Исследователи безопасности сообщают (https://www.wordfence.com/blog/2017/02/rapid-growth-in-rest-... о значительном росте автоматизированных атак, эксплуатирующих недавно выявленную уязвимость (https://www.opennet.ru/opennews/art.shtml?num=45974) в реализации REST API проекта WordPress. В настоящее время число поражённых в результате атаки страниц оценивается (https://arstechnica.com/security/2017/02/virally-growing-att... в 1.89 миллиона. За день прирост атакованных систем составляет 26%. Всего выявлено 19 различных атак, в основном направленных на замену содержимого страниц или подстановку спама.
Кроме ранее упомянутого (https://www.opennet.ru/opennews/art.shtml?num=46000) взлома сайта новостей проекта openSUSE, успешные атаки зафиксированы на jcesr.org (поддерживается Министерством энергетики США), сайт Гленна Бека (https://ru.wikipedia.org/wiki/%D0%91%D0%... (glennbeck.com), комитета по туризму штата Ютта (travel.utah.gov), сайт министерства по туризму Ирландии и др. Кроме того фиксируются (https://blog.sucuri.net/2017/02/rce-attempts-against-the-lat... единичные случаи атак, в результате которых осуществляется выполнение произвольного PHP-кода на сервере. Сама по себе уязвимость в REST API не позволяет запускать PHP-код, но в сочетании с наличием плагинов, позволяющих применять собственные обработчики на PHP (например, плагины Insert PHP и Exec-PHP), подобные атаки становятся возможными.
URL: https://arstechnica.com/security/2017/02/virally-growing-att.../
Новость: http://www.opennet.ru/opennews/art.shtml?num=46023
Одним аргументом больше для заков, которые "хачу wp, это быстра и дёшева"
Уязвимости в WP фиксятся с той же скоростью, с которой обнаруживаются. Поэтому платформа хорошая, только следует избегать первых версий в ветви (т.е. 4.6, 4.7) и дожидаться отлаженных (4.6.2, 4.7.2) -- тогда и проблем не будет.А исполнители, пеняющие на страшные слова "уязвимость" и игнорирующие факт исправления этих уязвимостей, имеют серьёзные проблемы с логикой. От этого у них постоянно происходят затруднения с исполнением и срыв сроков, а продукты оказываются сырыми и не поддающимися поддержке и/или доработке. "Виноват" в этом обычно PHP и WordPress, а также "глупый зак", который сделал заказ именно таким образом.
Нанимать таких исполнителей нельзя.
необновляшки :D Зачем надо было отключать автообновления ?
уязвимость появилась в 4.7.0 и устранена в 4.7.2
как раз version hunter на неё и попались.
Дяди для которых веб ядерная физика, заплатили какой-то конторе запилить сайт на wp, а нанять спеца который бы следил за своевременным обновлением не додумались.
Хотя сколько подобных случаев уже было за всё существование wp..? (много)
На кой ляд там WP? В 99% случаев таким людям хватит голого хтлм, который правится раз в год.
Да - но откуда заказчик об этом узнает? Те у кого он заказывает будут перть совсем другие песни :-) Отсюда и wp ... тупо потому, что надо получить больше, а потратить меньше.
И потом - редко ведь контракт включает что то типа SLA на сайт. Обычно вебер показывает рабочий сайт и дизайн, звенят бокалы, он получает 100% бабла ... и дальше ему выгодно чтоб чего нибудь сломалось :)))))
> На кой ляд там WP? В 99% случаев таким людям хватит голого
> хтлм, который правится раз в год.А щобы было, как фотошоп...
Вы еще думаете возможно нормально писать на PHP и не выстрелить себе в голову?В NodeJS хоть боты проверяют качество библиотек и возвращают изменения.
> Вы еще думаете возможно нормально писать на PHP и не выстрелить себе в голову?Можно, если не использовать вп и прочую жумлу
>> Вы еще думаете возможно нормально писать на PHP и не выстрелить себе в голову?
> Можно, если не использовать вп и прочую жумлуА когда вы последний раз про уязвимости в джумле видели? :)
>>В NodeJS хоть боты проверяютпацталом
как можно с таким серьезным видом говорить такую дичь? как можно спутать nodejs с npm? да нахрен вы живете?
Меня затронуло :(
а где скачать автоломалку?
Вся проблемма в лени.