Site spart

[RedHat]

Pai daaa ... dovada este chiar in existenta acestui topic...
si multe altele...
Pana acum nici un website creeat de mine nu a fost spart... si fac asta de prin 2002-2003.
tentative au fost: vanzare-motociclete-romania.ro a fost atacat chiar in ziua de craciun, anul trecut...

Esti naiv, sa nu spun amuzant.
Cum ti-a spus si Cristi, site-urile tale sunt mult prea mici ca cineva sa isi piarda timpul cu ele dar totusi iti poti incerca norocul. Insista mult pe securitatea lor

[crt]

La wordpress s-au descoperit cam 130 de vulnerabilitati in 8 ani (e bine zic eu). Restul provin de la teme si de la pluginuri. Daca la o aplicatie custom auditul de securitate e facut de programator (programatori), la wordpress acesta e facut de sute de oameni (programatori, hackeri).

Cand vorbim de aplicatii custom nu vorbim numai de securitate ci si de functionalitate, scalabilitate etc. Daca vreau un site mic pot sa apelez la un programator sau la o firma. Daca vreau o aplicatie complexa trebuie sa am cateva mii de euro daca vreau custom.

Lucrez cu aplicatii home made. Cel putin odata pe zi imi bag multe chestii in ele. Si sunt aplicatii la care au lucrat programatori buni insa nimeni nu le-a gandit la inceput la ceea ce trebuie sa faca ele acum. Si mai e si o companie care si-ar permite externalizarea acestui serviciu dar na, merge si asa.

Si daca vorbim de open source nu trebuie sa ne oprim doar la wp, joomla si drupal pt. ca sunt si alte folosite destul de des.

Sunt avantaje la solutiile custom dar nu pt. orice buzunar.

[danutz0501]

Cu scuzele de rigoare ca reinvii un thread mai vechi dar, sincer acum, voi chiar credeti ca cineva (hacker cracker cum vreti sa ai spuneti) cauta faima in a sparge wordpress?
Maritul wordpreșș foloseste kses si pt filtrare. Asa jalnic e, o echipa cum ziceti voi de sute de oameni apeleaza la o clasa scrisa de 1 persoana pt a se proteja de xss.
Wordpreșș a fost si va ramane tot timpul o prastie, avantajul e ca e user friendly. Foloseste functii mysql (nu pdo nu mysqli) in 2012, astea mai au un pic si sant sterse din php sau depreciate, globale si restu. Cele mai bune lucruri din wordpreșș sant kses si PHPmailer restu praf. Ma mir, sau gandit macar sa foloseasca html purifier. Sau gandit si ei macar sa integreze un registry pattern spre exemplu tot le place sa lucreze cu globale, macar dadeau impresia ca ar fi interesati si ei de ceea ce fac
@crt prima oara cred ca e securitatea, dupa vine restu.
Orice MVC framework normal ofera de 1000 de ori protectia functionalitatea si scalabilitatea wordpreșș-ului, dar pt ca nu sant "noobb friendly" si lumea trebuie sa mai si scrie un contrloer un model un view, prostii de genu asta neimportante , nu sant considerate solutii reale si wordragalie asta e considerat SUPER APLICATIE wtf.
Wordpreșș are macar cumva un session wrapper sau totul e default si salvat in /tmp, un csrf token sau ceva sa se asemene?
Si acum o intrebare, dc doamne iarta-ma considerati prastia de wp o aplicatie web safe?

[crt]

Danut nu vreau sa intru in polemici cu tine. Incearca sa explici ce ai scris mai sus unuia care habar nu are de php, mysql etc. Daca te intelege inseamna ca ai dreptate. Pana atunci vorbim de majoritatea utilizatorilor care habar nu au de aceste chestii. Multi dintre ei nu au resurse financiare sau nu vor sa apeleze la programatori sau sa cumpere o alta solutie. Restul sunt lucruri pe care le-am mai auzit dar deocamdata nimeni nu a venit cu o solutie mai buna care sa fie adoptata de cat mai multi utilizatori. Daca esti programator sti cat costa sa angajezi unul. Cine are bani foloseste in general o solutie custom sau premium. Dar cati sunt aia?

[lovelife]

Stim ca esti cel mai tare programator, si cei de la WP sunt niste ageamii in legatura cu tine
Faci un pariu pe 10.000 Euro ca aplicatia facuta de tine va fi sparsa mai usor de un profesionist decat un WP default, cu module si tema implicit?
Punem impreuna pe site-urile de specialistit un premiu de 5000 de euro pentru cine reuseste sa le sparga (jumatate contribui eu jumatate tu)

[Ciprian.Olaru]

Mi se pare imposibil ca un site custom sa fie mai sigur decat un CMS popular, precum WordPress.

diferenta majora dpdv al securitatii intre cele doua e ca pe wp il poti studia si din interior, pe cand codul meu custom nu iti ofera acces inauntru sa poti vedea unde e slab;
prin urmare e mult mai dificil de "spart" codul custom (daca e facut respectand cateva elemente de "bun-simt" de securitate);
pana la urma nu e dificil sa treci toate intrarile printr-un controller care sa le "perie".. si cu asta ai rezolvat 90% din probleme;

dupa ce am folosit ani buni un framework propriu (care a mers si pe siteuri mari si n-a fost "spart"), acum prefer open-source pe motiv de productivitate, chiar daca dpdv al securitatii cred in continuare ca frameworkul custom ar fi rezistat mai bine;

[danutz0501]

@crt iti dau dreptate. Dar nu inteleg un lucru de ce uni fanboy sant atat de super convinsi ca e super ok wp. Sincer acum parerea ta personala daca ai avea de ales din astea ce ai alege:
- variabile globale pasate functiilor(posibilitatea oricand ca userul sau un plug-in sa ai schimbe valoarea);
- constante (alegerea word press, nu pot fi redefinite dar foarte incete);
- un array global (un registri patern);
Din astea 3 rele as alege registri, si cred ca oricene aceeasi alegere ar faceo. E mai rapida decat o constanta si coliziunile cu diverse variabile globale de prin nu stiu ce plugin-uri ar fi excluse(setarea si citirea doar cu set si get);
Inteleg necesitatea definirii unur constante, in special pt caile absolute, dar astia prea folosesc constante la absolut orice. Si daca zici ceva rau de wp iti sar fan boy in cap si urla
Pt toti fan boy WP folositi mai wp, chiar va rog. Ma distrez de minune cand va vad ca plangeti de toate forumurile posibile si imposibile de problemele care le are, dar tot nu ati renunta la el =))

[Nichita]

Danutz0501, cred ca cei de la Techcrunch / Mashable / NyTimes / Cnn.com au o gramada de incercari de hack pe zi. Daca Wp era atat de prost la capitolul securitate precum sustii, site-urile astea aveau de mult platforma inlocuita cu ceva custom.


2 Mashable! mashable.com WordPress – self-hosted
6 TechCrunch techcrunch.com WordPress – hosted
9 Think Progress thinkprogress.org WordPress – self-hosted
11 The Next Web thenextweb.com WordPress – self-hosted
12 Boing Boing boingboing.com WordPress – self-hosted
14 Hot Air hotair.com WordPress – self-hosted
15 VentureBeat venturebeat.com WordPress – hosted
16 Mediaite mediaite.com WordPress – self-hosted
17 Bits bits.blogs.nytimes.com WordPress – self-hosted
19 GigaOM gigaom.com WordPress – hosted
21 CNN Political Ticker politicalticker.blogs.cnn.com WordPress – hosted
23 Deadline deadline.com WordPress – self-hosted
25 SlashGear slashgear.com WordPress – self-hosted
32 Laughing Squid laughingsquid.com WordPress – self-hosted
33 9 to 5 Mac 9to5mac.com WordPress – hosted
34 The Caucus thecaucus.blogs.nytimes.com WordPress – self-hosted
38 Media Decoder mediadecoder.blogs.nytimes.com WordPress – hosted
42 The Foundry blog.heritage.org WordPress – self-hosted
45 RedState redstate.com WordPress – self-hosted
47 ArtsBeat artsbeat.blogs.nytimes.com WordPress – self-hosted
48 Neatorama neatorama.com WordPress – self-hosted
50 Ubergizmo ubergizmo.com WordPress – self-hosted
53 BGR bgr.com WordPress – self-hosted
54 Flavorwire flavorwire.com WordPress – self-hosted
55 PopWatch popwatch.ew.com WordPress – hosted
56 Michelle Malkin michellemalkin.com WordPress – self-hosted
57 City Room cityroom.blogs.nytimes.com WordPress – self-hosted
58 Wired Science wired.com/wiredscience WordPress – self-hosted
59 Grist grist.org WordPress – hosted
60 Search Engine Land searchengineland.com WordPress – self-hosted
61 Threat Level wired.com/threatlevel WordPress – self-hosted

Sursa.

[crt]

Danut eu as proiecta cms-ul asa cum as vrea eu. Dar nu am cunostinte suficiente sa creez asa ceva. Sa vorbim de cat m-ar costa? Varianta de mijloc o reprezinta cms-urile premium dar niciuna nu m-a convis suficient.

Stiu ce minusuri are wp dar, punand in balanta solutiile pe care le-am enumerat mai sus, prefer sa raman la wp.

[Cristi G]

danutze, daca tot zici ca e asa slab si prost, de ce totusi e folosit de o gramada de site-uri din top 1000 alexa? N-au aia bani oare? Sunt asa tampiti? Nu, iti garantez eu ca nu. Nu a zis nimeni ca WordPress e super genial, ca e cel mai bun CMS, ca altele. Eu iti spun doar ca isi face treaba cu minune si il poti modifica cum vrei tu astfel incat sa obtii mult mai rapid aproape orice vrei tu.

Tu crezi ca lumea care vrea un site simplu de prezentare sau cu functionalitati simple vine la tine sa-i faci tu website-ul cu CMS-ul tau custom, ca apoi sa depinda de tine? Nu, alege sa foloseasca WordPress pentru ca:

1) Este si va fi sustinut si updatat mult timp de acum inainte
2) Orice problema ar avea, gaseste ajutor destul de usor pe internet sfaturi si poate chiar solutia la problema lui
3) Poate angaja oricand un programator sa-i faca mici modificari, fara sa-i plateasca o avere.

La CMS-ul custom, chiar daca programatorul sta 1 ora sa-i faca modificarile, pana intelege structura si modul in care a fost construit, ii mai cere plata pe 20 ore de munca.

CMS / framework custom se justifica pentru firme mari si foarte complexe, pentru restul exista atat CMS-uri cat si framework-uri open source.

Daca tot zici ca e asa slab dpdv al securitatii, te doare mana sa faci un bug report pe portiunile de cod care nu-ti plac si sa le spui ce nu e ok? Mai usor e sa comentezi.

Pt toti fan boy WP folositi mai wp, chiar va rog. Ma distrez de minune cand va vad ca plangeti de toate forumurile posibile si imposibile de problemele care le are, dar tot nu ati renunta la el =))

Care probleme? Cine se plange? Gigeii care nu stiu sa-si instaleze un plugin sau intra in wp-config.php si vor sa schimbe continutul site-ului. Programatorii nu se plang pe forumuri, cauta solutii si isi rezolva problemele in loc sa arunce cu noroi, cum faci tu. Eu iti dau un site WP si daca tu mi-l atingi in vreun fel, esti cel mai tare.