Насколько легко взломать сайт на Wordpress?

Question

[Василий Петров]

Насколько легко взломать сайт на WP, если используются более-менее проверенные плагины?
Сильно ли влияет HTTPS на защиту?

UPD: что посоветуете почитать по безопасности WP, да и вообще сайтов?

Answer 1

[АртемЪ]

По разному.
Сам по себе wordpress достаточно стабильный устойчивый продукт, и как всегда в таких продуктах уязвимости быстро отслеживаются и ликвидируются.
Поэтому он в этом плане ничуть не хуже и не лучше других крупных платформ.
С одной стороны - код сложный, а чем сложнее код тем больше вероятности ошибок и уязвимостей.
Но все уязвимости оперативно устраняются.
Теоретически взломать можно все, но практически - все простые и опасные уязвимости уже закрыты или будут моментально закрыты после обнаружения. Поэтому бояться не стоит.
Глупых ошибок свойственным движкам написанным новичками там нет. Поэтому взломать его очень сложно.
С плагинами ситуация хуже. Один дырявый плагин - и вся безопасность коту под хвост.

Но самая большая проблема - wordpress позиционируется как простой и легкий в освоении продукт для конечного пользователя. Не нужно быть профессионалом чтобы сделать сайт на вордпресс.
В итоге большинство сайтов на этом движке делают непрофессионалы, люди не понимающие как и что там работает, и не имеющие представления о безопасности или небезопасности тех или иных вещей. Что можно делать, а что нельзя.
По этой причине множество сайтов на wordpress являются очень дырявыми.

Https это протокол передачи данных - его задача обеспечить безопасность данных передаваемых между сайтом и пользователем.
К безопасности самого сайта он вообще не имеет никакого отношения.

Comments

[Adamos]

В неидеальном мире уязвимости WP ликвидируются не так быстро, как хотелось бы. Как раз на Опеннете обсуждается CVE-2017-8295, найденная еще в прошлом году. Да, применить ее не так-то легко... но и исправить должно быть нетрудно. Однако исправления нет.

[АртемЪ]

Adamos: Достаточно быстро.
Зависит это от многих факторов, но в первую очередь от критичности.
Есть очень опасные уязвимости которые легко применить и много дел можно натворить,

В случае указанной вами уязвимости -она явно не критичная. Я бы вообще не стал заморачиваться ее исправлением на месте разработчиков.

[Adamos]

АртемЪ: не критичная, но... как бы это сказать... репутационная.
Разбирающийся прочтет условия ее применения и, действительно, плюнет.
А вот для не разбирающегося ее описание выглядит, как парадный черный ход.

[Site Developer]

И кстати, если взглянуть чуть шире, то это проблема не только ВП. Ну и в какой-то мере не столько ВП, сколько кривых серверов. Хотя не спорю - это косяк и ВП в тч.

[Adamos]

Site Developer: делайте на здоровье.
Мне не приходится крутиться на конвейере "торгуем таблом - натягиваем ВордПресс - ... - продакшен", так что я его выход вряд ли замечу.

[АртемЪ]

Adamos: Ну скажем так - исправление любой проблемы во первых требует ресурсов, которые не безграничны, во вторых это новый код, который может содержать новые уязвимости, или сломать старые зависимости.
Поэтому стоит взвешенно подходить к оценке опасности.

Более того устранение такой уязвимости может быть в перспективе даже небезопасным.
Поясню - у любого крупного проекта таких мелких сложнореализуемых уязвимостей тысячи, без этого никак, идеального неуязвимого кода не может быть в принципе.
Так вот - исправите одну такую, и вам в трекер посыпятся десятки аналогичных, и пока вы будете тратить время на их устранение пропустите реально важную и опасную уязвимость, потому что ресурсы не безграничны.

В общем к защите сайтов стоит подходить серьезно, но взешенно, и без фанатизма.

[Adamos]

АртемЪ: само собой. Но эта уязвимость не только получила огласку, но и имеет мерзкую особенность - опасна больше для серьезных сайтов, чем для тяп-ляп на шареде.
То есть бросает тень на репутацию WP как с точки зрения ламеров, так и с точки зрения профессионалов, которые хотели бы иметь хотя бы ядро сайта настолько безупречным, чтобы быть уверенными, что самостоятельно с ним париться не нужно.

[АртемЪ]

Site Developer:

в заблуждении ламеров, что они могут админить ВПС.

Да нет никакого заблуждения.
Они действительно могут, ибо это несложно- две кнопки тыкнуть.

Да они могут натворить дел- открытый доступ по фтп к корню, пароль 123 у рута, админики и всего остального.
Ну и что?

Если их задачу это решает, особых проблем не доставляет, и их это устраивает, что в этом плохого?

[Adamos]

Site Developer: боюсь, ваша нынешняя модель нимба дает наводки на клавиатуру, создавая досадные для имиджа крутого профи опечатки. Отключайте, что ли...

[АртемЪ]

На мой взгляд основное и самое важное достоинство вордпресс это как раз ориентированность на непрофессионалов.
Любой человек далекий от IT может взять и за вечер сделать себе сайт. Без всяких дизайнеров, верстальщиков, программистов, админов, и прочих.
Совершенно бесплатно и то что он хочет.

Будут проблемы - ну обратится к профессионалам за доработкой, не будет проблем, вообще отлично.

[Adamos]

АртемЪ: ну да, если бы он еще стоил, как паровоз - даже Битрикс бы такой конкуренции не выдержал ;)

Answer 2

[zzamzam]

Про сам вордпресс и его код и плагины вам ответили, а по https поясню:
Https нужен для того, что соединение между клиентским устройством (комьютер, телефон и т.п.) и веб-сервером было зашифровано, а значит будут зашифрованы и передаваемые данные.
Что это даёт?
Если вы логинитесь в админку сайта по обычному http, то на пути от вашего устройства до веб-сервера сетевые пакеты можно перехватить и прочитать переданные вами данные (логин, пароль) в открытом виде в виде текста. Если будет использован https, то сетевые пакеты так же перехватываются, но прочитать их содержимое можно только если расшифровать его закрытым ключом, который хранится на веб сервере. Сами сообщения зашифровываются на стороне клиента открытым ключом, который веб-сервер передаёт любому, установившему соединение.
При передаче данных обратно, от сервера к клиенту, используется сгенерированная на клиенте пара открытый-закрытый ключ. Тут уже веб-сервер шифрует сообщения открытым ключам клиента, а клиент расшифровывает их своим закрытым.
Т.е. ключи для расшифровки сообщений текущей сессии знают только клиент и сервер.

И, да, не слушайте Site Developer, где он в комментариях говорит по поводу того, что клиент не знает, что к нему прилетает, потому что как раз клиентское устройство знает, что к нему прилетает.

Comments

[Василий Петров]

А насколько легко перехватить данные?

[Site Developer]

Включи голову! Как раз по причине зашифрованности трафика ЮЗЕР, который думает о безопасности и и для этого мониторит трафик не знает что получает. А когда браузер расшифрует и запустит - будет поздно.

[zzamzam]

Василий Петров: если это вай-фай, то можно просто включить программу, типа wireshark, включить на адаптере "неразборчивый режим/promiscuous mode" (когда карта НЕ будет отбрасывать пакеты, предназначенные не ей) и смотреть трафик всех пользователей на этом вайфае
С физической сетью посложнее: так как пакеты на свитчах не идут куда попало, и идут к адресату (маршрутизатору), то, просто воткнувшись в свитч, не получится слушать трафик. Обычно в таком случае используют man-in-the-middle, когда ваше устройство притворяется маршрутизатором, рассылая по всей сети широковещательные пакеты с информацией о том, что теперь для выхода в интернет надо слать все пакеты сюда (это упрощённо), а затем пересылает пакеты на настоящий маршрутизатор. Таким образом весь трафик идёт через вас и его можно перехватывать.

[zzamzam]

Site Developer: Смените тон, уважаемый. Что вы собрались мониторить в веб-трафике? Скрипты, флеш-плагины, ява-апплеты? Чтобы проанализировать их содержимое вам или вашей программе в ЛЮБОМ случае придётся сначала полностью получить файл с содержимым, а затем, на основе анализа, принимать решение о запуске оного. Или вы хотите сказать, что собираетесь ловить незашифрованный трафик на транспортном или сетевом уровне, и там принимать решение, пропускать ли его к браузеру?
Если вы говорите про анализ url, то они доступны в обоих вариантах до получения содержимого.

[zzamzam]

Site Developer: широковещание используется если необходимо отправить пакеты всем хостам в сегменте. В остальных случаях пакет имеет адресата в виде IP и MAC адресов. При получении пакета свитч отправляет его на тот порт, где находится адресат. Если свитч не знает нахождения адресата, он шлёт широковещательный запрос, из ответа он узнаёт, на каком порту находится адресат и не сменился ли у него MAC-адрес. Как раз на последнем и основывается mitm (в данном случае arp spoofing): вредоносное устройство начинает рассылать бродкаст, что у маршрутизатора изменился MAC, таким образом свитч начинается отсылать пакеты, предназначенные маршрутизатору, на это устройство.

Учите матчать

[zzamzam]

Всё так же призываю людей, в будущем читающих эту тему, не слушать "сисадмина" Site Developer , а хотя бы самостоятельно ознакомиться с теорией

Answer 3

[Site Developer]

Насколько легко взломать сайт на WP, если используются более-менее проверенные плагины?

Если плохая прокладка между клавиатурой и креслом, то легко.
А так даже у гуглов, фейсбуков и прочих твиттеров базы юзеров уводят. И у Пентагона говорят тоже документацию сливают. :)

Сильно ли влияет HTTPS на защиту?

Вообще не влияет. https не для сайтов, а для юзеров. И то не для всех и не всегда полезно. (от него больше вреда на самом деле)

Comments

[Василий Петров]

То ли вы с сарказмом, то ли в серьез? :D
В смысле HTTPS для юзеров? Чисто для вида, что сайт "безопасен"?

[Site Developer]

Василий Петров:

В смысле HTTPS для юзеров? Чисто для вида, что сайт "безопасен"?

Кто тебе сказал что САЙТ безопаснее?! Тебя нае обманули. HTTPS - это шифрованный протокол передачи данных, только и всего.
От наличия https сайт НЕ безопаснее ни разу. Скорее наоборот - для юзера он опаснее. тк юзер не может отследить что к нему в реальности прилетает. Только очень не все это понимают.

[Николай]

Site Developer: что вы несёте, уважаемый? )
Такой бред я не слышал ещё не разу :D

[Site Developer]

Николай: какой-такой бред мы несем, неграмотный?

[Vladimir Vasilenko]

Василий Петров: Это не сарказм. Использование HTTPS никак не влияет на защищенность сайта.
HTTPS применяется, чтобы злоумышленник не смог прочитать или подменить данные передаваемые между сайтом и пользователем, это особенно актуально при использовании публичных Wi-Fi сетей.

[Василий Петров]

Vladimir Vasilenko: ну ведь злоумышленник сможет так прочитать и пароль админа? (даже если админ не использует такие Wi-Fi)

[Vladimir Vasilenko]

Василий Петров: Нет, перехватить пароль админа в таком случае смог бы только ваш интернет-провайдер или хостер.

[АртемЪ]

Site Developer:

От наличия https сайт НЕ безопаснее ни разу.

Совершенно верно.

Скорее наоборот - для юзера он опаснее. тк юзер не может отследить что к нему в реальности прилетает

Абсолютно неверно..
Поясню - https как вы сами верно заметили это протокол передачи данных. Передаются шифрованные данные.
Т.е сайт отдает нешифрованные данные протоколу https, тот их шифрует и организует их доставку до пользователя, пользователю он отдает уже нешифрованные данные.
Данные зашифрованы только в момент передачи по каналам связи"
Поэтому пользователь разумеется может отследить что к нему прилетает.

[Site Developer]

АртемЪ:

Поэтому пользователь разумеется может отследить что к нему прилетает.

Пользователь НЕ может ничего увидеть до тех пор пока не расшифрует браузер. Но это он тоже не увидит, а браузер "это" уже запустит.

Элементарный пример: Некий сайт с которого в браузер летят вири. Ну или не вири, а скажем видео, которое юзеру не нужно и только палит дорогой траф. При http юзер может заблокировать напр на локальной проксе (ДО браузера=до выполнения и даже ДО запроса этого документа) по ЛЮБЫМ правилам ЛЮБОЙ урл: по МИМЕ-типу, по типу данных (расширению), по вождению символов в урл и тп. При https он этого не может сделать. Может только полностью залочить сайт. но не отдельные документы.

[Василий Петров]

Vladimir Vasilenko: а разве не все данные можно перехватить?

[zzamzam]

Site Developer: так вы бы и сказали, что собираетесь на проксе анализировать mime-type и подобные вещи. Вот только это уже уровень ни разу не рядового пользователя, для которого, вы говорили, что вреден https

[Site Developer]

CommanderLow: про "рядового" я ничего не говорил. Вернее про таких "рядовых" было в первом моём комменте: "Только очень не все это понимают. "

Но это понимают те, кого волнуют задачи и экономии трафа и обеспечения безопасности. Не говоря уже о корп. сисадминах, для которых https - страшный головняк и немалые расходы конторы.

[АртемЪ]

Site Developer: Ну а какая разница http или https ?
Протокол передает данные, пользователь их не видит, они идут напрямую в браузер и браузер их исполняет.
Никакой разницы нет.

Если пользователь захочет посмотреть - пожалуйста он может перехватить http трафик перед браузером, точно так же он может перехватить и расшифровать https трафик перед браузером. В чем проблема то?

При http юзер может заблокировать напр на локальной проксе (ДО браузера=до выполнения и даже ДО запроса этого документа) по ЛЮБЫМ правилам ЛЮБОЙ урл: по МИМЕ-типу, по типу данных (расширению), по вождению символов в урл и тп. При https он этого не может сделать.

Да разницы особой нет перехватывай трафик и блокируй. Разве что https придется предварительно расшифровать, ну так это вообще не проблема.

[zzamzam]

Site Developer: даже squid можно настроить с прозрачным проксированием https, когда он будет на лету выпускать сертификаты для посещаемых ресурсов. Всё, что нужно будет - это добавить корневые сертификаты на клиентские машины, чтобы они доверяли squid`овскому "центру сертификации"

[АртемЪ]

Для того чтобы перехватить http надо поставить прокси перед браузером.
Для того чтобы перехватить и анализировать https ну фактически тот же прокси работающий в режиме MITM.

В обоих случаях требуется некоторая квалификация и понимание работы протоколов.
Если эта квалификация у пользователя есть он сможет перехватывать как http так и https с одинаковой легкостью.
Если этой квалификации нет - он не сможет перехватывать ни то, ни другое.

[Site Developer]

АртемЪ:

- пожалуйста он может перехватить http трафик перед браузером, точно так же он может перехватить и расшифровать https трафик перед браузером. В чем проблема то?

В том, что ПЕРЕД браузером будет зашифровано. Расшифровывает браузер!
Всё, даже урлы.

Да разницы особой нет перехватывай трафик и блокируй. Разве что https придется предварительно расшифровать, ну так это вообще не проблема.

Ты не можешь ни перехватить ни даже увидеть НИЧЕГО между сервером и браузером . Именно в этом и смысл https (внезапно :) ). Чтобы это можно было сделать - нужно подменить сертификат на посреднике (той же проксе напр). Я не говорю, что это не возможно. Но это уже другой уровень и доп расходы.

[АртемЪ]

Site Developer: А что там сложного?
Вы ставите перед браузером прокси который сам устанавливает https связь с сайтом после чего устанавливает Https связь с вашим браузером.

Т.е браузер шифрует данные передает зашифрованные данные на прокси, прокси расшифровывает их и сообщает вам, после чего шифрует уже другим ключом и отправляет на сайт.
Данные пришедшие с сайта он расшифровывает, сообщает вам, зашифровывает и отправляет вашему браузеру.

В вашем браузере будет видно что сертификат сайта не совпадает - и только.

Злоумышленник не сможет воспользоваться этим - внимательный пользователь заметит подмену сертификата и прервет связь.
А в случае если сам пользователь себе MITM поставил - какие проблемы?
Есть готовый софт, есть куча инструкций в интернете.
Допустим для меня посмотреть что идет в мой браузер по https вообще не проблема, не знаю как для вас.

[Site Developer]

АртемЪ:

В обоих случаях требуется некоторая квалификация и понимание работы протоколов

Не поверишь, для того, чтобы увидеть http-трафик на винде достаточно квалификации "скачать и установить программку". Напр бесплатный прокси (тот же HC к примеру)..
А вот что бы видеть и управлять чем-то в https - уже надо как минимуму платить и понимать работу с сертификатами.
Но это лишь одна из проблем с https. Есть ещё много других, но пожалуй достаточно.

[Site Developer]

Допустим для меня посмотреть что идет в мой браузер по https вообще не проблема, не знаю как для вас.

mitmproxy ? :)

[АртемЪ]

Site Developer:

Не поверишь, для того, что бы увидеть http-трафик на винде достаточно квалификации "скачать и установить программуку".

Поверю.
Этой же квалификации хватит для того чтобы скачать прогаммку которая будет перехватывать https.

Я вот не взломщик, не хакер, просто бывает парсингом занимаюсь, - для парсинга нужно видеть какие запросы отправлять сайту, а большинство сайтов на https.
Поэтому приходится перехватывать - ставить программки, как правило ничего сложнее чем установка плагина для firefox делать не надо.
Хотя при желании можно полноценный проксик с танцовщицами и покером замутить.
Понимать работу с сертификатами, совершенно не нужно для этого.

[Site Developer]

Этой же квалификации хватит для того чтобы скачать прогаммку которая будет перехватывать https.

Ты не дочитываешь пост до конца, прежде чем отвечать? Я же вроде расжевал, что НЕТ такого (бесплатно и просто), а ты как и не слыхал.

[АртемЪ]

Вот пожалуйста-
https://habrahabr.ru/company/selectel/blog/242727/
Все доходчиво, на пальцах расписано.
Любой школьник умеющий тыкать кнопки и качать программы с интернета прочитав эту инструкцию сможет перехватывать https трафик своего браузера.

И это не тайное знание а одна из тысяч инструкций на эту тему, которая гуглится за минуту.

[АртемЪ]

НЕТ такого (бесплатно и просто)

https://mitmproxy.org/ - совершенно бесплатно
docs.mitmproxy.org/en/stable/install.html - подробнейшая инструкция как поставить понятная даже домохозяйке.
Разве что домохозяйка английский не знает, но тут ей поможет translate.google.ru
Куда уж проще?

[Site Developer]

АртемЪ:

Вот пожалуйста-

:))))))) Ну я ж так и знал. Читателей и теоретиков много, да вот практиков маловато будет :)
Лано, уже ничего нового и интересного не будет.

Приятно было поговорить хоть сколь-нибудь предметно.

[АртемЪ]

Чужой https трафик перехватить сложно, точнее перехватить его не сложнее http, но вот расшифровать получится если только пользователь не внимателен и не заметит подмену сертификата.

А когда перехватываешь свой - ну сам перехватываешь, поэтому знаешь что сертификат будет левый, только и всего.

[Site Developer]

АртемЪ:

Куда уж проще?

Серьёзно? Винда? Скачать-поставить в 2 клика? :)

[АртемЪ]

Site Developer: Хм, а чем вас ссылка не устроила?
Я специально постарался найти самую простую и легкую, ибо вы упираете на то, что это очень сложно.
Там что-то сложно?

[АртемЪ]

Site Developer: Мда, вы правы, не получится в два клика, там инсталлятор запакован в зип архив.
Получится аж в три клика
Клик по ссылке https://github.com/mitmproxy/mitmproxy/releases/ta...
Потом клик по архиву mitmproxy-2.0.2-windows.zip
И третий клик по mitmweb.exe
Действительно все предельно сложно, аж три клика придется сделать чтобы появилось заветное окошко cmd с уведомлением о том что MITM прокси запущен на localhost и чтобы открылась панель управления в файервоксе.

Если было бы два клика смог бы любой школьник, но вот три клика это уже учиться десять лет надо.

[Site Developer]

АртемЪ: Да всё это... как "обучающее кино" на ютубе пока смотришь всё ОК, А когда делаешь - понимаешь сколько всего недосказано или вообще фигню показали. Да и даже что это не винда (а это, рискну предположить, до 80-90% юзеров ПК на многих сайтах) .

Но мы отвлеклись. Ты, разве, не согласен, что контролировать и управлять http намного проще, чем https? Нет?

Если нет - тогда ты просто не знаешь как в течении 0,5сек, в 2лика можно отрубить ненужную загрузку в HC, занести с чёрный список и тп. Никакие митмпрокси и вообще линуховое ПО не сравниться с этим по удобствам наглядности и пр. Говорю так, тк юзаю и линух и винду. Но только давай не будем устраивать холивар ещё и по поводу ОС.

[АртемЪ]

Ты, разве, не согласен, что контролировать и управлять http намного проще, чем https?

Да я не согласен. Если речь идет о твоем трафике конечно, а не о перехвате чужого.
Никакой разницы не вижу.

handycache не использую - мне просто незачем это.
Учет трафика дома меня не интересует ибо безлимит. На работе обычно тоже без прокси обхожусь, делаю все на роутере.

Перехват трафика что http, что https мне бывает нужен только тогда, когда надо отладить взаимодействие с каким-то сайтом - например когда пишешь парсер для авито.

А ненужные загрузки отрубает адблок в браузере. Вручную контролировать все загрузки это как то уж слишком.

По поводу ОС там нечего холиварить я неплохо знаю и ту и другую, просто работать предпочитаю в винде, а с линуксом общаться в окошке putty. Обе ОС хороши, надо лишь уметь их готовить и использовать по назначению.

[АртемЪ]

Site Developer:

Но мы отвлеклись.

Собственно я зашел в эту ветку для того чтобы объяснить, что перехват https трафика своего браузера не является чем-то сложным и невозможным.

И вроде бы объяснил как в три клика ставится митм прокси - это ничуть не сложнее чем установить тот же хэндикэш.
К тому же ваш хэндикэш умеет делать то же самое, правда денег просит, а я денег не люблю платить, когда это можно делать бесплатно.

[Site Developer]

АртемЪ:

handycache не использую - мне просто незачем это.
Учет трафика дома меня не интересует ибо безлимит

В этом и есть одна из причина непонимания проблемы :) Если бы тебя волновали проблемы экономии трафа и скорости - ты бы мог узнать столько нового и полезного :)

чтобы объяснить, что перехват https трафика своего браузера не является чем-то сложным и невозможным.

А я и не говорил, то это невозможно в принципе. Я говорил что это сложнее и требует доп затрат. Начиная от ресурсов ПК и заканчивая финансами.
И повторю - не прокси единым ограничивается контроль. Это просто яркий и понятный (как я думал) пример.

И вроде бы объяснил как в три клика ставится митм прокси - это ничуть не сложнее чем установить тот же хэндикэш.

Установить может и проще (и то не факт). Но толку от него меньше. :)
Но спс, что показал версию для винды. Надо будет глянуть.

Вот см какая была реальная история (просто реальный пример проблемы, которые периодически возникают). В ВП с 47 до 474 был косяк в админке - 3 автовзапускаемых видео. которые вешали ФФ. Т.к. мне приходиться обновлять 10ки сайтов это был кошмар. Я бы на фаерволе (роутера или локального) или в том же НС мог бы залочил их загрузку, но это невозможно, тк они по https. Еле удалось их залочить аблоком (и нафик бы он мне сдался в профиле браузера для разработки сайтов?), но это работа на одном профиле одного браузере, а у меня 5 профилей только в ФФ и 5 браузеров. (но да, для данной проблемы это не оч. критично - обновление ВП только в 2х делаю. Я об общей картине )
И это в принципе можно считать мелочной проблемой, но из таких мелочей и состоит вся жизнь. https, там где он нафик не нужен, только её осложняет.

[АртемЪ]

Если бы тебя волновали проблемы экономии трафа и скорости - ты бы мог узнать столько нового и полезного :)

Ну учитывая что у меня в квартире два канала - основной ростелеком 200мегабит в интернет и 500гигабит в локальную сеть, и резервный транстелеком 30мегабит в интернет и 100мегабит в локальную сеть провайдера - задумываться об экономии трафика мне как то не с руки.
Вот у некоторых моих клиентов есть проблема - десятки человек сидят на канале 1-2мегабит.
Там приходится экономить.
Делается это с помощью грамотного шейпинга и приоретизации трафика на роутере.
Прокси опять же смысла нет использовать.

А я и не говорил, то это невозможно в принципе.

Вы сказали следующее - "Скорее наоборот - для юзера он опаснее. тк юзер не может отследить что к нему в реальности прилетает. Только очень не все это понимают."
Так вот - ничего невозможного нет, и отследить как я уже показал ничуть не сложнее чем в случае http.

Установить может и проще (и то не факт). Но толку от него меньше. :)

Какого именно толку от него вы собираетесь достичь? Я просто не вижу применения.
Если речь идет о экономии трафика - это делается на роутере.
Прокси для этих целей уже редко где используется, ибо это неудобно.

3 автовзапускаемых видео. которые вешали ФФ

Сайты которые автозапускают видео проще добавить в вечный бан по домену.

https, там где он нафик не нужен, только её осложняет.

Полностью согласен.

[Site Developer]

АртемЪ:

Какого именно толку от него вы собираетесь достичь? Я просто не вижу применения

В НС отрубить ненужную загрузку - можно в течении 0,5 сек. В 2 клика. Из онлайн-монитора. Так же и занести в блеклист.

Вот ещё реальные пример проблемы при медленном канале. Достаточно часто всякие фесбучно-гугловские-етс внедрения в сайт (виждета, метрики и тп) ОЧЕНЬ тормозят его загрузку из-за недоступности оных. До нескольких минут. Это можно увидеть в мониторе НС и отрубить - сайт тут же догрузиться. (да, не асинхронная, но я говорю не о своих, а о чужих сайтах, взгляд со стороны юзера).

Хорошо в данном случае то, что можно отрубить полностью сторонний домен с https (фейcбук и тп) - это не критично, но когда надо отрубить конкретный ресурс (большую гифку, видео и тп) с нужного сайта - тут уже засада. Даже не видишь ЧТО грузиться.

Вот см фейс НС.

В верхней части - лог, в нижней - онлайн монитор. Я не мог сейчас заскринить с тормозным ресурсом, но думаю понятно, что его можно отрубить. В случае с https воще не видно ЧТО грузится, кроме домена.

ничуть не сложнее
..
Полностью согласен.

:) Согласен, что осложняет, но не согласен, что сложнее? :)

[Site Developer]

АртемЪ: кста, https://xakep.ru/2011/03/28/55161/ (год 2011 между прочим :) )

[АртемЪ]

Site Developer:

В НС отрубить ненужную загрузку - можно в течении 0,5 сек. В 2 клика.

Согласен. Но только для этого кто-то должен сидеть и мониторить это в режиме реального времени. Я просто не представляю такого.
Обычно шейпинг для конторы у которой проблема с каналом настраивается на роутере один раз, и работает годами, изменения вносятся только по заявке руководителя.
Сидеть и мониторить трафик онлайн это какие деньги и ресурсы надо иметь?

Т.е я понимаю что это теоретически возможно, но не представляю ситуацию где это будет оправданно практически.

Согласен, что осложняет, но не согласен, что сложнее? :)

Согласен что не стоит пихать https туда где он реально не нужен, ибо любое неоправданное усложнение системы - зло.

Но не согласен с тем что пользователю сложно посмотреть трафик https - ибо посмотреть его не сложнее чем http.

[Site Developer]

АртемЪ:

Я просто не представляю такого.

Потому, что у тебя быстрый и безлимитный интернет. Я ж говорю - этим озабочены те, кому нужно экономить и ускорить. Они знают какие это проблемы.

не согласен с тем что пользователю сложно посмотреть трафик https - ибо посмотреть его не сложнее чем http.

Да что ж такое-то.. и сложнее (нужно делать кучу лишних телодвижений с сертами и следить за ними) и затратнее (мимтпроксти пока не в счёт - это ещё сырой инструмент и не оч удобный. к тому же единственный бесплатный).
Сертификат уже сам по себе лишний и ненужный элемент в системе. А любой лишний элемент - это доп расход ресурвов и снижение надёжности системы в целом. К тому же элемент, который зависит от каких-то сторонних организаций. И доверие к нему - это лишь вопрос веры в эти организации. Можно конечно говорить о доверии к любому закрытому ПО, вплоть до винды и БИОСа да, но серт - это лишний и не нужный элемент. Кроме особых случаев. А вот как раз повальная httpsация и сводит всю идею шифрование на нет.

[АртемЪ]

Потому, что у тебя быстрый и безлимитный интернет.

У многих моих клиентов это не так, и решается это обычно путем найстройки шейпинга и QoS на микротике.
С прокси возни много - сложно ресурсоемко и дорого.

По поводу https мое мнение такое - это отличная и незаменимая вещь там где он действительно необходим.
Т.е ресурсы критичные к перехвату трафика - банки, интернет магазины, соцсети, прочие ресурсы требующие аутентификации.
А когда лепят htps просто на новостном сайте где люди просто смотрят новости - это зло.

Сертификат это элемент гарантирующий пользователю что он попал именно на тот сайт на который хотел, а не на фишинговую страницу к злоумышленникам.

[Site Developer]

АртемЪ:

А когда лепят htps просто на новостном сайте где люди просто смотрят новости - это зло.

Вот я об этом!

Сертификат это элемент гарантирующий пользователю что он попал именно на тот сайт на который хотел, а не на фишинговую страницу к злоумышленникам.

А это часть заблуждений. Опасных! Получить серт на любой ГС - не велика проблема (злоумышленники - первые, кто этим забились). А кто там смотрит что внутри..
Вот я и говорю - когда это было для избранных - это было нормально. А повальная httpsaция - зло, которое убивает безопасность.

[АртемЪ]

А это часть заблуждений. Опасных! Получить серт на любой ГС - не велика проблема.

Сертификат может сгенерировать любой человек за несколько секунд, в любой ОС есть встроенные средства для генерации сертификатов.

Поэтому сертификат не просто должен быть - он должен быть от известного и имеющего репутацию удостоверяющего центра либо от доверенного лица, и в свойствах сертификата должен быть указан адрес сайта, если сертификат выдан для сайта, или реквизиты разработчика если он выдан для софта.

Получить его не так уж и просто - тут и деньги нужны и документы.

[Site Developer]

Получить его не так уж и просто - тут и деньги нужны и документы.

Брось.. есть бесплатный, который устанавливается в 2 клика из панели хостера. При этом надёжный до немогу.
Другое дело, что он не персонифицирован, да. Но кто на это смотрит. А еще меньше тех, кто понимает разницу. 1 на сто тыщ..

[Site Developer]

АртемЪ: да, кстати, неск лет назад была реальная история фишингово сайта то ли банка то ли чего-то подобного. Злоумышленники установили достаточно дорогой серт на фишинговый сайт, отличающийся одной буквой, не сильно заметной при написании (типа l -> i).
Так что для обычных юзерв это больше обман. А привыкание к зелёным значкам понижает степень осознания [без]опасности.

[Николай]

АртемЪ: А вы серьёзно настроены) Столько времени объяснять человеку то, что он просто не хочет (не может?) воспринимать )
Видно же, что воду льёт)

[АртемЪ]

Николай: Я работаю - работы не так уж много, но от компьютера не отойти.
А тут бесплатное развлечение :)

Answer 4

[Вова Дружаев]

Еще вариант вероятного взлома - нулленые темы и плагины. Ну например когда вы решили сэкономить и взяли из варезников или складчин премиум плагин или шаблон (а значит так вам и надо - хотели всех обмануть и вот как вышло...). Так есть большая вероятность что вскоре вас сломают. Не скупитесь - покупайте нужные вам премиум плагины у их авторов. Авторы дорожат репутацией и не будут бекдоры встраивать. Да и вам спокойней с тех поддержкой и обновлениями.
Уж очень часто на форумах поддержки стали подниматься вопросы что нашли хостеры вирь и заблочили акк. А оказывается там где не должно быть, понапиханы файлы типа proxy.php
А если по вордпрессу - обновляйтесь на актуальную версию вовремя и все будет хорошо.

Answer 5

[fatalick]

Известные уязвимости wordpress:
www.cvedetails.com/product/4096/Wordpress-Wordpres...

Answer 6

[Михаил Есенин]

Выше всё верно пояснили про Wordpress, его плагины и темы. Могу ещё добавить, что при недостаточных ресурсах на хостинге или нежелании покупать на полноценное использование плагины по безопасности можно проверить сайт снаружи, т.н. black box, чем-то специфическим, специально для WP. Навскидку, это:
- https://wprecon.com
- https://metascan.ru
- https://hackertarget.com/wordpress-security-scan/

Answer 7

[Денис Григоров]

Посоветую вам статью о фрэймворке Zoom и о том, как проверить свой движок WordPress на уязвимости...