Pull to refresh
-28
0
Владимир Петрозаводский @vovasik

Разработчик

Send message
ну как и следует из кода это не баг ядра, а скорее всего бекдор
ну так нет в ядре такого хука, сейчас проверю конечно на чистой установке, но это маловероятно
так а на что заменить, все в чем есть вендорный код так же уязвимо в той же степени. В данном случае просто выключить плохо плагин и надеться что остальные плагины более надежные
ну что можно сказать, всему виной легаси и варезные плагины и темы обычно )) (хотя в статье описан не такой сценарий заражения) нужно избавляться от сомнительного кода если совсем нет возможности разбираться с этим можно на pressjitsu.com переехать, там сам хостер следит за такими инцидентами, может поможет в данной ситуации. А так только газами просматривать все обновления и код плагинов даже если они из проверенных источников, к несчастью иного пока не дано
Конечно нужно постоянно обновлять плагины и ставить обновления ядра сразу же после выхода, хоть в данном случае это и не спасет все же делать это нужно всегда потому что сэкономить много времени и нервов в дальнейшем.

А еще вот так
location ~ \.php$ {
        location ~ ^/wp-admin/ {
            auth_basic "Restricted";
            auth_basic_user_file /etc/nginx/.htpasswd;
        }
       ...
}


лучше всего вобще никогда не делать ибо плагины и темы часто обращаются к wp-admin/ admin-ajax.php из своих яваскиптов, и скажем к примеры если закрыть этот файл авторизацией могут не запросто перестать работать такие вещи как формы заказа, обратной связи комментарии и вобще что угодно, причем админ сайта скорее всеговведет пароль и не заметит проблем в то время посетители увидят поломанный сайт. Плохо что авторы таких крутых в кавычках советов этого не понимают. Это вобще худшее что можно посоветовать
а так вобще проблема в этом WP Security Audit Log плагине как уже ниже написали, и он как не прискорбно лежит в в официальном репозитории вот — plugins.trac.wordpress.org/browser/wp-security-audit-log/trunk/sdk/freemius/includes/class-freemius.php#L3060 просто удалить WP Security Audit Log и никогда его не ставить поможет
с целью усугубить проблему, basic auth как нельзя лучше подойдет, а так не лучше так не делать, а так вобще лучше никогда не закрывать admin-ajax.php от внешних запросов
Пост о том как нехорошо использовать CMS основывающийся на опыте использования фреймворка Yii2, так так очень интересно.
Какие там плагины будет конфликтовать и кто запрещает писать документацию. Сам Yii прекрасно документирован, не разу не видел на сайтах Yii или какой либо cms призыва не писать документацию.

Так может не надо на зеркало пенять, коли… сами знаете что

Есть странные участки кода типо этого файлика — phpinfo.php_del, возможно сделаю пулреквест

ну где то процентов 10 вторая в мире и наверное близко к 50% первая в мире cms конечно пренебречь второй по популярности наверное пока еще нельзя, но кажется это уже почти не популярная к счастью или сожалению. Поэтому верхний коммент в ветке имеет место быть

С популярными то понятно, но это же joomla

Из перечисленного
PHP. Объекты, шаблоны и методики программирования, Мэт Зандстра

Хорошая остальные почти все читал или начинал, не понравилось
Казалось бы причем тут какая либо CMS
да где там докер то, cli пытался изобретать но в итоге получился другой визард вместо стандартного, почти такой же но более дырявый
А нормальным способом сделать не легче было:
wp core download —path=/tmp/123/ && wp config create —dbname=testing —dbuser=wp —dbpass=passwd —locale=ru_RU && wp core install —url=site.com —title=Site —admin_user=user —admin_password=passwd —admin_email=user@site.com —path=/tmp/123/

Стоило погуглить готовые решения.

Через wp-cli например. Никаких дампов с паролем администратора в гитхабе никаких взрывающихся курсоров и логотипов темплейт монстра (хотя возможно статья писалась как раз под то чтоб логотип прикрепить) просто запустил и работает, самое главное лень удовлетворена, прочел документацию и выполнил команды установки, вместо того чтоб бы бы код новичками писать.

Вообщем не благодарите.
Сочувствую блин в РФ НДС вообще на все покупки 18% в есть планы повышения до 20 в ближайшее время, и что теперь поделать. Не покупать IDE что-ли.
Нужно больше однотипных подкастов про JavaScript с одним и тем же набором гостей/ведущих/тем
Ну так CDN самое простое решение в лоб cloudflare там какой нибудь, наверняка может закешировать ответ и от одной машины точно сайт не ляжет)) а так уже за те пару дней что я пишу эти комменты wordpress дважды выпустил обновления, будь я администратором пары десятков сайтов, уже бы замучился проверять не сломалось ли чего
ну баш то башем )) на уровне сервера все же лучше решать такие проблемы, сделал и забыл )) каждый раз когда прилетело обновление баш дергать что-ли
Это первая строчка в азбуке по WP.
я так полагаю и пруф есть на азбуку? Прямо так на чистом британском называется с большой буквы «Азбука» наверное.
Выше написали
Хотя если в ссылках есть что-то типа "/xxxxxxxxxxx", то не поможет. Наверное, это и подразумевалось под «захардкорено»?

потому что не надо раздавать советы патчить вендорные библиотеки если особенно в этом не разбираешься, тем более параллельно выдумывать источники где это рекомендуется.

Basic auth тоже не спасет потому что вот допустим закрыл я им доступ к каталогу /wp-admin/ и сразу же поломаются все ajax запросы на сайте ибо для них точкой входа служит /wp-admin/admin-ajax.php и самое прекрасное что будучи админом послушав такого ценного совета я скорее всего пароль сразу введу и сайт только для пользователей поломается, админ будучи авторизованным и не заметит, можно конечно все понять правильно и закрыть доступ ко всем файлам за исключением admin-ajax.php но это тоже не серебряная пуля ибо все равно есть предпосылки для возможных проблем и вводить два пароля минимум ниже человеческого достоинства. Надеюсь в Cloud4Y так не сделано.

И я бы еще понял если бы такие советы давали в кометах на фейсбуке или вконтаче но никак не на хабре при этом многие комменты заплюсовали, единственное нормальное решение которое бы стоило бы упомянуть это настроить fail2ban никто не вспомнил, хотя настроить его чуть ли не проще чем Basic auth прикрутить и он точно спасет от ддоса одной машиной, cloudflare тоже никто не догадался посоветовать )) В качестве совета, если вдруг кается что в интернете ты умнее всех со своим костыльными решениями то сходи в места где общаются профессионалы в этой конкретной области будь то сисадмины или разработчики не важно и это быстро пройдет

Information

Rating
Does not participate
Location
Краснодар, Краснодарский край, Россия
Date of birth
Registered
Activity