WordPress 2.8.6 и безопасность
Ноябрь 13th, 2009 by admin in
Одна из причин, по которой WordPress имеет репутацию CMS, содержащей реально большое количество ошибок, является то, с какой частотой выходят обновления безопасности. Казалось бы, только обновились до 2.8.5, а уже выходит следующая версия.
На самом деле, WordPress не менее уязвим, чем какая-нибудь Joomla или Drupal. Чуть ли не каждый второй standalone блог в сети работает на WordPress, а чем движок популярнее, тем больше комьюнити, тем активнее ищутся ошибки. И чем больше их находят, тем меньше их остается.
Другими словами, в джумле ошибок не меньше, но либо их еще не нашли, либо уже нашли, но скрывают это (0day exploit типа).
Впрямь кстати, а так ли серьезны эти ошибки? В 2.8.6 исправлено две уязвимости – первая позволяет произвести XSS пользователю, имеющему доступ в админку, вторая – залить файл, который может повлиять на настройки Апача. Я так понимаю, последнее подразумевает загрузку файла .htaccess.
Много ли людей, которым вы не доверяете, имеют доступ в админку вашего блога? Подозреваю, что не очень. А раз так, можете продолжать пользоваться 2.8.5 и ничего вам не будет.
На самом деле кстати, не помню, в каком релизе, но что-то 2.8.x, была ошибка, позволяющая сменить пароль администратора, правда высылался он на админский e-mail и злоумышленник не мог получить доступ в админку. Досадно, конечно, но тоже не из разряда критических.
wpspot.org.ru