Vlákno názorů k článku Čistění napadeného WordPressu: jak jsem hledal a vyhodil útočníka z webu od oss - Preco maju subory wordpresu nastavene prava na to...
-
peci1Stříbrný podporovatelA jak resit updaty pod jinym uzivatelem, kdyz je ma byt prihlaseny uzivatel schopny provest z weboveho GUI? A jak vubec ziskat jineho uzivatele? Podivejte se na vetsinu hostingu, ty vam daji jedineho uzivatele a nazdar. Tahle strategie muze fungovat u centralne spravovaneho wp.
-
nejhorší na tom WP je, že nejen, že potřebuje sám sebe přepisovat, on ani jednoduše nedovoluje to dělat jinak a znamená dost práce ho zkrotit a provozovat v read-only režimu, jak se běžně aplikace provozují.
Za mě logicky nelze mít nikdy bezpečnou aplikaci, když sama aplikace se může přepisovat na pozadí z internetu. Všechny ty hostované řešení to nepoužívají, ale open source WP je na tom založený.
Házet to na vypnuté aktualizace je alibismus, viděl jsem celou řadu napadených plně aktualizovaných instancí (zrovna přes svátky běžela velká infiltrační kampaň). To by fungovalo jen tehdy, kdyby všechny zranitelnosti byly nalezeny dříve než se začnou zneužívat, tomu tak ale logicky není, plně aktualizovaný systém je dobrý, ale problém špatného návrhu neřeší.
-
to jsi nepochopil, já nemluvil o ruční aktualizaci, ale o oddělení odpovědnosti, za aktualizaci by měl být odpovědný proces, který prostě není přístupný přímo z webu, natož aby to byl ten stejný proces, pod kterým běží samotný web.
Zpravidla je vhodné mít i dopředu informace, co se bude aktualizovat na jaké verze. Pro tyhle věci jako WP je za mě vhodný režim, notifikace o nadcházejících aktualizacích pár dní dopředu a pak případná automatická aktualizace, když admin neprojeví aktivitu to udělat sám nebo svým procesem.
-
peci1Stříbrný podporovatel
Kdepak, vetsina wordpressu spravovana ne-adminy jede v rezimu autoupdate vseho hned, a resi se, az kdyz se to rozbije.
-
tak, útočník si to dokáže zjistit i z jiných zdrojů, že.
u WP je občas problém v tom, že nevím dopředu na kterou verzi se mi to aktualizuje, prostě to pokaždé bere poslední a není jednotný update cyklus, není ani možné si určit na kterou verzi chci (core + pluginy).
Nezřídkakdy je totiž zranitelnost schovaná právě v novém vydání a nových funkcích.
-
Ani zdaleka nejen ... podivej se na libovonej web jakej bordel to nacita vi buh odkud ... aniz by provozovatel tusil, co tam vlastne je.
WP tomu jen dava tu tresen ...
To aby web nemoh prepisovat sam sebe je samozrejme naprosty zaklad a minimalni predpoklad naprosto jakehokoli zabezpeceni. Bez toho zadna bezpecnost neexistuje.
ČLÁNKY DO MAILU