Vlákno názorů k článku Čistění napadeného WordPressu: jak jsem hledal a vyhodil útočníka z webu od jinejmuf - Nechci být zlý k autorům Wordpressu, ale myslím,...

Nechci být zlý k autorům Wordpressu, ale myslím, že je to software z kategorie BaaC (Bug as a Concept) :-). Neznám žádnou jinou webovou aplikaci, která by nabízela tak časté reporty bezpečnostních incidentů. Asi je to způsobeno velkou mírou amatérismu a diletantismu mezi jeho uživateli a velkým množstvím nasazených instancí, ale stále třeba ve srovnání s incidenty třeba u PhpMyAdmina, který je taky nasazovaný často, mi to přijde hodně.

Za mě je Wordpress z bezpečnostních důvodů zcela neakceptovatelný.

Mám pár WP webů a ani jeden nebyl napaden a to tam není nic extra. WP jako takovej je vcelku v pohodě. Problém jsou spíš pluginy. Který projekt podobného ražení je pro tebe akceptovatelný? WP je zrovna jeden z těch lepších co se týče protestovanosti, bezpečnosti a aktualizací.

a jak poznáš, že byl web napaden? Mám zkušenosti, že web měsíce (ale i roky) po napadení se chová naprosto normálně a čeká, skenery (např. owasp) takové napadení nemusí odhalit.

Stejně tak mám pár instancí s různými sestaveními a prostě čekám, kdy tam dojde k nějaké změně, kterou sleduji. To používáme jako sondy, aby se vědělo, jak vlastně takové napadení detekovat a co se děje. Ty způsoby průniku jsou opravdu k nerozeznání od běžné změny v šabloně, tohle lze těžko detekovat nějak externě bez kontroly integrity a změn v db.

A tak kontrolovat integritu v tom smyslu, ze zkontroluji co tam ve skutecnosti je a co tam ma byt mozne je. Samozrejme je to prace navic a nikdo to nedela, ze? :-)

Jak bys to chtel kontrolovat, kdyz k tomu ma pristup treba 10+ subjektu (i ruzni externi dodavatele) a ruzne zmeny delaji na denni bazi. Musel bys leda pekne osobne kazdou jednu zmenu analyzovat,a zjistovat, co vlastne dela. A to uz mas lepsi si to delat sam ze?

Ja mam na wp jednu takovou mucholapku, a je opravdu zabavne to sledovat. Je az k neuvereni, kolik ruznych zpusobu jak to naborit existuje.

no přesně, kontrolovat to ve WP v provozu je dost těžké. V praxi pak to končí na řešeních, kdy backend se používá jen jako backend, z něho se exportuje výstup a až ten se prezentuje na frontendu. Nenašel jsem způsob jak jinak WP provozovat bezpečně aniž by to stálo spousty času za provozu.

Možná je to kvůli tomu: According to data from W3Techs, WordPress was used by 45.8% of all websites on the internet in 2023. This is an increase from 43.2% in 2022. That means that more than two out of every five websites use WordPress. WordPress powers 36.28% of the top 1 million websites.

Phpmyadmin také nemá 60 tisíc pluginů jen v oficiální databázi https://wordpress.org/plugins/ a další tolik skinů.

Zde bych úplně nesouhlasil. Když se podíváme na bezpečnostní problémy přímo v jádru WP, tak jich bylo vloni 13 (max CVSS 6.5) a většina zneužitelná jen autentifikovaným uživatelem. Když se podíváme na jiné projekty, tak to nejsou nijak hrozná čísla, například (počítáno od oka z CVE):
- Concrete CMS - také v PHP, ale modernější - 20 zranitelností (max CVSS 9.8)
- PrestaShop - 15 zranitelností (max CVSS 9.9)
- MediaWiki - 15 zranitelností (max CVSS 9.8)
- XWiki (Java) - 100+ zranitelností (max CVSS 10)
- Umbarco CMS (.NET) - 8 zranitelností (max CVSS 9.8)
- Django - 7 zranitelností (max CVSS 9.8)
- GitLab - 100+ zranitelností (max CVSS 10)

Z čísel lze vyvodit především to, že je komplexní software, který používá mnoho lidí je prostě složité psát :-)