Хабр Курсы для всех
РЕКЛАМА
Практикум, Хекслет, SkyPro, авторские курсы — собрали всех и попросили скидки. Осталось выбрать!
Хабр доступен 24/7 благодаря поддержке друзей
Комментарии 56
Спасибо, обновился на всякий случай :)
ИМХО, ветка 2.8 самая «дырявая», на моей памяти.
Возможно, прежде желание навредить было не так велико, как теперь. А нынче желающих проверить WP на прочность прибавилось, что приводит к заключению о том, что WP стал более уязвим.
Да дырок то и раньше не было, но чем больше популярность WP тем больше его код ковыряют. и ковыряют совсем не в благих целях
как раз в 2.8 эта ошибка закрыта. а вот все версии с 2.3 и до 2.7 уязвимы.
«поражающего блоги на движке WordPress 2.8.3 и более ранних версий»
речь идёт о более ранних версиях именно в ветке 2.8? или о более ранних версиях вообще?
речь идёт о более ранних версиях именно в ветке 2.8? или о более ранних версиях вообще?
обновился сразу как только вышел апдейт
«Червь регистрируется в блоге»… Логично предположить, что решением будет запрет регистрации (если это блог одного автора, уверен, что на большинстве блогов в настоящее время регистрация не нужна), а не обновление)
Во-вторых, если используется «дыра» с админом — проще закрыть именно ее, чем обновлять до 2.8. Хотя в статье не указано, какая именно уязвимость используется.
Ну, вы поняли, все мое личное мнение.
Во-вторых, если используется «дыра» с админом — проще закрыть именно ее, чем обновлять до 2.8. Хотя в статье не указано, какая именно уязвимость используется.
Ну, вы поняли, все мое личное мнение.
Повезло, обновился в пятницу до 2.8.4 — в выходные регился кто то из ботов :)
У ребят в последнее время что-то плохо «поэзия» идет.
Ндааа… стояла 2.8.2. Обновился, спасибо, ибо не было бы этой заметки — обновляться не стал бы.
Обновился, конечно. Но запарило после каждого обновления привыкать к новой админке…
Кстати, у вас опечатка — инфЕцирован правильно.
Я конечно не специалист, и не использую WP…
Но не кажется-ли Вам, что WP просто дырявый движок?
Но не кажется-ли Вам, что WP просто дырявый движок?
Обновил давно, как только написали о дыре.
Все 4 сайта на wp обновились в автоматическом режиме без каких либо проблем и последствий.
Все 4 сайта на wp обновились в автоматическом режиме без каких либо проблем и последствий.
Хм… А не вы ли автор этой пакости? Поскольку широкой общественности об этой уязвимости, и атаках на блоги с ее помощью, стало известно только в эту субботу. 05.09.2009 14:37:23 Появилось первое сообщение о взломе блога на форуме русской поддержки mywordpress.ru/support/viewtopic.php?id=11276
врядли. в буржунете панику забили еще 4-го сентября: www.journeyetc.com/uncategorized/wordpress-permalink-rss-problems/
а про этот метод взлома было известно еще месяц назад: wordpress.org/support/topic/297639
а про этот метод взлома было известно еще месяц назад: wordpress.org/support/topic/297639
Pwnie Award(своего рода «Золотая малина» в IT) ещё 6 августа 2008 года вручил Wordpress награду за mass0wnage. Ссылка pwnie-awards.org/2008/awards.html#mass0wnage. Я например очень сильно не доверяю Wordpress после заглядывания в код его админ интерфейса.
Коротко ясно, и плезно. Извини плюсануть немогу, недостаточно заряда (
я сразу же обновился, но админка на нетбуке после этого поплыла (
У меня 2.5.1 стоит. Эта версия тоже подвержена этой эпидемии? Кто-то в курсе?
Как связаны эти эпидемия и дыра, позволяющая сбросить пароль без проверки?
WP-замечательный движок!
При своевременном обновлении, проблем почти никогда не возникает!
При своевременном обновлении, проблем почти никогда не возникает!
Здрасте приехали. WP уже давно имеет механизм автоматического обновления. Все, что нужно для
апдейта — ткнуть по кнопке, предварительно забекапившись. А до этого были плагины, предлагавшие аналогичные возможности.
апдейта — ткнуть по кнопке, предварительно забекапившись. А до этого были плагины, предлагавшие аналогичные возможности.
вы не правы насчет автом. обновления и того что оно работает только на выделенных серваках. Я настраивал очень много сайтов на вордпрессе (практически все эти сайты были на виртуальном хостинге) и только редкие экземпляры не хотели автоматически обновляться. И зачастую ошибка авт.обновления была из за неправильной настройки хостера (либо по правам доступа, либо слабый хостинг с малым лимитом оперативки)
Что значит «при обновлении нужно допиливать многое» ??? вы что в коде вордпресса «допиливаете»? зачем? Вы читали про метод хуков в вордпрессе? (add_action, add_filter) — ими можно все допилить и сделать в виде плагина, что после обновления останется на месте и все так же будет работать.
Структура кода WP очень клевая и правильная. В нем нет ничего ужасного, просто нужно сначала ознакомиться с документацией, прежде чем лезть туда, куда не знаешь.
Что значит «при обновлении нужно допиливать многое» ??? вы что в коде вордпресса «допиливаете»? зачем? Вы читали про метод хуков в вордпрессе? (add_action, add_filter) — ими можно все допилить и сделать в виде плагина, что после обновления останется на месте и все так же будет работать.
Структура кода WP очень клевая и правильная. В нем нет ничего ужасного, просто нужно сначала ознакомиться с документацией, прежде чем лезть туда, куда не знаешь.
«На всех виртуал хостах очень строгин ограничения» — что за голословные утверждения? А где подтвержения ваших слов?
Ну если жмотится на деньги, то конечно получите в итоге слабый хостинг.
Хотя у меня недавно друг перешел на хостинг с ценой 1 бакс в месяц, и на нем поставил 3 сайта на wordpress с общей посещаемостью ≈2000 уников в день — и ниче, все работает, автоапдейт плагинов и самого вордпресса. (я сам в шоке:))
И еще пример: мой блог lilumi.org.ua вообще на бесплатном хостинге стоит уже два года, посетителей 400-500 в сутки по данным liveinternet, кеширования нет, автообновляется нормально.
Так о каких ограничениях вы говорите?
Ну если жмотится на деньги, то конечно получите в итоге слабый хостинг.
Хотя у меня недавно друг перешел на хостинг с ценой 1 бакс в месяц, и на нем поставил 3 сайта на wordpress с общей посещаемостью ≈2000 уников в день — и ниче, все работает, автоапдейт плагинов и самого вордпресса. (я сам в шоке:))
И еще пример: мой блог lilumi.org.ua вообще на бесплатном хостинге стоит уже два года, посетителей 400-500 в сутки по данным liveinternet, кеширования нет, автообновляется нормально.
Так о каких ограничениях вы говорите?
плохой хостинг значит, что еще могу сказать.
Слышал. Знаю что попросят, сам сменил несколько хостеров, прежде чем нашел нормальный. Но это показатель слабого хостинга, потому что будь там любой другой движок, при большом кол-ве посетителей, случилась бы такая же ситуация с превышением лимитов.
Менял, много чего менял — но это у меня называется «наращивание функционала». А к чему вопрос собственно?
Слышал. Знаю что попросят, сам сменил несколько хостеров, прежде чем нашел нормальный. Но это показатель слабого хостинга, потому что будь там любой другой движок, при большом кол-ве посетителей, случилась бы такая же ситуация с превышением лимитов.
Менял, много чего менял — но это у меня называется «наращивание функционала». А к чему вопрос собственно?
Ну не все так радужно. У нас при попытке перехать на новую версию тему так перекосило, что в ужасе откатились обратно. Сейчас пытаемся понять как нам переписать тему так, чтобы оно на 2.8 встало нормально :/
Правильно ли я понимаю, если не стоит галочка «регистрация» — то ничего небудет?
В данном случае злоумышленник вначале должен зарегистрироваться как пользователь, и только потом «играя» с помощью ЧПУ он повышает уровень своего доступа до админа. То есть в этом случае Вы можете быть спокойны. Но есть и другие гадости. Так что обновляться все таки нужно. Тем более что в последних версиях, в общем случае это делается из админки, одним кликом мышки.
будет
Зарегистрируйтесь на Хабре, чтобы оставить комментарий
Эпидемия «умного червя» под WordPress