Спустя менее недели с момента публикации (https://www.opennet.ru/opennews/art.shtml?num=45974) информации о критической уязвимости в реализации REST API в системе управления web-контентом  WordPress, отмечается (https://blog.sucuri.net/2017/02/wordpress-rest-api-vulnerabi... волна автоматизированных атак, в результате которых осуществляется дефейс страниц или размещение SEO-спама. Жертвами атаки становятся пользователи ветки WordPress 4.7, не установившие обновление 4.7.2. Одна из атак по дефейсу через уязвимость в REST API  уже затронула 127 тысяч страниц (вчера было 95 тысяч, позавчера - 66 тысяч).

Интересно, что в число жертв атаки попал (http://www.linux-magazine.com/Online/News/openSUSE-Site-Hacked) официальный сайт новостей проекта openSUSE -  news.opensuse.org, некоторые страницы которого были заменены (http://schestowitz.com/Weblog/archives/2017/02/06/opensuse-w... на сообщение с флагом Курдистана (https://ru.wikipedia.org/wiki/%D0%9A%D1%.... Представители проекта openSUSE в ответ на запрос журналистов подтвердили факт взлома и рассказали, что почти сразу проблема была устранена. Официальное объявление о взломе на сайте openSUSE или в списках рассылки пока отсутствует. Судя по коду страницы уязвимость устранена и сайт уже обновлён до версии 4.7.2. Ограничились ли атаки подменой страницы  пока не понятно (при использовании некоторых плагинов уязвимость можно использовать для организации выполнения PHP-кода на сервере).

URL: https://blog.sucuri.net/2017/02/wordpress-rest-api-vulnerabi...
Новость: https://www.opennet.ru/opennews/art.shtml?num=46000

• Волна атак на уязвимость в WordPress, в том числе пострадал ...,Аноним, 20:05 , 08-Фев-17
  • Волна атак на уязвимость в WordPress, в том числе пострадал ...,Санта, 20:19 , 08-Фев-17
    • Волна атак на уязвимость в WordPress, в том числе пострадал ...,erew, 21:41 , 08-Фев-17
    • Волна атак на уязвимость в WordPress, в том числе пострадал ...,дык, 14:59 , 09-Фев-17
  • Волна атак на уязвимость в WordPress, в том числе пострадал ...,дык, 14:55 , 09-Фев-17
  • Волна атак на уязвимость в WordPress, в том числе пострадал ...,anonimus, 18:23 , 09-Фев-17
• Через уязвимость в WordPress атакующие подменили страницы са...,Аноним, 21:14 , 08-Фев-17
  • Через уязвимость в WordPress атакующие подменили страницы са...,Аноним, 21:20 , 08-Фев-17
    • Через уязвимость в WordPress атакующие подменили страницы са...,Led, 21:35 , 08-Фев-17
    • Через уязвимость в WordPress атакующие подменили страницы са...,Аноним, 21:42 , 08-Фев-17
    • Через уязвимость в WordPress атакующие подменили страницы са...,Sluggard, 21:45 , 08-Фев-17
  • Через уязвимость в WordPress атакующие подменили страницы са...,акроним, 00:38 , 09-Фев-17
  • Через уязвимость в WordPress атакующие подменили страницы са...,Аноним, 06:11 , 09-Фев-17
• Через уязвимость в WordPress атакующие подменили страницы са...,Sluggard, 21:39 , 08-Фев-17
  • Через уязвимость в WordPress атакующие подменили страницы са...,Аноним84701, 21:49 , 08-Фев-17
    • Через уязвимость в WordPress атакующие подменили страницы са...,Sluggard, 21:52 , 08-Фев-17
  • Через уязвимость в WordPress атакующие подменили страницы са...,Аноним, 21:50 , 08-Фев-17
    • Через уязвимость в WordPress атакующие подменили страницы са...,Sluggard, 21:52 , 08-Фев-17
• Через уязвимость в WordPress атакующие подменили страницы са...,Аноним, 00:37 , 09-Фев-17
  • Через уязвимость в WordPress атакующие подменили страницы са...,anonymous, 02:38 , 09-Фев-17
    • Через уязвимость в WordPress атакующие подменили страницы са...,sorrymak, 17:49 , 09-Фев-17
• Через уязвимость в WordPress атакующие подменили страницы са...,Аноним, 02:12 , 09-Фев-17
  • Через уязвимость в WordPress атакующие подменили страницы са...,Аноним, 03:11 , 09-Фев-17
• Через уязвимость в WordPress атакующие подменили страницы са...,Аноним, 09:44 , 08-Мрт-17

Шо, опять? Мне 100+ вордпрессов опять обновлять?

>> 100+ вордпрессов опять обновлять?

100+ вордпрессов для персонажа, не испозльующего автообновление — немножко много.

Было бы достаточно и ни одного.

И два: ЗАЧЕМ??? держать включенным REST API, если ты не знаешь что это???

"REST API по умолчанию включён начиная с ветки 4.7"

> 100+ вордпрессов для персонажа, не испозльующего автообновление — немножко много.

100+ вордпрессов, автообновившихся, и при этом потерявших пару нужных 3d-party модулей - действительно, немножко много. Можно угодить в тазик с бетоном раньше, чем починишь первые 60.

> И два: ЗАЧЕМ??? держать включенным REST API, если ты не знаешь что
> это???

если не знаешь - как бы ты его выключил? (и да, привет автообновляльцам, оно, оказывается, самовключается)

> Шо, опять? Мне 100+ вордпрессов опять обновлять?

дык - иначе клиенты могут случайно забыть о твоем существовании (в день, когда ты так ждешь очередного "кап" на карточку)
Для того и брали ;-)

P.S. ну и да, REST выруби

настройте работу мультидомена для своих вордпресов и 1 кликом обновляйте хоть для 1000 сайтов. По сути все сайты будут работать на 1 вордпресе и обновляешь всего 1 вордпрес для всех сайтов.

Более дырявой CMS сложно найти. Напоминает Windows

Я не знаю, о какой версии Вындовс Вы говорите (полагаю, о Вындовс 95), но сравнивать ВордПресс с современной виндой - как шалаш с крепостью.

> сравнивать ВордПресс с современной виндой - как шалаш с крепостью.

Да ну, какая из ворд-пресса крепость? Ты в своём уме, вендузoед?

> Я не знаю, о какой версии Вындовс Вы говорите (полагаю, о Вындовс
> 95), но сравнивать ВордПресс с современной виндой - как шалаш с
> крепостью.

Ага. Солидной такой. Красивой. С толстенными стенами, узкими бойницами, мощными воротами с решеткой, донжоном.
И целой кучей тайных ходов, о которых владелец не в курсе и дюжиной дыр в стенах, типа для удобства прислуги, которой религиозные убеждения не позволяют ходить через парадный вход. Т.е. закрыть-замуровать дыры в принципе возможно, но удобство проживания владетеля в таком замке будет очень сомнительным.

> равнивать ВордПресс с современной виндой - как шалаш с крепостью

Снежной крепостью, али песочной?

Джумла же

Какая же она дырявая, если все обнаруживаемые дыры оперативно фиксят?  Дырявое то, в чём дыры не исправляются и, следовательно, всё то, что плохо используется.

> не был связан со сборочной инфраструктурой, репозиториями и сайтами загрузки

И это правильно. А дефейс новостей переживём.

>> не был связан со сборочной инфраструктурой, репозиториями и сайтами загрузки
> И это правильно. А дефейс новостей переживём.

Однако, к чему было ждать физического воздействия rostrum-ом  со стороны  прошедшего термическую обработку самца gallus domesticus, не очень ясно.
Все таки, вместо автоматической (и вполне заметной) атаки могла и подлянка похуже прилететь.

Может протормозили, может по разгильдяйству.

>А дефейс новостей переживём.

Нас флагом Курдистана, а мы крепчаем.

> Нас флагом Курдистана, а мы крепчаем.

Мы вам сочувствуем. ;)

Jekyll - наше всё. Ну его нафиг, это WP.

Hugo!

И Jekyll и Hugo слишком сложны в настройке, приходится серьёзно допиливать шаблоны. Pelican в этом плане намного проще.

gantry + grav

А вот это - абсолютно правильный подход!
А в качестве бонуса, GRAV не отжирает 100500*n запросов (n - кол-во посетителей в данный момент)

Придумали бы SuseCMS