010101010101

Рейтинг
22
Регистрация
29.10.2011
Elgg: бесплатный движок для социальных сетей

Запустили новый шаблон соцсети на Elgg:

http://www.r.wzm.me

Концепция микроблога с интеграцией Twitter'a и другой соцсети на Elgg.

Автоматический кросспостинг из Twitter <-> weborganiZm <-> River и, наоборот.

Расширенный функционал в отличие от Твиттера.

Кроссбраузерность, responsive дизайн и т.д.

Пока тестируем, но все работает - можете пробовать и спрашивать, как это сделать.

Elgg: бесплатный движок для социальных сетей

То, что мы сделали с сотоварищами для себя:

Закрытая соцсеть: http://weborganizm.org (Демо регистрация бесплатна)

Открытый микроблог в ней: http://weborganizm.org/river

Публичная соцсеть: http://w.wzm.me

Готовые для запуска движки (все-из-коробки + уникальные темы) в портфолио нашего разработчика (контрибьютор и офиц. разработчик на Elgg Community):

http://w.wzm.me/wall/v/126/social

http://w.wzm.me/wall/v/94/network

http://w.wzm.me/wall/v/108/community

Все работает в настоящее время на клиентских сайтах.

Плагины (моды) в тотеме на этом портфолио:

http://w.wzm.me/wall/v/163/personal-social-network

Клиентские продукты, нами разработанные, показывать не имею права; скажу лишь, что востребован сей движок (в основном) в Европе, странах Центр. и Южной Америки, Индии, странах Южной Азии и Индонезии (70-80% клиентов).

Для сравнения, что можно сделать с Elgg - посмотрите кейсы https://community.elgg.org/showcase

-------------------

Прямо сейчас ставим еще одну сеть. После тестинга - отпишусь здесь.

Проблемы с плагином Вордпресс NextGEN Gallery. Помогите пожалуйста!

1. Если версия NextGEN Gallery < 1.8.3, то, возможно, присутствие уязвимости для этой версии плагина.

2. Если в используемой теме блога наличиствует утилита timthumb.php, то, возможно, на вашем блоге успешно эксплуатируется эксплойт.

Также могут помочь подробные описания о "черных дырах" в ВП

Noindex или robots?
Noindex или robots?
Есть сайт. Движок на WP. В robots.txt запрет на индексацию /page/. В Platinum SEO Plugin стоит noindex на страницы этого же вида. Теперь в Я панели показывает, что половина запрещено в robots, а половина тегом noindex. Как лучше сделать, что оставить?

Правильный ответ у WebAlt:

Для Google важнее метатег

Гуглу давно наплевать на инструкции robots.txt.

Собственно, как и другим ботам.

А никто не знает почему стоит в директории картинок после uploads год 2011 и месяц, на некоторых блогах видел что нет года.

Смотрите в настройках WP: Settings -> Permalinks

Здесь настройте по-своему усмотрению, отказавшись от Day and name и Month and name, если не хотите разбивать контент по дням-месяцам-годам

Скрипт добавляет кучу невидимых фармассылок в конце страницы

Globusnik, как правильно подсказал vommbat - нужно найти зловредный скрипт.

На примере уязвимости в timthumb (а у вас какая-то из тем использует плагин timthumb.php) нужно найти в какой папке лежит малварь:


В журнале ошибок Apache нахожу: "[Mon Aug 01 11:09:12 2011] [error] [client 127.0.0.1] PHP Warning: file_get_contents(http://blogger.com.zoha.vn/db/load.php): failed to open stream: HTTP request failed! in /usr/local/markmaunder/wp-content/themes/Memoir/timthumb.php on line 675"

Проверяю каталог кэша timthumb и нахожу Alucar.

Обнаруживаю, что шелл закодирован с base64, поэтому я не нашел ничего с Grep.

Заново проверяю исходники WordPress и базу данных и обнаружил инъекцию в wp-blog-header.php

Декодировал base64 содержимое Alucar

Нашел TMP файл в / TMP

Очистил всё и пофиксил разрешения. Запустил chkrootkit и другие утилиты на машине, чтобы посмотреть, что еще было скомпрометировано. Изменил пароли и т.д.

Здесь речь идет о шелле Alucar, загруженным через баг в плагине timthumb, который внедрил в wp-blog-header.php вредоносный скрипт.

Не факт, что у вас именно Alucar, но схема проверки на вшивость такая же:


Смотрите журнал ошибок Apache и ищите попытку file_get_contents

Пройдите по указонному пути, вплоть до строки кода в вызываемом файле и что она (строка) делает.
В приведенном примере, автор обнаружил, что строка 675 в файле /usr/local/markmaunder/wp-content/themes/Memoir/timthumb.php отвечает за каталог кэша плагина, в котором и был найден шелл.

Но от шелла остались результаты его деятельности - те самые скрипты в фрейме, а их найти можно только перелапатив исходники Вордпресса на предмет изменения файлов.

Хорошая команда в Unix:
find / -mtime -60
найти все файлы, которые были изменены за последний час

И еще раз пройдитесь по рекомендуемой уже вам ссылке: Уязвимости в WordPress, в которой к тому же ведется обновляемый багтрак с актуальными багами и ошибками в WordPress, его темах и плагинах.

:)