Первый раз с этим столкнулся в 11-м году, но тогда блочили по адресу страницы, потому просто поменял адреса на заблоченных страницах и забыл.
Если теперь блочат все подряд по вхождению фразы, дак это вообще клондайк!
Пора сервис окрывать "утоплю.рф"
Sergsap, не нужно удалять ни первый ни второй кусок кода.
Это не вредоносный код, а часть рабочего кода, которая и была изначально написана разработчиками соответствующих дополнений.
Враги спрятались в другом месте! :-)
Зависит от хостинга, но у большинства хостингов в корне вашей домашней директории лежит файлик: .lastlogin
Это текстовый файл, в котором хранятся последние входы. Формат зависит от хостинга, но обычно всегда есть протокол входа, адрес и дата со временем.
А давно это было? Я их фишку с кешированием заметил где то с декабря.
Причем совершенно случайно, подправил скрипт, а он не работает, вернее правки не работают, начал копать, оказалось кеширование, потом ТП объяснили, что они так борятся с аномально возрастающей нагрузкой на определенные скрипты...
По сути согласен, но на практике уже давно с таким не сталкивался. Хостинги динозавны не в счет, а на нормальных современных хостингов обычный брут не приводит к превышению нагрузки, а если брут многопоточный с кучей проксей и сотней потоков, то это опять же нормальными хостингами расценивается как DDoS и меры принимаются автоматически. Например тот же бегет в этом случае автоматом начинает кешировать PHP скрипт и обновлять кеш раз в пять или десять минут, а на подобные запросы отдавать NGINXом статическую сохраненную в кеш html страничку. :-)
1. Система самая обычная, в данном случае имеющая общепринятое название "Интернет магазин" в составе которой есть несколько функциональных модулей.
А то что ТС возможно что то сам неверно настроил, не делает появившуюся в следствии этого уязвимость не уязвимостью. Более того, абсолютное большинство уязвимостей возникает именно из за ошибок администраторов систем, а не из за ошибок в программном коде или в алгоритмах.
Это в смысле про пьянку или про столб? :-) Я б тему про бухло продолжил, не вопрос, она мне тоже близка, но все же об информационной безопасности тут говорим...
Брутом вордпресса не вызвать критической нагрузки для хостинга, ну если хостинг нормальный. Да и DDoS большинство современных качественных хостингов отбивают по умолчанию, по этому это не должно волновать клиента хостинга.
А сбрутить рандомный пароль из десяти и более знаков на вордпресс невозможно даже теоретически.
1. В данном случае критичность уязвимости и заявление о ней сделаны владельцем системы. По его словам, он не получает оплату за проданные товары! Причем не за все, а за некоторые, которые по его мнению покупаются именно злоумышленниками и именно для того, что бы не платить. Уязвимость самая обычная и как ее не маскируй, уязвимостью она быть не перестанет, пока ее не починить.
2. Софистики не надо. Я привел четкие, общепринятые определения. И биллинг в данном случае это и часть сайта и уж тем более часть системы.
Не нужно наговаривать!
Отличный плагин, критических уязвимостей в нем давно уже не было, да и были ли вообще на вскидку не помню. А не критических не было с 2014-го года. ---------- Добавлено 27.04.2016 в 15:02 ----------
Думать можно многое! Но тут мыслей мало, тут факты нужны.
1. Плагин не постоянно латается, а активно развивается и совершенствуется ибо является самым популярным плагином по SEO имеет сотни тысяч установок и входит в том самых часто используемых плагинов для вордпресса.
2. А в ручную это позвольте спросить как? Нету в вордпрессе возможности из коробки редактировать метаданные у каждого поста или вручную это свое написать? Так лучше оно самописное не будет точно!
Ага, богатым можешь ты не стать, но программистом быть обязан! :-)
Есть такая хорошая услуга под названием аудит.
Если сюда приложить немного смекалки, то ее сделают качественно и бесплатно. :-)
Хотя полностью поддерживаю замечание выше и считаю, что проще заплатить. С учетом того, что работы по устранению данной ошибки вряд ли по стоимости превысят 1000 рублей, если конечно места знать :-)
