Dnes rano mi prisel email s upozornenim, ze jeden z mych webu byl zneuzit.. Pravdepodobne pres WordPress theme nekdo popridaval clanky a linky na blackjack casino.
[photopress:blackjack.jpg,full,pp_empty]Jak se to stalo nevim, ale mam na webu WordPressu nejake nesmysly.
Je to web na ktery jsem nesahl nejakou dobu. Kdysi jsem ho udelal kvuli prijmu z AdSense. Neni to pro me nic duleziteho, takze me to zas tak neboli.
Ale je to docela narocne uhlidat kdyz ma clovek vice webu (treba stovky). Pasivni prijem z vlastneni vetsiho poctu webu a prijmu z AdSense je bullshit:-))). Hlidat tyto veci. Delat updaty WordPressu, proste kazdou chvilku se neco musi kontrolovat s perspektivou, ze vydelky spise pujdou dolu nez nahoru. Mnohem vice penez a mnohem jednoduseji se da vydelat jinak.
Podobne me nekdo napadl jednu WIKI (s informacemi pro podnikatele – smlouvy zdarma, apod), kterou se mi pak ani nepodarilo dat do normalniho stavu.
Zkus Drupal a multisite. 🙂 Více webů může běžet z jedné "základny". Update je pak hračka. Navíc má mnohem větší potenciál než WordPress.
Přesně tohle jsem mazala z webu minulý týden. Bohužel teda naopak zrovna ze svého nejdůležitějšího 🙂 Bez upozornění bych si toho sama nejspíš nevšimla nikdy, protože linky byly skryté, a zdroják nekontroluju.
Máte někdo představu, jak se tohle "nabourání" děje?
jednoduse, wordpress je prakticky asi nejpouzivanejsi public skript na internetu a tak se na nej pochopitelne zameruje spousta hackeru. temer pro kazdou verzi existuje spousta verejnych a i mnoho neverejnych exploitu. tech bugu tam bylo opravdu hodne, posledni verze uz jsou nastesti o neco lepsi. hack samotny samozrejme neprobiha pres template jak pise john, ale pres wordpress samotny. hacker si s pomoci exploitu casto proste vytvori noveho uzivatele, ktery ani neni videt v seznamu uzivatelu ale pouze v mysql a pres nej na web napise tyhle clanky. fakt je ten, ze v pripade vice blogu je opravdu otravne a casove narocne to vsechny ohlidat, protoze nove verze a zaplaty vychazeji pomerne casto…
a proto nepouzivam open source… respektive ho nepouzivam tam kde vydelavam…
ua a to stale rozmyšlam či wordpress alebo niečo ine. Nuž, kde najdem mudrosti o drupale? dik
Pro praci s citlivymi info (firemni smlouvy apod.) je lepsi se tem standardnim OS balikum uplne vyhnout. Anebo kdyz uz pak:
– umistit balik do nestandardniho adresare a nezverejnovat nikde odkaz
– ke standardnimu zabezpeceni pridat jeste HTTP autentifikaci pomoci .htaccess Znemozni to ruznym robotum prochazet adresare a nalezt co kde mate nainstalovane.
http://nishkam.blog.lupa.cz/nebezpecny-open-sourc…
Drupal bude mozna lepsi nez WordPress co se tyce security, ale 100% to neni viz. http://www.google.com/search?q=drupal+security+ho…
Proc pro AdSense nepouzit blogspot.com? Neni treba se starat o bezpecnost ani o hosting a je stale zdarma. Navic je mozne provozovat na vlastni domene. Kdyby se zmenily podminky je tam myslim moznost exportu do wordpressu.
@Laco: http://drupal.org http://drupal.cz http://drupal.sk
@Nishkam: Nevim jak wordpress, ale Drupal ma cely tym lidi, ktery se stara jen o bezpecnost a to nejen jadra ale i modulu. A pokud uz se nejaka ta skulinka najde, staci si pridat do RSS ctecky tohle http://drupal.org/security
Btw, proc to vypada jako ze delam reklamu pro drupal? 🙂
No myslim, ze s drupalem budou uplne stejne problemy jako s wordpressem, jakmile to zacne pouzivat vice lidi.
Rammi: přesně tak, je to stejný jako že nejsou viri na jinde než na windows. Až bude nějakej systém mít takový zastoupení, bude se tomu "věnovat" mnohem víc lidí…
bétéwé, i tohle jde zautomatizovat… stačí sledovat automaticky akualizace a přehrávat všechny soubory, není to až tak složitá věc.
A faktem je, že to bullshit fakt je 🙂
Radim Klaška: Víš, takových týmů má i Microsoft několik 😉
@Radim Klaška: jak vypada asi ten tym? Par programatoru, co po vecerech neco smoli pro OSS, pripadne v pracovni dobe, kdy maji delat neco jineho? 🙂 Kazdopadne, je skvele, ze tomu venuji pozornost. Sam pouzivam drupal pro 1 zakaznika. Ale, ze bych tomu veril 100% a nedej boze sveril nejake citlive data. :-/
@Nishkam, Rammi: Netvrdim ze D je bezchybny CMS. (Navic se musim priznat ze WP moc neznam.) To ze je D open source neznamena, ze to tvori nekdo doma po vecerech, viz acquia.com. A co se tyce bezpecnosti citlivych dat v open source, tak to je myslim uz spis na zvazeni v konkretnim pripade, jestli povazuju bezpecnost (ne jen v aktualnim buildu, ale ted myslim i jak cely system vyvoje reaguje na nova nebezpeci) konkretniho open source projektu za dostacujici, pripadne jestli jsem schopen nejake zabezpeceni dodat/vylepsit. (CMS neni vsechno)
Jeden priklad za vsechny: Red Hat Enterprise a jeho vyuziti v ceskem bankovnicvi 🙂 A pokud vim, tak acquiaD je i Red Hatu.
@Radim Klaška, ono je to dost nebezpečné. Dva roky zpátky jsem měl jeden velký web na joomle. Na čtrnáct dní jsem odjel a nikdo to moc nespravoval. Přišla ale kritická aktualizace, tu ale nikdo neprovedl. No a web šel samozřejmě poměrně rychle do kytek. To nebezpečí tu je prostě, a není vůbec malé. Chce to vždycky minimálně sledovat a hooodně rychle aktualizovat. 🙂
Acquia NENI Red Hatu.
K bezpecnosti – za posledni rok si nepamatuju vaznou bezpecnostni chybu v Drupalu, ktera by mohla nejakym zpusobem hodne ohrozit data uzivatelu. Mluvime zde o jadru, pridane moduly jsou na tom samozrejme hure.
Nicmene ne, nedela to par programatoru po vecerech, vetsina vyvoje se kupodivu deje ve firmach.
Srovnani s RHEL se nabizi, tam se wordpress jeste nedostal.
@Jakub Suchy: Samozrejme se mi tam vytratilo "v". Melo to znit takto: "A pokud vim, tak acquiaD je i v Red Hatu." Sry za mystifikaci…