WordPress публикува публично информация за вашия сайт, без да знаете

katsar0v

Active Member
Може би трябва да има по-ясна индикация, за това кое точно е публично и кое е скрито тогава. За да знаят примерно като си въвеждат имената в потребителското име.

Това за списъка с плъгини, не е приятно, но само защото самите плъгини имат дупки. Иначе името на папката на ползваните плъгини е публична информация явно, щом се вижда и в сорс кода на фронт-енда по разните файлове дето добавят.
Името на папката е в сорс кода, главно когато има фронт-енд файлове.

Интересна ми е тяхната реакция в дискусията която постнах в техния форум, както и като трак тикет - почти нулева. Е явно трябва да ги удари някой як експлойт, за да им дойде акъла. На мен ми беше просто интересно какво е мнението на уебмастърите тук които разбират малко или много от тази система.
 

KISS

Active Member
Името на папката е в сорс кода, главно когато има фронт-енд файлове.

Интересна ми е тяхната реакция в дискусията която постнах в техния форум, както и като трак тикет - почти нулева. Е явно трябва да ги удари някой як експлойт, за да им дойде акъла. На мен ми беше просто интересно какво е мнението на уебмастърите тук които разбират малко или много от тази система.
Има една идея в сферата на сигурността, може би си я чувал, казва се security through obscurity (https://en.wikipedia.org/wiki/Security_through_obscurity). И не се гледа добре на тази практика. Най-правилно е да се оправят самите дупки в сигурността, а не да се опитваме да скрием данните, които ще помогнат да се използват дупките. Иначе си прав, че на практика така както е сега, ще има повече хаквания. Така че и аз малко се двоумя.
 

katsar0v

Active Member
Е сорс кода е отворен, това не може да се избегне напълно, но пък bedrock подпомага obscurity сигурността на wordpress - https://roots.io/bedrock (макар и не напълно). Самата практика ми е известна, но не и чрез това наименование, благодаря за линка, ще се опитам да го натрия в носа на няколко wp девелопъра :)

Цитирайки също уики страницата: "Security by obscurity alone is discouraged and not recommended by standards bodies", се казва, че това по себе си не е механизъм за сигурност и не е за препоръчване.
 

mobilio

Well-Known Member
Да бъдем честни - ти тези данни през APIто така или иначе можеш да ги вземеш със един прост scraping.

Дали ще ги вземеш през АПИ или през ХТМЛ е едно и също. Отделно сега може да се направи вече нещо по-сериозно като разработка защото блоговете имат АПИ активирано.

Малко е буря в чаша вода...
 

katsar0v

Active Member
ти тези данни през APIто така или иначе можеш да ги вземеш със един прост scraping.
Зависи.. файлове и потребители не се пускат през rss по принцип. И уеб сайтове ползващи системи като тези които споменах (bbPress, ultimate member и прочие) целят някаква част от съдържанието да е достъпна само за регистрирани потребили.
 
  • Like
Реакции: Sky

mobilio

Well-Known Member
мхм...

добре де - айде инсталирай нещо на чист WP, метни един bbPress или UltimateMember и виж какво изобщо можеш да видиш за да го ескалираме нагоре по веригата. Познавам около 10 core WP разработчика (включително и от Automattic) и това бързо ще бъде фиксирано.
 

Mat

Active Member
От програмиране не разбирам. Само от реклама и онлайн продаване. Онлайн магазини съм имам достатъчно през годините, и тройно повече са ми минали през ръцете при работата с клиенти.

Woocommerce и Shopify са двете най-удобни платформи, с които съм работил досега. Имал съм магазини и на двата, но мигрирах към Woocommerce накрая, защото при 15 сайта е далеч по-изгодно.

Няма да съм супер щастлив някой да ми намери името с хак, но това е най-малкия проблем. По-дразнещо е как постоянно ми правят хакерски атаки срещу онлайн магазините и хостинга изнемогва. Това че някой индиец ще ми разбере потребителското име слабо ме вълнува - използвам различно за всеки сайт. Така няма да ме разберат как се казвам. Ако потърсят фирмата ми от контактите на сайта в Бивол обаче ще ме разберат. Даже и първокласник може да ме намери по този начин, включително и къде ми е офиса.

Като си купя нов номер да добавя към съществуващите ми, почват да ми се обаждат 100 човека на колд калинг на другия ден, които по някаква причина са получили достъп до чисто новия ми телефонен междувременно, знаят на кой звънят и дори знаят с какви бизнеси съм се занимавал или се занимавал, и удобно ми предлагат свързани услуги.

Раджеш от Калкут дали ще ми знае името е смехотворно притеснение на фона на всичко останало, защото той нито ще ми звъни да ми губи времето, нито ще ми бутне сайта за 10 минути с хакерска атака просто като ми научи първото име.

С три думи: First World problems.
 

katsar0v

Active Member
мхм...

добре де - айде инсталирай нещо на чист WP, метни един bbPress или UltimateMember и виж какво изобщо можеш да видиш за да го ескалираме нагоре по веригата. Познавам около 10 core WP разработчика (включително и от Automattic) и това бързо ще бъде фиксирано.
Automattic с това финансиране което получиха, най-много да огъзят системата. Няма смисъл да се ескалира по веригата, хората ще искат да затворят дупката по плъгините да не пускат апи информация (което е по default), но никой няма да тръгне да оправя wp json.

В края на краищата headless cms може да се окаже истинската причина, само където няма документация за headless, не се говори за headless по камповете и няма разпространени headless теми. Както се казва, готина идея, шитава имплементация. Да го направят като хората и да влезе масово както си трябва. Само, че в ентърпрайз сектора все повече и повече хора бягат от wordpress...
 
Последно редактирано:

ReminD

Well-Known Member
Аз не мога да се сетя за една причина някой ако му трябва API сървър, да тръгне да ползва wordpress. Освен ако не разбира и му трябва бързо, но пак, нищо хубаво не виждам от цялата работа. За API-та има къде по-адекватни решения expressJS, Lumen, flask, RoR, и т.н.. и т.н.. където можеш да си направиш нещата като хората.
 

mobilio

Well-Known Member
В края на краищата headless cms може да се окаже истинската причина, само където няма документация за headless, не се говори за headless по камповете и няма разпространени headless теми. Както се казва, готина идея, шитава имплементация. Да го направят като хората и да влезе масово както си трябва. Само, че в ентърпрайз сектора все повече и повече хора бягат от wordpress...
Те СА го направили... сега девовете кодят. Има теми. Има имплементации. Има документация.
 

katsar0v

Active Member
Има имплементации. Има документация.
Ще се радвам ако пуснеш линкове конкретно относно headless wordpress. Но не от блога на сульо и пульо, а от официалните им мрежи :)
 

Noke

Well-Known Member
Чудно ми е на кого му е притрябвало API върху core-то на WordPress... Предвид, че това е толкова бейзик структура и се покрива от почти всеки дев тюториал, в който има забъркана базичка данни.

WordPress е 85% интерфейс и 10% плъгини. Популярен е точно заради интерфейса си - и то не толкова щото е добър, ами предимно щото е толкова познат на масовия потребител. Темички и админ панел. Това е. Плъгините са по-скоро странично-паразитен ефект, макар че доста от тях вече сами по себе си са причина да се ползва ВП.

В тоя ред на мисли да седне някой да му прави революционно нов мазен JS интерфейс - що? Би било неефективно най-малкото... Освен за някакъв мобилен апп или нещо от рода.

Основно някакви неморални идейки ми идват като се замисля за какво може да е полезно.
 
Последно редактирано:

katsar0v

Active Member
Wordpress не е бейсик, ако това имаш в предвид. Кое му е бейсик? Интерфейса, сигурно. Ама кода, логиката и системата са далеч от това.

А за плъгините - това, че има пазар и всеки иска да е част от него, не означава, че са паразит.

Noke, каква алтернатива би предложил на средния потребител, който като погледне код и бЕга буквално :) ?

Има си причини wordpress да е популярен, прост е, има комюнити и голям пазар, милиони темплейти и подобни. И аз се питам, що аджеба хората си инсталират windows като всеки може да си сложи линукс и да се радва на по-добър живот - не е за всеки и не е толкова просто колкото някои си мислят.

Иначе.. сега нищо не им пречи да тръгнат по някой завой и да осерат цялата система...
 

katsar0v

Active Member
Е пуснали са готова библиотека за javascript към апи-то, ясно, и? Къде е headless документацията @mobilio ? :) Къде е описано в роадмапа, къде е описано какво е headless, къде е описано защо аджеба са решили да направят това?

Следиш... си къртачите :)
 

Noke

Well-Known Member
Wordpress не е бейсик, ако това имаш в предвид. Кое му е бейсик? Интерфейса, сигурно. Ама кода, логиката и системата са далеч от това.
...
Погледни моделите и ми кажи че не е бейзик.
 

Горе