Mi ne estas en pozicio, kie mi devas zorgi tro multe pri sekureco, sed mi ofte aŭdas pri malfortaĵoj, de kiuj ni protektas nin. Mi simple demandas iun inteligentan sisteman arkitekton kaj li diras, "Jes, ni estas kovritaj.", Kaj tiam la sekureca revizio revenas pura.
Tamen ekzistas du sekurecaj 'hakoj' aŭ vundeblecoj, kiujn vi povas legi pri multaj en la reto nuntempe, SQL-Injekto kaj Kruca Reta Skripto. Mi estis konscia pri ambaŭ kaj legis sufiĉe multajn "teknikajn" bultenojn sur ili, sed ne estante vera programisto, mi kutime atendus sekurecajn ĝisdatigojn aŭ simple certigus ke la taŭgaj homoj konsciis kaj mi plu irus.
Ĉi tiuj du vundeblecoj estas aferoj, kiujn ĉiuj devas konscii, eĉ la komercisto. Simple afiŝi simplan ret-formularon en vian retejon povus vere malfermi vian sistemon al iuj aĉaj aferoj.
Brandon Wood bonege verkis Komencajn Gvidilojn pri ambaŭ temoj, kiujn eĉ vi aŭ mi povas kompreni:
- SQL injekto
- Trans-Reta Skripto
Ve, dankon pro la afiŝo Doug. Mi sentas min honorita... 🙂
La problemo, kiun vi priskribas, pri ne vere scii kiel ekvidi ĉi tiujn specojn de vundeblecoj, estas la plej granda problemo, kiun mi vidas. Se mi montras al programisto, kiu ne scias ion pri sekureco, pecon de kodo kaj demandas al ili ĉu ĝi estas sekura, kompreneble ili diros ke ĝi estas sekura – ili ne scias, kion ili serĉas!
La vera ŝlosilo ĉi tie estas eduki niajn programistojn pri tio, kion serĉi kaj kiel ripari ĝin. Tio estis la celo malantaŭ miaj du artikoloj.
Eble ne estas la ĝusta loko sed venis por sciigi seriozan aferon.
PS: Mi ŝatus sciigi pri Grava risko en wordpress, kiun mi povis trovi.Ĝia plej grava hako en wordpress havanta riskon de 7/10.Mi ne reklamas sed rigardas mian afiŝon html-injection-and-being. -hacked.Bonvolu sciigi pri tio al aliaj blogantoj.Mi parolis kun Matt (WordPress) retpoŝte pri ĝi
Ashish,
Dankon pro sciigi min pri tio - mi ĝisdatigis al WordPress 2.0.6. Mi kredas, ke ĝi prizorgis ĉi tiun aferon.
Doug
Jes finiĝis nun. Bonege, ke la sekva versio eliris rapide
PS: ĉu ni povas havi liginterŝanĝon? diru al mi se vi ŝatas la ideon
WordPress MySQL eksterreta skanilo?
Ĉu ekzistas ilo disponebla, kiu povas skani
eksterrete WordPress MySQL-tabelo eksportita de phpMyAdmin?
Ni havas WordPress MYSQL-datumbazon, kiu ŝajnas havi
havis SQL-injekton.