РАЗДЕЛЫ

Архив

Ваш Wordpress-блог еще не взломали?

≡ Безопасность | 23.05.2007 18:00

Тогда мы идем к вам!

Если заглянуть в исходник типичного Wordpress-блога, который существует хотя бы год, то часто можно найти много интересного.

Например, владелец the-notebook.org, наверно, даже не знает, что рекламирует порнографию, и что его сайт в Гугле помечен как "Этот сайт может нанести вред Вашему компьютеру".

В общем, чаще обновляйте версию движка своего блога, и периодически заглядывайте в исходник. В действительности, в мире нет ничего бесплатного. Тот же вордпресс, например, весьма небезопасен, содержит много лишнего кода и сильно нагружает сервер.

24.05.2007 15:28 | пишет 776166.livejournal.com | ссылка

Wordpress — блог для программистов, что бы периодически в го код заглядывать?

23.06.2007 22:05 | пишет exlibro | ссылка

Похоже, вордпресс - блог для спамеров. Потому, что дырявый как ИЕ, жрет ресурсы как виста, и глючит как МЕ.

Т.е. ставим вордпресс, его тут же ломают, в результате все посетители сайта получают заразу, которая сканирует сеть в поиске уязвимых вордпрессов и заражает их. И так до бесконечности. А потом все эти боты используются для ДДоС и спама. Получается, что виндовс и вордпресс - лучшие друзья спамера.

Более разумный вариант - самому написать простенький блог. Если избавиться от всяких там XML-RPC и прочего хлама, а также поддержки шкур, мультязычности и WYSIWYG, то движок может написать даже начинающий программер за час или два.

.
полиламеры
.

24.05.2007 18:10 | пишет Петровский Алексей | ссылка

Распространение Вордпресса обуславливается блэкхаттерами преимущественно для развертки вспомогательных дроно-сайтов, куда в блогроллы выкидываются индексы сайтов под индексацию.

Мне известны Вордпрессовые помойки по несколько сотен тысяч доменов, работающие в качестве конвеера по а) быстрой индексации целевых сайтов (роль sitemap'a, через методику B'n'P), б) сливу невинно дошедших посетителей на свои партнёрки.

Доля "безобидных" владельцев Wordpress - 10-12%.

21.06.2007 01:10 | пишет exlibro | ссылка

Это какой-то параллельный мир, куда я практически не попадаю. Видимо, ссылки на сети сплогов расставляются так, что их видят только роботы (чтобы дорвейщики-конкуренты не узнали).

Кстати, теперь понятно, зачем Гуглю понадобился новый дата-центр за 600 миллионов, почему Яндекс регулярно падает, и почему Рамблер обновляет индекс все реже. Ответ - вордпресс! Точнее, сплоги.

Крах поисковиков все ближе и ближе. Не зря же Яндекс 19 июня начал усиленно продвигать спецразмещение, как я раньше предсказывал. Скоро топ-10 будет состоять из спецразмещения. А потом и топ-30.

Прощай, DimaX, прощай, Ашманов, гудбай, Searchengines&XAP&SAPE&...

.
полиламеры
.

24.05.2007 20:52 | пишет Максим | ссылка

Что касается вышеприведенного примера, то не совесем корректный вывод. Дело не в WordPress, а в трояне на компьютере, или взломе сервера. К сожалению это все тот же "взлом", который позволяет хакеру добавить в index.php произвольный html-код. Почитайте форумы по хостингам, чтобы убедиться, что это так. К сожалению, многие админы серверов просто не хотят решать проблемы и отвечают по принципу «сам дурак» своим пользователям.

Другая проблема безопасности в том, что многие не спешат обновлять блоги до стабильных версий (имеется ввиду WordPress 2.2 и 2.0.10). Не стоит конечно и преувеличивать проблему, но тема действительно актуальна.

20.06.2007 05:26 | пишет JawsIk | ссылка

А как узнать вообще есть этот троян на компьютере? Да и вообще как он может что-то сделать с index.php ? Ведь блог то на сервере у провайдера. Вот к примеру мой блог Находится у моего провайдера. Как его теоретически могут взломать? Второй вопрос у меня такой. Вы написали, что стабильные версии 2.2 и 2.0.10 . У меня же блог на сборке 2.1 с сайта http://maxsite.org . Это стабильная версия или её всё-таки следует обновить?

01.07.2007 13:23 | пишет Гость | ссылка

Чтобы отредактировать index.php через взлом движка - это должна быть реальная дыриища в безопасности, которая была бы уже давно всем известна,на самом деле это банальный трой который ворует данные дял доступа к серверам с фтп менеджеров вроде тоталкомандера и прочих и отправляет их куда надо, где в автоматическом режиме скрипт сканирует корневую директорию на наличие index.php , index.html итд и добавляет туда свой код. Так же я бы поостерегся качать в варезе фтп менеджеры с кряками , которые могут уже содержать подобные трояны

17.10.2007 01:16 | пишет ElemeNT | ссылка

А как можно отсканировать директорию? если при попытке захода на какую нибудь папку на сервере меня кидает на страницу .html

17.10.2007 15:34 | пишет zx8.ru/3.0 | ссылка

Ничего сканировать не нужно, поскольку названия всех файлов и так известны - достаточно поискать по маске wp-*.php

Вообще, в любой ЦМС мегабайты кода, поэтому не может быть такого, чтобы там не было уязвимостей. Скорее, есть уязвимости, которые пока не являются широко известными, их-то хакеры и используют.

А закрыть их юзер не может, даже если он программист - проще написать свой движок, чем перекопать мегабайты чужого (кривого) кода.

К тому же, с точки зрения юзабилити, Вордпресс - страшное дело. Тем не менее, как мы знаем на примере программ для ПК, самыми популярными становятся отнюдь не самые лучшие вещи.

"Умная толпа" - это глупое выражение, придуманное кем-то из этой "умной" толпы.

17.10.2007 14:03 | пишет Гость | ссылка

Надо ставить последнюю версию из стабильной ветки и закрыть на .htaccess /wp-admin/

ПОЧИНИТЕ КЭПЧУ!

26.11.2007 00:44 | пишет Гость | ссылка

Международная Компания объявляет конкурс на позицию
Java (J2EE) /.NET Developer (C#)

Обязательным есть: знание языка С#, владение английским языком.

Наша компания предлагает лучшие условия для своих сотрудников!!!

Присодиняйтесь к нашей команде, отправляя свое резюме на E-mail: LudmilaAS@bigmir.net

08.12.2007 13:21 | пишет тша | ссылка

закрыть на .htaccess /wp-admin/ хорошая идея. но люди многие даже не знаю что это такое Weight Loss

02.05.2008 01:24 | пишет skaskin со skaskin.com | ссылка

кто может из вас помочь перевести дневник с Li.ru на Вордпресс ?

26.07.2008 20:41 | пишет Лирик | ссылка

Если и платные движки на 100% безопасными назвать нельзя, то бесплатные и подавно никогда таковыми не будут. Но как не крути, лучше взять сломанный ДЛЕ движок, хоть он и приобрел популярность как лучший для варезников и бесплатного порно, но ведь дело все в дизайне, новостные ленты на нем не хуже получаются... Благо ломаного добра хватает в интернете, так что пользуйте платное бесплатно, мы же русские :)

27.07.2008 11:59 | пишет гость | ссылка

Такие проблемы возможны на любом ресурсе, даже с обязательной регистрацией. Только премодерация может решить эту проблему
Oksana Pankratova

27.07.2008 19:40 | пишет Jason Bourne | ссылка

Есть еще блоговый движок Serendipity.

01.08.2008 00:28 | пишет Гость | ссылка

Если сайт не большой, то лучший вариант написать в html+CSS и не использовать PHP+MySQL, Perl и прочее... Тут выше упоминали C, ну не знаю, это на любителя. Не каждый хочет и может разбираться в коде и программировании.

01.08.2008 00:31 | пишет Гость | ссылка

02.01.2009 07:20 | пишет Гость | ссылка

Как раз писала про это статью "про пользу и вред готовых скриптов" Хочется чтоб как лутше, а получается как на зло. И не только в Вордпресс дело.

02.09.2009 10:53 | пишет Алексей_com | ссылка

Да почти все пользователи не имеют актуальной версии Wordpress на своих ресурсах.
Если же кто-то желает всерьез заниматься безопасностью своего блога, то задумайтесь хотя бы о том,
что массовый взлом любого движка - повсеместное явление.
Виной тому все новые открывающиеся дырки. А желание использовать один скрипт сразу на множестве ресурсов очень даже велико.

02.09.2009 10:54 | пишет Алексейй | ссылка

20.02.2010 00:02 | пишет Гость | ссылка

бля сука ботаны, работает WP ажшуба заворачивается, а про написать свой движок по веселили, жжоте..

25.11.2010 12:56 | пишет Oxygen | ссылка

Ну пока это для меня оптимальный вариант, напишите ли вы что-то лучшее? Считаю Wordpress одной из самых годных вещей, который вообще когда-либо были написаны людьми.

25.11.2010 12:59 | пишет Oxygen | ссылка