Paskutinė WordPress saugumo spraga – programuotojų žioplumas

wordpress-vulnerability

Paskutinė didelė WordPress saugumo spraga, dėl kurios nukentėjo daug įžymių svetainių, yra rimtas programuotojų neapsižiūrėjimas: WordPress kūrėjai pamiršo patikrinti varototojų teises kai kuriuose administravimo puslapiuose. Jei senos versijos WordPress tinklaraštis yra atviras registracijoms, paprastas varototojas galėjo atlikti tinklaraščio administravimo veiksmus: keisti diskusijų, standartinius, pastoviųjų nuorodų, paveiksliukų, privatumo, skaitymo, rašymo nustatymus, temų šablonus ir jų failus, vartotojus ir tuo pačiu savo kaip vartotojo teises. Su tokiom įsilaužimo galimybėm nenuostabu, kad daug įžymių tinklaraščių buvo smarkiai išdarkyti. Jei neklystu pažiūrėjęs į kodą, tinklaraščiai, kurie neturi viešos registracijos nuo šios problemos yra apsaugoti.

Keista tik kaip tokia saugumo spraga buvo nepastebėta tokį ilgą laiko tarpą: visuose WordPress versijose iki 2.8.4! O WordPress kuo toliau tuo labiau pučias ir pučias funkcionalumo, atminties naudojimo ir tuo pačių dar neatrastų klaidų prasme. Ar nebus taip, kad galų gale paprasti vartotojai naudos vos 2% visų WordPress galimybių, kaip dabar yra su Microsoft Office? Man anksčiau labiau patiko, kai WordPress tebuvo tinklarašių rašymo karkasas, o visą reikalingą funkcionalumą parsiplėsdavai įskiepių pagalba.

Žiūriu dabar į tą WordPress PHP kodo košę ir džiaugiuosi, kad perėjau prie Ruby on Rails: paprasto, gražaus, elegantiško, lengvai suprantamo ir plečiamo framework.

Jeigu šis įrašas patiko, nepatingėkit pakomentuoti arba užsiprenumeruoti RSS srautą.

16 komentarų

    • Ruby On Rails yra programavimo platforma. Blogeriai.net yra sukurta ant jos. PHP, kuriuo yra sukurtas WordPress galima lyginti su Ruby On Rails, bet ne paty WordPress su Ruby On Rails.

          • Tokią išvadą iš nieko padariau :). Nežinau, man su blogo administravimu bėdų ištinka, ypač išjungus pluginą, palikus to plugino tag’us ir po to nieko gražaus nebėr :(.

    • Yra ir pigių serverių kur palaiko RoR, yra ir VDS ar dedicated. Renkiesi pagal poreikius, bet čia jau atskira tema. Pavyzdžiui, mano JaguarPC palaiko RoR pačiam pigiausiam hostingo plane. Aišku, kažko labai sudėtingo nepakursi, bet paprastą blogą, kuris suktųsi ant RoR tai be problemų.

  1. O, blogeriai.net ant RoR – kažkaip anksčiau nežinojau :-) Labai smagu ir sveikinu!

    Man pačiam jau kuris laikas sukasi perkelti savo blogą į Typo… manau jau ne už kalnų.

    P.S. php su RoR lyginti irgi nereikėtų – kalbą su frameworku. PHP vs Ruby, RoR vs Symfony/Zend/cake ir t.t. – geresni lyginimo kandidatai :)

    • Analogiškai nevertėtų kaltinti PHP dėl WordPress kūrėjų kreivų pirštų…

      PHP pati savaime nėra bloga kalba, nors Ruby objektiškumas yra didelis pliusas. Ir visgi, yra ir Java, ir Python – labai šaunios alternatyvos tiek PHP, tiek Ruby.

      Su PHP taipogi yra sukurta (arba galima sukurti savo) programavimo džiaugsmą teikiančių framework’ų. Ir nebūtinai besilygiuojančių į RoR…

      WordPress kodo prasme ir performance’o atžvilgiu yra didelė šiukšliadėžė. Tvarką mėgstančiam ji tokia ir liks, tuo tarpu aklai įsimylėję ir toliau knaisiosis po ją…

      • Sutinku, kad PHP yra tik įrankis , taip pat kaip ir RoR ir kreivos programuotojų rankos nėra įrankių problema. PHP čia nekaltinu. Vienintelis pastebėjimas, kad su RoR yra lengviau išvengti tokių problemų.

Parašykite komentarą

El. pašto adresas nebus skelbiamas. Būtini laukeliai pažymėti *