Спустя менее недели с момента публикации (https://www.opennet.ru/opennews/art.shtml?num=45974) информации о критической уязвимости в реализации REST API в системе управления web-контентом WordPress, отмечается (https://blog.sucuri.net/2017/02/wordpress-rest-api-vulnerabi... волна автоматизированных атак, в результате которых осуществляется дефейс страниц или размещение SEO-спама. Жертвами атаки становятся пользователи ветки WordPress 4.7, не установившие обновление 4.7.2. Одна из атак по дефейсу через уязвимость в REST API уже затронула 127 тысяч страниц (вчера было 95 тысяч, позавчера - 66 тысяч).
Интересно, что в число жертв атаки попал (http://www.linux-magazine.com/Online/News/openSUSE-Site-Hacked) официальный сайт новостей проекта openSUSE - news.opensuse.org, некоторые страницы которого были заменены (http://schestowitz.com/Weblog/archives/2017/02/06/opensuse-w... на сообщение с флагом Курдистана (https://ru.wikipedia.org/wiki/%D0%9A%D1%.... Представители проекта openSUSE в ответ на запрос журналистов подтвердили факт взлома и рассказали, что почти сразу проблема была устранена. Официальное объявление о взломе на сайте openSUSE или в списках рассылки пока отсутствует. Судя по коду страницы уязвимость устранена и сайт уже обновлён до версии 4.7.2. Ограничились ли атаки подменой страницы пока не понятно (при использовании некоторых плагинов уязвимость можно использовать для организации выполнения PHP-кода на сервере).URL: https://blog.sucuri.net/2017/02/wordpress-rest-api-vulnerabi...
Новость: https://www.opennet.ru/opennews/art.shtml?num=46000
Шо, опять? Мне 100+ вордпрессов опять обновлять?
>> 100+ вордпрессов опять обновлять?100+ вордпрессов для персонажа, не испозльующего автообновление — немножко много.
Было бы достаточно и ни одного.
И два: ЗАЧЕМ??? держать включенным REST API, если ты не знаешь что это???
"REST API по умолчанию включён начиная с ветки 4.7"
> 100+ вордпрессов для персонажа, не испозльующего автообновление — немножко много.100+ вордпрессов, автообновившихся, и при этом потерявших пару нужных 3d-party модулей - действительно, немножко много. Можно угодить в тазик с бетоном раньше, чем починишь первые 60.
> И два: ЗАЧЕМ??? держать включенным REST API, если ты не знаешь что
> это???если не знаешь - как бы ты его выключил? (и да, привет автообновляльцам, оно, оказывается, самовключается)
> Шо, опять? Мне 100+ вордпрессов опять обновлять?дык - иначе клиенты могут случайно забыть о твоем существовании (в день, когда ты так ждешь очередного "кап" на карточку)
Для того и брали ;-)P.S. ну и да, REST выруби
настройте работу мультидомена для своих вордпресов и 1 кликом обновляйте хоть для 1000 сайтов. По сути все сайты будут работать на 1 вордпресе и обновляешь всего 1 вордпрес для всех сайтов.
Более дырявой CMS сложно найти. Напоминает Windows
Я не знаю, о какой версии Вындовс Вы говорите (полагаю, о Вындовс 95), но сравнивать ВордПресс с современной виндой - как шалаш с крепостью.
> сравнивать ВордПресс с современной виндой - как шалаш с крепостью.Да ну, какая из ворд-пресса крепость? Ты в своём уме, вендузoед?
> Я не знаю, о какой версии Вындовс Вы говорите (полагаю, о Вындовс
> 95), но сравнивать ВордПресс с современной виндой - как шалаш с
> крепостью.Ага. Солидной такой. Красивой. С толстенными стенами, узкими бойницами, мощными воротами с решеткой, донжоном.
И целой кучей тайных ходов, о которых владелец не в курсе и дюжиной дыр в стенах, типа для удобства прислуги, которой религиозные убеждения не позволяют ходить через парадный вход. Т.е. закрыть-замуровать дыры в принципе возможно, но удобство проживания владетеля в таком замке будет очень сомнительным.
> равнивать ВордПресс с современной виндой - как шалаш с крепостьюСнежной крепостью, али песочной?
Джумла же
Какая же она дырявая, если все обнаруживаемые дыры оперативно фиксят? Дырявое то, в чём дыры не исправляются и, следовательно, всё то, что плохо используется.
> не был связан со сборочной инфраструктурой, репозиториями и сайтами загрузкиИ это правильно. А дефейс новостей переживём.
>> не был связан со сборочной инфраструктурой, репозиториями и сайтами загрузки
> И это правильно. А дефейс новостей переживём.Однако, к чему было ждать физического воздействия rostrum-ом со стороны прошедшего термическую обработку самца gallus domesticus, не очень ясно.
Все таки, вместо автоматической (и вполне заметной) атаки могла и подлянка похуже прилететь.
Может протормозили, может по разгильдяйству.
>А дефейс новостей переживём.Нас флагом Курдистана, а мы крепчаем.
> Нас флагом Курдистана, а мы крепчаем.Мы вам сочувствуем. ;)
Jekyll - наше всё. Ну его нафиг, это WP.
Hugo!
И Jekyll и Hugo слишком сложны в настройке, приходится серьёзно допиливать шаблоны. Pelican в этом плане намного проще.
gantry + grav
А вот это - абсолютно правильный подход!
А в качестве бонуса, GRAV не отжирает 100500*n запросов (n - кол-во посетителей в данный момент)
Придумали бы SuseCMS