Разработка

По последним данным статистики (данные W3Techs за 2025 год), в настоящий момент 43,1% сайтов в интернете работают на CMS Wordpress. Это самая массовая система управления содержимым. Этот факт автоматически делает эту CMS приоритетной целью для злоумышленников: широкое использование CMS дает возможности для массовых воспроизводимых атак при обнаружении любой уязвимости. 

По статистике Wordfence за 2024 год, количество обнаруженных уязвимостей в плагинах и темах выросло на 68% год к году. Причём Wordfence фиксирует, что значимая доля уязвимостей длительное время остаётся непропатченной — в том числе из-за заброшенных расширений, которые администраторы нередко продолжают держать активными.

В практической жизни это выглядит очень просто: сегодня вы честно обновили ядро и главные плагины, а завтра выходит критический баг в каком-нибудь маленьком заброшенном модуле, модуль тихо продолжает работать, делая сайт уязвимым. 

Под катом мы поговорим о WPScan — инструменте, которому, на мой взгляд, уделено незаслуженно мало внимания на Хабре — всего две статьи за все время, да еще в трёх-четырёх этот инструмент упоминается вскользь. Помимо освещения практического использования самого сканера, мы разберём куда более фундаментальные вопросы: как обстоит вопрос с уязвимостями в WP и как вообще строить процесс управления уязвимостями. 

Привет Хабр, меня зовут Эдуард, и я хочу поделиться своими наблюдениями о том, как статистические алгоритмы извлекают грамматику из текстов.

Сегодня Windows уже не та, что в нулевых: у большинства пользователей на компьютере по умолчанию есть вполне вменяемый защитник — Microsoft Defender. При этом рынок платных антивирусов живёт и чувствует себя неплохо, а ESET, Kaspersky, Bitdefender и другие продолжают собирать награды в независимых тестах. Возникает практичный вопрос: айтишнику и просто продвинутому пользователю в 2025-м действительно нужен отдельный антивирус или достаточно встроенного Defender?

Logos AI Assistant — это не просто инструмент для автоматизации, это ваш творческий и исполнительный партнёр для решения широкого круга задач прямо на рабочем
столе. Он обладает всеми возможностями продвинутых ИИ-ассистентов, таких как Gemini CLI: может писать код, создавать и редактировать тексты, работать с файлами и
выполнять сложные команды в терминале.

Но Logos идёт гораздо дальше. Его ключевое преимущество — это выход за пределы командной строки. Благодаря движку компьютерного зрения OmniParser, ассистент
получает «глаза», а через управление мышью и клавиатурой — «руки». Это фундаментально расширяет перечень решаемых задач. Теперь LLM не ограничена файловой системой и терминалом; она может работать внутри любого графического приложения на вашем компьютере.

Всем привет! Пока мир знакомится с новогодним подарком в лице React2Shell и ловит флешбэки в ноябрь 2021-го, давайте подведём итоги этого ноября дайджестом главных CVE прошлого месяца и вспомним его добрым словом.

В ОС Android версий с 13 по 16 включительно закрыли 0-click под RCE, связанный с недостаточной проверкой входных данных. Схожую уязвимость обнаружили и в библиотеке Javascript expr-eval c произвольным кодом в контексте приложения. Произвольными командами отметился и Cisco UCCX. Критических CVE под разное произвольное в ноябре в целом было много: пострадали также 7-Zip, Gladinet Triofox, Fortinet FortiWeb и Google Chrome. Обо всём этом и других ключевых уязвимостях последнего осеннего месяца читайте под катом!

В сфере ИТ-услуг и в любом виде деятельности существует парадоксальное явление, которое называется «Эффектом арбузов» (The Watermelon Effect of SLAs). Представьте себе ситуацию: все метрики в норме, SLA выполняются, отчеты пестрят зеленым цветом, но пользователи недовольны. Именно это и есть «Эффект арбузов» – снаружи все выглядит хорошо (зеленый цвет метрик), но внутри скрывается совсем другая картина (заказчики недовольны, метрики красные).

В этой статье мы рассмотрим, почему возникает «Эффект арбузов», какие ограничения имеют традиционные SLA, и как современные подходы, такие как XLA (соглашения об уровне опыта), помогают преодолеть этот разрыв. Мы также обсудим, как внедрение клиентоцентричного подхода в ITSM и ESM может повысить качество услуг и удовлетворенность заказчиков.

Отпуск, целых две недели, без программирования.
К вечеру первого дня уже не знал чем себя занять. Работать мне запретили.. гады.
Как ещё может отдыхать программист? Делать новый pet-project.

Надеюсь на картинке не я...

Привет, Хабр! Сегодня мы изучим недорогую, но весьма качественную педаль для электрогитары, реализующую эффект фленджера, знакомый нам по множеству культовых записей любимых музыкальных групп.

Снова на связи я –Дмитрий, React-разработчик, и в этот раз мы поговорим о создании фундамента для дальнейшей разработки.

Идея — сделать компонент в реакте, который сможет отобразить файл Excel в обычной HTML-таблице со всеми слияниями ячеек, форматированием, несколькими строками заголовка и полностью сохранённой структурой.

Казалось бы, задача простая: берёшь любую библиотеку, читаешь файл и показываешь. На практике всё оказалось гораздо интереснее.

Привет! Меня зовут Александр, я ведущий разработчик VK Tech в команде, которая занимается сервисом Kubernetes в нашем публичном облаке. Все чаще провайдеры отказываются от модели, где пользователь получает полный контроль над кластером и всеми управляющими компонентами, в пользу управляемых (managed) решений. В такой архитектуре вы остаетесь администратором внутри своего кластера — создаете неймспейсы, деплоите приложения, настраиваете RBAC, — но инфраструктура, control plane и системные компоненты полностью управляются провайдером и скрыты от глаз пользователя. 

В начале декабря наша команда выпустила новый сервис managed-k8s, в котором как раз реализован такой подход. Я расскажу вам про то, как выглядит наш Kubernetes с точки зрения архитектуры и каким образом Gatekeeper делает архитектуру безопасной.

Информационная безопасность в ритейле всегда была сложным аспектом бизнеса. В отличие от многих других отраслей, здесь любой сбой моментально становится финансовым: если остановился сайт или платёжный шлюз, клиент буквально разворачивается и уходит. Если не работает кассовое ПО — магазин стоит. Если произошла утечка клиентских данных — в ход идут штрафы, репутационные потери и утрата доверия.

За последние годы я неоднократно сталкивался с ситуацией, когда ритейлинговая компания вкладывает значительные средства в ИБ — покупает новые средства защиты, нанимает людей, масштабирует инфраструктуру — а проблемы только нарастают. Инциденты не исчезают, атаки проходят успешно, аудиты показывают низкую зрелость процессов. Снаружи всё выглядит так, будто ИБ-служба просто «не справляется», но на деле корень проблемы совершенно другой.

И почти всегда это не из-за бюджета или людей, а из-за процессов.

Привет, Хабр! На связи команда архитекторов, разработчиков и тестировщиков Рунити, которые внедряли функцию «Мультидоступ» в личный кабинет Руцентра. В этой статье рассказываем, как добавляли ролевые проверки, перестраивали контур авторизации и дорабатывали существующую инфраструктуру личного кабинета доменного регистратора. Проект получился объемным, график — насыщенным, но обо всем по порядку :) 

Надеемся, что эта статья пригодится командам, которые развивают большие продукты и внедряют в них новые контуры авторизации.

Представьте круглосуточную работу в SOC. В понедельник аналитик первой смены расследует вирусное заражение через почту. В среду аналитик второй смены разбирает алерт от NGFW о передаче вредоносного файла. Оба профессионалы, оба закрывают алерты по регламенту. Но они не заметили, что разбирали два шага одной атаки, просто потому, что ключевая улика — хитрое название сигнатуры — затерялась в простыне текстового описания, а не лежала в отдельном поле. Вот он, «цифровой туман».

Проблема не в том, что скрипты не умеют сравнивать строки, они не понимают, что HOSTNAME и hostname.corp.local — по сути одно и то же. Они далеко не всегда могут выцепить IP-адрес из комментария заказчика. А когда за день сыплются десятки, а то и сотни алертов, искать подобные связи руками — это прямо боль.

В поисках лекарства мы пошли на рискованный эксперимент: решили построить систему, которая находит неочевидные связи с помощью LLM. А валидатором выбрали человека, который называет себя «одним из основных хейтеров LLM и нейросетей».

Под катом Кирилл Рупасов, технический директор SOC К2 Кибербезопасность, Юлия Гильмуллина, старший инженер-разработчик К2Тех, и Татьяна Белякова, ведущий системный аналитик К2Тех расскажут о том, как подружить Gemma, Qdrant и DBSCAN. Как прагматичный инжиниринг, борьба с галлюцинациями и месяцы ручной отладки заставили главного скептика признать: да, в таком виде это действительно работает.

В прошлой статье мы рассказывали о GigaAM — семействе открытых акустических моделей для русского языка и их дообученных вариантах под распознавание речи и эмоций. Сейчас мы представляем GigaAM-v3 — новую версию модели, которая ещё сильнее поднимает планку качества open source-моделей распознавания речи (Automatic Speech Recognition, ASR) на русском языке: поддерживает новые домены и end-to-end нормализацию текста.

А вы задумываетесь иногда, что вот хочется что-то сделать такое, чтобы как-то выбиться из общей массы разработчиков? Сейчас придумаю идею, реализую, стану зарабатывать много денег? Все же так думают? Или только я один.

Да вот поэтому я и делаю постоянно какие-то проекты. И да, все они простые и не выдающиеся, но, наверное, главное — не унывать. Утешаю я себя так.

Приветствуем, коллеги.

Расскажем вам о нашей долгожданной новинке – «Python для инженерных задач». Эту книгу написал уважаемый Евгений Ильин @jenyay, кандидат технических наук, преподаватель Московского Авиационного Института. В основу книги легли его университетские наработки, объём более чем внушительный – 672 страницы. Тем не менее, поскольку эта книга ориентирована на самую широкую аудиторию инженеров, мы решили выпустить её в серии «Самоучитель», из которой вам также может быть известен знаменитый «Компас-3D  V 23» Анатолия Герасимова.

Утечки данных в мобильных приложениях могут происходить не только из-за внешних атак, но и из-за ошибок во внутренней архитектуре. Они могут возникать из-за использования внешних модулей или других инструментов, которые позволяют сократить время разработки. Но утечки и уязвимости грозят серьезными штрафами.

В корпоративных сетях RADIUS — один из самых распространённых протоколов аутентификации доступа к VPN, Wi-Fi, сетевому оборудованию и терминальным серверам. Но интеграция с 2FA и каталогами пользователей до сих пор часто остаётся самодельной для каждого отдельного админа: костыли, скрипты, нестандартизированные схемы.

Поэтому в MULTIFACTOR мы переработали собственный Radius Adapter и недавно выпустили версию V2 — с кросс-платформенностью, поддержкой нескольких LDAP-источников и переработанной логикой второго фактора. В этом разборе рассказываем, как всё работает и что изменилось в обновлении.

В начале двадцатых годов нейросети воспринимались скорее как любопытный эксперимент. Они могли подсказать строку кода или помочь с документацией, но оставались чем‑то дополнительным, не слишком надежным. Постепенно ситуация изменилась: сначала разработчики привыкли к автодополнению в редакторах, затем начали доверять ИИ анализ архитектуры проектов, а к 2026 году стало очевидно, что без таких инструментов работа выглядит неполной.

Сегодня нейросети встроены в привычную инфраструктуру: они живут внутри IDE, сопровождают процесс тестирования и деплоя, помогают вести документацию и даже участвуют в обсуждениях архитектурных решений. Разработчик уже не думает о том, «использовать ли ИИ», — он выбирает, какой именно помощник лучше впишется в его задачи и команду. Искусственный интеллект перестал быть экспериментом и превратился в стандарт профессии.

В нашем обзорном материале рассмотрим, какие решения стали самыми полезными, а также как они меняют саму логику взаимодействия с кодом и дают иной взгляд на работу программиста.

Сегодня сложно представить повседневную жизнь без мессенджеров. Telegram и WhatsApp давно перестали быть просто инструментами для обмена сообщениями, они превратились в целые экосистемы. С развитием технологий искусственного интеллекта и нейросетей эти платформы обрели новое измерение - умных ботов. Миллионы пользователей ежедневно взаимодействуют с ними для решения бытовых задач, получения информации или даже просто для общения.

Ниже представлен обзор того, как ИИ-боты в Telegram и WhatsApp уже меняют коммуникации, какие у них функции, на что обращать внимание при внедрении и какие практические примеры можно взять за основу.