Последние несколько дней в Сети наблюдается (http://krebsonsecurity.com/2013/04/brute-force-attacks-build.../) интенсивная Brute Force атака, направленна на подбор паролей для аккаунтов сайтов на базе свободного движка WordPress. Атака носит массовый характер, так как организована (http://blog.hostgator.com/2013/04/11/global-wordpress-brute-.../) с использованием крупного ботнета.
Попавшие под действие атаки сайты подвергаются (http://blog.cloudflare.com/patching-the-internet-fixing-the-...) проверке входа под логином "admin" через страницы /wp-login.php и /wp-admin с использованием примерно тысячи наиболее популярных паролей. В случае если подбор пароля оказался успешен, в движок WordPress внедряется бэкдор, который подсоединяет взломанный сайт в состав ботнета и позволяет сохранить контроль даже после смены пароля. Поражённый хост и начинает участвовать в Brute Force атаке для выявления других жертв, но также может принимать команды и выполнять другие действия, типичные для ботнетов, такие как совершение DDoS-атак. Текущий размер ботнета из WordPress серверов уже оценивается в более чем 90 тысяч хостов.Отмечается, что ботнет из серверов значительно более опасен в плане совершения DDoS-атак, чем ботнет из пользовательских машин, так как серверные системы имеют доступ к более широким каналам связи (стомегабитный порт для сервера в крупном датацентре уже в порядке вещей) и более болезненны при блокировке (на одном IP могут находиться сотни сайтов). При этом, даже не связанный с DDoS-атакой трафик, генерируемый в процессе наблюдаемого подбора парлей, негативно повлиял на деятельность некоторых хостинг-компаний, так как он существенно искажает типичную для хостинг операторов ориентацию на преобладание исходящего трафика.
Тем не менее, некоторые эксперты отвергают (http://blog.sucuri.net/2013/04/mass-wordpress-brute-force-at...) сведения об участии взломанных серверов в Brute Force атаке, считая, что целью их взлома является распространение вредоносного ПО для поражения клиентских систем, путем подстановки на страницы поражённых сайтов кода для эксплуатации уязвимостей в браузерах и популярных плагинов к ним.Всем администраторам блогов на базе движка WordPress рекомендуется убедиться в использовании надёжного несловарного пароля для своих аккаунтов. Кроме того, для блокирования атаки советуют (http://ma.tt/2013/04/passwords-and-brute-force/) не использовать для администратора логин admin, защитить (http://support.hostgator.com/articles/specialized-help/techn...) доступ к скрипту wp-login.php через дополнительною Basic-аутентификацию на уровне http-сервера или разрешить (http://codex.wordpress.org/Hardening_WordPress) вход только с определённых IP. Для ещё более серьёзной защиты можно использовать (https://www.duosecurity.com/product) дополнения с реализацией двухуровневой аутентификации с одноразовыми паролями. Владельцам уже взломанных сайтов рекомендуется переустановить с нуля WordPress, обновить (http://codex.wordpress.org/Editing_wp-config.php#Secret_Key_...) секретные ключи и поменять все пароли.
URL: http://krebsonsecurity.com/2013/04/brute-force-attacks-build.../
Новость: https://www.opennet.ru/opennews/art.shtml?num=36689
И сколько сайтов взломаны таким образом? Два?Можно как-то разрешить доступ к админке для нескольких пулов адресов местных провайдеров? Открывать 1 адрес, или перечислять несколько в .htaccess не серьезно ))
> Текущий размер ботнета из WordPress серверов уже оценивается в более чем 90 тысяч хостов.
Ну подумаешь, всего в 45 000 раз чувак облажался. Впрочем, кубок "хучший аналитик месяца @ opennet" он все-таки получает.
> И сколько сайтов взломаны таким образом? ...сайтов было бы явно меньше -- если бы там при вводе пароля была бы капча.
> сайтов было бы явно меньше -- если бы там при вводе пароля была бы капча.Там и пользователей было бы меньше...
сайтов было бы явно меньше -- если бы там логин был на admin. (это ЭЛЕМЕНТАРНЕЙШАЯ вещь в защите сайта, о которой нормальному человеку (админу) не надо напоминать..)
Посмотреть бы список из тысячи наиболее популярных паролей.
Скачай какую-нибудь базу для брут форса да загляни внутрь
На тебе топ 500, например: http://www.securrity.ru/worstpwdz.html
Количество болванов, использующих в качестве паролей 123456 и password, до сих пор поражает.
qwerty с паролем 123456 срабатывала 3 раза
ЕМНИП на баше в свое время было мощное движение по использованию как раз такого логина/пароля для некритичных сайтов, требующих раздражающую многих регистрацию. Возможно вы попали на его след.
Чем только люди не занимаются, лишь бы не пользоваться bugmenot.
> qwerty с паролем 123456 срабатывала 3 разаВот именно ;-)
Хитрожопым товарищам, использующим русские слова, набранные в латинской раскладке, стоит обратить на 443-е место: пароль/gfhjkmА вот что заинтересовало, так это 211-е: 05)4HeblzZ*3Q5. У кого-нибудь есть идеи о причине такой популярности?
Может это какой-то фейковый онлайн-генератор паролей для дураков, который всегда выдаёт один и тот же псевдо-безопасный пароль? Смотрится действительно загадочно.
упёрли базу хешей/паролей с других ресурсов, потом их же пробуют на других. Часто один человек использует одинаковый пароль везде.
Две идеи навскидку:
1. "Секретный" сервисный пароль кого-нибудь из производителей роутеров, например.
2. Образец крутого пароля в книжке "Безопасность для чайников", вышедшей большим тиражом.
3. добавлен в список просто так
4. добавлен в список не просто так
5. это пароль того самого сервера, который случайно туда попал, потому что на нём тренировались больше всего
Усеченную версию, которую использует в том числе и john the ripper можно взять отсюда:
ftp://ftp.openwall.com/pub/passwords/wordlists/passwords/pas...За деньги http://www.openwall.com/wordlists/ предлагают улучшенный и дополненный вариант
> Посмотреть бы список из тысячи наиболее популярных паролей.возьми сервер, поставь вордпресс, сделай несколько простых телодвижений — к тебе придёт ботнет и сольёт тебе базу паролей.
500 устроит? Забирай http://www.securrity.ru/worstpwdz.html
> Посмотреть бы список из тысячи наиболее популярных паролей.«12345», «123456».
>> Посмотреть бы список из тысячи наиболее популярных паролей.
> «12345», «123456».Зачем такие сложности? Самый популярный - "1".
-------------------------------
Кстати, о паролях (не админских).Терпеть не могу заведения, которые не разрешают пароль "1". Они слишком многое о себе думают, слишком превозносят свою ценность. Но этим только добавляют баллы к своей бесполезности. Гораздо важнее, чтобы я мог здесь и сейчас мысль свою опубликовать, чем кто-то, возможно, когда-то, зачем-то, мог меня подделать.
В fido вообще можно было что угодно во from записать, и ничего, жили, почти все писали свои реальные имена и только их. Была культура, а всё остальное - приложилось. Глупо сопротивляться следствию, напрочь игнорируя причины.
А что касается того, что вдруг, возможно, как-то подделают... Если меня не будут слушать и узнавать без подписи, то вообще не имеет значения, какая у меня подпись. Я бы вообще скрыл все логины, чтобы первичен был контент а не чьё-то желание получить роль в истории. По сути, ничего лучше фидо так и не появилось, только добавилось дополнительных проблем, которых в fido не возникало.
«Информзащита» обнаружила критичные уязвимости в популярном плагине для WordPressсмотри: http://pda.cnews.ru/news/index.shtml?line/2013/04/12/525616
Где появляется маркетинг на первом месте, там начинаются проблемы на всех остальных местах. Вспомним хвастливый лозунг "5 минут установки" от WordPress, что сразу заставило подозревать скорые проблемы. Что не заставило себя долго ждать.Справедливости ради отметим, что 99% всех CMS ставится за 5 минут (в смысле от начала установки до входа в административную панель).
> Где появляется маркетинг на первом месте, там начинаются проблемы на всех остальных
> местах. Вспомним хвастливый лозунг "5 минут установки" от WordPress, что сразу
> заставило подозревать скорые проблемы. Что не заставило себя долго ждать.
> Справедливости ради отметим, что 99% всех CMS ставится за 5 минут (в
> смысле от начала установки до входа в административную панель).Справедливости ради отмечу, что это не проблема WordPress (в данном конкретном случае уж точно), а пользователей. Было бы нелепо закрывать входную дверь квартиры на туалетную задвижку и ждать что к тебе не залезут воры
> Справедливости ради отмечу, что это не проблема WordPress (в данном конкретном случае
> уж точно), а пользователей. Было бы нелепо закрывать входную дверь квартиры
> на туалетную задвижку и ждать что к тебе не залезут ворыСо стороны общественности предлагаю ботнеты, где юзеры с помощью разработчиков или без оных забивают болт на безопасность, именовать термином "болтнет". Чтобы отличать от реальных уязвимостей.
Предлагаю неофициальный термин "ситечко".
Тут тебе и сетка, и дырявость, и чайник всегда где-то рядом...
На чужом горбу в рай хотят выехать.Бандит(вор) должен сидеть в тюрьме.Когда уже примут всемирный закон сажать хакеров и их заказчиков?
А еще можно сажать программистов и заказывать дедов морозов. ^__^
> А еще можно сажать программистов и заказывать дедов морозов. ^__^Или сажать дедов морозов и заказывать программистов, при совсем уж фашистском режиме :\.
> Бандит(вор) должен сидеть в тюрьме.Когда уже примут всемирный закон сажать хакеров и их заказчиков?тогда уж нужен ещё и всемирный закон который бы велел выплачивать премию (из бюджета государств) за бажный код!
чем глупее дыра -- тем больше денег за её внедрение! :-)
а у меня только root может создавать новые исходящие соединения, так что, если сломают веб, а не весь сервер, вполне можно спать спокойно, еще в php отключаю функции: escapeshellarg, escapeshellcmd, ini_alter, parse_ini_file, show_source, symlink, shell_exec, syslog, system, exec, apache_setenv, chown, chgrp, closelog, define_syslog_variables, dl, ftp_exec, openlog, passthru, pcntl_exec, popen, posix_getegid, posix_geteuid, posix_getpwuid, posix_kill, posix_mkfifo, posix_setpgid, posix_setsid, posix_setuid, posix_uname, proc_close, proc_get_status, proc_nice, proc_open, proc_open, proc_terminate, pcntl_alarm, pcntl_fork, pcntl_waitpid, pcntl_wait, pcntl_wifexited, pcntl_wifstopped, pcntl_wifsignaled, pcntl_wexitstatus, pcntl_wtermsig, pcntl_wstopsig, pcntl_signal, pcntl_signal_dispatch, pcntl_get_last_error, pcntl_strerror, pcntl_sigprocmask, pcntl_sigwaitinfo, pcntl_sigtimedwait, pcntl_exec, pcntl_getpriority, pcntl_setpriority.
Особо на функционал моих пару сайтов это не влияет, если кто еще добавит по теме, буду рад.
> Особо на функционал моих пару сайтов это не влияет
> пару сайтовВсе-таки про Джо - верный комментарий.
А если отключить сервер полностью, его точно не взламают.
eval бы тоже не плохо запретить, а так же ini_set, если они не используются ни где.
> не плохо
> ни гдедаже и не знаю: то ли плакать, то ли уже смеяться…
Забыл добавить, определяю для сайта php_admin_value open_basedir
и ssh открыт только для определенного интерфейса и ip.
через firewall закрыт доступ к админским папкам, типо:
-p tcp --dport 80 -m string --algo kmp --string "/admin/index.php" -j DROP
и стоит автоматических бан по ip при большом количестве новых запросов с одного ip.
Схема не идеальна, но еще ни разу не сломали!
> Схема не идеальна, но еще ни разу не сломали!Про неуловимого Джо слыхал? :)
> Про неуловимого Джо слыхал? :)Где я и где Джо ))) Я поделился опытом и надеюсь, что кто то тоже добавит еще инфы, в чем проблема то?
> в чем проблема то?в том, что ясли для умственно отсталых и погромистов на похапэ находятся в другом месте.
так вот кто опеннетом то рулит…
зыж
думаю в период повышенной магнитной активности стоит увеличивать дозу психотропных препаратов в стационарах.
что, кстати, характерно (и подтверждает мой комментарий выше): ни умственно отсталые, ни погромисты на похапэ не знают, зачем тут ссылочка «ответить».
Странная новость. Причём тут Wordpress-то? Дефолтный пароль - это как поставить железную, крепкую дверь и оставить ключи в замке. Сам же виноват? Сам. Нет, нужно раздувать новость - массовый взлом дверей фирмы ***, взломанные квартиры используются для обогащения преступников!!!11адын.
> Причём тут Wordpress-то?вообще-то в WP присутствует дыра, позволяющая проверять эти пароли.
если была бы там Капча (например ReCaptcha) -- то даже 123321 не факт что подобрали бы.
впрочем капча не единтвенный механизм препятствующий подбору паролей. но в WP разве есть *хоть_какой-то* механизм от побдоров паролей?
> если была бы там Капча (например ReCaptcha)При этом враг уже внутри: каждый раз бложик стучит гуглю что некто приперся. Во зашибись.
>> если была бы там Капча (например ReCaptcha)
> При этом враг уже внутри: каждый раз бложик стучит гуглю что некто
> приперся. Во зашибись.большинство бложиков и так стучат.. и не только гуглю, а еще куче сайтов, вордпрессы это такое дикое облако, которые грузят целую кучу левоты с других сайтов, и это не только сайты wordpress, google и соц сетей.. но бывает и много чего еще
если из-за косорукости авторов движок будет спрашивать у меня капчу при входе в админку, то этот движок улетит на помойку быстрее, чем я успею договорить его название.
> если из-за косорукости авторов движок будет спрашивать у меня капчу при входе в админку, то этот движок улетит на помойку быстрее, чем я успею договорить его название.ну ведь капчу можно спрашивать только для новеньких www-сессий ($_SESSION[]) и тех которые допустили провал при последней операции логина.
образно говоря -- ввести внутри $_SESSION[] переменную, которая бы отвечала за репутацию. и поумолчанию эта репутация должна быть негативной.
только вот беда, сессии живут обычно недолго, так что капчу будут спрашивать со всех при таком подходе, а увеличивать время жизни сессии тоже подход далеко не самый лучший
как давно я тебя не видел в интернетах! уже соскучился!(нет, это не сарказм. я в правду)
делать можно много чего. но так, чтобы я при работе капчи не видел.
limit login attempts отловил штук 15 ip за последние 3 дня, почти столько же как за 2 месяца до этого, может и правда что-то ползает по интернету ;)
> что-то ползает по интернету ;)По нему всегда что-то ползает. Автоматическая активность - это такой фоновый шум. Ну, типа москитов. Кто не сделал прививку от малярии - сами виноваты.
>> что-то ползает по интернету ;)
> По нему всегда что-то ползает. Автоматическая активность - это такой фоновый шум.
> Ну, типа москитов. Кто не сделал прививку от малярии - сами виноваты.Можно ходить по сомнительным девочкам с тремя защитами. И все обсуждают защиты, придумывают, как лучше.
А вариант "не ходить" почему-то не рассматривается. php с его "исполняю на месте" - unsecure by default, хоть ты тресни. Есть, конечно, способ для того же php-fpm, чтобы перечислить только все точки входа с их полными путями, чтобы исполняло только их - но это опять же, обходные средства, не лечат, а оттягивают. И чем дальше оттягивают, тем больше теряется времени на то, чтобы сделать то, что нужно - избавиться от php.
> А вариант "не ходить" почему-то не рассматривается. php с его "исполняю на
> месте" - unsecure by default, хоть ты тресни. Есть, конечно, способ
> для того же php-fpm, чтобы перечислить только все точки входа с
> их полными путями, чтобы исполняло только их - но это опять
> же, обходные средства, не лечат, а оттягивают. И чем дальше оттягивают,
> тем больше теряется времени на то, чтобы сделать то, что нужно
> - избавиться от php.не надо все усложнять, проблемы не в php, хотите еще сказочку про ботнет на вордпрессах ?
http://wordpress.org/extend/plugins/websitedefender-wordpres.../
рекомендую для просмотра, замечательный плагин, супер решение по безопасности вордпресса для хомячков, почему то всего 47 тыс загрузок... даже странно
решение по безопасности сводится к .... eval($код полученный из параметров POST запроса)
после некоей аутентификации и расшифровки, выхлоп шифруется и отдается назад. Ну а теперь представьте что можно сделать имея такой контроль ?) Плагин до сих пор в каталоге.
После установки они сразу дампят базу на свое облачко и тянут все файлы из каталога wordpress, возможно и не только оттуда..
Так что приберегите помои приготовленные для PHP для иных целей... все тривиальнее, проще, тупее..
> Так что приберегите помои приготовленные для PHP для иных целей…да, собственно, не столько похапэ поливаем, сколько похапистов. что очень удобно: по какому поводу в похаписта не плюнь, всё равно прав окажешься.
> по какому поводу в похаписта не плюнь, всё равно прав окажешься.Точно. Мочить их надо!
>> А вариант "не ходить" почему-то не рассматривается. php с его "исполняю на
>> месте" - unsecure by default, хоть ты тресни. Есть, конечно, способ
>> для того же php-fpm, чтобы перечислить только все точки входа с
>> их полными путями, чтобы исполняло только их - но это опять
>> же, обходные средства, не лечат, а оттягивают. И чем дальше оттягивают,
>> тем больше теряется времени на то, чтобы сделать то, что нужно
>> - избавиться от php.
> не надо все усложнять, проблемы не в php, хотите еще сказочку про
> ботнет на вордпрессах ?Проблемы в php. В php очень большие, очень огромные и очень серьёзные проблемы. Одно только то, что он делает php-стов - это большая проблема, но, увы, этим не ограничивается.
Самое смешное, что все фреймворки пытаются как-то уйти от этой парадигмы, прикрывают свою php-шную сущность. Только, если зажмурить глаза - проблемы не исчезают. Вот php-шников становится не видно - это да, а сами проблемы не исчезают.
Есть такая хорошая книжка - Эрик Реймонд, "Искусство программирования в Unix". На каждом уважающем себя столе она должна быть второй после {нового завета|пятикнижия|корана|морального кодекса строителя коммунизма|природоведения для третьего класса}. Там все преимущества unix-way чуть ли не на пальцах изложены, там очень хорошие примеры того, как нужно делать, и как делать не нужно. php ужасен, он ужасен изнутри, и ничего уже с этим не сделаешь.
> http://wordpress.org/extend/plugins/websitedefender-wordpres.../
> рекомендую для просмотра, замечательный плагин, супер решение по безопасности вордпресса
> для хомячков, почему то всего 47 тыс загрузок... даже странно
> решение по безопасности сводится к .... eval($код полученный из параметров POST запроса)«Когда ты говоришь, „Я написал программу, которая роняет Windows“, люди просто тупо смотрят на тебя и отвечают: „Да мне такие программы вместе с системой достались, бесплатно.“» // Линус Торвальдс
Зачем ставить что-то, если придёт ботнет и сам всё сделает?
> после некоей аутентификации и расшифровки, выхлоп шифруется и отдается назад. Ну а
> теперь представьте что можно сделать имея такой контроль ?) Плагин до
> сих пор в каталоге.
> После установки они сразу дампят базу на свое облачко и тянут все
> файлы из каталога wordpress, возможно и не только оттуда..
> Так что приберегите помои приготовленные для PHP для иных целей... все тривиальнее,
> проще, тупее..Итс пиэйчпи калче. В такой культуре только такие грибы и варятся.
> Есть такая хорошая книжка — Эрик Реймонд, «Искусство программирования в Unix». На
> каждом уважающем себя столе она должна быть второй после…Кнута.
>> Есть такая хорошая книжка — Эрик Реймонд, «Искусство программирования в Unix». На
>> каждом уважающем себя столе она должна быть второй после
> …Кнута.Да и ремень сойдёт, мы же не звери.
А Реймонд - это книжка лирическая, она понятна для всех.
> А Реймонд — это книжка лирическая, она понятна для всех.Кнут тоже. а если непонятен — стоит подумать о смене профессии.
>> А Реймонд — это книжка лирическая, она понятна для всех.
> Кнут тоже. а если непонятен — стоит подумать о смене профессии.Для всех - это включая домохозяек и читателей природоведения для третьего класса. Для всех, кому интересно что-то свободное.
"понятна для всех". С опеннетом язык родной забудешь :(
домохозяйкам это не надо, у домохозяек свои дела.
> домохозяйкам это не надо, у домохозяек свои дела.Как скучен был бы мир, если бы с домохозяйками нельзя было бы поговорить об особенностях конвейеров в unix.
поговорить можно и со стеной, в принципе.
И что за бредовая статья?
Ну положили сервер запросами к примеру, но не захватили же.
Ну получили доступ к админ-панели от админа и что? какие ботнеты? как из админ-панели они смогут загрузить что-то на сервер?
> И что за бредовая статья?
> Ну положили сервер запросами к примеру, но не захватили же.
> Ну получили доступ к админ-панели от админа и что? какие ботнеты? как
> из админ-панели они смогут загрузить что-то на сервер?кнопочка "Загрузить"; не, не слышал
>> И что за бредовая статья?
>> Ну положили сервер запросами к примеру, но не захватили же.
>> Ну получили доступ к админ-панели от админа и что? какие ботнеты? как
>> из админ-панели они смогут загрузить что-то на сервер?
> кнопочка "Загрузить"; не, не слышалНу загрузит кто-то много файлов, которые нельзя исполнить. Какие ботнеты то?
Или может быть ботнеты в jpg или exl могут быть?
wordpress позволяет устанавливать плагины и редактировать .php скрипты плагинов и тем,
так что залить вебшелл при наличии входа от админа труда не составляет.
> wordpress позволяет устанавливать плагины и редактировать .php скрипты плагинов и тем,
> так что залить вебшелл при наличии входа от админа труда не составляет.Wordpress позволяет редактировать .php скрипты, если вебмастер разрешит, так что залить вебшелл при наличии входа от админа, просто не возможно.
> Wordpress позволяет редактировать .php скрипты, если вебмастер разрешит, так что залить
> вебшелл при наличии входа от админа, просто не возможно.да прям? настройки по умолчанию смотрели? ;) там все можно, а уж порог вхождения для того чтобы стать "вебмастером" сайтика на вордпрессе очень низкий, большинство из тех кто ставит парольки типа qwerty и настройки по умолчанию не меняли
> да прям? настройки по умолчанию смотрели? ;) там все можно, а уж
> порог вхождения для того чтобы стать "вебмастером" сайтика на вордпрессе очень низкийЭто неправда. Я первые свои компьютеры, где писал на бейсике, собирал сам. Я могу сделать что-нибудь для веба и на python, и на ruby, и на js/cs, и на lua, могу написать приложение на tcl, pascal/delphi/lazarus, на базовом уровне знаю c, имею уже почти 15-летний опыт ковыряния консоли с linux. Я знаю и использую несколько веб-фреймворков на python и несколько клиентских фреймворков на js/cs, поэтому я не первый день в вебе.
Но все мои многочисленные попытки сделать на wordpress "как мне надо", хотя бы на самом базовом уровне - с треском разбивались либо об тормоза самого вордпресса, либо об непонятки "как тут сделать самую базовую вещь". Поэтому я преклоняюсь перед профессионалами, которые смогли укротить этого зверя. Я даже не знаю, в какую сторону мне расти, чтобы освоить эту науку.
по укрощению wp в плане производительности уйма статей,
кешировать опкод,
кешировать запросы к бд,
кешировать страницы для неавторизованных (в статику),
кешировать виджеты (увы плагин был 1 и тот уже не обновляется)....
обычно те кто могут, вп ставят из за того что им лениво,а те кто не могут - ставят потому что он простой и к нему масса плагинов и тем, которые позволяют любому с минимальным уровнем знаний сделать себе сайтик/бложик...напоследок расскажу сказочку как сломали сайтики моего подопечного:
жил да был в саудовской аравии некий (вот не знаю как его зовут, но для определенности ткну пальцем в солнечное небо саудовской аравии и назову его Абу) Абу, Абу считал себя крутым хакером и любил ломать сайты и писать там в index.php "Hacked By Saudi Terrorist , Saudi Terrorist Hacker" шрифтом комик санс МС. Заходил он на Bing! в своем фаерфоксе и искал лентяев которые ставили вордпресс, но не завершили установку, после чего он завершал установку, заливал им вебшелл (как тему оформления) и ломал все остальное... Так вот и поломал моего подопечного лентяя поставив на три его сайтика свою мегастраничку, решив поковыряться в системе, стало ему очень грустно.. ибо система какая то порезаная, chroot, да и php-fpm работает от конкретного пользователя... другие сайтики даже не посмотреть чего там... ушел он дальше бингать в поисках ленивых вебмастеров которые дырки оставляют из за того что им лень что-то доделать
2.88.84.48 - - [31/May/2012:23:06:00 +0400] "GET /wp-admin/install.php HTTP/1.1" 200 1531 "http://www.bing.com/search?q=WordPress+%E2%80%... "Mozilla/5.0 (Windows NT 5.1; rv:12.0) Gecko/20100101 Firefox/12.0"
воть и сказке конец, не забывайте не оставлять дырки (:
> по укрощению wp в плане производительности уйма статей,
> кешировать опкод,
> кешировать запросы к бд,
> кешировать страницы для неавторизованных (в статику),
> кешировать виджеты (увы плагин был 1 и тот уже не обновляется)....Кэшировать, кэшировать, кэшировать. А всё от того, что все мы живём и умираем, но php это делает иногда и по 50 раз в секунду. Одна строчка для python и огромный оверхед для php.
Только это не базовый уровень. Поэтому я всё равно считаю тех, у кого работает php, кем-то сродни шаманов. Хотя желание постучать по их бубну от этого не пропадает.
> обычно те кто могут, вп ставят из за того что им лениво,а
> те кто не могут - ставят потому что он простой и
> к нему масса плагинов и тем, которые позволяют любому с минимальным
> уровнем знаний сделать себе сайтик/бложик...Вот из сайтик-бложик. Я тоже могу сделать сайтик-бложик, только немного проще для меня. Какими функциями должен обладать сайтик-бложик, чтобы руки не тянулись к wordpress?
> напоследок расскажу сказочку как сломали сайтики моего подопечного:
> воть и сказке конец, не забывайте не оставлять дырки (:И зачем подопечному нужны такие проблемы? Зачем ставить небезопасное и требующее космической схемы кеширований решение? У вас там кружок мазохистов, что ли?
уж как бы вы терпеть не могли PHP и решения на нем, статистика беспощадна:
я даже комментировать не стану
WordPress
http://w3techs.com/technologies/overview/content_management/all
PHP
http://w3techs.com/technologies/overview/programming_languag...
> я даже комментировать не стануа и не надо: понятно, что народ любит всякое говно. «зато все используют» — вообще не аргумент; это так, бесполезные понты.
>> я даже комментировать не стану
> а и не надо: понятно, что народ любит всякое говно. «зато все
> используют» — вообще не аргумент; это так, бесполезные понты.Когда-то php был лучшим компромиссом. Как и лошадь. Как и мотыга. И всегда были те, кто говорил "да лошадь быстрее вашего паровоза 50 тонн перевезёт".
> Когда-то php был лучшим компромиссом.да не был. родился говном и живёт говном. вот зачем, например, там сигилы у переменных? какой в них смысл? кроме очевидного «а я видел, так все делают, значит, и мне так же надо!»
> Когда-то php был лучшим компромиссом. Как и лошадь. Как и мотыга. И
> всегда были те, кто говорил "да лошадь быстрее вашего паровоза 50
> тонн перевезёт".Скажите честно, вы - луддит?
PHP - на самом деле даже не язык, а мегакомбайн. Который в себе совмещает массово все те наработки за пару десятков лет, и даёт к ним удобный интерфейс в виде ЯП нестрогой типизации, с большой степенью свободы и простотой действий. Лошадь и мотыга, скотчем примотанная к костылям - это именно всё остальное, по сравнению с PHP.
Но - любым мегакомбайном надо уметь пользоваться правильно, иначе можно получить, в общем-то, печальный результат. Хотя с виду кажется, что всё просто.
> PHP — на самом деле даже не языкв общем-то да. жестоко, но правда.
>> PHP — на самом деле даже не язык
> в общем-то да. жестоко, но правда.Это развитие ssi. Которое пытаются применить там, где оно вообще не пришей блохе яйца.
> PHP - на самом деле даже не язык, а мегакомбайн. Который в
> себе совмещает массово все те наработки за пару десятков лет, и
> даёт к ним удобный интерфейс в виде ЯП нестрогой типизации, с
> большой степенью свободы и простотой действий. Лошадь и мотыга, скотчем примотанная
> к костылям - это именно всё остальное, по сравнению с PHP.- Пан гетман, это шутка? Я не верю!
- Я не шучу, Василий, я от сердца, от искреннего сердца говорю.То есть, http://51t.ru/php.html плюс отсутствие нормальных роутов, плюс семьдесят два костыля для кеширования или смена всей модели только из-за того, что сама модель приложения, которое умирает - порочна по своей сути - ЭТО современно?
Добавить к этому отсутствие каких-то внятных стандартов на разработку и проектирование, благодаря чему каждый php-шник пишет, как умеет, поддержка превращается в мучение, и большинство проектов переписываются "ещё раз, с листа".
php - это ералаш, который бывает только на конских ярмарках, и именно в ту минуту, когда всем обществом ловят карманника.
Я уже не говорю про синтаксис. Я уже не говорю, то на php вообще непонятно как писать, чтобы делать страницы - там всё изобретается на лету, безо всякой очевидности, "что первое в голову взбрело, то и пишу."
> То есть, http://51t.ru/php.htmlТо есть вы считаете, что какой-то быдлосайт никому не известного автора из деградирующей страны является мерилом ценностей в Web? Сочувствую. W3C в данном случае - более авторитетное место :)
Вообще, смешно. Такие нападки на PHP я начал видеть где-то с появления 5.0, и в основном - от матерых проприерастов. Если до этого PHP всерьез не воспринимали - так, средство для хоумпейджа, то с 5.0 началась интересная эпопея.
На PHP (внезапно!) с появлением ООП (то, что было до 5.0, ООП назвать сложно) шустрые умелые ручки начали переписывать их, тех самых проприерастов-корпорастов, священную корову - буэизнесс-логику, за которую они цеплялись разве что ни зубами.
Да-да, именно её, написанную на безумных хранимках и засопливленную на костылях к аппсерверам апплогику. Потому, что писать не на хранимках на классических языках - с дуба рухнешь - во-первых, сложно и нудно (и массу ошибок порождает). Во-вторых - не исправить на лету. Каждый чих - перезапуск аппсервера. С обрывом всех толстых и тонких клиентов, часами вертящихся транзакций для очередного адчотега, и прочей чехардой.
А тут приходит PHP. Web для юзера оказывается куда удобнее, чем собранный на коленке интерфейс с кнопками в самых непредсказуемых местах. Вся бизнес-логика благополучно из хранимок (с сохранением только того, что действительно надо оставить в БД) перетекает в PHP-код, и получает плюсом к возросшей гибкости всё ту же возможность обновления на лету, без перезапуска чего-бы-то-ни-было и воплей - поскольку в новой среде пользовательские процессы живут только до логического завершения запроса. Удивительно - но по производительности новая инфраструктура оказывается не хуже, чем монолитные окаменевшие высеры рефлексирующих мамонтов, поскольку основное время занимает перелопачивание данных, а просторы языка позволяют делать с данными куда больше эротичных вещей, чем хранимки в эскуэлях, и гораздо быстрее. Опять же - простота и понятность легко вписалась в RAD-модели.
Такие дела... монстры ещё, конечно, не подтянулись (цепляются за дотнеты) - но поскольку винда как-то сдаёт позиции - имхо дело не за горами - пока что вижу всё больше и больше PHP в больших проектах.
бизнес-логика. на похапэ. ну, в Кровавом Интерпрайзе и не такое возможно, да…
> бизнес-логика. на похапэ. ну, в Кровавом Интерпрайзе и не такое возможно, да…Ты не поверишь. Ну, то что мне ближе - наиболее гибкие и удобные биллинговые системы (в т.ч. сертифицированные) - именно на PHP. Окаменевшие поделия на жабах существуют, но проживут максимум еще лет 5, не больше.
> Ты не поверишь.отчего же: поверю. Интерпрайз и разум? больший антагонизм придумать сложно.
>> бизнес-логика. на похапэ. ну, в Кровавом Интерпрайзе и не такое возможно, да…
> Ты не поверишь. Ну, то что мне ближе - наиболее гибкие и
> удобные биллинговые системы (в т.ч. сертифицированные) - именно на PHP.Пыхеры - это изобретатели колеса. Изобретают то, что цивилизованному человечеству известно уже давным давно, а потом выдают это за откровение. Хотя их реализация почти всегда хуже, но иллюзия (с помощью миллиона мартышек, которые прописали все частные случаи вместо смены подхода - они просто не могут смотреть широко и видеть всё, их узкий мирок позволяет им не сомневаться и не отвлекаться) работы создаётся. А реальная проблема в том, что это не работает, и это не поддерживается. И тогда набирается новая армия пыхеров, которые переписывают это. Ещё раз. Всемирная история, банк Империал.
Есть одна сила, которая всё это двигает, и сила эта - недостаток знаний. Проще говоря, деятельные дураки. Одно это уже должно заставить умного человека держаться от php подальше.
Короче говоря, пыхер знает, как решить проблему, которая у нормального разработчика не возникнет.Поэтому основной код пыхера - это обработка частных случаев и проблем, которые он сам же и создал. Почти всегда схемы их неочевидны, внутри - лапша. php - неэлегантный язык, а python - элегантный, там мучительно больно писать неправильно.
>> То есть, http://51t.ru/php.html
> То есть вы считаете, что какой-то быдлосайт никому не известного автора из
> деградирующей страны является мерилом ценностей в Web?opennet? нормальный сайт, особенно два года назад. и доводы вполне разумны. у php-шников, как и у виндузятников, я слышал ровно одно достоинство - нас больше. Но когда речь идёт о языке разработки, важно, насколько это удобно.
Кстати, ещё посмеяться - если вас больше, почему тогда в pypi под 20 000 модулей? Под некоторые решения я биндингов или нормальных биндингов в php вообще не видел. В отличие от python. Где на php что-то типа numpy, scipy? Где что-то типа ipython, хотя бы рядом? Если начать детально разбираться, от php не останется НИ ЧЕ ГО.
Но можно просто взять и сравнить, на чём писать проще, и что потом читать проще. И кто лидирует по уязвимостям.
ps. То в степь, то по дрова. Когда оказывается, что в одной нише преимуществ нет - скакун-пыхер скачет на другую. Но всё же хотелось бы увидеть преимущества по разработке, по проектированию, по поддержке, по удобству импортирования внешних модулей, в том числе оутсорцных (и вообще, по групповой разработке). Вдруг в php действительно появилось что-то, что делает его более современным языком, а мы все и не знаем? Или вдруг там второе пришествие register_globals планируется?
> Кстати, ещё посмеяться - если вас больше, почему тогда в pypi под
> 20 000 модулей?Потому, что "из коробки" там нет ничего... В отличие от php. Вот и приходится юзать неизвестно кем написанные модули с неизвестной репутацией.
Я еще раз повторюсь: PHP - это не совсем язык. Это языковая обёртка над доброй сотней проверенных временем библиотек. Точка.
а также потрясающая мощь авторов языка, исправляющих переполнение интов проверками типа (i > INT_MAX).
> а также потрясающая мощь авторов языка, исправляющих переполнение интов проверками типа
> (i > INT_MAX).А как надо?
> А как надо?надо нормально. i-то у них типа int. видимо, для смеха.
>> Кстати, ещё посмеяться - если вас больше, почему тогда в pypi под
>> 20 000 модулей?
> Потому, что "из коробки" там нет ничего...Если до этого это казалось какой-то клоунадой абсурда, то теперь это воинствующая некомпетентность.
> Я еще раз повторюсь: PHP - это не совсем язык. Это языковая
> обёртка над доброй сотней проверенных временем библиотек. Точка.Если все вокруг такие умные, почему в google смеются от "php разработчик".
Каких библиотек, каким временем? Там хотя бы json из коробки уже появился?
Ответка: python - это оболочка над dict-ами. и что в php делают сотней воркэраундов, в python, разобравшись, делают легко и элегантно с помощью dict-ов. которые в php до сих пор нельзя удобно использовать.Но главное в век открытых технологий - это всё-таки поддерживаемость. И тут у php нет вообще никакой культуры. Только "сотня проверенных библиотек", при которой каждый php-шник переписывает всё по-своему. И именно поэтой причине, если поддерживаемость станет действительно маркетинговым словом (и люди поймут, как оно экономит годы и миллионы, потому что действительно экономит) - php вылетит из всех ниш, он банально не может ничего предложить. Кроме лапши, которой все уже наелись.
> Каких библиотек, каким временем? Там хотя бы json из коробки уже появился?С разморозкой.
>> Каких библиотек, каким временем? Там хотя бы json из коробки уже появился?
> С разморозкой.Появился? И как я об этом узнаю? В python и ruby модуль - это самодокументированная боевая единица, информация о которой сразу появится и в pydoc, и в автокомплите, у модуля просто нет шанса спрятаться. А как узнать "in place", как пользоваться этим json? Особенно, если я в этот момент пишу, любуюясь красотами залива, и никакого интернета у меня нет?
> А как узнать "in place", как пользоваться этим json? Особенно, если
> я в этот момент пишу, любуюясь красотами залива, и никакого интернета
> у меня нет?А еще можно глаза закрывать, и ждать аудиоподсказок. Не пробовал?
>> А как узнать "in place", как пользоваться этим json? Особенно, если
>> я в этот момент пишу, любуюясь красотами залива, и никакого интернета у меня нет?
> А еще можно глаза закрывать, и ждать аудиоподсказок. Не пробовал?Если одна вещь делает что-то, а вторая вещь делает это удобнее - вторая намного лучше.
Большая часть проблем, которые создаются в этом мире - созданы из-за неочевидных причин и сложных причинно-следственных связей. И единственный способ бороться с этим - делать всё очевиднее и прозрачнее. А не решать проблемы, которые героически себе создал.
Читайте Реймонда, он рулез.
> Большая часть проблем, которые создаются в этом мире - созданы из-за неочевидных
> причин и сложных причинно-следственных связей. И единственный способ бороться с этим
> - делать всё очевиднее и прозрачнее. А не решать проблемы, которыеТогда могу только предложить тебе начать с себя, и деградировать до амёбы, чтобы устранить из себя все "неочевидные и сложные причинно-следственные связи". Дерзай
>> Большая часть проблем, которые создаются в этом мире - созданы из-за неочевидных
>> причин и сложных причинно-следственных связей. И единственный способ бороться с этим
>> - делать всё очевиднее и прозрачнее. А не решать проблемы, которые
> Тогда могу только предложить тебе начать с себя, и деградировать до амёбы,Уподобляетесь амёбе как раз вы. У вас есть только крайности, есть нежелание думать, понимать и даже не замечать очевидного, если оно вредит вашему фетишу.
python лучше php почти во всём, и даже если вы тут прилюдно сами у себя отсосёте, это не изменит этого. Проблема только в том, что python вы не знаете, а ущербным себя чувствовать не хочется. И раз вы не можете дорасти до уровня python, значит будете действовать единственно известным амёбё образом - будете опускать тех, кто выше.
У вас же враг, на который вы тут литры слюней изливаете, не tcl, а python. И вы сами знаете, почему. А аргумент "зато быдла больше" - никогда не характеризовал хорошую вещь, зато всегда отлично характеризовал дерьмо всякое. А у измазанных в дерьме, смотрю, одна цель - измазать в нём и окружающих. Вот как вас после этого человеком считать, и не испытывать желание пробить вам бошку чем-то металлическим, пока мозги не потекут?
> У вас же враг, на который вы тут литры слюней изливаете, не
> tcl, а python.Бугага, я про python вообще ни слова не сказал. В отличие от вас, обсирающего PHP на каждом шагу. Собственно сам на своем же тезисе и спалился, г-н хороший xD
> Бугага, я про python вообще ни слова не сказал. В отличие от
> вас, обсирающего PHP на каждом шагу. Собственно сам на своем же
> тезисе и спалился, г-н хороший xDКровь нашу пьёт, а сам всё дохлый!
ох, лучше никак не узнавать. мне не так давно случилось поработать с выхлопом этого недомодуля. и попытаться его покормить тоже. то, что он высирает — что угодно, но не json. и, понятно, валидный по стандарту json оно тоже не жрёт. потому что писали этот модуль — как и остальные сто тысяч девятьсот девяносто девять — Очень Странные Люди.возможно, с тех пор там что-то починили — мне, к счастью, уже без разницы.
> уж как бы вы терпеть не могли PHP и решения на нем,
> статистика беспощадна:
> я даже комментировать не стануЯ уже объяснял, как взялась эта статистика.
Это всё равно, что протестовать против изобретения автомобилей и поездов, мотивируя это тем, что по статистике лошадей больше, чем автомобилей и поездов.
Но суть не в этом. Суть в статистике уязвимостей. И тут вопрос, который каждый задаёт сам себе - хочешь удобно и безопасно, или хочешь быть частью общего ботнета.
Если бы php-шники не мешали другим, то лично к ним у меня претензий бы не было никогда. Это их личное дело, что они там ковыряют. Но последствия ощущаю даже я, в де-php-зированной зоне (хотя у меня php-fpm где-то установлен, хоть и не включён).
Поэтому я обращаюсь ко всем PHP-шникам доброй воли - НЕ МЕШАЙТЕ ДРУГИМ. А ещё лучше - бегите от этого ужаса, рано или поздно он вас придавит. А если не он, то я: кто-то же должен убирать этот мусор.
> Поэтому я обращаюсь ко всем PHP-шникам доброй воли - НЕ МЕШАЙТЕ ДРУГИМ.Ты очень похож на сексуальное меньшинство - тебя мало, ты любитель извращений, вроде питона в вёбе - но всё равно находишь в себе наглости "обращаться".
PHP'шники никому не мешают. Мешает школота, считающая себя PHP'шниками. Сам язык не при чём. Я бы с радостью перегнал всю эту школоту на пистон, но, к сожалению, она не воспринимает его как язык - на нём быстро и просто не сделать ровным счётом ничего. И в вёб за пять минут не вывесить. Весь минус (и плюс) PHP - в его понятности, возможностях, простоте и доступности (в том числе для быдлокодеров). Остальные попытки сделать Web-язык из говна и палок^W^W^W, простите, руби и рельсов (а также аналоги) - слегка отсасывают в этом направлении, отсюда и статистика W3C.
>> Поэтому я обращаюсь ко всем PHP-шникам доброй воли - НЕ МЕШАЙТЕ ДРУГИМ.
> Ты очень похож на сексуальное меньшинство - тебя мало, ты любитель извращений,
> вроде питона в вёбе - но всё равно находишь в себе наглости "обращаться".Меня много. А наглость - второе счастье.
Серьёзные вебдевелоперы php не применяют. А там, где вляпались по историческим причинам - изобретают свой php, чтобы безболезненно перевести всё это добро на компилируемые языки со строгой типизацией.
ps. http://51t.ru/php.html и надо уже вторую часть писать.
> PHP'шники никому не мешают. Мешает школота, считающая себя PHP'шниками. Сам язык не
> при чём. Я бы с радостью перегнал всю эту школоту на
> пистон, но, к сожалению, она не воспринимает его как язык -
> на нём быстро и просто не сделать ровным счётом ничего.Это на php быстро и просто не сделать ровным счётом ничего. Особенно с нормальными роутами без настроек веб-сервера.
> И в вёб за пять минут не вывесить.Да. Потому что очень долго. 30 секунд - вот это нормально.
Зато попытка сделать независимые нормальные роуты в php длится и будет длиться лет 50.
Когда я в python пишу один global, php-шники делают километровую схему кеширования, потому что от своей модели они не избавятся в принципе.
Зато в google и yandex никогда не будут считать php-шников веб-разработчиками. Ближайшие 50 лет - точно.
> Весь минус (и плюс) PHP - в его понятности, возможностях, простоте и доступности (в том
> числе для быдлокодеров). Остальные попытки сделать Web-язык из говна и палок^W^W^W,
> простите, руби и рельсов (а также аналоги) - слегка отсасывают в
> этом направлении, отсюда и статистика W3C.Нихерашеньки подобного.
python понятнее, нагляднее и читабельнее. Особенно для новичка. И без тонны идиотских скобочек. Поэтому на php пишут только галереи с собачками, которые обычно переписывают по нескольку раз. Я не вижу крупных и серьёзных проектов (кроме facebook, где php - это проклятье, и где изобретают новый язык, чтобы всё это хоть как-то перетранслировать), которые сделаны на php. Я не вижу php в google. Я не вижу php в twitter. Я не вижу php на youtube.
Кстати, теперь даже пыхеры осознают, что нужно писать на фреймворках... скопированных с ruby и python. Только при модели использования php - это не пришей козе баян. Никогда нативно не будет работать схема:@route('/page/<id:int>')
def page_list(id):
return ...потому что это работает только через механизм перезаписи веб-сервера, который у каждого сервера свой, а эталонно вообще не реализуется.
Поэтому половина пыхеров пишет, как придётся, половина - пытается применить схемы из ruby/python в своём прогрессивном php (и это работает гораздо хуже, чем в оригинале, некоторых вещей в php просто нет), бедные и несчастные пытаются городить воркэраунды "давайте представим, что php - это вовсе не php", разброд, шатание, шум, гам.
Проще писать на нормальных языках, и получать бонусы в поддержку. Бонусы сразу (а не "вот это я пишу для просто так, а вот это - потому что так заставляют"), и именно потому, что неправильно написать будет очень сложно, и если кто и напишет - то, скорее всего, напишет нормально. И это займёт у него меньше времени - больше времени придётся подумать, может даже стрелочки почертить, зато код будет в 3 раза короче. А значит - проще читать, проще понимать.
> Никогда нативно не будет работать схема:
> @route('/page/<id:int>')
> def page_list(id):
> return ...И не надо, тьфу-тьфу. Ибо язык ныне уже универсальный, а не наколенное поделие для хоумпаг, каким когда-то было.
> И не надо, тьфу-тьфу. Ибо язык ныне уже универсальный, а не наколенное
> поделие для хоумпаг, каким когда-то было.вот хоть ты мне поясни тогда: зачем в похапэ сигилы? в sh это унарный оператор, тут ясно. в перле — кое-как пытаются типы показывать. а какое разумное пояснение наличию сигилов в похапэ?
> И не надо, тьфу-тьфу. Ибо язык ныне уже универсальный, а не наколенное
> поделие для хоумпаг, каким когда-то было.Хм. Вижу на python игрушки, несколько утилит, включая мелкие полезняшки, gajim, debian/ubuntu software center, http://www.sagemath.org/ и прочие приложения. на php, кроме вордпресса и его друзей, не вижу ничего.
Конечно, не надо. На php не надо писать быстрые и несложные веб-приложения. Потому что есть более разумные средства. Где просто набросать один файлик, кинуть шаблоны и всё.
> Хм. Вижу на python игрушки, несколько утилитИ этим всё сказано. 0.2% - игрушки и несколько утилит. И то мелкие.
>> Хм. Вижу на python игрушки, несколько утилит
> И этим всё сказано.Этим сказано, что python - универсальный язык, а php - это переросток ssi.
> уж как бы вы терпеть не могли PHP и решения на нем,
> статистика беспощадна:
> я даже комментировать не стану
> WordPress
> http://w3techs.com/technologies/overview/content_management/all
> PHP
> http://w3techs.com/technologies/overview/programming_languag...Кстати, откуда взялся этот рейтинг? Откуда оно знает, что вот эта страничка: http://enjoy.51t.ru/index.html - на python, а вот эта: http://51t.ru/index.html - нет?
> Кстати, откуда взялся этот рейтинг? Откуда оно знает, что вот эта страничка:
> http://enjoy.51t.ru/index.html - на python, а вот эта: http://51t.ru/index.html - нет?С вероятностью 80% оно вообще не знает, что данные странички существуют.
>> Кстати, откуда взялся этот рейтинг? Откуда оно знает, что вот эта страничка:
>> http://enjoy.51t.ru/index.html - на python, а вот эта: http://51t.ru/index.html - нет?
> С вероятностью 80% оно вообще не знает, что данные странички существуют.Тогда php вообще не существует. Потому что его нет в google, yandex и других популярных зеркалах веба.
> Тогда php вообще не существует. Потому что его нет в google, yandex
> и других популярных зеркалах веба.Бизнес-логику трогать не будем - есть огромная масса энтерпрайза, часть из которого не светит в сеть вообще.
А так - Yahoo. Facebook. Vk. Это из "популярных".
Во всем виноват дырявый Линукс!
> Во всем виноват дырявый Линукс!Анатолий Борисович фамилию, что ли, сменил?
и эти идиоты не сделали элементарную защиту от перебора паролей? ну какой человек сможет ввести 100 паролей в секунде?
правильно, что их ломают
> и эти идиоты не сделали элементарную защиту от перебора паролей? ну какой
> человек сможет ввести 100 паролей в секунде?
> правильно, что их ломаютЗагромождать код тем, что ему не свойственно - это усложнять схему, это отход от unixway. Такие вещи лучше делать на сервере или с помощью middleware, а не в самом коде.
> Загромождать код тем, что ему не свойственно - это усложнять схему, это
> отход от unixway. Такие вещи лучше делать на сервере или с
> помощью middleware, а не в самом коде.Кстати, как в php с простым и удобным добавлением middleware дела обстоят?
я тебе страшный секрет открою: не надо реализацию ввода пароля отдавть «наружу». это не «unixway», это дебилизм.
> я тебе страшный секрет открою: не надо реализацию ввода пароля отдавть «наружу».
> это не «unixway», это дебилизм.Не реализацию ввода пароля. Контроль за перебором.
> Не реализацию ввода пароля. Контроль за перебором.это, вообще-то, часть реализации. если у дятлов нет honeypot, нет рандомизации полей, нет time limit… ну, идиоты везде идиоты.
> и эти идиоты не сделали элементарную защиту от перебора паролей? ну какой
> человек сможет ввести 100 паролей в секунде?
> правильно, что их ломаютв wordpress практически любой функционал добавляется плагинами
http://wordpress.org/extend/plugins/limit-login-attempts/воть... 265 тыс загрузок
> в wordpress практически любой функционал добавляется плагинами
> http://wordpress.org/extend/plugins/limit-login-attempts/
> воть... 265 тыс загрузокЕще бы неплохо, конечно, эти плагины перед добавлением анализировать - но 99% юзеров вордпресса этого не умеют, а потому - качество популярных плагинов вполне эквивалентно результату...
хорошо что я с WP ушёл ещё в далёком 2009-м.... ))))
http://mezzanine.jupo.org/