Да развенчая малко митове свързани със сигурността на Wordpress

ktomov

Premium
Та понеже адски много ми кипнаха нервите от несериозното отношение от страна на разработчик на един темплейт (който най-вероятно вече ще вземе мерки за поправката му), пиша тази тема за да споделя моите впечатления.

1. В Wordpress има дупки - да, но ако ъпгрейдвате до последната версия в 99% от случаите няма да имате проблеми. Извода - не си мислете, че като сетъпнете един блог и само му добавяте съдържание всичко ще бъде наред! Опитвайте се възможно най-често да посещавате административния панел, където системата за нотификации ще ви уведомява при обновления на ядрото (самият wordpress) или добавките.

2. Във всички случаи си правете бекъп на базата данни и файловете преди да обновите ядрото. При някой темплейти може да създаде проблем по-новата версия.

3. За хората които търсят wordpress с BG езиковия пакет и го теглят от http://bg.wordpress.org/ - не дейте! Там версията е стара! Последната актуална версия към момента е 3.3.1! Ако искате българският пакет стъпките са както следва:
1) Изтеглете последната официална версия от http://wordpress.org/download/ и я инсталирайте.
2) Изтеглете българската версия от http://bg.wordpress.org/ и извадете от архива папката languages, която се намира в папка wp-content. Поставете същата папка във вече инсталирания от вас wordpress.
3) Отворете файла wp-config.php и добавете в реда define('WPLANG', ''); - bg_BG, т.е. той трябва да изглежда така define('WPLANG', 'bg_BG');
4) Честито! Вече имате последната актуална версия + по-стар езиков пакет, но 99% от нещата са преведени.

Да се върна на първия ред от тази тема.
По-голямата част от досега известните проблеми бяха свързани с добавки! Когато преди няколко месеца имаше масово хакнати WP инсталации, проблема не беше в ядрото, а в TIMTHUMB! Кого може да обвините за този проблем? Човека който е създал timthumb (и той не е замислен като добавка към wordpress, а просто като скрипт!). Човека който е създал темплейта ви, защото не е ползвал вградените в ядрото на wordpress функции за генериране на минатюри.

Та, да ви покажа какво може да се обърка. Имам желание да пусна един сайт и попаднах на много интересен темплейт. Реших да го изпробвам и останах неприятно изненадан от една от функциите му, а именно Facebook Connect опцията.
Какъв е проблема - може да прочетете тук:
Код:
http://cosmothemes.com/forums/topic/1448
Изнервих се, защото този ми репорт беше пуснат в събота следобед, вече е понеделник, а както може да видите администратора (т.е. един от разработчиците) на темата е активен през целия ден, но не обели нито думичка в темата.

Какво се случи:
really.jpg
Вижте от кой потребител е публикувано това. Е как да не ти кипнат нервите, когато нещо струва 35$ е надупчено като швейцарско сирене и дори когато посочиш проблема - никой не ти обръща внимание.

Ето заради това wordpress има толкова лоша слава. Всеки втори пише добавки, всеки трети разработва темплейти, всеки слага всякакви г*вна върху инсталацията си без да ги изпробва.

Тук имаше колега, който наскоро помоли за рецензия на сайт ползваш I love it темплейта, който е от същият автор. Дупката присъства и там, така че да изключи facebook connect опцията докато не оправят дупката.

----------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------
Важна редакция! Отново по темата с timthumb, за който е писано в тази тема.
Информацията ми бе предоставена от s1yf0x от другия форум.

Та явно мизериите свързани с дупките във въпросния скрипт продължават, а явно вече има направен и списък с най-разпространените темплейти които използват скрипта.
Код:
66.96.128.64 - - [16/Feb/2012:12:56:45 +0200] "GET /wp-content/themes/wootube/timthumb.php?src=/g0../0d1.gif HTTP/1.1" 404 5453 "-" "-"
66.96.128.64 - - [16/Feb/2012:12:56:46 +0200] "GET /wp-content/themes/openair/timthumb.php?src=/g0../0d1.gif HTTP/1.1" 404 5453 "-" "-"
66.96.128.64 - - [16/Feb/2012:12:56:57 +0200] "GET /wp-content/themes/delegate/tools/timthumb.php?src=/g0../0d1.gif HTTP/1.1" 404 5453 "-" "-"
66.96.128.64 - - [16/Feb/2012:12:56:47 +0200] "GET /wp-content/themes/gazette/thumb.php?src=/g0../0d1.gif HTTP/1.1" 404 5453 "-" "-"
66.96.128.64 - - [16/Feb/2012:12:56:47 +0200] "GET /wp-content/themes/DeepFocus/thumb.php?src=/g0../0d1.gif HTTP/1.1" 404 5453 "-" "-"
66.96.128.64 - - [16/Feb/2012:12:56:50 +0200] "GET /wp-content/themes/newsworld/thumb.php?src=/g0../0d1.gif HTTP/1.1" 404 5453 "-" "-"
66.96.128.64 - - [16/Feb/2012:12:57:00 +0200] "GET /wp-content/themes/magazinum/tools/timthumb.php?src=/g0../0d1.gif HTTP/1.1" 404 5453 "-" "-"
66.96.128.64 - - [16/Feb/2012:12:56:47 +0200] "GET /wp-content/themes/premiumnews/thumb.php?src=/g0../0d1.gif HTTP/1.1" 404 5453 "-" "-"
66.96.128.64 - - [16/Feb/2012:12:56:47 +0200] "GET /wp-content/themes/crisp/thumb.php?src=/g0../0d1.gif HTTP/1.1" 404 5453 "-" "-"
66.96.128.64 - - [16/Feb/2012:12:56:47 +0200] "GET /wp-content/themes/Minimal/thumb.php?src=/g0../0d1.gif HTTP/1.1" 404 5453 "-" "-"
66.96.128.64 - - [16/Feb/2012:12:56:55 +0200] "GET /wp-content/themes/object/thumb.php?src=/g0../0d1.gif HTTP/1.1" 404 5453 "-" "-"
66.96.128.64 - - [16/Feb/2012:12:56:47 +0200] "GET /wp-content/themes/MyProduct/thumb.php?src=/g0../0d1.gif HTTP/1.1" 404 5453 "-" "-"
66.96.128.64 - - [16/Feb/2012:12:56:47 +0200] "GET /wp-content/themes/themorningafter/thumb.php?src=/g0../0d1.gif HTTP/1.1" 404 5453 "-" "-"
66.96.128.64 - - [16/Feb/2012:12:56:47 +0200] "GET /wp-content/themes/skeptical/thumb.php?src=/g0../0d1.gif HTTP/1.1" 404 5453 "-" "-"
66.96.128.64 - - [16/Feb/2012:12:56:47 +0200] "GET /wp-content/themes/spectrum/thumb.php?src=/g0../0d1.gif HTTP/1.1" 404 5453 "-" "-"
66.96.128.64 - - [16/Feb/2012:12:56:47 +0200] "GET /wp-content/themes/delegate/thumb.php?src=/g0../0d1.gif HTTP/1.1" 404 5453 "-" "-"
66.96.128.64 - - [16/Feb/2012:12:56:47 +0200] "GET /wp-content/themes/Widescreen/thumb.php?src=/g0../0d1.gif HTTP/1.1" 404 5453 "-" "-"
66.96.128.64 - - [16/Feb/2012:12:56:47 +0200] "GET /wp-content/themes/busybee/thumb.php?src=/g0../0d1.gif HTTP/1.1" 404 5453 "-" "-"
66.96.128.64 - - [16/Feb/2012:12:56:47 +0200] "GET /wp-content/themes/diarise/thumb.php?src=/g0../0d1.gif HTTP/1.1" 404 5453 "-" "-"
66.96.128.64 - - [16/Feb/2012:12:56:47 +0200] "GET /wp-content/themes/TheProfessional/thumb.php?src=/g0../0d1.gif HTTP/1.1" 404 5453 "-" "-"
66.96.128.64 - - [16/Feb/2012:12:56:47 +0200] "GET /wp-content/themes/cityguide/thumb.php?src=/g0../0d1.gif HTTP/1.1" 404 5453 "-" "-"
66.96.128.64 - - [16/Feb/2012:12:56:47 +0200] "GET /wp-content/themes/TheSource/thumb.php?src=/g0../0d1.gif HTTP/1.1" 404 5453 "-" "-"
66.96.128.64 - - [16/Feb/2012:12:56:47 +0200] "GET /wp-content/themes/AskIt/thumb.php?src=/g0../0d1.gif HTTP/1.1" 404 5453 "-" "-"
66.96.128.64 - - [16/Feb/2012:12:56:47 +0200] "GET /wp-content/themes/TheCorporation/thumb.php?src=/g0../0d1.gif HTTP/1.1" 404 5453 "-" "-"
66.96.128.64 - - [16/Feb/2012:12:56:47 +0200] "GET /wp-content/themes/Magnificent/thumb.php?src=/g0../0d1.gif HTTP/1.1" 404 5453 "-" "-"
66.96.128.64 - - [16/Feb/2012:12:56:47 +0200] "GET /wp-content/themes/mimbopro/thumb.php?src=/g0../0d1.gif HTTP/1.1" 404 5453 "-" "-"
66.96.128.64 - - [16/Feb/2012:12:56:47 +0200] "GET /wp-content/themes/PersonalPress/thumb.php?src=/g0../0d1.gif HTTP/1.1" 404 5453 "-" "-"

И лога продължава. Както се вижда, това е скрипт, тестващ дали на даден домейн има някоя от проблемните темплейти. В този случай, дори само да имате в акаунта ви един такъв темплейт (дори без да е активиран) и ползващ старата версия на скрипта - ще изгорите.

За пореден път съветвам всички да проверят какви темплейти са инсталирали и дали някой от тях не ползва въпросния скрипт. Ако има такива да следват съветите от предната тема (линка по-горе), а ако въпросният темплейт не се ползва - директно да се изтрие.
 
Последно редактирано:
И малко статистика от themeforest
Едната надупчена тема - 499 закупувания
Втората надупчена тема - 715 закупувания

Извод имаме 1200+ потенциални изревали потребители от wordpress.
Найс а?
 
От: Да развенчая малко митове свързани със сигурността на Wordpress

Това само да кажа, че не важи само за WordPress, а за почти всички Open Source продукти :)
 
Re: От: Да развенчая малко митове свързани със сигурността на Wordpress

Това само да кажа, че не важи само за WordPress, а за почти всички Open Source продукти :)

Абсолютно съм съгласен, но нали wordpress е най-мразената и най-оплюваната система в последно време, пък и горните ми главоблъсканици дадоха тласък да напиша тази тема. Всеки CMS страда от тези проблеми. Най-много оплаквания има от най-ползвания. Факт.
 
Re: От: Да развенчая малко митове свързани със сигурността на Wordpress

Защо да е най-мразената система в последно време ?

hacked wordpress - Около 37 700 000 резултата (0.26 секунди)
wordpress hacked - Около 83 900 000 резултата (0.37 секунди)

joomla hacked - Около 9 760 000 резултата (0.11 секунди)
hacked joomla - Около 9 750 000 резултата (0.35 секунди)

drupal hacked - Около 8 930 000 резултата (0.24 секунди)
hacked drupal - Около 8 930 000 резултата (0.28 секунди)

и т.н. с останалите CMS-и. Мисля, че това ти отговаря на въпроса. А това ще ти отговори, защо се получават горните резулати - http://w3techs.com/technologies/overview/content_management/all
А тук може да видиш и графики http://trends.builtwith.com/cms
 
От: Да развенчая малко митове свързани със сигурността на Wordpress

Мерси за разяснението. Гугъл си обича wordpress-a. Кво да правиш, любов ...
 
От: Re: От: Да развенчая малко митове свързани със сигурността на Wordpress

Интересна статистика :)
Особено като се има предвид, че съотношението на ползване е от порядъка на 1:2:8 (Drupal, Joomla, WordPress). Тоест макар Drupal да се ползва два пъти по-малко от Joomla!, резултатите за "drupal hacked" са почти еднакви и т.н.

П.П. Съотношението на ползване: на всеки сайт изграден с Drupal, има 2 изградени с Joomla! и 8 изградени с WordPress.

hacked wordpress - Около 37 700 000 резултата (0.26 секунди)
wordpress hacked - Около 83 900 000 резултата (0.37 секунди)

joomla hacked - Около 9 760 000 резултата (0.11 секунди)
hacked joomla - Около 9 750 000 резултата (0.35 секунди)

drupal hacked - Около 8 930 000 резултата (0.24 секунди)
hacked drupal - Около 8 930 000 резултата (0.28 секунди)

и т.н. с останалите CMS-и. Мисля, че това ти отговаря на въпроса. А това ще ти отговори, защо се получават горните резулати - http://w3techs.com/technologies/overview/content_management/all
А тук може да видиш и графики http://trends.builtwith.com/cms
 
Това на практика, не са точни резултати, а и съм далеч от идеята да ги представям като такива. Просто показва, колко резултати намира гугъл.
Друг е въпроса, че думите могат да се използват в различни ситуации, а като един виден ламер, какъвто съм - друпал не е от най-лесните и лейм френдли системи за работа.
На много места съм чел как трябва да редактираш някоя си функция за да ти работи еди си какво, така че горните резултати могат да се зачитат и като: how to hack drupal core function, i've successfully hacked drupal ****** module to work on version 7.0 и т.н.
 
От: Re: Да развенчая малко митове свързани със сигурността на Wordpress

Това е ясно, но просто е интересно като факт :)
Това на практика, не са точни резултати, а и съм далеч от идеята да ги представям като такива. Просто показва, колко резултати намира гугъл.
Друг е въпроса, че думите могат да се използват в различни ситуации, а като един виден ламер, какъвто съм - друпал не е от най-лесните и лейм френдли системи за работа.
На много места съм чел как трябва да редактираш някоя си функция за да ти работи еди си какво, така че горните резултати могат да се зачитат и като: how to hack drupal core function, i've successfully hacked drupal ****** module to work on version 7.0 и т.н.
 
От: Да развенчая малко митове свързани със сигурността на Wordpress

А си мислех, че само в безплатните теми има дупки ... :D
Темите в http://wordpress.org/extend/themes/ по правило са сигурни. Минали са много стриктен ревю процес за да се появят там.
С условието че theme security не е толкова популярен топик и не са много хората (включително и сред проверяващите) със знания в областта и тук-там може да има някоя не чак дотам закърпена...

В ТемеФорест са най-надупчените продукти. Там никой не ти гледа кода като ти преглеждат темата - само дизайна дали лъщи. А и са все някакви индонезийци, индийци и прочие азиатци дето бъкел не разбират. Да оставим настрана че много, ама много малко от авторите там знаят да редят читав уордпрески код - от доста време просто си копират един от друг и пействат в техните си теми рандъм снипети дето и те не знаят кво точно и как го правят...
 
От: Да развенчая малко митове свързани със сигурността на Wordpress

Да оставим настрана че много, ама много малко от авторите там знаят да редят читав уордпрески код - от доста време просто си копират един от друг и пействат в техните си теми рандъм снипети дето и те не знаят кво точно и как го правят...

Всеки допринася както и с каквото може. :D
 
Вдигам темата, защото първото мнение е редактирано с важна информация за всички, които ползват wordpress.
 
От: Да развенчая малко митове свързани със сигурността на Wordpress

Томов имам сигурно десетина сайта на УП и оня ден като се замислих май не остана някой де не е хакван - вероятно сега ще кажете като не си си ъпдейтвал ядрото като не си си сменил тимтъмба като не си прочел ония няколко теми дето писах миналата година да ви предупредя и тн.
Е да ама аз не искам сутрин преди да стана първата ми работа да е да видя дали не е излязъл поредният ъпдейт и да прочета форума на бързо дали не са открили нова дупка искам спокойно да си изпия кафето вместо да треперя кой сайт е паднал.
Също така не ъпдейтвам системите и на другите ми сайтове поне три пъти повече от тия на УП и сега като се замисля да чукна на дърво до сега нито един не е хакван, а за спама който се бичи в УП даже няма и да повдигам дума.
Не че мразя УП но просто за мен той не е надежден и на него мога да си позволя само сателити да си правя и то само ако се е наложило да направя втори след като съм направил първият в Блогър.
 
Всички знаете как обичам да споря, но сегашния ми отговор не е под формата на спор, надявам се да го разберете, най-вече ти Mantaman :)

Първо искам да стане ясно, че не твърдя, че wordpress е непробиваем, но твърдя, че има методи с които може да си улесните много живота, както и работата.

Мнението ми е, че нещо което е създадено от човек със сигурност може да бъде разрушено от човек (или поне в 99% от случаите).

Ще започна мнението от там - че не искаш да четеш наляво и дясно каква дупка са открили, а и най-вероятно не искаш да се логваш в админ панела за да получиш нотификация, че има нова версия на еди си кое приложение. Има много просто и елементарно решение на този проблем, но много малко хора го ползват.

Инсталираш добавки, нали? Имаш 10тина сайта на основата на wordpress, а в тези сайтове предполагаемо ползваш 10тина добавки - в някои +/- 3/4. Като включим повтарящите се, това най-вероятно значи, че трябва да следиш за обновления не повече от 30 добавки. До момента всичко е ток, нали, следите ми мисълта?

За мързеливите като мен, от време оно е измислен един много подходящ стандарт за фийдове - RSS feeds, който не случайно присъства в архива за добавки. Предполагам голяма част от вас не го следят, просто защото не са мислили, че е нужно. Сега ще ви кажа плюсовете - получавате новините в момента в който си отворите браузера/мейл клиента (mozilla thunderbird в моя случай).

Та отново по темата - инсталирал съм да речем 10 добавки. Имам Mozilla thunderbird - добавям адреса на rss фийда от добавката (в страницата на добавката, в дясната колона, Development Log над синия правоъгълник с оценката на самата добавка) - воала, всеки ден като се събудя и проверя пощата си, получавам и информация за това какво и къде се е променило за някоя добавка. Найс а? Щеше да е хубаво да се ползват удобствата, които ни се предоставят, за да не си патим след това.

И ако наистина пък толкова много нямате 10 минути да обновите по 10 блога добавките си, може да ползвате някоя платформа, каквито има за администрация на няколко блога от 1 админ панел (да води се като добавка и не - не говоря за multi site опцията в wordpress).

А що се отнася до другите сайтове на Mantaman и хакнатите на wordpress - по-горе бях написал защо е така, дори и Иво се зачуди от факта, че Drupal е ползван почти на половина по-малко от joomla, а вади същото количество резултати. Та ще ти го кажа така - нима не очакваш да ти хакнат някой сайт създаден на Мамбо при неговия стабилен пазарен дял от цели 0.1%, за който CMS 99% от хората ползващи интернет не са чували, вместо някой да търси дупки в wordpress, който заема 55% от дяла на използваните CMS-и? Въпроса е реторичен.
 
Последно редактирано:
От: Да развенчая малко митове свързани със сигурността на Wordpress

Томов това не съм го казал за да споря - а просто ти излагам гледна точка на потребител на УП който не е очарован от сигурността му. И не опира въпроса до това много или малко са няколко минути да ъпдейтваш а до това че не искам да го правя, както не го правя и на другите ми сайтове които си работят - хората са казали когато едно нещо работи добре не го пипай.
 
Разбрах, че не го каза с идеята за спор, но предпочетох предварително да се защитя, защото много хора най-вероятно ще си помислят, че защитавам системата - а това не е така.

Според статистиката, която присъства на ей този сайт http://en.wordpress.com/stats/, wordpress се използва на над 71 000 000 инсталации. Системата е с отворен код - т.е. всеки има достъп да разгледа какво всъщност има в нея. Безспорно е от най-ползваните продукти. Напълно очаквано е да се намират дупки в резултат на некадърно програмиране.

Не казвам, че wordpress не е податлив на хакерски набези. Казвам, че може да си улесниш живота с няколко елементарни стъпки -> в този раздел има тема как може да се предпазиш в 10 стъпки (най-горе е). След като последваш и горните съвети - почти всичко е ток.

А това, че не искаш да го правиш си е лично твой проблем, надявам се го разбираш. Едно е нещо да се ползва от 71 000 000 човека, друго е да се ползва от 10 000, нали? За това и поръчаните разработки (т.е. къстъм уеб сайтовете) могат да се считат като най-защитени, защото никой не знае какво точно е php-то и виждат само html резултата. Въпреки всичко това не е гаранция, че няма да имаш проблеми. За такива случаи хората в западните държави дават ** *** в долари за качествен аудит на продукта.

И само един въпрос към ползващите wordpress - като спите с жена/мъж за която/който знаете, че е спал/а с приблизително 100 човека ще ползвате ли кондом, въпреки че усещането няма да е каквото без? Това е същото - ползваш ли една от най-разпространените системи, трябва да взимаш повече мерки от колкото с нещо, което се познава от двама-трима.

И отново да подчертая - проблемите на 99% от хората не идват от самият wordpress, а от добавките/темплейтите които ползват.
 
Последно редактирано:

Горе