Vlákno názorů k článku
WordPress 4.9.3 má rozbité automatické aktualizace, novou verzi musíte nainstalovat ručně
od kofola - Hele, kdo znáte něco víc rozbitého a méně...
-
Ano, to byl tento problém https://lynt.cz/blog/masivni-unorova-infekce-wordpress-webu-2017, díky kterému bylo možné vložit do webu vlastní prostý text. A víte o dalších? Já za problém považuji například toto https://lynt.cz/blog/wordpress-a-cve-2017-8295-rozbor, ale okolí s tím příliš nesouhlasí. Naopak mezi opravdu závažné nepovažuji ty problémy, které vyžadují přístup do administrace a těch je většina - samozřejmě by tyto chyby neměly existovat, ale jsou bohužel běžné i v mnoha systémech na míru a díky potřebě autentifikace je jejich zneužití mnohem méně pravděpodobné. Je také potřeba si uvědomit, že mnoho webů obecně bylo hacknuto kvůli slabému/znovupoužitému heslu. Díky velkému poměru WP webů tak v absolutních číslech ve statistikách WP weby samozřejmě propadají - na žádném jiném systému zdaleka tolik webů neběží.
-
To je naprosto nepodložené tvrzení. Záleží pouze na tom, kdo se o něj stará a jak se stará. Je mnoho odfláklých WP webů, kde tvůrci bezmyšlenkovitě naklikali tunu pochybných pluginů. Na druhé straně je spousty kvalitních stránek, které na bezpečnost dbají. WP je pod neustálým hromadným bezpečnostním testováním, které jiné systémy nikdy nezažijí. Občas něco uteče, ale to se prostě stává. WP bohužel platí velkou daň za snahu o velkou zpětnou kompatibilitu, stále bude fungovat velká část kódů přes 10 let starých.
-
Občas něco uteče, ale to se prostě stává. WP bohužel platí velkou daň za snahu o velkou zpětnou kompatibilitu, stále bude fungovat velká část kódů přes 10 let starých.
Ano, ale to je vysvětlení, ne omluva. Pokud programuji systém, který používají miliony lidí, musím bezpečnost posunout o jeden nebo dva řády výš.
Dalším problémem WordPressu je to, že on vysloveně cílí na skupinu, kterou oslovuje svojí cenou (= zadarmo). Tato skupina zákazníků není ochotna přijmout to, že o web je nutno se starat a za údržbu platit.
Podceňování bezpečnosti (ať už je na vině systém pluginů, nebo zpětná kompatibilita, nebo cokoliv jiného), a zacílení na skupinu, která do údržby nepustí chlup, vede ke katastrofickému výsledku.
Bezpečnostní problémy mají i instalace, o které se někdo stará. Díky popularitě WP jsou velkým problémem 0day hrozby a díry v pluginech. A WP by bez pluginů nebyl pro nikoho zajímavý. U 0day hrozeb je to jen o loterii, jestli zrovna Váš web napadnou, nebo jestli proběhne dřív automatická aktualizace.
-
null null (neregistrovaný)
No já nevím. Tak třeba MS je tvrdě placená firma, přestože svými produkty cílí i na to tvoje "(= zadarmo)" a přesto jak by se zdálo, tak problémy veškeré škály se této na rozdíl WPsářů také nevyhýbají ... Nemá sice pluginy, za to se dají instalovat komerční i nekomerční aplikace stejně lehce jako ty pluginy do WP a neřekl bych, že bordel je v tom menší, přestože se jedná o SW giganta.
I to zmniňované Adobe, platí se za to až člověk pomalu brečí a že by bylo bezděré, to bych neřekl.
Možná se budeš divit, ale dokonce jsem viděl systém outdated placenou Oracle Databázi kde to došlo tak daleko, že dokonce vypršela platnost licence, db se blokla a ani tam nebyl nikdo, kdo by si toho všiml, ne tak že by to udržoval, firma nainstalovala a odešla. A systém měl být funkční, akorát už si jaksi nesjednali údržbu. Radši ani nebudu psát kde to bylo, ale zadarmo se tam rozhodně nic nedělo, spíš evidentně naopak ...A kde je pak "cílí na skupinu, kterou oslovuje svojí cenou (= zadarmo)" ?
-
. . (neregistrovaný)
by mě zajímalo jak se ve WP pozná pochybný plugin a podle čeho vybírat?
Aplikace, která se přepisuje sama z internetu, která si může stahovat z internetu co uzná za vhodné, která na vše má jednoho db uživatele a která nelze nějak rozumně monitorovat přeci nemůže být bezpečná už z principu.
Nemluvě o dost složitém auditu či obtížné kontrole integrity.
S hromadným bezpečnostním testováním souhlasím, potvrzují to tuny logů každý den :)
-
Tak na to je několik obecných zásad, které ale samozřejmě nejsou 100%. Nejlepší je samozřejmě plugin nemít - je třeba velká část pluginů, které jen suplují několik řáde kódu a přidávají jim uživatelské rozhraní atd. Dalším pravidlem je používat oficiální zdroje - když jde plugin do oficiálního repozitáře, tak musí nejprve projít ruční kontrolou, kde ho reviewer alespoň zběžně zkontroluje, zda v něm nejsou nějaké evidentní chyby (po schválení se další releasy nekontrolují). Pokud plugin stahuji z nějakých pochybných stránek (což je případe především placených pluginů), tak samozřejmě hodně riskuji. Je dobré koukat na to, kolik ostatních lidí plugin používá, jaké má hodnocení, jak vývojáři reagují na problémy, jak se často updatuje. Také je fajn se kouknout zda v něm již nebyly v minulosti nějaké bezpečnostní chyby a pokud ano, tak jak aktivně byly řešeny - pokud je tam za poslední půl rok už třetí XSS, tak to asi nebude nejlepší plugin. Je také dobré nakouknout do zdrojáku, zda kód vypadá rozumně - jsou tam komentáře, je rozumně formátovaný,... a také zkontrolovat okolní PHP soubory, zda jsou to nejsou nechtěné vstupní body, které lze vykonávat samostatně (že to není třída). To vše udělá nějaký obrázek o kvalitně pluginu, který samozřejmě realitě odpovídat úplně nemusí.
