Názory k článku
WordPress 4.9.3 má rozbité automatické aktualizace, novou verzi musíte nainstalovat ručně
-
Ano, to byl tento problém https://lynt.cz/blog/masivni-unorova-infekce-wordpress-webu-2017, díky kterému bylo možné vložit do webu vlastní prostý text. A víte o dalších? Já za problém považuji například toto https://lynt.cz/blog/wordpress-a-cve-2017-8295-rozbor, ale okolí s tím příliš nesouhlasí. Naopak mezi opravdu závažné nepovažuji ty problémy, které vyžadují přístup do administrace a těch je většina - samozřejmě by tyto chyby neměly existovat, ale jsou bohužel běžné i v mnoha systémech na míru a díky potřebě autentifikace je jejich zneužití mnohem méně pravděpodobné. Je také potřeba si uvědomit, že mnoho webů obecně bylo hacknuto kvůli slabému/znovupoužitému heslu. Díky velkému poměru WP webů tak v absolutních číslech ve statistikách WP weby samozřejmě propadají - na žádném jiném systému zdaleka tolik webů neběží.
-
To je naprosto nepodložené tvrzení. Záleží pouze na tom, kdo se o něj stará a jak se stará. Je mnoho odfláklých WP webů, kde tvůrci bezmyšlenkovitě naklikali tunu pochybných pluginů. Na druhé straně je spousty kvalitních stránek, které na bezpečnost dbají. WP je pod neustálým hromadným bezpečnostním testováním, které jiné systémy nikdy nezažijí. Občas něco uteče, ale to se prostě stává. WP bohužel platí velkou daň za snahu o velkou zpětnou kompatibilitu, stále bude fungovat velká část kódů přes 10 let starých.
-
Občas něco uteče, ale to se prostě stává. WP bohužel platí velkou daň za snahu o velkou zpětnou kompatibilitu, stále bude fungovat velká část kódů přes 10 let starých.
Ano, ale to je vysvětlení, ne omluva. Pokud programuji systém, který používají miliony lidí, musím bezpečnost posunout o jeden nebo dva řády výš.
Dalším problémem WordPressu je to, že on vysloveně cílí na skupinu, kterou oslovuje svojí cenou (= zadarmo). Tato skupina zákazníků není ochotna přijmout to, že o web je nutno se starat a za údržbu platit.
Podceňování bezpečnosti (ať už je na vině systém pluginů, nebo zpětná kompatibilita, nebo cokoliv jiného), a zacílení na skupinu, která do údržby nepustí chlup, vede ke katastrofickému výsledku.
Bezpečnostní problémy mají i instalace, o které se někdo stará. Díky popularitě WP jsou velkým problémem 0day hrozby a díry v pluginech. A WP by bez pluginů nebyl pro nikoho zajímavý. U 0day hrozeb je to jen o loterii, jestli zrovna Váš web napadnou, nebo jestli proběhne dřív automatická aktualizace.
-
null null (neregistrovaný)
No já nevím. Tak třeba MS je tvrdě placená firma, přestože svými produkty cílí i na to tvoje "(= zadarmo)" a přesto jak by se zdálo, tak problémy veškeré škály se této na rozdíl WPsářů také nevyhýbají ... Nemá sice pluginy, za to se dají instalovat komerční i nekomerční aplikace stejně lehce jako ty pluginy do WP a neřekl bych, že bordel je v tom menší, přestože se jedná o SW giganta.
I to zmniňované Adobe, platí se za to až člověk pomalu brečí a že by bylo bezděré, to bych neřekl.
Možná se budeš divit, ale dokonce jsem viděl systém outdated placenou Oracle Databázi kde to došlo tak daleko, že dokonce vypršela platnost licence, db se blokla a ani tam nebyl nikdo, kdo by si toho všiml, ne tak že by to udržoval, firma nainstalovala a odešla. A systém měl být funkční, akorát už si jaksi nesjednali údržbu. Radši ani nebudu psát kde to bylo, ale zadarmo se tam rozhodně nic nedělo, spíš evidentně naopak ...A kde je pak "cílí na skupinu, kterou oslovuje svojí cenou (= zadarmo)" ?
-
. . (neregistrovaný)
by mě zajímalo jak se ve WP pozná pochybný plugin a podle čeho vybírat?
Aplikace, která se přepisuje sama z internetu, která si může stahovat z internetu co uzná za vhodné, která na vše má jednoho db uživatele a která nelze nějak rozumně monitorovat přeci nemůže být bezpečná už z principu.
Nemluvě o dost složitém auditu či obtížné kontrole integrity.
S hromadným bezpečnostním testováním souhlasím, potvrzují to tuny logů každý den :)
-
Tak na to je několik obecných zásad, které ale samozřejmě nejsou 100%. Nejlepší je samozřejmě plugin nemít - je třeba velká část pluginů, které jen suplují několik řáde kódu a přidávají jim uživatelské rozhraní atd. Dalším pravidlem je používat oficiální zdroje - když jde plugin do oficiálního repozitáře, tak musí nejprve projít ruční kontrolou, kde ho reviewer alespoň zběžně zkontroluje, zda v něm nejsou nějaké evidentní chyby (po schválení se další releasy nekontrolují). Pokud plugin stahuji z nějakých pochybných stránek (což je případe především placených pluginů), tak samozřejmě hodně riskuji. Je dobré koukat na to, kolik ostatních lidí plugin používá, jaké má hodnocení, jak vývojáři reagují na problémy, jak se často updatuje. Také je fajn se kouknout zda v něm již nebyly v minulosti nějaké bezpečnostní chyby a pokud ano, tak jak aktivně byly řešeny - pokud je tam za poslední půl rok už třetí XSS, tak to asi nebude nejlepší plugin. Je také dobré nakouknout do zdrojáku, zda kód vypadá rozumně - jsou tam komentáře, je rozumně formátovaný,... a také zkontrolovat okolní PHP soubory, zda jsou to nejsou nechtěné vstupní body, které lze vykonávat samostatně (že to není třída). To vše udělá nějaký obrázek o kvalitně pluginu, který samozřejmě realitě odpovídat úplně nemusí.
-
MMN (neregistrovaný)
Automatické aktualisace Wordpressu, tj. možnost spouštěných php skriptů upravovat spouštěné php skripty, je jedna z největších bezpečnostních děr ve Wordpressu. Základem bezpečného provozu WordPressu je nastavit práva tak, aby mohl sahat jen na svou databázi a do několika datových adresářů, nikdy ne na skripty samotné!
-
mirekk (neregistrovaný)
Tak ono lze velmi jednoduše a to přepsáním TRUE na FALSE v jednom jediném řádku v config.php automatické aktualizace zakázat. Když tomu tak rozumíte, jistě o této možnosti víte. Já jsem samouk a už dražbě let je mám zakázané a aktualizuju ručně. Už kvůli kompatibiltě nových verzí se šablonou či pluginy.
Při vydání velké aktualizace si počkám na první opravnou a teprv tu pak instaluju. -
minimalni != 0. Ve slusne spolecnosti nema auto-update co pohledavat (prestoze to Dries tlaci pitome i do Drupalu :-( kdyz uz mam byt objektivni ). Webserver nema ze zasady mit write pristup na webserver (krom slozky pro user upload kde to, ale zase nema byt spoustene pres php) protoze je to proste bezpecnostni riziko. Pokud udelam dobry plugin pro WP a pak do nej jednoho dne soupnu backdoor tak ziskam pomerne rychle dost serveru - a to se realne stalo nedavno. Patch muzu chtit mit aplikovan co nejdriv, ale nesmi se tak stat bez predchoziho spusteni testu!
-
Za mě osobně je zatím minimální == 0, nikdy jsem se nesetkal se situací, kdy minor patch web poškodil a to WP webů udržuji opravdu hodně. Lze namítnout, že zrovna patch 4.9.3 něco rozbil, nicméně to nemá dopad na funkčnost webu.
S tím, že by webserver neměl mít write mimo vybrané složky absolutně souhlasím. Nicméně to by bylo možné pouze v ideálním světě, kde by bylo k dispozici o několik řádů více vývojářů a sysadminů. Vycházím z léty prověřeného faktu, že lidé jsou líní na to, aby se o web pečlivě starali a peníze za profi služby také dát nechtějí/nemohou. Díky tomu tak dnes stále nalezneme ohromné množství webů, kde je třeba stále RCE zranitelnost v PHP maileru a může to být i tím, že prostě nikdo neřekl composeru, že má použít novější verzi (nejsem si jistý na co narážela zmínka o composeru v předchozím příspěvku).
WP core team samozřejmě nevydá nic bez patřičného otestování, ale chápu, že neexistuje test na úplně všechny případy. Jak je z diskuzí patrné, tak někomu update proběhl, je tak možné, že se to projevuje jen ve specifických situacích (zkoumat to ještě podrobněji budu).
S vložením backdooru do populárního pluginu je to samozřejmě také pravda, nicméně to je obecný problém, děje se to s aplikacemi pro mobilní telefony, rozšířeními do prohlížečů a buh ví, kde ještě. Stejně tak se může třeba Mozilla rozhodnout, že začne Firefoxem těžit u uživatelů kryptoměny...
V důsledku bych byl osobně mnohem raději, za rozbitý web (což je věc, která lze vcelku jednoduše detekovat), než za web s bezpečnostní dírou, kde útoční tiše vykrádá uživatelské účty nebo dělá jiné ošklivé věci.
-
zminka o composeru byla protoze tenhle auto-update mi bud da projekt do stavu kdy nesedi composer.lock s tim co je skutecne nainstalovane, nebo ho dokaze updatnout a pak mi nesedi to co je na webu s tim co je na git serveru.
wp core team muze testovat co chce, ale integracni testy resi primo muj projekt.
-
Ano, s tím souhlasím, to je problém a narušuje to zaběhlá vývojářská workflows. V tomto konkrétním je vhodné si vše řídit sám - na to je WP dokonce připraven a když kolem sebe vidí složku .git (nebo jiné VCS složky), tak automatické updaty sám vypne.
Já osobně jsem zvyklý na postup, kdy je web složen z několika repozitářů - šablona má svůj, pokud dopisuji nějaké pluginy, tak každý plugin je také ve vlastním repozitáři. Neberu WP jako "závislost", ale jako "běhové prostředí".
-
volani.tk (neregistrovaný)
Me by zajimal nejaky pohodlny klikaci system na web o ktery se nemusim starat.
Driv jsem pouzival sluzbu webnode v kombinaci s blueboard sluzbami pres API ktere pldporovali a hromadou sluzeb, kterymi jsem webnode vylepsoval. Ale postupne se ve webnode zhorsovali abubivali funkce abruzne "hacky" ktere jsem vyuzival. Talze stare weby mam jeste webnode.nelibi se mi ze to neni svobodny softwareAle nenasel jsem alternativu.
Na neco se mi libilo phpBB, ale ma to pracnou udrzbu, zvlast pri upravene a zmenene sablone vzhledu.
Ale celkove nutnost delat rucni a pracne updaty...Jete uvazuju ze bych pouzival staticke weby a editor jako NVU nebo kompozer.. Kde se da kombinovat klikaci mod s rucni upravou html a neco se u toho priucit nenasilne..
Jde mi predevsim o rychlost a snadnost a mit nainstalovany program je precijen omezeni..Uvazuji i o prechod na Diasporu* ale diaspora ma prilis omezene moznosti, treba co se tyce vkladani vlastnich reklam, nebo socialnich funkci (vyhedat stitky pouze konkretniho uzivatele).
Wordpress mi pripada docela fajn, ale neni to porad uplne ono :)
ČLÁNKY DO MAILU