- Поисковые системы
- Практика оптимизации
- Трафик для сайтов
- Монетизация сайтов
- Сайтостроение
- Социальный Маркетинг
- Общение профессионалов
- Биржа и продажа
- Финансовые объявления
- Работа на постоянной основе
- Сайты - покупка, продажа
- Соцсети: страницы, группы, приложения
- Сайты без доменов
- Трафик, тизерная и баннерная реклама
- Продажа, оценка, регистрация доменов
- Ссылки - обмен, покупка, продажа
- Программы и скрипты
- Размещение статей
- Инфопродукты
- Прочие цифровые товары
- Работа и услуги для вебмастера
- Оптимизация, продвижение и аудит
- Ведение рекламных кампаний
- Услуги в области SMM
- Программирование
- Администрирование серверов и сайтов
- Прокси, ВПН, анонимайзеры, IP
- Платное обучение, вебинары
- Регистрация в каталогах
- Копирайтинг, переводы
- Дизайн
- Usability: консультации и аудит
- Изготовление сайтов
- Наполнение сайтов
- Прочие услуги
- Не про работу
Зачем быть уникальным в мире, где все можно скопировать
Почему так важна уникальность текста и как она влияет на SEO
Ingate Organic
В 2023 году Одноклассники пресекли более 9 млн подозрительных входов в учетные записи
И выявили более 7 млн подозрительных пользователей
Оксана Мамчуева
Авторизуйтесь или зарегистрируйтесь, чтобы оставить комментарий
Посмотрите журнал ошибок. Гляньте что за файл выполняет POST запрос. В последнее время сильно сайты на джумле начали взламывать, смысл только спам рассылать, не понятно
Ох и научили вас... :-)
Ты не лучше.
Чего только стоят "100%", "15 минут", "гарантии", "панацея" и итд. А "Заходите в файл менеджер".. просто красный фонарь шпециалиста. :)
Да, то описанная тобой процедура в принципе верна. Но только для случае, если сайт делал человек, понимающий что откуда и как. Но если это так - ему не нужно это объяснять.
А вот если так делает наёмник - руки ему надо отрывать по затылок.
Ида. Прекращай спамить.
WP на первом месте по взломам
В абсолютных цифрах или в процентах относительно др движков? 🍿
1. Последняя сборка вордпресс (версия 4,4,2) функцию eval( содержат следующие файлы:
/wp-admin/includes/
28.06.15│195702│A │class-pclzip.php
────────────────────────────────────────────
/wp-includes/
16.09.15│ 40476│A │class-json.php
23.12.15│158184│A │functions.php
А в код заглянуть уже сил не хватило? 🍿
В абсолютных цифрах или в процентах относительно др движков? 🍿
Относительно.
Хотя, возможно, и абсолютно тоже, другие движки пользователи используют значительно меньше, чем WP.
Относительно...
другие движки пользователи используют значительно меньше, чем WP.
:))
Так всё-таки абсолютно :)
Не могу ща найти ссылку, сам был недавно поражен - ВП в бурж сегменте занимает что-то около 90% всех движков. И это был не какой-то левый сайт, а вполне себе трастовый, буржуйский. У нас, я думаю, эта цифра значительно меньше.
А что до "взломов" ВП - так то в 99% случаев взломы самими юзерами. Это они сами ставят на свои сайты шеллы/вирусы. Потому что не берут с оф сайтов, а тянут с помоек всякую гадость.
:))
А что до "взломов" ВП - так то в 99% случаев взломы самими юзерами. Это они сами ставят на свои сайты шеллы/вирусы. Потому что не берут с оф сайтов, а тянут с помоек всякую гадость.
Ну так я и советовал искать в коде функции PHP eval() и base64decode().
base64 взломщики используют для раскодирования кода, а eval для выполнения php кода строки внутри этой функции.
Во многих случаях взломщики использовали переменную $cmd, которую внедряли через GET запрос таким образом index.php?cmd=phpinfo(); и через eval его выполняли.
понятно почему разработчики WP советуют register_globals off выставлять в настройках сервера, чтобы переменные не определялись по умолчанию.
Ну так я и советовал искать в коде функции PHP eval() и base64decode().
Это в принципе верно, только нафик не нужно :) Есть более рациональные решения для простого юзера - от плагинов, показывающих все возможные уязвимости (потенциально опасный код, который не является частью ВП) до айболитов-манулов.
теперь понятно почему разработчики WP советуют register_globals off выставлять в настройках сервера,
И это верно для любых скриптов. register_globals ON - потенциальная дыра. Я в шоке от движков, которые требуют этого.
И это верно для любых скриптов. register_globals ON - потенциальная дыра. Я в шоке от движков, которые требуют этого.
Если грамотный программист пишет собственный код, то при register_globals ON не возможно взломать ничего.
при register_globals ON вся разница только в том, что переменная $_GET['cmd'] сразу определяется в $cmd. Это довольно удобно, чтоб не использовать переменные $_GET или даже $_POST;
Но в этом случае, переменные нужно определять в самом начале и проверять, чтобы в них не могли внедрить всякую бяку.
Поэтому WP советует отключать register_globals, чтобы через GET или POST запрросы не внедрили вредоносный код, если взломщики в каком-то из плагинов найдут дыру.
Если граммотный программист пишет собственный код, то при register_globals ON не возможно взломать ничего.
Грамотный специалист способен объявить НУЖНУЮ перемеренную глобальной.
Грамотный специалист понимает потенциальную опасность register_globals ON.
Грамотный специалист понимает, что в его движке будут ковыряться и дописывать другие, возможно, менее грамотные.
И потому грамотные специалисты (тм более разработчики паблик-решений) рекомендуют выключать (не включать) register_globals.
Грамотный специалист способен объявить НУЖНУЮ перемеренную глобальной.
Грамотный специалист понимает потенциальную опасность register_globals ON.
Грамотный специалист понимает, что в его движке будут ковыряться и дописывать другие, возможно, менее грамотные.
И потому грамотные специалисты (тм более разработчики паблик-решений) рекомендуют выключать (не включать) register_globals.
Для паблик движков это правильно, так как пишутся к ним плагины, а криворуких программистов предостаточно.
Лично мое мнение, если сайт серьезный, писать собственный движок с грамотным программистом, чтобы его никто в паблик не мог ковырять.