Praca w domu - Dodatkowa Praca - Zarabianie przez Internet. Dołącz do Największego w Polsce forum o tematyce Zarabiania przez Internet. Praca w domu stała się bardzo popularna.

Post: #11

Czyli jeśli mam już htaccess to aktualizacja CMS ani zapisanie "bezpośrednich" linków nie nadpisze go. To dobrze wiedzieć bo różnie to formułowano na różnych stronach i nie byłem pewien

Wtyczkę może kiedyś skrobnę, ale mało WP się bawię więc stoi daleko w kolejce bo mam parę projektów. Chyba, że znów się WP przyklei to może pomysł przeskoczy z końca długiej listy ToDo

Tak, jak np. SEO itd. to można twórcom darować - wtyczki inni tworzą więc da się toto zakleić, ale zostawianie tylu furtek których nawet wtyczki nieraz nie są w stanie zakleić a "laicy" nawet nie pomyślą o czymś takim by zabezpieczyć - a WP jest dość starym systemem - to to już zrozumieć ciężko. Niektóre rzeczy można w dość prosty sposób zabezpieczyć przecież jak widać. Mieć nadzieję, że kiedyś to ogarną bo pół netu kiedyś padnie jak się jakiś szpeci uweźmie

Przy okazji - może wiesz... Znajomy ma filmiki. W blogu tworzy wpisy i wkleja link do posta z grupy na Facebook, WP wygrzebuje sobie link do filmu sam i includuje go.
Powstaje u mnie problem Same Origin i ja widzę tylko linki do wpisu na grupie. U niego niby widać filmy (inna przeglądarka). Jak to ugryźć by nikt nie dostał jak ja samego linku a załadowany film? Już próbowałem wszystkich metod zamieszczania filmów, ale jedne widzę inne nie. Zmieniam przeglądarki itd. Miałeś już coś takiego?

Post: #12

Ogólnie WordPress jest zabezpieczony w rożnych miejscach. Fakt, jest kilka rzeczy, o których twórcy zapomnieli lub uzupełniają po czasie (jeśli w ogóle już to robią), np. w starszych wersjach WordPress zdradzał aktualnie używaną wersję. Wystarczyło wczytać plik readme, np.:

[*adres-twojej-strony.pl/readme.html

Dla ciekawskich znalazłem jeden z wielu adresów by pokazać jak to wyglądało:

• http://www.sza.info/readme.html

Po czym ukazywała się używana wersja WordPres Co z tego, że plik readme nie pokazuje używanej wersji skoro wystarczy zaglądnąć do źródła (CTRL + U) aby zobaczyć jaka jest aktualnie zainstalowana wersja, np.:

• <meta name="generator" content="WordPress 5.6" />

Za przykład niech posłuży też plik, którego kiedyś nie było - mowa o index.php
W starszych wersjach WordPress wpisując do paska adresu adres-twojej-strony.pl/wp-content/ można było przeglądać sobie pliki. Obecnie - jak wspomniałem wcześniej - jest plik index.php, a w środku znajdziesz

Cytat:<?php
// Silence is golden.

To są zmiany kosmetyczne i serio uważam, że twórcy WP powinni zadbać bardziej o bezpieczeństwo, a później rozwijać funkcjonalności i dodawać bajery typu nowy edytor Gutenberg. Znalazłem nawet stronę, która nie jest aktualizowana od 16 lat... rozumiesz? Wciąż jest zainstalowana wersja 1.2 wordpressa, wyszła 22 maja w 2004 roku (16 lat temu!) zgodnie ze stroną: https://wordpress.org/news/2004/05/heres-the-beef/

Osoby takie jak ty czy ja sobie zabezpieczą ale jest zdecydowanie więcej osób, które nawet nie wiedzą, że pasuje zabezpieczyć stronę.

W zdecydowanej większości przypadków, to wina twórców wtyczek, że osoby nieuprawnione mają dostęp. Im bardziej zaawansowana wtyczka, tym większe prawdopodobieństwo skutecznego ataku na WP. Za kolejny przykład niech posłuży plugin Contact Form 7 (5 milionów instalacji!).
Błąd w pluginie umożliwiał nieograniczone przesyłanie plików i ataki z podwójnym rozszerzeniem pliku. Ku ścisłości przy pomocy pliku z podwójnym rozszerzeniem, np. PLIK.PHP .JPG (przerwa jest zrobiona 'tabulatorem'. Taki przycisk TAB na klawiaturze).

• Formularz usuwa rozszerzenie .JPG po czym na serwerze znajduje się PLIK.PHP ze złośliwym kodem. Wgrywający może nawet uzyskać dostęp do serwera.
  

Problem dotyczył wersji 5.3.1, więc wystarczy zaktualizować do 5.3.2 żeby problem znikł ale gwarantuję ci, że dużo stron nadal jest podatnych Oj... trochę mnie poniosło.

(10-01-2021 23:41)rachman napisał(a):  Przy okazji - może wiesz... Znajomy ma filmiki. W blogu tworzy wpisy i wkleja link do posta z grupy na Facebook, WP wygrzebuje sobie link do filmu sam i includuje go.
Powstaje u mnie problem Same Origin i ja widzę tylko linki do wpisu na grupie. U niego niby widać filmy (inna przeglądarka). Jak to ugryźć by nikt nie dostał jak ja samego linku a załadowany film? Już próbowałem wszystkich metod zamieszczania filmów, ale jedne widzę inne nie. Zmieniam przeglądarki itd. Miałeś już coś takiego?

Chciałbym pomóc ale nie wiem, nie przywiązuję uwagi do takich rzeczy. Jak rzuci mi się coś w oczy, to niezwłocznie dam znać!
Pozdrawiam

Post: #13

Też nie zwracałem uwagi na zjawisko same origin dopóty doświadczyłem i tak podsumowując właśnie można rozmowę o bezpieczeństwie
Samą wersję skryptu można uzyskać na kilka sposobów niestety a wiele osób używa wtyczek nadmiarowo dla wygody... prostota i rozszerzalność systemu stała się jego przekleństwem po części Kilka procent ataków jest z palca - reszta to boty, a to powinno też twórcom dać "kopa" do działania i nie zostawianie ludzi z wtyczkami które nie mają w wielu formach ataków najmniejszych możliwości by cokolwiek złagodzić... a czasem wręcz same dobijają stronę.