CMS *

26 мая 2023 года произошёл массовый дефейс веб-серверов национального сегмента сети интернет .РФ. В качестве цели атаки выступила CMS «Битрикс».

В ходе расследования выяснилось, что атака подготовлена заранее. Подготовка велась с 2022 года через известные уязвимости, включая CVE-2022-27228. Техническое описание см. на форуме разработчиков. Возможно, это самая крупная атака против национального сегмента .РФ в его истории.

Компания CyberOK выпустила отчёт c описанием атаки и разъяснением необходимых действий для того, чтобы удалить с сервера бэкдор, устранить уязвимости «Битрикса» и восстановить приложение. Также приведены рекомендации по защите веб-приложения.

Что-то много развелось в последнее время статей про минусы битрикса, и их опровержений. Раз уж пошла такая пьянка, то и я добавлю свои 5 копеек.
В комментариях к статьям писали, что не хватает конкретики, примеров, более глубокого обзора.

Данная статья — попытка этот обзор написать. Хотя нет, это скорее пост ненависти и боли (может даже немного нытья). Это такой расширенный вариант поста про минусы от pistol. Я постараюсь описать большинство тех вещей, которые раздражают именно меня и моих коллег в Битриксе. Постараюсь собрать в одном посте все те минусы, которые доставляют ежедневно очень много боли. Под конец я постараюсь сделать выводы.

Кто я такой? Да в общем-то, обычный разработчик. Работаю с битриксом с ноября 2010 года (5.5 лет). Работаю только с битриксом, не сделал ни одного коммерческого проекта на других CMS, не использовал фреймворки в создании сайтов. По роду деятельности я занимаюсь в основном интернет-магазинами, их созданием, поддержкой и развитием.

Наверняка многие активные MODX-разработчики слышали про «Фабрику сайтов». Это такие ребята, которые сделали копию движка MODX Revolution, назвали ее Ф.CMS и клепают на ней сайты, выдавая за собственный движок. Но помимо того, что они взяли сторонний опенсурс-движок, они еще и «позаимствовали» различные модули сторонних разработчиков, так же переименовали их и продают как свои, не указывая никакого авторства. Среди пострадавших — andchir и bezumkin. Последний писал про эту ситуацию довольно давно и подробно.

В прошлом году мне пришлось столкнуться с парой клиентов, чьи сайты долго и безнадежно разрабатывались в Фабрике. Один из сайтов был мной переделан и по результатам был написан подробный топик, где я разбирал качество выполненной работы указанной компании. И да, переданный мне сайт был разработан на Ф.CMS, действительно очень сильно напоминающую MODX Revolution, и да, в качестве модуля интернет-магазина использовался ShopKeeper by Andchir.

Прежде всего, считаю нужным уточнить несколько моментов:

1. Эта статья не про какие-либо возможные недостатки интерфейса панели администрирования, тем оформления, готовых плагинов для wordpress или что там еще может интересовать типичного веб-мастера? Со всем этим как раз, на мой взгляд, у WordPress всё относительно в порядке. Эта статья про код.
2. Статья во многом опирается на материалы, мною собранные воедино, вольно переведенные и от себя значительно дополненные. Ссылки представлены в конце статьи.
3. Популярность — не синоним качества. Не нужно использовать этот довод как доказательство качества технического исполнения. WordPress популярен явно по совершенно иным причинам.

Всем доброго времени суток. Как-то так получилось, за последнее время я увидел много интересных и полезных инструментов/библиотек/событий, которыми я хотел поделиться на Хабре. Все эти темы по отдельности, на мой взгляд, не заслуживали целой статьи. Но каждая из них достойна внимания и может кому нибудь пригодиться. В итоге получился небольшой дайджест:

Prepros

Великолепное приложение препроцессор для CSS, JS. Компилирует файлы следующих типов: LESS, Sass, SCSS, Stylus, Jade, Slim, Coffeescript, LiveScript, Haml. Минифицирует JS на лету, при каждом изменении файла. Оптимизирует изображения. Доступен для Windows и Mac, а также как расширение для Chrome. Плюс ко всему создает HTTP сервер, для тестирования сайта на разный устройствах. Бесплатная замена CodeKit'у и Ghostlab'у вместе взятых, что в сумме позволит Вам сэкономить $75.

Недавно, я столкнулся с некоторыми проблемами при разработке проекта на Drupal 7 (при переходе на Drupal 7), но речь не о них. В поисках решений, я натолкнулся на статью "The Drupal Crisis", одного из разработчиков Drupal — Daniel F. Kudwien, которая пролила свет на происходящее в кузнице Drupal. Сразу скажу, что большая часть проблем описанных в статье уже не актуальна, т.к. статья прошлогодняя. Тем не менее многим будет интересно ознакомиться с ее переводом.

Введение

Читал я вчера про Егора Хомякова. Подумал — может и я так смогу? И начал со своего блога на Wordpress. Адрес приводить не буду, иначе сам блог ляжет от Хабраэффекта, а меня обвинят в рекламе :).

Теория

Итак, где имеет смысл искать CSRF в Wordpress? На ум приходит только одно — комментарии. Там и начнём.
Осторожно, под катом две PNG картинки среднего размера.

Добрый день Хабр,

Хочу познакомить пользователей Хабра с проектом над которым работает наша небольшая команда. Axis — это CMS для создания интернет магазинов под открытой лицензией.

Репозиторий на GitHub: http://github.com/axis/axiscommerce
Сайт: http://axiscommerce.com

UMI.CMS позиционируется как «система управления сайтами нового поколения». Официальный сайт приветствует нас радостным сообщением, что выдано более 86 000 лицензий, но стоит отметить что тут считаются все виды лицензий, не только платные, но и бесплатные. Так, например мне, потребовалось получить уже не один десяток бесплатных лицензий, а поскольку все лицензии привязаны к домену, то при переносе сайтов на рабочие домены лицензию нужно получать заново.

На главной странице официального сайта написано, что UMI.CMS используют более 10 000 сайтов и приведен список крупных сайтов, которые используют данную систему. Первый сайт в этом списке — сайт Сколково, который уже ушел от UMI.CMS на ASP (об этом на хабре уже писали). Вторым сайтом в этом списке идет сайт Связного, непонятно какой именно сайт имеется ввиду, но официальный сайт www.svyaznoy.ru работает на Битриксе, а не на UMI.CMS. Тоже самое и с сайтом правительства Москвы, хотя на официальном сайте UMI.CMS указано, что они работают именно на данной CMS.

Как много веселых ребят
И все делают велосипед.
А один из них как-нибудь утром
Придумает порох.
Виктор Цой.



Сначала я хотел написать в раздел «Я пиарюсь» статью о том какой я молодец и какую замечательную штуку сделал но, немного поискав в сети, я без удивления обнаружил, что я совсем не единственный в своем роде. Тогда я решил пойти от обратного: наверное, практически каждый Веб-программист хотя бы раз в своей жизни пытается написать полноценную CMS. При этом, в процессе проектирования (а это процесс, зачастую, наступает уже во время написания кода) у разработчика непременно возникают вопросы. С этими вопросами он обращается к поисковикам и попадает на сайты тех, кто по подобным граблям уже прошествовал.

Итак, я стал смотреть, по каким же запросам попадают ко мне начинающие «разработчики велосипедов», и постарался осветить некоторые вещи, которые для меня самого были неочевидны в начале работ.

Вышел долгожданный релиз второй версии форумного движка vanilla. В блоге разработчиков появилось новость о релизе.

Что такое Vanilla?

Vanilla forums — это минималистичный форумный движок. Цель проекта — создать простой инструмент для онлайн-конференций с простой возможностью наращивания функционала. Нет, это не второй phpbb, это действительно очень упрощённый форум.

Однако, в отличие от сотен других подобных проектов, этот прост лишь для пользователя, изнутри же он напичкан современными технологиями, а потому тут на полную катушку используется AJAX, и главная задача разработчиков — сделать форум максимально простым для начинающих пользователей, и кажется им это удалось. Легко и незатейливо из коробки работают такие функции, как автосохранение сообщений в черновики, отправка сообщений без перезагрузки страницы, загрузка новых сообщений и так далее.

Несмотря на свою кажущуюся простоту этот движок «из коробки» даёт почти всё, что нужно большинству пользователей, как-то: разграничение прав, подфорумы и категории, html/bbcode/markdown.

Что нового?

Те, кто использовали первую версию этого движка, помнят, что он был совсем неприглядным, и для того, чтобы сделать из него «конфетку», пришлось бы очень сильно потрудиться. Со второй версией это уже в прошлом. Из коробки Vanilla имеет простой, но аккуратный дизнайн, которым вполне можно пользоваться. Более того, на официальном сайте в разделе дополнений есть ряд тем, подготовленных профессиональными дизайнерами. Так что, первое, что заметят те, кто пробовал первую версию — это безусловно то, что система стала привлекательнее, и ей даже можно пользоваться «из коробки».

Доброго времени суток, %username%.
В начале лета был опубликован анонс системы управления сайтами cogear.

Особенности движка:

• Работает на фреймворке CodeIgniter.
• Модульная архитектура. Установка/удаление модулей в один клик.
• Широкий спектр применения системы. Дистрибутив предоставляет возможность создать сообщество с многопользовательскими блогами, но благодаря расширяемой архитектуре возможностей трансформации движка существует великое множество.
• Гибкая система хуков. Позволяет модифицировать любые контроллеры и модели, не затрагивая их код.
• Открытый исходный код.
• Интернационализация.
• Автоматическая загрузка классов/моделей.
• Оптимизация скорости загрузки (объединение файлов CSS и JavaScript).
• Кеширование с поддержкой тегов (работает с файловой системой и Memcached).
• Возможность подгружать стили и скрипты для определенных браузеров (прощай IE6).
• Собственный шаблонизатор, дающий возможность работать и с PHP-Native.
• Подробная документация, в том числе и в PDF.

Доброго времени суток, %username%! Сейчас расскажу тебе о своей CMS. На сей раз это CMS, которая не подойдет для корпоративного сайта, для нее нет модуля-магазина и она не умеет работать с 1С.

Explay CMS — это бесплатная система управления социальными сетями. Базовые возможности позволяют организовать полноценную блого-социальную сеть или сообщество.

После довольно длительного перерыва в работе над движком, всё-таки дождался вдохновения и, написав кучу нового (включая долгожданные группы с эмуляцией поддоменов), выпустил альфа-версию CMS, именуемую ранее фреймворком ввиду отсутствия сколько-нибудь значимого функционала.

Отправная страница загрузки здесь

Хоть и с некоторым сомнением, но решил-таки написать этот пост.

Дело вот в чем. У меня есть нездоровая страсть — собственный велосипед-фреймворк, разработкой которого я занимаюсь уже довольно длительное время на bigstreet.ru. Вероятнее всего это графоманство в области программирования, но процесс написания «движка» меня настолько увлёк, что я не считаю трату времени на него напрасной. Даже работу свою ради этого дела бросил.

Совсем недавно на Хабре был анонс новой версии файлообменника dump.ru. Новое оформление, функционал и все дела. Вроде ничего необычного в подобных анонсах нет, но от конкретно этого анонса у меня руки затряслись. Ведь в основу новой версии дампа лёг мой ненаглядный движок! Убедиться в этом можно, посмотрев в подвал страниц сайта.

Порадовался я конечно сильно (будто экзамен какой-нибудь сдал), но эйфория быстро улетучилась, когда понял важную для себя вещь, которая находится под катом.

— Наше подсолнечное масло не содержит холестерина!
— Разумеется, ни одно подсолнечное масло не содержит холестерина.

В данной статье я хочу рассказать о наиболее часто встречающихся рекламных ходах компаний-разработчиков коммерческих CMS и поясню, почему это лишь маркетинговые ходы и ничего более.

Как известно, залог успешного бизнеса – это маркетинг и реклама. Рассказать о преимуществах, недостатки представить как преимущества, а которые не получилось – скрыть. С системами управления контентом точно такая же история. Битрикс и UMI считаются лидерами рынка не потому, что у них действительно хорошие продукты, а потому что у них действительно хорошие маркетологи. В действительности, все CMS по своей сущности мало чем отличаются – они предоставляют совершенно одинаковые возможности, одинаковым образом. Но продукт надо как-то выделить среди остальных, надо что-то написать в разделе «Преимущества системы». Вот и придумывают достоинства, которых не существует или которые вообще не являются достоинствами. Далее о наиболее распространенных из них.

Ну что ж, похоже настало это время. Релиз Explay CMS 2.1. Чтобы скачать, надо сначала посетить промо-страницу, но лучше дочитать до конца :)

Продолжение моего первого поста про CMSы.

Я являюсь руководителем проектов одной региональной веб студии, занимаюсь этим ремеслом достаточно давно и очень люблю свою работу. До поры до времени, сидели на самописной системе управления, но расширив штат программистов и получив более, менее серьезные проекты поняли что наша система не подходит. И тут я стал изучать рынок.

Итак стал я все ковырять изучать и смотреть насколько предлагаемые рынком системы удовлетворяют моим потребностям. Изучал я российские коммерческие продукты. С каждой новой системой становилось все груснее и груснее.

Explay CMS — моя собственная разработка, созданная под впечатлением от социальных сетей, а в особенности от Хабра. Делал исключительно из добрых побуждений помочь тем, у кого нет средств на разработку своего движка, но есть стоящая идея нового стартапа.

Здравствуй, Хабр. Некоторое время назад мы внедрили у себя в CMS наряду с уже имевшимся к тому моменту собственным шаблонизатором, еще и XSLT. Поскольку есть в XSLT большие и реальные преимущества и для разработчиков, и для хозяев студий, и даже для владельцев сайтов. Но реакция наших партнеров разделилась на противоположные мнения: одни давно ожидали этого и были рады появлению такой возможности, другие поставили под сомнение востребованность XSLT, приводя в качестве аргумента низкую производительность, которую якобы влечет за собой использование XSLT.
Понятно, что у всего нового всегда есть сторонники и противники, и рассудит их время. Поэтому не было особого смысла развязывать религиозную войну XSLT vs tpl или Smarty на тот момент. Но мы обнаружили, что оказывается, один из лидеров российского рынка CMS с завидным упорством все пишет и пишет о якобы несостоятельности XSLT как массовой технологии и готов рассматривать ее только в контексте специфичных задач. А это негативно влияет на умы некоторых непосвященных разработчиков об XSLT.