WordPress, Shopify ir PHPFusion programuotojų bendruomenė

Išpuoliai prieš Php-Fusion.co.uk
Parašė ozzWANTED 2008 gruodžio 20 16:12:48

Taigi, kaip jau turbūt dauguma pastebėjote, kelias pastarąsias dienas buvo atakuojamas php-fusion.co.uk tinklapis.
Tinklapis neveikė š.m. gruodžio 16-18 dienomis.
Kaip vienas iš galimų variantų, kaip tai buvo padaryta, buvo pasvarstymai, jog, kažkoks asmuo, pasinaudojęs buvusia spraga search.php faile v7 branduolyje. To pasekoje, egzistuojant minėtajai spragai, buvo užkrėstas tinklapio ftp turinys žalingu kodu, bei vėliau buvo pasinaudota juo, atakuojant minėtąjį, http://www.php-fusion.co.uk tinklapį. To pasekoje, yra daroma prielaida, kad tinklapis neveikė minėtąsias 3 dienas. Tačiau šiuo metu, tarptautinis bendrasis Php-Fusion pagalbos tinklapis dirba visu pajėgumu.

Be abejonės, šis smūgis, sudavė stiprų smūgį tarptautinei Php-Fusion.co.uk komandai, pasitikint savo jėgomis. Galbūt tai mažai įtakojo Digitanium veiklą, tačiau tikrai aršiai supykdė kitus crew valdybos narius, kaip Keff ar Sheldon.
Be abejonės, toks atvejis, tarptautiniam portalui nebus tik į blogą, tačiau rimčiau vers susimastyti apie šios turinio valdymo sistemos saugumą, skubėjimą išleisti 7'ąją versiją, kuri pasirodo turi daug spragų. Tikėkimės, kad po šių įvykių tarptautinės bendruomenės vadovybė pakeis savo požiūrį į vartotojus, saugumą, nacionalinius pagalbos tinklapius ir jų patarimus - neužmigti ramybėje.

Patarimai vartotojams
Mano, kaip PhpFusion-lt.com administratoriaus nuomone, kuri visados buvo tokia pati, yra ir šį kartą:
1.Niekados neskubėkite diegti naujos kartos versijų, neaptikus joje pagrindinių saugumo spragų. Jų bus visada, o tai kad v7 tinklapiai susidurs su išpuoliais, kalbėjau dar v7 kūrimo procese. Todėl visados yra rekomenduotina, palaukti bent gera pusmetį, prieš pereinant prie naujosios versijos. Per tą laiką yra ištaisomos pagrindinės spragos.
2.Antrasis patarimas būtų toks - nenaudokite nereikalingo kodo, jeigu jums jo nereikia - ištrinkite jį iš tinklapio. Kuo mažiau tinklapyje failų, tuo lengviau juos stebėti, ir tuo tinklapis sąlyginai yra saugesnis. Juk tokios įmantrios, kad ir search.php sistemos reikia tik kas kelintam žmogui.
3.Visados stebėkite ką priimate į administratorius, ir ar tie administratoriai naudoja sudėtingus slaptažodžius, bei juos naudoja tik Jūsų tinklapyje.
4.Jeigu norite dar didesnio saugumo - įsidiekite tinklapyje Secured IP, bei White-list .htaccess bei file sistemas. Kuomet, prie tinklapio valdymo, galės prieti tik konkretūs žmonės(IP adresai).
5.Logininkite, loginkite, loginkite - kuo daugiau stebėjimų darysite, tuo greičiau pavyks pastebėti tinklapio darbo sutrikimus.

Pastaba: Visi teiginiai, skleidžiami kaip erezija kituose tinklapiuose, apie šio tinklapio administratorius yra ne tiesa. Mes tikrai neužsiimsime atgaline šmeižikiška veikla, tačiau kaip yra sakoma - neturint jokių įrodymų, kalbos yra bergždžios.

Sėkmės linkime Digitanium, tobulinant šią turinio valdymo sistemą.

Tai tiek naujienų šį kartą,
Pagarbiai,
Portalo administracija.