Модх ломают пачками

Всем владельцам модх - срочно откатывайте сайты бекапом до 18 (а лучше до 12 июля) и делайте обновление 2.6.5
Ломают сайты, запускают тяжелые скрипты. Дополнения перестают работать, админки логи не показывают.

Наконец-то дошли руки у хацкеров и до MODX) Вордпрессы с джумлами надоели) Вернее, наконец-то получилось)
Проверил сегодня порядка 20 сайтов. Следов взлома нет.  Откатывать смысла нет, если не взломали - нужно просто обновиться до 2.6.5. 
И, что самое главное, - грамотно настроить безопасность (права, расположение каталогов, их название, кто-то вообще базовую аутентификацию на manager, core и connectors ставит), тогда и взломать будет труднее. На порядок. 
Кстати, вроде уязвимость в компоненте Gallery. Если его еще кто-то использует, то, наверное, могут быть проблемы.

regado, И пользуется же кто то ModX, когда есть Вордпресс + Вукоммерц. Уникумы ))

Цитата (zhandosweb):

И пользуется же кто то ModX, когда есть Вордпресс + Вукоммерц. Уникумы ))

Когда я одному своему знакомому-вордпресснику показал, как на MODX делаются некоторые вещи, то он был весьма удивлен, что такое вообще возможно на CMS. WP жутко негибкий. А MODX - это CMF. Но из-за этого порог входа у MODX значительно выше, это правда. MODX используют те, для кого WordPress - слишком CMS) Это ответ на ваш вопрос.
Но тема вроде открыта не ради очередного холивара "моя CMS лучче всех"

PS Кстати, о массовых взломах))
посилання

revladov, возможно в галерее. Заметил пока так: 2.5.5 и выше еще держится. А вот то что ниже уже сломано. Галерея практически везде. Свежеобновленных эволюшен не касается.
zhandosweb, я пользуюсь и тем и этим. Но это не значит что одно другого лучше.

Насчет взломов - помнится что модх не ломали лет 10 и больше, потом пошло. Клиенты были весьма растеряны, как так говорили они - мы 11 лет работали и ни разу не ломали. У популярности CMF есть своя сторона медали )

Цитата (regado):

Заметил пока так: 2.5.5 и выше еще держится.

Ну у меня почти все сайты были выше 2.5.5. Кроме по-моему двух.
От Gallery нужно отказываться. Есть офигенский ms2Gallery, который и удобнее, но, что самое главное, - в разы быстрее из-за того, что превьюшки всех нужных размеров генерятся при загрузке фото на сервер. Плюс возможность загрузки с фронтенда.

Цитата (revladov):

Когда я одному своему знакомому-вордпресснику показал, как на MODX делаются некоторые вещи, то он был весьма удивлен, что такое вообще возможно на CMS. WP жутко негибкий.

а можно мне показать?) я никогда не работал с MODX, но на WP за 5 лет переделал много всего и все же считаю его очень гибким, поэтому просто интересно. Сори что не совсем по теме топика пост. 

oleg_d, так а что мешает скачать\установить\зайти в админку пощупать... в крайне-ленивом случ. видосы глянуть?
Сравнивать модэкс и вордпрес, это как сравнивать молоток и топор -- гвозди забить можно и тем и другим...

oleg_d, а DLE ещё лучше.

1) Судя по поступившей информации, действительно взламывают сайты, которые не обновлялись более двух лет, т.е. данная уязвимость на уровне ядра была пофиксена еще на версии 2.5.1. 
2) Вне зависимости от версии, возможно заражение через дыру в древнем компоненте Gallery. Оказывается его еще используют. Взлом идёт через коннектор phpthumb. Вроде как фикс тоже уже есть в версии компонента 1.7.1.
3) У коллеги 11 сайтов - на поддержке и свои. На 5 стоит Gallery. Но он ответственно отнесся к безопасности - переименовал папки ядра и грамотно закрыл доступ. Следов взлома нет.

Цитата (Vakarchuk):

Сравнивать модэкс и вордпрес, это как сравнивать молоток и топор -- гвозди забить можно и тем и другим...
Ответить

Та вроде не сравниваем же. Просто интересно мнение живого человека, который работает с этой cms и наверняка может (если хочет конечно) обозначить те самые явные преимущества о которых он говорил

oleg_d, написал в личку.

Нраматно на centos настраиваю SELinux, и люди вообще о всякой хрени не парятся

DimaShpak, и что даже сайты не ломаются после этого? Я не настолько спец в админстве серверов, но что то мне подсказывает что дорога - это одно, а сломать автомобиль по этой же дороге - другое. А если еще в автомобиле крыша открытая (это о дыре галереи), то магнитола долго не пролежит ))

Жаль, что Дмитрий не отвечает на поставленный вопрос, действительно важно понять, так ли это - что настроенный селинукс способен творить чудеса? Мне один заказчик прямым текстом ответил, что считает моей обязанностью апдейтить сайты от дыр, ссылаясь на вовремя оплаченную услугу хостинга. Правда я в своей практике не встречал таких гуманных хостеров. Встречал что банили и даже не уведомляли, встречал что ограничивали и уведомляли. Но вот чтобы чинили за бесплатно не встречал.

Цитата (regado):

Мне один заказчик прямым текстом ответил, что считает моей обязанностью апдейтить сайты от дыр

Ха!) Мне написал заказчик, которому я делал сайт 3 года назад, с твердым убеждением, что я должен бесплатно почистить его сайт, обновить версию MODX и далее по списку. Вот бы еще на технику такую гарантию давали: через 3 года от скачка напряжения сгорел телек - не беда, в сервисе починят бесплатно )

revladov, я знал что не одинок в таких заказчиках )))

Цитата:

я знал что не одинок в таких заказчиках

zhandosweb, уникумы - это те кто делает интернет магазины на wp, когда есть специализированные решения на 100 голов выше.