбрать адекватные готовые плагины

Нееее. Там кода много, а функционала надо 2%. Про unix-way одна половина не слышала, вторая плюётся. В ОС если надо добавить какую-то форму обратной связи, например, элементарно в шаблон приделывается форма, в контроллер приделывается для неё метод. В wp ставится левый free-trial плагин с кучей ненужного функционала ради 1.5 фичи. Конечно, можно сделать также, но зачем, если есть хренова туча дырявых контрацеп плагинов.

адекватные готовые плагины
адекватные
WP

Ну ты понял.

так что до напильника обычно руки не доходят

Хренова туча плагинов пилится непонятно кем, непонятно как и непонятно зачем. И когда какой-то из них вдруг не покрывает новых требований начинается головняк. При этом для одних только контактных форм я знаю как минимум 3 плагина и все они работают по разному, так что простая задача типа повешать js код на submit становится нетривиальной и, в разной степени, геморрной. А вот с самописными одностраничниками, напротив, никаких проблем нет, как раз благодаря их архитектурной простоте. А что говорить про всякие разношерстные магазины и прочую муть.

Я тебе открою секрет, WP это MVC + pub/sub на события.

И сраная процедурщина еще с бородатых времён.

Для изоляции модулей их придётся запускать от отдельных пользователей

Зачем? Для целей ограничения доступа из пыха, достаточно просто в отдельном процессе того же пользователя.

либо запускать мастер-процесс от рута, либо настраивать sudo

Если уж так хочется, то можно просто suid-bit, или например, запускать в каком-нибудь сэндбоксе.

Бери python/node/rust/go и пиши на нём свою инновационную CMS

А чем они лучше PHP? Особенно для написания CMS.

и пиши на нём свою инновационную CMS

Спасибо, но мне WP вполне хватает, когда нужна готовая CMS. И как-то удивительно, ни разу ничего не сломали. Может просто нужно иметь руки из правильного места?

элементарно в шаблон приделывается форма, в контроллер приделывается для неё метод

Ты удивишься, но в WP также, причём даже не нужно будет лезть в шаблон и контроллер, а подписаться на хуки в шаблоне и в обработке запроса.

Ты удивишься, но в WP также

Да хоть где можно сделать также. Вопрос в практике применения. Для ОС такое - норма, для wp - нет. И если стоит вопрос поправить форму на ОС, то это обычно значит поправить шаблон. А если wp - то это какой-то плагин с формами. Исключения быть могут, но редкие.

Для ОС такое - норма, для wp - нет.

Для разработчика такое - норма, для домохозяйки - нет. /fixed

Ну и да, в OC просто нет альтернативы же. Улыбаемся и машем пилим.

Ну и да, в OC просто нет альтернативы же. Улыбаемся и машем пилим.

Оно к лучшему, как выясняется.

Кому-то и OC не нравится, говорят лучше своё на фреймворке пилить. Есть и совсем отмороженные, которые полностью самодельные велосипеды тянут. Это философский вопрос, что лучше.

Зачем? Для целей ограничения доступа из пыха, достаточно просто в отдельном процессе того же пользователя.

Так ты защитишь разве-что память мастер-процесса, да и то не уверен (вроде процесс может читать память других процессов принадлежащих тому же пользователю).

А чем они лучше PHP? Особенно для написания CMS.

Тем что не фрактал.

Может просто нужно иметь руки из правильного места?

Скажешь тоже. Может тебе ещё и пароль != qwerty подавай?