Уязвимости и их устранение. Защита от разных способов взлома.

Каждый второй русифицированный шаблон для WordPress — дырявый

Александр » 23 авг 2014, 22:22

Никогда нельзя скачивать и устанавливать шаблоны и расширения с неофициальных сайтов производителя, досконально не проверив их код. Даже с сайтов-агрегаторов, где выставляются платные шаблоны и расширения разных производителей. Я об этом уже писал в посте viewtopic.php?f=17&t=9.
На сайте Securitylab.ru появилась свежая статья об исследовании шаблонов для CMS WordPress.
http://www.securitylab.ru/analytics/456835.php
Т. е. в 50% предлагаемых к скачиванию шаблонов содержится Бэкдор
Но это все относится и к другим системам управления контентом: Joomla, Drupal, DLE, MODX, Bitrix и т. п. Просто никто еще не анализировал статистику по ним, но, очевидно, что там ситуация будет не лучше.
Для примера, вот список уязвимых расширений для Joomla, и это только проверялись официальные релизы с сайтов производителей расширений.
http://vel.joomla.org/live-vel
Что здесь говорить о неофициальных распространителях расширений и шаблонов.. Могу только сказать, что если вы скачиваете расширение или шаблон с неофициального сайта разработчика, то вероятность, что внутри будет вредоносный код, стремится к 100%!
Что еще хочется добавить к этому.
Например, я в своей работе на данном этапе (август 2014) использую Joomla 1.5.20, компоненты и модули для неё, т. к. эта версия уже обкатана, я закрыл в ней все известные уязвимости, и я могу на 99.9% рассчитывать, что её не взломают. Самое главное, что и расширения (компоненты, модули) тоже уже обкатаны на протяжении 5 лет.

Конечно здорово, что за относительно короткий период уже появились версии Joomla 1.6, 1.7 (поддержка закончена), 2.5 (поддержка до 2014-12-31), 3.0, 3.1, 3.2 (поддержка закончена).
Готовится к выходу 3.4, которая, может быть будет (Long Term Support (LTS)), а может быть и нет.
И вот, спрашивается, что там с расширениями делается?? Я думаю, что всё достаточно запущено в плане безопасности, ибо за такие сроки не возможно найти и закрыть все дыры в популярных компонентах (магазины, галереи, форумы) и модулях.
Думаю, лучше дождаться выхода Joomla 3.x LTS, подождать год, пока расширения протестируют на безопасность, а потом уже пользоваться.
Александр
 
Сообщения: 265
Зарегистрирован: 20 мар 2014, 17:05

Re: Каждый второй русифицированный шаблон для WordPress — дырявый

Gera77 » 27 ноя 2018, 21:48

WordPress не просто сам по себе дырявый. Проблема в том, что на WordPress делают сайты дилетанты и студии, которым главное выкачать всеми способами деньги из клиентов. То что WordPress и его расширения взламывают потом — этим студиям только на руку. Они просто говорят, что мол, заказчик сам дурак, и без них пропадёт.. заказываете поддержку сайта!
Пишу эту ремарку после прочтения поста о мошеннической рассылке со взломанного сайта viewtopic.php?f=17&t=201 который как раз на WordPress состряпан был.
Gera77
 
Сообщения: 10
Зарегистрирован: 05 янв 2015, 05:01


Вернуться в Безопасность

cron