Preorder drugiego tomu książki sekuraka: Wprowadzenie do bezpieczeństwa IT. -15% z kodem: sekurak-book
SQL injection wiecznie żywy: plugin WordPress z 1 000 000+ instalacji
W 2017 roku SQL injection wcale nie chce zniknąć. Tym razem firma Sucuri zlokalizowała tego typu podatność (nie wymagającą uwierzytelnienia) w popularnym pluginie do WordPressa – NextGEN Gallery.
Dla przypomnienia – SQLi umożliwia choćby pełen, nieautoryzowany dostęp do bazy danych (w tym przypadku – bazy podłączonej do WordPressa).
Na deser – zgadnijcie jak wydawca plugina opisał zmiany w spatchowanej wersji? Tak:
Changed: Tag display adjustment
–ms
WordPress to jest rak, ale co twórcy mają z tym zrobić skoro upodobało go sobie pół internetu? Jeszcze gorzej wyglądają właśnie wtyczki od środka… nawet te topowe to jest jakiś koszmar każdego programisty.
To co w zamian? Nawet jak powstanie coś nowego to i tak skończy jak dzuma albo WP ;)
Alternatyw szukaj na alternativeto lub hotscripts.
Ile dziur jest/było na samego, gołego WP?
Kto wybiera oprogramowanie dla twórców stron?
WP czy twórca strony?
Jak twórcy wolą się zajmować samym wbudowanym edytorem wizualnym (ile razy zmieniasz wygląd/skórkę?) zamiast dodać podstawowe brakujące rzeczy (jak np. subskrypcje komentarzy na e-mail) to co się dziwić. Wtyczki piszą zapaleńcy, sam WP bez wtyczek jest w miarę, ale im więcej funkcji chce się uzupełnić wtyczkami tym gorzej się to potem kończy (gros zapytań i prób włamu stanowią URLe do dziur we wtyczkach właśnie).
NGG i qTranslate to rak. Źle napisane, dziurawe, mające gdzieś standardy WP i nieproporcjonalnie popularne…