نوشته اصلی توسط
lizard.tiny
بزرگتین مشکل امنیتی وردپرس قابلیت remote update اون هست!
شما تک تک developer های وردپرس رو میشناسید ؟ میدونید که developer های وردپرس هر زمان اراده کنند میتونند از طریق سیستم آپدیت وردپرس هزاران هزار سایت وردپرس رو به شل آلوده کنند ؟
سیستم ریمود آپدیت وردپرس دست کمی از دسترسی مستقیم به هاست شما نداره چرا که به براحتی developer ها میتونن روی سایت شما فایل آپلود کنند - فایل حذف کنند, ویرایش و ...
درواقع وقتی شما وردپرس نصب میکنید دسترسی هاست را دارید میسپارید دست developer های وردپرس و مخزن توسعه وردپرس
اینکه بگیم با فلان تغییر میشه جلوی آپدیت رو گرفت هم خودش پاک کردن صورت مسئله و ایجاد حفره های امنیتی جدید هست
روند آپدیت های وردپرس رو طی 2 سال گذشته برسی کنید! بطور میانگیم حداقل ماهی 2 بار سیستم آپدیت شده بدون اینکه از شما اجازه گرفته شده باشه
change log آپدیت ها رو برسی کنید توی 90 درصد آپدیت ها ذکر شده رفع چند مشکل امنیتی, یعنی 2 سال هست که وردپرس قابلیت جدیدی اضاف نمیکنه و فقط در حال باگ گیری سیستم هست, حالا این وسط یه تغییراتی هم اعمال میکنه
شما صرفاً چون وردپرس رو همه دنیا استفاده میکنند واسطون یک اطمینان خاطر ایجاد شده که تیم developer این سیستم قابل اعتمال هستند اما این شیوه اعتماد برای سایت های محتوی محور قابل توجیح هست برای سایت های کاربردی اطلاً درست نیست
روی سایت های کاربردی عموماً کاربران به شما و سایت شما اعتماد میکنند و اطلاعات گاهاً خصوصی خودشون رو در سایت شما درج میکنن چون به شما اعتماد کردند اما اعتمادشون پشتوانه ای نداره چون شما به تیمی دارید اعتماد میکتید که حتی اسم و فامیلشون رو هم نمیدونید چه برسه به شخصیت و نگرششون
بخش مگ دیجی کالا هم محتوی محور هست نه کاربردی, ضمن اینکه تیم مدیریتی و فنی دیجی کالا هم اینقدر به وردپرس بی اعتماد هستند که بخش mag رو روی یک سرور جدا از خود سیستم اصلی نصب کردند
بهر حال اگه منطق فکر کنید همین سیستم آپدیت وردپرس بزرگترین مشکل امنیتی اون هست که همه کور کورانه ازش رد شدیم
به نگاه تخصصی هم به دیتابیس این سیستم بندازید! چرا این سیستم اصول اولیه و ابتدایی رو در بخش دیتابیس لحاظ نکرده که اینقدر فضا اشغال کنه و پردازنده رو درگیر کنه ؟
پاسخ : فاجعه ای بنام وردپرس
پاسخ با نقل قول