Vlákno názorů k článku Čistění napadeného WordPressu: jak jsem hledal a vyhodil útočníka z webu od Humanoid č. 1264054 - poruchový - V PHP aplikacích se přetlačují dva způsoby přístupu....
-
Humanoid č. 1264054 - poruchovýBronzový podporovatelV PHP aplikacích se přetlačují dva způsoby přístupu. Jeden peferují laici a začátečníci - instalace přes webové rozhraní na jedno kliknutí. Druhý pochopitelně lidi, co chtějí aplikaci mít bezpečnou - příkazová řádka, GIT, composer, striktně omezená práva zápisu.
Bohužel rozhoduje cena. Hosting se nebude obtěžovat příkazovou řádkou, GITem, composerem za 50Kč/měsíc. Prakticky vzato to je umožněno až na úrovni VPS, což je o řád jinde...
-
ale i na běžném hostingu lze dělat bezpečné aplikace a používat WP, jen je k tomu potřeba třetí strana, která ten průvodce spustí, ať už aplikace na stanici, z které to instaluji nebo u nějaké třetí strany, ta se připojit na ftp (bohužel pořád frčí) a WP tam nahraje, stejně tak by probíhala i aktualizace.
Chápu, služba/aplikace navíc a stejně tak starosti navíc, ale pak mi nevadí hosting za 50 kč.
-
Tady si člověk moc nevybere - možnost vykonávat systémové příkazy uživatele se může dost vymstit. WordPress instalátor aktuálně také představuje pomerně značné riziko: https://smitka.me/2022/07/01/wordpress-installer-attack-race/
Pro uživatele je dnes nejlepší one click instalace od hostingu, ale musí být dobře udělaná. Potkal jsem se už několikrát s tím, že rovnou zanesla do WP další bezpečnostní problémy... Pro administrátora je naopak nejlepší používat WP-CLI.
