ptsecurity May 12 2017 at 14:41

Уязвимости нулевого дня в Wordpress и Vanilla Forums позволяют удаленно взламывать сайты

4 min

15K

Positive Technologies corporate blogWordPress * Information Security *

+12

Comments 14

lostpassword May 12 2017 at 18:26

Спасибо за статью!

UFO landed and left these words here

redfs May 12 2017 at 19:44

Каждый раз при виде исходников Wordpress

А в 2003 вы их видели? Еще на php4? Тоже было стыдно за язык и хотелось плакать? Я, как и вы, к WP крайне отрицательно отношусь (в основном из за дырявой архитектуры), но зря вы повторяете шаблонные глупости.

NorthDakota May 12 2017 at 20:40

Так тут не шаблонные глупости, шаблонные глупости у разработчиков вордпресса, причем шаблонные глупости 2003 года как вы сами написали.
Вместо того чтобы переписать свою систему с нуля — нормально, они до сих пор пилят новые костыли на старый лад. Каждую неделю только и слышно что в вордпрессе найдена новая критическая уязвимость.

redfs May 13 2017 at 04:36

Да, все так. Но после того, как экосистема WP обросла кучей плагинов от разных разработчиков идея переписать ее с нуля потеряла всякий смысл. Без нарушения обратной совместимости там уже практически невозможно что-то сделать — только костыли писать.
Просто надо понимать, что WP — это очень старая система с тяжелым наследством. Кмк WP находится в состоянии затянувшейся агонии уже лет 8-10 и держится в основном за счет того, что сильно выстрелил при рождении. Такой своеобразный жизненный цикл проекта.

Но рыдать, глядеть на исходники, и стыдится за язык программирования? Это, конечно, очень трогательно, но как то картинно. На прошлой неделе я проводил собеседование с соискателем должности программиста php, так он мне тоже сказал, что глядя на некоторые исходники ему стыдно за язык программирования. Фраза для меня была настолько необычной, что запомнилась. И вот снова…

Dreyk May 13 2017 at 06:02

потому что обидно, когда из-за такого кода весь язык считают недоязыком даже те, кто ни строчки не написал не только на нем, но и вообще :/

redfs May 13 2017 at 07:26

Ну… стоит ли обижаться на таких людей? Да мне кажется у любого ЯП есть свои хейтеры и свои евангелисты, php тут не является каким-то исключением. Мне лично внушает оптимизм процесс развития языка в последние годы, во всяком случае он уже сильно отличается от того, на чем был написан WP :)

xRay May 13 2017 at 08:26

На первом этапе можно переписать внутренний код движка не меня внешний API для расширений.

maxic May 12 2017 at 22:44

А причем здесь PHP
Просто у WP неандертальская архитектура. Точнее её просто нету. Бессвязный набор функционального кода.
Я много раз в других языках наблюдал не лучше

Revertis May 13 2017 at 12:57

Хм, как много отрицательных отзывов о WP… А может посоветуете чем её можно заменить для простого бложика? Только не на JS.

wolfus May 13 2017 at 22:26

MODx

egor_bulychev May 14 2017 at 14:06

для простого блога хватит и такого http://blogengine.ru/

nikitasius May 14 2017 at 17:55

На каждую систему есть вагон плохих отзывов. Если нужен блог — используйте WP, мой вам совет.

Что до этой уязвимости… да она такая что вырви глаз, но она эксплуатируется, если и админ криворучка и у него нет в конфигурации дефолтного домена.

Если дефолтный домен есть, то при запросе по айпи будет… дефолтный ответ, который никаким боком к WP отношения не имеет и нельзя будет использовать эту уязвимость.

vovasik May 15 2017 at 05:09

Имя столько удачи сколько нужно для эксплуатации этой уязвимости я бы лучше в рулетку выигрывал.