Comments 10
Антипиар бесплатных CMS? :-)
По опыту могу сказать, что коммерческие CMS, если их не обновлять и ставить врезные расширения уязвимы не меньше, чем бесплатные аналоги.
По опыту могу сказать, что коммерческие CMS, если их не обновлять и ставить врезные расширения уязвимы не меньше, чем бесплатные аналоги.
UFO just landed and posted this here
Я говорил применительно к этой статье.
В той же Joomla за всю историю было обнаружено 3 или 4 действительно серьезных уязвимости, и они были исправлены буквально на следующий день. Все остальные проблемы с безопасностью были в сторонних расширениях. То есть если поставить Joomla в чистом виде и ее обновлять регулярно, вас вряд ли когда нибудь взломают по вине CMS.
В WP были проблемы с безопасностью, которые вызывали массовые эпидемии в основном они были вызваны js плагинами используемыми в движке, и самые громкие эпидемии были из-за библиотек используемых в шаблонах сторонних разработчиков.
Что же касается многих коммерческих CMS, то их просто не пытаются ломать массово из-за, крайне маленькой доли, согласитесь либо Joomla и WP в паре держат больше 50% рынка всех сайтов и дыра найденная может принести взломщикам реальную выгоду, либо какая-нибудь коммерческая CMS которая имеет 0.001% рынка.
Используя коммерческую CMS особенно не популярную у вас есть шанс избежать массовой атаки каким либо ботом, но вот если кому-то вздумается сломать ваш сайт, то не факт, что он найдет дыру в коммерческой cms. Дыру же в популярной открытой CMS найти достаточно сложно.
Но еще раз повторюсь, что все это применимо к базовым дистрибутивам, с расширениями для cms уже не так радужно.
В той же Joomla за всю историю было обнаружено 3 или 4 действительно серьезных уязвимости, и они были исправлены буквально на следующий день. Все остальные проблемы с безопасностью были в сторонних расширениях. То есть если поставить Joomla в чистом виде и ее обновлять регулярно, вас вряд ли когда нибудь взломают по вине CMS.
В WP были проблемы с безопасностью, которые вызывали массовые эпидемии в основном они были вызваны js плагинами используемыми в движке, и самые громкие эпидемии были из-за библиотек используемых в шаблонах сторонних разработчиков.
Что же касается многих коммерческих CMS, то их просто не пытаются ломать массово из-за, крайне маленькой доли, согласитесь либо Joomla и WP в паре держат больше 50% рынка всех сайтов и дыра найденная может принести взломщикам реальную выгоду, либо какая-нибудь коммерческая CMS которая имеет 0.001% рынка.
Используя коммерческую CMS особенно не популярную у вас есть шанс избежать массовой атаки каким либо ботом, но вот если кому-то вздумается сломать ваш сайт, то не факт, что он найдет дыру в коммерческой cms. Дыру же в популярной открытой CMS найти достаточно сложно.
Но еще раз повторюсь, что все это применимо к базовым дистрибутивам, с расширениями для cms уже не так радужно.
Кто-нибудь может пояснить, зачем такая сложная схема? Почему не делают просто вставку кода по referrer/useragent?
Минусы смены урл:
1) нужно дождаться, пока проиндексирует поисковик (и выкинет старые страницы), за это время владелец сайта может зачистить паразитный код
2) не работает на своих URL-rewrite (например, в nginx)
3) могут проснуться поисковики и отметить сайт как вредоносный
Какие плюсы?
Минусы смены урл:
1) нужно дождаться, пока проиндексирует поисковик (и выкинет старые страницы), за это время владелец сайта может зачистить паразитный код
2) не работает на своих URL-rewrite (например, в nginx)
3) могут проснуться поисковики и отметить сайт как вредоносный
Какие плюсы?
Конечно, плохо, когда роутер у CMS дырявый попадается…
Если что — закрываем «дыры» правилами mod_rewrite [F] в .htaccess-e…
Если что — закрываем «дыры» правилами mod_rewrite [F] в .htaccess-e…
UFO just landed and posted this here
Я не понял суть уязвимости. Кто-то залил шел на веб-сервер? Причем здесь поисковые системы?
Используйте GIT, тогда сразу можно найти изменения, без всяких ненужных поисков.
Sign up to leave a comment.
Внедрение через URL: www.site.ru/?jn=xxxxxxxx