Взлом сайтов на WordPress

У меня произошел массовый взлом сайтов на вордпрессе, который не обновлялся более 5 месяцев. 
Так что рекомендую срочно обновиться до последней версии, если вы тоже страдаете забывчивостью, а то придется с бекапами играться.

Я боюсь обновляться, т.к. настройки полетят.   Плагинов лучше дополнительных поставить.

Ррешето!

Avalanche_6, я тоже из-за этого же не обновлялся. Сейчас жалею) 
Обновляться все равно придется, плюс потратить кучу времени на восстановление бекапов, а если они заражены, то и на чистку. Плюс яндекс зафильтровал сайты до полной очистки.

Меня также периодически взламывает индус. И что характерно через наш сервер далее взламывает другие сервера.
Wordpress - настолько же уязвим, насколько удобен в накатке сайта. И не важно как бы Вы не старались обновляться, различные уязвимости в плагинах, оформлениях темы дадут столько дыр, что в дуршлаке будет меньше.

Как не странно посоветую Вам такую вещь как защита админки, точно не помню название плагина, но позволяет заходить не через wp-login.php а через секретку типа wp-login.php?secretword
Это исключает брут + шлет сообщения когда происходит авторизация. Сейчас полно фишек, что даже оформление темы загружают и из под нее работают как в полноценной оболочке (shell
)

Цитата (regado):

Wordpress - настолько же уязвим, насколько удобен в накатке сайта

Смешно

Цитата (regado):

И что характерно через наш сервер далее взламывает другие сервера.

Наймите админа для правильной безопасной настройки сервера!

Цитата (regado):

различные уязвимости в плагинах, оформлениях темы дадут столько дыр, что в дуршлаке будет меньше.

Так все таки Wordpress или дырявые плагины и бесплатные темы?

Hungry_Hunter, решето

Где-то читал что около 40% бесплатных тем уже с вирусняком  

Разве можно вообще сколь-нибудь серъезно воспринимать сайты и разработку на бесплатных noname  темах? 

Лично мне Вордпресс нравится.   Для простых сайтов, блогов и одностраничников - самое оно.  Даже если взломают сайт - бэкап всегда под рукой.  Главное никаких личных данных - ни своих, ни клиентских не хранить.

Как по мне это стандартная практика, в результате массового использования продуктов находятся дырки, на эти дырки выходят заплатки  в виде обновлений.
Нечего не вечно.
С этой мыслью нужно смириться и стараться не запускать.
Мне даже кажется что должна быть какая-то практика каждый пару месяцев/пол года обновлять проекты до актуальных версий.

vovka-morkovka, отчего же бесплатных тем. Давайте рассмотрим варианты взломанных решений тем оформлений типа Startup (стоит порядка 56 долларов) или любой темы от компании Elegantthemes - подписка стоит 69 баксов в год.
В любом случае по статистике из собственного опыта взламывают удачно джумлу, вордпресс. Значительно сложнее modX и прочие.
Добавлю, оформление от Themeshift также было однажды взломано, о баге они высылали доп заплатку. Обычно подгружают без всякой админки через плагин обработки превью изображений нужный исполняемый файл и вуаля, через дырочку имеют доступ. Настройка сервака тут не спасет.

regado, это был ответ на
Цитата (loginov123):

Где-то читал что около 40% бесплатных тем уже с вирусняком  

Цитата (regado):

Значительно сложнее modX

Абсолютно согласен. Но это справедливо только для ветки Revolution. 

Цитата (regado):

Настройка сервака тут не спасет.

Да, да, рассказывайте. При правильной настройке сервера не смогут ни файл загрузить. ни через шел что-то отредактировать.
Максимум что сможет злоумышленник имея шел на сервере это читать файлы.
Да, возможны SQL-инъекции, но во всех более менее популярных плагинах об этом позаботились разработчики.
Взломать можно все что угодно, было бы желание и средства.
Сайтов на Modx гораздо меньше чем на Wordpress, поэтому и кажется что его взламывают меньше, но уверен на 80%, что если взять процентное соотношение, то оно будет примерно одинаковым для любой бесплатной CMS.

Цитата (Hungry_Hunter):

если взять процентное соотношение

Именно так.
Цитата (Hungry_Hunter):

если взять процентное соотношение

Именно на этом и основывается утверждение о более высоком уровне безопасности сайтов на MODX. Причин здесь масса. Во-первых, разрабы MODX просто маниакально относятся к вопросам безопасности: перманентные аудиты, своевременные обновления и т.п. Во-вторых, те, кто знаком с MODX знают, что в основе идеологии разработки расширений для MODX лежат подходы, значительно снижающие процент "дырявых" плагинов/сниппетов/компонентов. Отчасти это верно и по той простой причине, что для написания компонента для MODX необходимый профессиональный уровень разработчика должен быть достаточно высоким.
Цитата (Hungry_Hunter):

Взломать можно все что угодно, было бы желание и средства.

А вот с этим не поспоришь)

b0nn1e, wp имеет возможность автоматически обновляться )

regado, плохая идея, очень плохая)

ermolaev, чем же плоха идея автоматического обновления?

Подброшу немного в костер

посилання

Цитата:

"Возьмите всё то, что было перечислено до этого момента, добавьте всё то, что еще будет перечислено, затем умножьте на два. Вот что из себя представляют готовые сторонние плагины и шаблоны. Вас встретят: плохая и несогласованная между различными плагинами архитектура, злоупотребление экшенами и фильтрами, неэффективная работа с БД, в целом низкосортное качество кода."