В рейтинге участвует:

групп:

каналов:

Виртуальный сервер на SSD - недорого!

Аренда выделенных и виртуальных серверов (VDS/VPS), хостинг, аренда IP-адресов, администрирование, круглосуточная поддержка

qwarta.ru подробнее

Резервное копирование с проверкой на вирусы!!!

Удобный сервис создания резервных копий на любой сервер сети интернет. Отслеживайте изменения, проверяйте на вирусы. Надежно защитите свой бизнес!

go.backupland.com

Выбираете сервер? Любая конфигурация на заказ!

Аренда физических серверов любых конфигураций под любые запросы - 1С бухгалтерия, игровые сервера, нагруженные проекты, интернет-магазины!

qwarta.ru подробнее

Size: a a a

WordPress Russian Community

4859 membersпожаловаться на группу
2020 December 20

ПЛ

Петросян Лёва... in WordPress Russian Community
campusboy
Хорошо, что мне такие сайты не попадались, я б им как урок грузил картинки, не регистрируясь, пока место на хостинги не заканчивалось и сайт падал
Это уже вопросы безопасности и настроек) Можно вместо картинки загрузить шелл и управлять сервером, если загрузку реализовали неверно, а ее очень часто реализуют неверно
источник
22:37пожаловаться#1

АП

Артём Приходько... in WordPress Russian Community
Петросян Лёва
Это уже вопросы безопасности и настроек) Можно вместо картинки загрузить шелл и управлять сервером, если загрузку реализовали неверно, а ее очень часто реализуют неверно
В данном случае именно так😁
источник
22:38пожаловаться#2

c

campusboy in WordPress Russian Community
Петросян Лёва
Это уже вопросы безопасности и настроек) Можно вместо картинки загрузить шелл и управлять сервером, если загрузку реализовали неверно, а ее очень часто реализуют неверно
Ну wp_handle_upload() проверяет такое, нет оснований ей не доверять
источник
22:40пожаловаться#3

ПЛ

Петросян Лёва... in WordPress Russian Community
Артём Приходько
В данном случае именно так😁
Самая свежая уязвимость в плагине contact form 7 на 5 млн установок, загрузку файла реализовали неверно и любой мог загрузить шелл на 5 млн сайтов)
Что говорить про обычных разработчиков
источник
22:40пожаловаться#4

АK

А K in WordPress Russian Community
campusboy
Хорошо, что мне такие сайты не попадались, я б им как урок грузил картинки, не регистрируясь, пока место на хостинги не заканчивалось и сайт падал
И сиделбы 4 года
источник
22:41пожаловаться#5

c

campusboy in WordPress Russian Community
А K
И сиделбы 4 года
Если только в каком-нибудь фантастическом фильме
источник
22:41пожаловаться#6

АK

А K in WordPress Russian Community
Зератулыч
Всем привет. Есть вопрос, может кто-то сталкивался

Сделал возможность загружать аватар в свою кастомную регистрацию, но для пользователя нужно обновить мету с ID загруженной фотографии, а достать айдишник не получается
Jetpack смотри, на тему кастомных аватар
источник
22:42пожаловаться#7

АK

А K in WordPress Russian Community
campusboy
Если только в каком-нибудь фантастическом фильме
Отчего, такие вот шутки шутят обычно недалёкие люди со своих ip
источник
22:42пожаловаться#8

c

campusboy in WordPress Russian Community
А K
Отчего, такие вот шутки шутят обычно недалёкие люди со своих ip
Мы говорим о безопасности, проблема ведь на поверхности и вполне легко повторимая любым. К чему эти все фразы? Мы проблему разбираем
источник
22:43пожаловаться#9

BI

Bogdan Ivanov in WordPress Russian Community
campusboy
Зачем позволять грузить аватар неавторизованным пользователям?
Чтобы усложнить жизнь же ну))
источник
22:43пожаловаться#10

c

campusboy in WordPress Russian Community
И это могут быть не шутки, конкуренты борются друг с друг разными способами
источник
22:44пожаловаться#11

АK

А K in WordPress Russian Community
campusboy
И это могут быть не шутки, конкуренты борются друг с друг разными способами
80% это http флуд )
источник
22:45пожаловаться#12

АK

А K in WordPress Russian Community
Забавно видеть как школьники у которых заказали такой ддоса не могут сделать ничерта.
источник
22:46пожаловаться#13

З

Зератулыч in WordPress Russian Community
А K
Jetpack смотри, на тему кастомных аватар
Спасибо, чекну. Но я всегда юзал WP User Avatar

и так, подведём итоги по секьюрности) Как можно избежать ситуации, когда могут всё засрать картинками?
источник
22:51пожаловаться#14

З

Зератулыч in WordPress Russian Community
Использовать wp_insert_attachment только в случае успешной регистрации?
источник
22:52пожаловаться#15

АП

Артём Приходько... in WordPress Russian Community
Зератулыч
Спасибо, чекну. Но я всегда юзал WP User Avatar

и так, подведём итоги по секьюрности) Как можно избежать ситуации, когда могут всё засрать картинками?
Ограничить размер для загрузки, сохранять фото только если регистрация успешна, использовать антиспам
источник
22:55пожаловаться#16

ПЛ

Петросян Лёва... in WordPress Russian Community
Зератулыч
Спасибо, чекну. Но я всегда юзал WP User Avatar

и так, подведём итоги по секьюрности) Как можно избежать ситуации, когда могут всё засрать картинками?
Самое главное наверное разрешить только расширения изображений (чтобы php, phtml, py не загружали вместо картинок)
источник
23:00пожаловаться#17

АK

А K in WordPress Russian Community
Артём Приходько
Ограничить размер для загрузки, сохранять фото только если регистрация успешна, использовать антиспам
+
источник
23:00пожаловаться#18

АK

А K in WordPress Russian Community
Петросян Лёва
Самое главное наверное разрешить только расширения изображений (чтобы php, phtml, py не загружали вместо картинок)
Lfi?
источник
23:01пожаловаться#19

АK

А K in WordPress Russian Community
Phar?
источник
23:01пожаловаться#20