WordPress публикува публично информация за вашия сайт, без да знаете

KISS каза:
Може би трябва да има по-ясна индикация, за това кое точно е публично и кое е скрито тогава. За да знаят примерно като си въвеждат имената в потребителското име.

Това за списъка с плъгини, не е приятно, но само защото самите плъгини имат дупки. Иначе името на папката на ползваните плъгини е публична информация явно, щом се вижда и в сорс кода на фронт-енда по разните файлове дето добавят.
Увеличете...

Името на папката е в сорс кода, главно когато има фронт-енд файлове.

Интересна ми е тяхната реакция в дискусията която постнах в техния форум, както и като трак тикет - почти нулева. Е явно трябва да ги удари някой як експлойт, за да им дойде акъла. На мен ми беше просто интересно какво е мнението на уебмастърите тук които разбират малко или много от тази система.
 
katsar0v каза:
Името на папката е в сорс кода, главно когато има фронт-енд файлове.

Интересна ми е тяхната реакция в дискусията която постнах в техния форум, както и като трак тикет - почти нулева. Е явно трябва да ги удари някой як експлойт, за да им дойде акъла. На мен ми беше просто интересно какво е мнението на уебмастърите тук които разбират малко или много от тази система.
Увеличете...
Има една идея в сферата на сигурността, може би си я чувал, казва се security through obscurity (https://en.wikipedia.org/wiki/Security_through_obscurity). И не се гледа добре на тази практика. Най-правилно е да се оправят самите дупки в сигурността, а не да се опитваме да скрием данните, които ще помогнат да се използват дупките. Иначе си прав, че на практика така както е сега, ще има повече хаквания. Така че и аз малко се двоумя.
 
Е сорс кода е отворен, това не може да се избегне напълно, но пък bedrock подпомага obscurity сигурността на wordpress - https://roots.io/bedrock (макар и не напълно). Самата практика ми е известна, но не и чрез това наименование, благодаря за линка, ще се опитам да го натрия в носа на няколко wp девелопъра :)

Цитирайки също уики страницата: "Security by obscurity alone is discouraged and not recommended by standards bodies", се казва, че това по себе си не е механизъм за сигурност и не е за препоръчване.
 
Да бъдем честни - ти тези данни през APIто така или иначе можеш да ги вземеш със един прост scraping.

Дали ще ги вземеш през АПИ или през ХТМЛ е едно и също. Отделно сега може да се направи вече нещо по-сериозно като разработка защото блоговете имат АПИ активирано.

Малко е буря в чаша вода...
 
ти тези данни през APIто така или иначе можеш да ги вземеш със един прост scraping.
Увеличете...

Зависи.. файлове и потребители не се пускат през rss по принцип. И уеб сайтове ползващи системи като тези които споменах (bbPress, ultimate member и прочие) целят някаква част от съдържанието да е достъпна само за регистрирани потребили.
 
  • Like
Реакции: Sky
мхм...

добре де - айде инсталирай нещо на чист WP, метни един bbPress или UltimateMember и виж какво изобщо можеш да видиш за да го ескалираме нагоре по веригата. Познавам около 10 core WP разработчика (включително и от Automattic) и това бързо ще бъде фиксирано.
 
От програмиране не разбирам. Само от реклама и онлайн продаване. Онлайн магазини съм имам достатъчно през годините, и тройно повече са ми минали през ръцете при работата с клиенти.

Woocommerce и Shopify са двете най-удобни платформи, с които съм работил досега. Имал съм магазини и на двата, но мигрирах към Woocommerce накрая, защото при 15 сайта е далеч по-изгодно.

Няма да съм супер щастлив някой да ми намери името с хак, но това е най-малкия проблем. По-дразнещо е как постоянно ми правят хакерски атаки срещу онлайн магазините и хостинга изнемогва. Това че някой индиец ще ми разбере потребителското име слабо ме вълнува - използвам различно за всеки сайт. Така няма да ме разберат как се казвам. Ако потърсят фирмата ми от контактите на сайта в Бивол обаче ще ме разберат. Даже и първокласник може да ме намери по този начин, включително и къде ми е офиса.

Като си купя нов номер да добавя към съществуващите ми, почват да ми се обаждат 100 човека на колд калинг на другия ден, които по някаква причина са получили достъп до чисто новия ми телефонен междувременно, знаят на кой звънят и дори знаят с какви бизнеси съм се занимавал или се занимавал, и удобно ми предлагат свързани услуги.

Раджеш от Калкут дали ще ми знае името е смехотворно притеснение на фона на всичко останало, защото той нито ще ми звъни да ми губи времето, нито ще ми бутне сайта за 10 минути с хакерска атака просто като ми научи първото име.

С три думи: First World problems.
 
mobilio каза:
мхм...

добре де - айде инсталирай нещо на чист WP, метни един bbPress или UltimateMember и виж какво изобщо можеш да видиш за да го ескалираме нагоре по веригата. Познавам около 10 core WP разработчика (включително и от Automattic) и това бързо ще бъде фиксирано.
Увеличете...

Automattic с това финансиране което получиха, най-много да огъзят системата. Няма смисъл да се ескалира по веригата, хората ще искат да затворят дупката по плъгините да не пускат апи информация (което е по default), но никой няма да тръгне да оправя wp json.

В края на краищата headless cms може да се окаже истинската причина, само където няма документация за headless, не се говори за headless по камповете и няма разпространени headless теми. Както се казва, готина идея, шитава имплементация. Да го направят като хората и да влезе масово както си трябва. Само, че в ентърпрайз сектора все повече и повече хора бягат от wordpress...
 
Последно редактирано:
Аз не мога да се сетя за една причина някой ако му трябва API сървър, да тръгне да ползва wordpress. Освен ако не разбира и му трябва бързо, но пак, нищо хубаво не виждам от цялата работа. За API-та има къде по-адекватни решения expressJS, Lumen, flask, RoR, и т.н.. и т.н.. където можеш да си направиш нещата като хората.
 
katsar0v каза:
В края на краищата headless cms може да се окаже истинската причина, само където няма документация за headless, не се говори за headless по камповете и няма разпространени headless теми. Както се казва, готина идея, шитава имплементация. Да го направят като хората и да влезе масово както си трябва. Само, че в ентърпрайз сектора все повече и повече хора бягат от wordpress...
Увеличете...

Те СА го направили... сега девовете кодят. Има теми. Има имплементации. Има документация.
 
Има имплементации. Има документация.
Увеличете...

Ще се радвам ако пуснеш линкове конкретно относно headless wordpress. Но не от блога на сульо и пульо, а от официалните им мрежи :)
 
Чудно ми е на кого му е притрябвало API върху core-то на WordPress... Предвид, че това е толкова бейзик структура и се покрива от почти всеки дев тюториал, в който има забъркана базичка данни.

WordPress е 85% интерфейс и 10% плъгини. Популярен е точно заради интерфейса си - и то не толкова щото е добър, ами предимно щото е толкова познат на масовия потребител. Темички и админ панел. Това е. Плъгините са по-скоро странично-паразитен ефект, макар че доста от тях вече сами по себе си са причина да се ползва ВП.

В тоя ред на мисли да седне някой да му прави революционно нов мазен JS интерфейс - що? Би било неефективно най-малкото... Освен за някакъв мобилен апп или нещо от рода.

Основно някакви неморални идейки ми идват като се замисля за какво може да е полезно.
 
Последно редактирано:
Wordpress не е бейсик, ако това имаш в предвид. Кое му е бейсик? Интерфейса, сигурно. Ама кода, логиката и системата са далеч от това.

А за плъгините - това, че има пазар и всеки иска да е част от него, не означава, че са паразит.

Noke, каква алтернатива би предложил на средния потребител, който като погледне код и бЕга буквално :) ?

Има си причини wordpress да е популярен, прост е, има комюнити и голям пазар, милиони темплейти и подобни. И аз се питам, що аджеба хората си инсталират windows като всеки може да си сложи линукс и да се радва на по-добър живот - не е за всеки и не е толкова просто колкото някои си мислят.

Иначе.. сега нищо не им пречи да тръгнат по някой завой и да осерат цялата система...
 
Е пуснали са готова библиотека за javascript към апи-то, ясно, и? Къде е headless документацията @mobilio ? :) Къде е описано в роадмапа, къде е описано какво е headless, къде е описано защо аджеба са решили да направят това?

Следиш... си къртачите :)
 
katsar0v каза:
Wordpress не е бейсик, ако това имаш в предвид. Кое му е бейсик? Интерфейса, сигурно. Ама кода, логиката и системата са далеч от това.
...
Увеличете...
Погледни моделите и ми кажи че не е бейзик.
 
Трябва да си влезнал или регистриран, за да отговориш тук.

Горе