Задать вопрос
  • Что это может быть?

    r3n0
    @r3n0
    // _ AppSec // Bug Bounty / Legal Hacking
    Привет.

    Сижу значит настраиваю openserver и на сайт у меня изменился.

    Что конкретно настраиваешь, что конкретно меняешь и зачем? Какая цель? В какой момент произошли изменения на сайте?

    Но хочу заметить что после настройки open server все было нормально.

    После? Или до?

    Что это может быть?

    Наиболее очевидные варианты: проблемы с путями в стилях или 403/404 ошибка на какой-то файл стилей, например. Зависит от реализации, разумеется.

    Чтобы не гадать на кофейной гуще, хотя бы в консоль браузера посмотри на предмет наличия там записей об ошибках.
    Ответ написан
    Комментировать
  • Как можно перерегистировать домен?

    r3n0
    @r3n0
    // _ AppSec // Bug Bounty / Legal Hacking
    Привет.

    Со слов регистратора это можно сделать только если аннулировать домен и заново его зарегать на себя.

    Не знаю что за регистратор и о какой зоне ты говоришь (правила регистрации и обслуживания разные для многих зон),но очень похоже, что регистратор потенциально собирается у тебя этот домен подрезать.

    Если я соглашусь на аннулирование домена - есть ли вероятность, что у меня его "перехватят", когда начну его заново регать на себя?

    Шанс почти 100%, даже для не элитных доменов. Если доменное имя короткое, или каким-то иным образом попадает в категорию элитных, то есть и другой, но очень вероятный шанс потерять его, кроме сквоттинга: регистратор просто не удалит доменное имя из базы по истечении всех сроков продления/восстановления, переоформит его на себя (или свою дочернюю компанию), и потом выкатит этот домен на аукцион за очень большие деньги. Таким грешат европейские и американские регистраторы, сталкивался лично.

    Есть ли другая возможность перерегистрировать домен на себя (указав правильные персональные данные)? Например, поможет ли перенос домена к другому регистратору?

    Поменять данные владельца/регистратора домена можно, вопрос в том, будет ли тебе это делать нынешний регистратор. Если нет, тогда можешь: а) сделать перенос домена (трансфер) на другого владельца (себя же, но уже с твоими данными) в рамках одного регистратора; б) сделать перенос домена к другому регистратору, где тебе уже помогут поменять данные владельца/регистратора, ну или через нового регистратора сделать тот самый перенос домена (трансфер) на себя же. Лучше заранее через техподдержку компании выяснить, оказывают ли они такие услуги без доп. плат., т.к. некоторые любят заламывать цены.

    Обрати внимание, что, указывая фиктивные данные при регистрации домена, и не исправляя их во время владения доменным именем, ты нарушаешь тем самым правила оказания услуг, которые ты принял при регистрации, поэтому, грубо говоря, у тебя могут забрать доменное имя в рамках правового поля без каких-либо препятствий, и они будут правы. Так что актуализируй данные владельца и контакты как можно скорее, особенно если хочешь продать домен.
    Ответ написан
    Комментировать
  • Как восстановить содержимое сайта, после того, как плагин elementor все удалил?

    r3n0
    @r3n0
    // _ AppSec // Bug Bounty / Legal Hacking
    Привет.

    Как восстановить содержимое сайта, после того, как плагин elementor все удалил?

    Восстановление из резервной копии (бэкапа) может решить эту проблему. Уточни у своего хостера, делалась ли она, может быть повезёт.

    установил плагин elementor и пропало все наполнение сайта
    Сама по себе установка и активация Elementor ничего не удаляет, так как вышло то, что вышло в твоём случае?

    теперь только пара строк от самого плагина судя по всему

    Что за "пара строк от самого плагина"? Как это выглядит?

    объясните пожалуйста подробно

    Ты предоставил мало технической информации о своей проблеме, так что сначала было бы хорошо узнать детали. Восстановление из резервной копии может помочь тебе, но не спасёт от повторения ситуации, если снова надумаешь поставить/активировать Elementor, поэтому лучше всё же разобраться в причинах произошедшего.
    Ответ написан
    Комментировать
  • Перезд разных сайтов к одному провайдеру. Организация инфраструктуры?

    r3n0
    @r3n0
    // _ AppSec // Bug Bounty / Legal Hacking
    Привет.

    Далее ?:
    - я устанавливаю вордпресс на VM и импортирую бекапы и БД действующего сайта?
    - затаскиваю "новый" сайт в Plesk, проверяю на функциональность. Всё это в режиме разработки, старый сайт еще действует.
    - Если всё нормально, то говорю провайдеру перетащить доменное имя к себе и "связать" переехавший домен с новой файловой структурой и БД.

    P.S. вышеназванное может и глупо звучит, по другому пока не могу

    Давай упрощать. Тебе даётся, скажем, голый VPS (ОС Debian/Ubuntu), которого хватит с головой для 4 небольших сайтов на WordPress и Joomla. Если тебе нужна ПУ Plesk, то помни, что накатывать её нужно на голый сервер (после apt update), дальше всё будет зависеть от выбранного типа установки. Два популярных: а) автоматический, когда тебе нужно ввести всего одну команду; б) ручной, через браузер. Я бы рекомендовал второй способ, чтобы в процессе не устанавливать ненужные компоненты, которых Plesk предложит тебе с избытком.

    После установки ПУ Plesk на сервер озаботься тем, чтобы подготовить пространства под четыре сайта. Разделяй директории, пользователей и БД - всё должно быть отдельно для каждого контролируемого через ПУ сайта. Зачем? Чтобы, например, при взломе одного в нокаут не улетели все остальные. Там же, через настройки, выбираешь версии PHP под сайты, создаёшь и подключаешь сертификаты отLet's Encrypt и прочая подобная рутина по мере необходимости. ПУ Plesk сильно упрощает выполнение всех этих задач.

    Если сайты не экзотические, то можешь подготовить полные резервные копии каждого (файлы + дамп БД), затем развернуть эти резервные копии в ПУ Plesk, проверить результат переноса. Процедура обычная, несложная, но требует аккуратности. Затем меняешь настройки DNS для каждого домена, ждёшь, чтобы всё состыковалось, проверяешь итог. Это если кратко.

    Нюансы:
    - какие-то экзотические расширения PHP - вопрос решается через ПУ Plesk доустановкой нужных расширений;
    - домены, зарегистрированные "где-то там", в перспективе тоже придётся переносить под крыло какого-то нашего регистратора, и этим вопросом лучше озаботиться заранее, так как процедура затяжная.

    Совет:
    - до переноса файлов и дампов БД на новый сервер, проверь их на предмет закладок и лишних пользователей - это убережёт от целого ассорти потенциальных проблем;
    - оцени в общих чертах техническое состояние этих четырёх сайтов на предмет: а) свежести движка; б) используемой версии PHP для каждого сайта; в) свежести установленных плагинов (на всех сайтах); г) свежести используемых шаблонов и тем оформления (на всех сайтах).
    Ответ написан
    Комментировать
  • Как пофиксить проблему с плагином Elementor?

    r3n0
    @r3n0
    // _ AppSec // Bug Bounty / Legal Hacking
    Привет.

    я не могу редактировать страницы

    Исхожу из того, что нет возможности редактировать все страницы, а не какие-то отдельные, к которым Elementor отношения не имеет.

    плагины Elementor, Elementor Pro, Elementor Header & Footer Builder, Woocommerce

    Убийственная связка. Сразу замечание по Elementor: он часто конфликтует сам с собой, если отличаются версии базовой и Pro версий плагина, так что стоит перепроверить. Не говоря про то, что Pro версия не должна быть варезом, и она несовместима с некоторыми темами просто в принципе.

    я не могу редактировать страницы

    Проверял под другим пользователем, баг воспроизводится? Администратор > Редактор > Автор - проверь под ними как работает или не работает эта функциональность.

    Если что повышение памяти в memory limit не помогло.

    А с какого и по какое значение менял? И какой лимит по тарифу у тебя?

    Обычная диагностика для WordPress:
    - смотрим логи ошибок PHP или дебаг WordPress;
    - отключаем поочерёдно плагины, параллельно проверяя обозначенный баг;
    - при необходимости меняем активную тему оформления на одну из стандартных (twenty*) на время диагностики.
    Ответ написан
    Комментировать
  • Как изменить формат даты в EventOn?

    r3n0
    @r3n0
    // _ AppSec // Bug Bounty / Legal Hacking
    Привет.

    Если память не подводит, то делается через настройки: EventON > Time > Allow universal event time format on eventCard > указываешь нужный вид даты в международном формате.
    Ответ написан
    Комментировать
  • Какой автоматический сканер уязвимостей веб-приложений сейчас наиболее эффективный/популярный?

    r3n0
    @r3n0
    // _ AppSec // Bug Bounty / Legal Hacking
    Привет.

    Burp Pro, особенно с некоторыми плагинами, даст неплохой результат. OWASP Zap можно подтянуть до аналогичного уровня, но он больше FP даёт в процессе работы. В перспективе аналогичной функциональностью может обзавестись Caido - потенциальный конкурент Burp Suite.

    + Acunetix, Intruder.

    Сканеров-то много, но большая их часть уже давно отошла на задний план.
    Ответ написан
    Комментировать
  • Можно ли установить личность?

    r3n0
    @r3n0
    // _ AppSec // Bug Bounty / Legal Hacking
    Привет.

    Можно ли установить личность?

    Можно, зависит от вычисляющего, его доступов/используемого ПО и политики безопасности компании. Подключаясь к вашей рабочей точке, смартфон сообщает: а) имя устройства; б) MAC-адрес модуля Wi-Fi. При других сценариях, можно анализировать трафик и выцеплять из него интересующую информацию. В совокупности этого будет достаточно для идентификации.

    Бесконтрольное подключение личных девайсов к рабочим сетям есть плохая практика.
    Ответ написан
    Комментировать
  • Что делать если не загружаются svg wordpress?

    r3n0
    @r3n0
    // _ AppSec // Bug Bounty / Legal Hacking
    Привет.

    Во-первых, дело не в формате изображения. Во-вторых, стоит заглянуть в лог ошибок PHP (или дебаг WordPress), чтобы не играть в угадайку. В-третьих, скорее всего эта ошибка приведёт к конфигу веб-сервера или, с меньшей долей вероятности, к конфигу PHP, так что ковырять файлы активной темы смысла особого нет.

    Иногда подобная ошибка лечится таким способом (добавлять в functions.php):
    function hs_image_editor_default_to_gd( $editors ) {
    	$gd_editor = 'WP_Image_Editor_GD';
    	$editors = array_diff( $editors, array( $gd_editor ) );
    	array_unshift( $editors, $gd_editor );
    	return $editors;
    }
    add_filter( 'wp_image_editors', 'hs_image_editor_default_to_gd' );

    З.Ы.: добавлять формат SVG в список разрешённых форматов собственноручно я бы не советовал из-за вопросов безопасности. Если так нужно грузить через админпанель этот тип файлов, то делай это с помощью специальных плагинов, которые во время загрузки SVG обеспечат санитизацию.
    Ответ написан
    Комментировать
  • Какие книги стоит прочитать для входа в сферу Информационная безопасность?

    r3n0
    @r3n0
    // _ AppSec // Bug Bounty / Legal Hacking
    Привет.

    Например, это:
    «Информатика. Базовый курс. Учебник для вузов»
    «Защита данных. От авторизации до аудита»
    «Аудит безопасности информационных систем»
    «Нормативная база и стандарты в области информационной безопасности»
    «Этичный хакинг. Практическое руководство по взлому»

    Старайся себя не перегружать информацией на фоне жгучего энтузиазма, с этим успеется, иначе есть риск выдохнуться ещё на старте. Для пользы и развлечения можешь попрбовать свои силы в CTF и багхантинге - оба варианта дружелюбны к новичкам и дают свои бонусы молодым и целеустремлённым.

    Удачи.
    Ответ написан
    2 комментария
  • Можно ли привязать wordpress сайт(отдельностоящий) к wordpress.com?

    r3n0
    @r3n0
    // _ AppSec // Bug Bounty / Legal Hacking
    Привет.

    Можно ли привязать wordpress сайт(отдельностоящий) к wordpress.com?

    Нельзя. Это две разные, скажем так, сущности.

    Что можно: при наличии плана "Бизнес" можно мигрировать со своего сайта на wordpress.com, таким образом, сайт появится в списке сайтов под учётной записью заказчика на wordpress.com. Инструкция здесь, вторая инструкция здесь. Есть ограничения, с которыми стоит ознакомиться заранее.
    Ответ написан
    Комментировать
  • Нормальная ли температура процессора i7-12600H?

    r3n0
    @r3n0
    // _ AppSec // Bug Bounty / Legal Hacking
    Привет.

    Это норма или все же многовато?

    А в требовательных к ресурсам играх как дела обстоят с температурами CPU и GPU?

    температура процессора колеблется от 50 до 56

    Выше нормы на 10-20 градусов.

    В среднем картина такая:
    - при простое нормальная температура составляет 20-30°C;
    - при небольшой нагрузке 30-40°C;
    - рабочая температура - 40-80°C;
    - допустимый предел - 80-90°C;
    - критическое значение - 90-100+°C.

    Но учти, что в твоём случае может играть роль куча предустановленного и работающего хлама, и отсутствие оптимизации ОС, так как ноутбук игровой. Windows держит кучу служб и сервисов запущенными, даже если они тебе не нужны, плюс бесполезный софт от ASUS, который торчит в автозагрузке, - это всё вносит свою, так сказать, лепту, и сейчас наверняка норовит скачать и установить обновления.

    Конкретно у твоей модели используется термопаста и для процессора, и для видеокарты, а не жидкий металл, но не вздумай сама эту термопасту заменять, надеясь на лучшее. Ноутбук новый и на гарантии, если температура ЦП сильно беспокоит или слишком высокая в играх, то лучше обратись в СЦ для диагностики.

    З.Ы. #0: линейка процессоров с буквой H в наименовании не шибко подходит для ноутбуков, тем более игровых, в первую очередь как раз из-за температурного вопроса, но производителю на это наплевать. Это я к тому, что за температурами стоит следить, равно как и за чистотой самого ноутбука, а в идеале можешь ещё и охлаждающую подставку прикупить, если планируешь нагружать его.

    З.Ы. #1: советую выяснить рабочую герцовку матрицы, потому что заявленная в 144 Гц может не соответствовать действительности, как это было с некоторыми другими моделями, и через 6-12 месяцев она просто начнёт постепенно выгорать.
    Ответ написан
    1 комментарий
  • Как уберечь сайт который у тебя используется в портфолио, от безвкусных правок заказчика?

    r3n0
    @r3n0
    // _ AppSec // Bug Bounty / Legal Hacking
    Привет.

    Как уберечь сайт который у тебя используется в портфолио, от безвкусных правок заказчика?

    Если под своим портфолио ты подразумеваешь личный сайт, то оформляй страницы в портфолио как проекты, и для каждого проекта давай две ссылки на "живую" версию выполненной работы: первую на своём же сайте в отдельной директории - это вариант твоей работы "под ключ"; вторую - на сайт заказчика, где он уже делает что хочет. Можно отдельно для каждого проекта добавить плашку с текстом, что после сдачи проекта ты не отвечаешь за дальнейшее сопровождение сайта, всё "as-is".

    В договоре, прописано, что вся интеллектуальная собственность на сайт, принадлежит владельцу

    Если ты так себя ограничил в правах на свою же работу, то тут только менять договор в свою пользу, ну или смотреть дальше, как уродуют созданные тобой сайты.

    Вместе с тем замечу, что такой договор может быть составлен с юридическими неточностями или даже ошибками, и содержать в себе лишь общие, формальные формулировки, уберегающие заказчиков от перепродажи тобой копий заказанных у тебя сайтов, но авторские права у тебя всё равно остаются.

    Доменные имена, отличаются и могут смущать потенциального заказчика
    Тем самым вы портите SEO заказчику( можно конечно прописать, что бы не индексировало, этот пункт не основной)
    Могут восприниматься как фишинговый сайт

    Итоговую вёрстку можно и нужно размещать на своём сайте в отдельной директории, по необходимости закрыв её от ботов и поисковых систем.

    С фишингом идея вообще не имеет права на жизнь, если ты используешь вёрстку проекта на своём сайте-портфолио.
    Ответ написан
    Комментировать
  • Какое решение может быть для этого (Wordpress ошибка 500)?

    r3n0
    @r3n0
    // _ AppSec // Bug Bounty / Legal Hacking
    Привет.

    Какое решение может быть для этого (Wordpress ошибка 500)?

    Технически никаких деталей не озвучено, поэтому стандарт для таких случаев:
    а) ошибка при обновлении движка / проблемы на сервере / неправильно развернул резервную копию - повторная загрузка файлов движка. Если возможность есть, то из админпанели (Главное меню > Обновления > Переустановить), если доступ к админпанели невозможен, тогда распаковка дистрибутива вручную;
    б) ВПО - проверить файлы на предмет изменений и аномалий (обычно это изменение wp-config.php и файлы в директории загрузок как минимум), если этот вариант подтверждается, тогда лечить сайт.
    Ответ написан
    Комментировать
  • Есть ли готовое решение по покупке доступа к wordpress контенту?

    r3n0
    @r3n0
    // _ AppSec // Bug Bounty / Legal Hacking
    Привет.

    Есть ли готовое решение по покупке доступа к wordpress контенту?

    Есть. Платные, бесплатные. Платные на codecanyon.net, бесплатные - в репо wordpress.org. Ищутся по ключам: paid content, restricted content, paywall, content monetization, members only, access control.
    Ответ написан
    Комментировать
  • Каковы шансы устроиться на работу в IT без военника и образования?

    r3n0
    @r3n0
    // _ AppSec // Bug Bounty / Legal Hacking
    Привет.

    Dmitry Roo написал суть, а я дам подсказку как можно конкурировать, чтобы твои плюсы сыграли тебе на руку.

    Совет #0: открываешь ХХ или канал с вакансиями в Telegram, делаешь выборку вакансий, где требуется джун на позицию backend-разработчик, смотришь те объявления, где указано "будет плюсом, если кандидат знает/умеет". Вот это "будет плюсом" и штудируй на предмет того, что тебе самому будет интересно и чему будет реально научиться в сжатые сроки.

    Совет #1: не делай ничего через силу. Это не та сфера, где подобный подход даст положительный результат в долгосрочной перспективе.

    Совет #2: обрати внимание на свои коммуникационные навыки. Как ни странно, они на этапе собеседования также очень важны и также проверяются. Это ещё один шанс на удачный манёвр, используй его.
    Ответ написан
    3 комментария
  • Как добавить счетчик Метрики в FSE тему сайта без плагинов?

    r3n0
    @r3n0
    // _ AppSec // Bug Bounty / Legal Hacking
    Привет.

    Без плагинов - либо хардкод, либо через дочернюю тему, либо через HTML-блок, но это не совсем корректная установка.

    Не совсем ясны вводные, и не совсем понятно почему "без плагинов", ведь они для того и предназначены, чтобы расширять функциональность сайта по мере нужд.
    Ответ написан
  • Как сделать САЙДБАР только для одной страницы?

    r3n0
    @r3n0
    // _ AppSec // Bug Bounty / Legal Hacking
    Привет.

    Можно:
    а) создать дочернюю тему, через неё отредактировать шаблон страницы так, чтобы убрать с неё блок сайдбара (или создать шаблон страницы для, например, магазина, а в настройках включить сайдбар для страницы блога);
    б) скрыть стилями (костыль, не рекомендую).

    Без упоминания названия темы оформления подсказать особо и нечего больше.
    Ответ написан
    4 комментария
  • Как обойти проверку на ручной ввод js?

    r3n0
    @r3n0
    // _ AppSec // Bug Bounty / Legal Hacking
    Привет.

    Очень напомнило форму на одном известном сайте:

    66ab38fd4b836906599227.png

    Код поля ввода:

    <input placeholder="Ваш email" type="email" class="email_text" name="Re_Enter_Email" id="Re_Enter_Email" value="" required="required" onblur="preSubmitPay(0);" onkeydown="$('#err_email_enter_msg').hide();" oncopy="return false" ondrag="return false" ondrop="return false" onpaste="return false" autocomplete="off">


    Легко обходится, например, таким образом:

    document.getElementById('Re_Enter_Email').value = "email@email.tld";


    Практика показывает, что в подобных случаях проще присвоить нужное значение value, чем морочиться с отключением событий on* и имитировать пользовательский ввод.
    Ответ написан
    Комментировать
  • На каком движке можно просто собрать платформу для анонсов?

    r3n0
    @r3n0
    // _ AppSec // Bug Bounty / Legal Hacking
    Привет.

    На WordPress будет проще всего не-программисту реализовать такой проект. "Из коробки" у тебя, считай, будет уже половина нужной функциональности.

    Готовые плагины есть почти на каждый случай, главное на старте выбрать тему оформления подходящую и поддерживаемую автором. Про выбор плагинов: а) многие плагины заброшены и более не обновляются, что для тебя, как для не-программиста, будет потенциальной проблемой, если будешь такой плагин использовать в своём проекте; б) старайся избегать сложных плагинов, придерживаясь логики "один плагин - одна задача"; в) не перегружай ими проект.

    И отдельно посоветую продумать вопрос хотя бы базовой безопасности сайта, учитывая, что там будут пользователи с разными правами.
    Ответ написан
    2 комментария