OpenForum RSS: Спустя три месяца с момента обнаружения уязвимости динамика ... https://slinkov.ru/openforum/vsluhforumID3/81154.html Несмотря на то, что с момента обнаружения (http://www.opennet.ru/opennews/art.shtml?num=31377) уязвимости в Timthumb, популярном дополнении к WordPress, прошло три месяца, исследование компании Avast показало (https://blog.avast.com/2011/10/31/following-wordpress-into-a-blackhole/), что темп заражения уязвимых сайтов вредоносным ПО продолжает оставаться на высоком уровне. В сентябре было поражено около 2500 сайтов, через которые злоумышленники пытались эксплуатировать клиентские машины с целью внедрения вредоносного ПО, используемого для рассылки спама, участия в DDoS-атаках и совершения других неподконтрольных пользователю действий. В октябре темп заражения сохранился на прежнем уровне, что свидетельствует о том, что многие пользователи блогов совершенно не заботятся о безопасности и не следят за появлением критических обновлений.<br><br><br>После эксплуатации уязвимости в дополнении Timthumb, поставляемом в комплекте с некоторыми визуальными темами и используемом для изменения размера фотог...<br><br>URL: https://blog.a Спустя три месяца с момента обнаружения уязвимости динамика ... (Georges) https://slinkov.ru/openforum/vsluhforumID3/81154.html#16 Fri, 04 Nov 2011 13:36:23 GMT timthumb это такой плагин, который делает так, чтобы все картинки ни в коем случае не отдавались статикой - только через скрипт, да ещё с ресайзом на лету.<br>Причём компоненты тем также любят авторесайзить.<br> Спустя три месяца с момента обнаружения уязвимости динамика ... (Аноним) https://slinkov.ru/openforum/vsluhforumID3/81154.html#15 Fri, 04 Nov 2011 11:59:33 GMT &gt; А в них нет дыр? Если знания позволяют, то проще свой движок <br>&gt; быстро накидать... Это всего строчек 20 на пыхе...<br><br>А где гарантия что там дыр не будет? И вообще, дыра в стороннем аддоне а не вордпрессе. Под ваше самопальное двигло аддонов просто не будет. Кто бы сомневался, что гильотина надежно и эффективно лечит головную боль?!<br> Спустя три месяца с момента обнаружения уязвимости динамика ... (Аноним) https://slinkov.ru/openforum/vsluhforumID3/81154.html#14 Fri, 04 Nov 2011 11:57:41 GMT &gt; Зачем использовать многолетдырявый WordPress?<br><br>Для начала, дырка не в вордпрессе, а в побочном аддоне. Сам вордпресс сто лет как никто не ломал (я даже вспомнить не могу - есть ли критичные дыры).<br><br>Кстати и браузеры ломают через эксплойты, "половина из которых направленны на поражение Java-плагина" - тоже через аддон, только оракловый :)))<br><br>Итого: нефиг юзать довески откуда попало, а если юзаете - обновляйтесь вовремя.<br> Спустя три месяца с момента обнаружения уязвимости динамика ... (Аноним) https://slinkov.ru/openforum/vsluhforumID3/81154.html#13 Fri, 04 Nov 2011 07:56:32 GMT Не совсем понял слово "плагиноуязвимые", но попробую подробнее<br><br>По запросу "WordPress" (http://web.nvd.nist.gov/view/vuln/search-results?query=wordpress&search_type=all&cves=on) из последних 20 уязвимостей - 16 в темах оформления, 2 в плагинах и только 1 в самом вордпрессе (ещё одна вообще левая, видимо там поиск лажает).<br>По запросу "Joomla" - все 20 результатов относятся к дополнительным компонентам. <br>Дальше искать было лень.<br><br>Конечно, глубоких исследований я не проводил и подробной статистикой не располагаю, но тенденцию вроде и так видно. Т.е. я не говорю, что эти CMS-ки такие надежные и защищенные - их тоже люди пишут. Но всё-таки к самим движкам требования в плане безопасности предъявляются более высокие, чем ко всяким дополнениям, которые пишут все кому не лень и они как раз чаще всего и становятся причиной взлома (ваш К.О.)<br> Спустя три месяца с момента обнаружения уязвимости динамика ... (anonim) https://slinkov.ru/openforum/vsluhforumID3/81154.html#12 Fri, 04 Nov 2011 06:23:11 GMT Если указал сколько плагинов обсмотрел, то укажи и сколько из них плагиноуязвимые. А то неинформативное сообщение твоё.<br> Спустя три месяца с момента обнаружения уязвимости динамика ... (AlexAT) https://slinkov.ru/openforum/vsluhforumID3/81154.html#11 Fri, 04 Nov 2011 05:59:49 GMT Динамика сохраняется просто потому, что каждый хомяк счел себя достаточно крутым, чтобы самому поддерживать блог. Вот и всё.<br> Спустя три месяца с момента обнаружения уязвимости динамика ... (Аноним) https://slinkov.ru/openforum/vsluhforumID3/81154.html#10 Fri, 04 Nov 2011 04:52:41 GMT Справедливости ради, надо отметить, что уязвимость не в самом в WordPress'е, а в его плагине. Это, кстати, характерно для многих CMS. Ради интереса проверил на http://web.nvd.nist.gov/view/vuln/search последние 20 уязвимостей для самым популярных (wordpress, joomla, drupal). Большинство дыр - в плагинах, дополнительных модулях и темах оформления.<br> Спустя три месяца с момента обнаружения уязвимости динамика ... (Аноним) https://slinkov.ru/openforum/vsluhforumID3/81154.html#9 Thu, 03 Nov 2011 22:59:59 GMT Всех версий.<br>Я "запускал" баннеры в на любой из последних версий и на одной бородатой.<br>Уверен, именно благодаря этим эксплойтам, в последней опере появился пункт "Включить плагины только по запросу".<br>Теперь висит элемент, на который надо щелкнуть, чтобы тот начал работать.<br>Я на обоих сайтах, где нужны плагины, включил их в исключения.<br>Браузер стал жрать еще меньше оперативки, чем раньше.<br> Спустя три месяца с момента обнаружения уязвимости динамика ... (Аноним) https://slinkov.ru/openforum/vsluhforumID3/81154.html#8 Thu, 03 Nov 2011 22:44:20 GMT Перефразируя классика - есть два типа CMS: дырявые, и которые никто не использует.<br>