WordPress без плагинов. Нафига?!

0
WordPress без плагинов. Нафига?!

Каждый плагин — это надстройка над основным функционалом CMS. Только вот написан этот плагин был специально так, чтобы аккуратно встроиться в систему и не мешать ее работе. За хак, врезанный прямо в шаблон, не поручится никто.

Сложность обновлений.

Обновления безопасности для популярных CMS выходят довольно часто. Я уже писал, как можно буквально на раз взломать сайт, базирующийся на устаревшей CMS. Так вот, разработчики этих самых CMS совершенно не собираются поддерживать хаки. Нередки случаи, когда после обновления хакнутой CMS эти хаки банально перестают работать. И это еще если повезет. А может случиться и так, что хак внешне продолжит успешно работать, только вот его код абсолютно случайно сломает защиту от тех же SQL или XSS-инъекций. Ну это я просто для примера, совершенно абстрактно говорю.
Wordpress без плагинов. Нафига?!
На заметку для скрипт-кидди: если видите в блоге описание хаков и эти самые хаки видите установленными на блоге — скорее всего блог работает на устаревшем движке. Слегка погуглив ищем эксплоит и ага. Нет, я ни к чему никого не призываю, мне просто интересно, начнет ли хоть кто-то еще, прочтя эти строки, следить за обновлениями своей CMS?

Да и вообще. Согласитесь — ведь гораздо легче нажать на кнопку «Обновить» и через несколько минут получить новую полностью работающую версию блога, чем нажать ту же кнопку, подождать несколько минут, а потом мучительно гадать, отчего же все рухнуло.

Внедрение вредоносного кода в блог — элементарно

Думаете, нереально? А много ли блогеров-«хакеров» вообще знают хоть пару операторов PHP? Очень сильно сомневаюсь. А значит, все просто. Пишем что-нибудь зловредное, маскируем под работу с API соц.сетей, например, или под создание какого-нибудь графического эффекта (а уж ActionScript, встроенный в flash-файл вообще никто изучать не полезет), запросы на нужный нам сайт делаем сокетами, потому как обычная функция mail() все-таки палится… немного обфускации в адрес получателя (то бишь наш) — и вуаля! Пишем статью о замечательном хаке для WordPress (пошаговое руководство по установке для чайников) и прилагаем скрипты в архиве. Уже на следующее утро можно беспрепятственно шариться по паре-тройке десятков блогов.

Да, чисто ради эксперимента я делал такое. И был весьма шокирован результатами. Само собой, статью тут же удалил, а всем установившим отписался по поводу того, что не стоит доверять каждому первому хаку, самостоятельно его не проверив. Их было 24 человека. Меньше чем за сутки.
Wordpress без плагинов. Нафига?!
Хотите в один прекрасный момент стать одним из них? Думаю, что нет.

Подумайте, стоит ли гнаться за выгодой в виде увеличения скорости обработки скриптов (не такого уж, кстати, и сильного увеличения), рискуя испытать на себе весь вышеперечисленный букет проблем? Впрочем, люди — существа рисковые, так что скорее всего посты про то, как сделать что-то без плагинов будут еще плодиться и множиться. Но, надеюсь, Вы, уважаемый мой читатель, уже будете задумываться перед тем, как подпустить какую-то грязную шлю… процедуру подпустить к своему коду.
[uptolike]

LEAVE A REPLY