- Поисковые системы
- Практика оптимизации
- Трафик для сайтов
- Монетизация сайтов
- Сайтостроение
- Социальный Маркетинг
- Общение профессионалов
- Биржа и продажа
- Финансовые объявления
- Работа на постоянной основе
- Сайты - покупка, продажа
- Соцсети: страницы, группы, приложения
- Сайты без доменов
- Трафик, тизерная и баннерная реклама
- Продажа, оценка, регистрация доменов
- Ссылки - обмен, покупка, продажа
- Программы и скрипты
- Размещение статей
- Инфопродукты
- Прочие цифровые товары
- Работа и услуги для вебмастера
- Оптимизация, продвижение и аудит
- Ведение рекламных кампаний
- Услуги в области SMM
- Программирование
- Администрирование серверов и сайтов
- Прокси, ВПН, анонимайзеры, IP
- Платное обучение, вебинары
- Регистрация в каталогах
- Копирайтинг, переводы
- Дизайн
- Usability: консультации и аудит
- Изготовление сайтов
- Наполнение сайтов
- Прочие услуги
- Не про работу
Тренды маркетинга в 2024 году: мобильные продажи, углубленная аналитика и ИИ
Экспертная оценка Адмитад
Оксана Мамчуева
Авторизуйтесь или зарегистрируйтесь, чтобы оставить комментарий
Ну так взять механизм вордпресса за пример, если все так хочется кнопочкой делать. Только потом не стоит удивляться, что через дырку троянится весь сайт, так как он доступен на запись вэб серверу.
у вордпресса значит получилось, а у меня 100% не выйдет, ибо криворукий.
странная у вас манера общения и логика
Ну так взять механизм вордпресса за пример, если все так хочется кнопочкой делать. Только потом не стоит удивляться, что через дырку троянится весь сайт, так как он доступен на запись вэб серверу.
Сейчас уже не существует сайтов, в которых ничего нельзя записать. А если есть хоть одна папка на запить - можно все что угодно записать.
Как показывает практика - ломают в основном устаревшие (не обновленные) движки.
И как еще показывает практика - если нету одной большой кнопки "обновить все" - большинство вебмастеров ничего и не обновляют вручную.
Так что такое обновление приносит больше пользы, чем вреда.
так как он доступен на запись вэб серверу.
Если вебсервер не сможет писать в каталоги/создавать/менять файлы - оно конечно немного безопасней, но геморойней на 10 порядков.
Правильная безопасность - она не в правах на запись вообще, а в др вещах. И доступах, и запрете исполнения пхп там, где не надо и др.
---------- Добавлено 08.03.2016 в 11:17 ----------
Так что такое обновление приносит больше пользы, чем вреда.
Тут палка о двух концах. С одной стоны - удобство и всё такое, а с другой серьёзными делом начинают заниматься дилетанты, которые даже о бекапах не подозревают, не то что о чём-то большем и опасном.
у вордпресса значит получилось, а у меня 100% не выйдет, ибо криворукий.
странная у вас манера общения и логика
Я бы посоветовал читать текст таким, какой он есть, не придумывая отсебятины.
Если движок сам себя обновляет через вэб сервер, то без разницы какой он, вордпресс или что то другое - он уже представляет дырку, так как доступен для изменения извне. Только дело времени, эту дырку найти. Что собственно регулярно и делается с вордпрессом, куда пачками заливаются шелы.
Сейчас уже не существует сайтов, в которых ничего нельзя записать. А если есть хоть одна папка на запить - можно все что угодно записать.
Только обычно эти папки являются статикой и заливка выполняемых файлов туда особо вреда не принесет. Там даже html отдается как текст.
Если движок сам себя обновляет через вэб сервер, то без разницы какой он, вордпресс или что то другое - он уже представляет дырку, так как доступен для изменения извне. Только дело времени, эту дырку найти. Что собственно регулярно и делается с вордпрессом, куда пачками заливаются шелы.
Рукалицо просто.. Не ожидал от тебя такого.. ммм неквалифицированного бреда. Уж извини..
Подавляющее большинство ВП, как и других паблик-движков "ломают" через дыры в аддонах - темах (шаблонах) и плагинах. Я специально взял "ломают" в кавычки, потому как реального процесса ломания нет. Есть малообразованные вебмастера, качающие с помоек аддоны, в которых уже зашиты уязвимости. Т.е. имеет место быть - самостоятельная установка дыры вебмастером.
Но даже если и кого-то ломают через ядро - к процессу обнов это воще никаким боком.
Что же до обновления ВП - оно качается в оф сайта (точнее с нескольких СДН) по https. Чтобы подменить обнову нужно сперва или ломануть сервак для подмены ДНС или подменить файлы ядра ВП, изменив не только урл обновы, но и ещё несколько механизмов. Но при таких доступах как-то смешно говорить о подмене обнов.
Чтобы подменить обнову нужно сперва или ломануть сервак для подмены ДНС или подменить файлы ядра ВП
А я где то упоминал про подмену обновы ?
Еще раз - если движок сам себя обновляет и ему для этого хватает прав вэб сервера, то соответственно и любой другой скрипт запущенный этим вэб сервером, так же может внести изменения.
А откуда появился скрипт, уже дело третье. Через дырку в движке или аддоне, уже не суть важно. Все файлы движка доступны для записи.
если движок сам себя обновляет и ему для этого хватает прав вэб сервера, то соответственно и любой другой скрипт запущенный этим вэб сервером, так же может внести изменения.
Если движок не сможет обновить сайтмап, а пользователь закачать картинки (не говоря уже за плагины, кеши и пр) - нафик нужен такой движок. Но это вообще НЕ проблема движка, а настройки сервера.
Опять же никаким боком к обновам и механизмам реализации оной. (топик-то об этом)
А откуда появился скрипт, уже дело третье.
Первое. Самое первое. Если есть скрипт, доступный злоумышленнику, то неважно - есть механизм обновы или нет.
Все файлы движка доступны для записи.
Ну во первых не все, а вообще пофик на самом деле. :) На нормально настроенном хостинге, без шеллов в каталогах и с 777 снаружи не добраться. На кривых и 300 не поможет.
---------- Добавлено 08.03.2016 в 12:45 ----------
если движок сам себя обновляет и ему для этого хватает прав вэб сервера, то соответственно и любой другой скрипт запущенный этим вэб сервером, так же может внести изменения.
И да.. А чем сосбно должен отличатся легальный скрипт движка от "любой другого", нелельного? 🍿
А я где то упоминал про подмену обновы ?
Еще раз - если движок сам себя обновляет и ему для этого хватает прав вэб сервера, то соответственно и любой другой скрипт запущенный этим вэб сервером, так же может внести изменения.
А откуда появился скрипт, уже дело третье. Через дырку в движке или аддоне, уже не суть важно. Все файлы движка доступны для записи.
Стандартная уже сейчас ситуация - когда апач работает от имени юзера, от этого же имени юзера заливаются по фтп скрипты. В итоге от того что сам скрипт может обновиться - уязвимостей не добавляет.
Уязвимость может оказаться в любом движке. И как это бывает: выходит в паблик инфа об уязвимости, разработчик ее быстро исправляет, но и хакеры сразу гуглят парсят сайты движка, при автообновлении и обновлении в один клик - уязвимость будет исправлена быстро и на максимальном количестве сайтов, меньше шансов что тебя поломают. А когда нужно скачать на комп, залить на хостинг вручную новые файлы - это время, лень, админ спит или в отпуске, или пароль сегодня от фтп не помню, а завтра вообще забуду что надо обновить, в итоге хакер приходит раньше и все ломает.
Кстати, кто изучал, как происходят обновления в серьезных продуктах, типа панелях управления исп менеджер, директ админ, веста? Там же тоже автообновления всего есть.
Кстати, кто изучал, как происходят обновления в серьезных продуктах, типа панелях управления исп менеджер, директ админ, веста? Там же тоже автообновления всего есть.
По крону от рута.
А я где то упоминал про подмену обновы ?
Еще раз - если движок сам себя обновляет и ему для этого хватает прав вэб сервера, то соответственно и любой другой скрипт запущенный этим вэб сервером, так же может внести изменения.
А откуда появился скрипт, уже дело третье. Через дырку в движке или аддоне, уже не суть важно. Все файлы движка доступны для записи.
Данным постом вы показали свой уровень знаний.
Спасибо за внимание.
По существу ответ получен.
Реализация будут позже выложена