abclinuxu.cz AbcLinuxu.cz itbiz.cz ITBiz.cz HDmag.cz HDmag.cz abcprace.cz AbcPráce.cz
AbcLinuxu hledá autory!
Inzerujte na AbcPráce.cz od 950 Kč
Rozšířené hledání
Přihlášení | Registrace
×
napište » Zprávičky
inzerujte » Pracovní nabídky
    Vývoj Clear Linuxu byl oficiálně ukončen
    dnes 13:22 | Komunita

    Vývoj linuxové distribuce Clear Linux (Wikipedie) vyvíjené společností Intel a optimalizováné pro jejich procesory byl oficiálně ukončen.

    Ladislav Hagara | Komentářů: 1
    Vývoj renderovacího jádra Servo (07/2025)
    včera 14:00 | Zajímavý článek

    Byl publikován aktuální přehled vývoje renderovacího jádra webového prohlížeče Servo (Wikipedie).

    Ladislav Hagara | Komentářů: 0
    Forgejo 12.0
    včera 12:00 | Nová verze

    V programovacím jazyce Go naprogramovaná webová aplikace pro spolupráci na zdrojových kódech pomocí gitu Forgejo byla vydána ve verzi 12.0 (Mastodon). Forgejo je fork Gitei.

    Ladislav Hagara | Komentářů: 1
    Raspberry Pi Official Magazine 155 a Hello World 27
    17.7. 18:44 | Zajímavý článek

    Nová čísla časopisů od nakladatelství Raspberry Pi zdarma ke čtení: Raspberry Pi Official Magazine 155 (pdf) a Hello World 27 (pdf).

    Ladislav Hagara | Komentářů: 1
    Hyprland 0.50.0
    17.7. 16:11 | Nová verze

    Hyprland, tj. kompozitor pro Wayland zaměřený na dláždění okny a zároveň grafické efekty, byl vydán ve verzi 0.50.0. Podrobný přehled novinek na GitHubu.

    Ladislav Hagara | Komentářů: 4
    Slackware Linux slaví 32 let
    17.7. 15:55 | Komunita

    Patrick Volkerding oznámil před dvaatřiceti lety vydání Slackware Linuxu 1.00. Slackware Linux byl tenkrát k dispozici na 3,5 palcových disketách. Základní systém byl na 13 disketách. Kdo chtěl grafiku, potřeboval dalších 11 disket. Slackware Linux 1.00 byl postaven na Linuxu .99pl11 Alpha, libc 4.4.1, g++ 2.4.5 a XFree86 1.3.

    Ladislav Hagara | Komentářů: 5
    MMR nabízí odměny za odhalení bezpečnostních děr ve svých IT systémech
    16.7. 21:22 | IT novinky

    Ministerstvo pro místní rozvoj (MMR) jako první orgán státní správy v Česku spustilo takzvaný „bug bounty“ program pro odhalování bezpečnostních rizik a zranitelných míst ve svých informačních systémech. Za nalezení kritické zranitelnosti nabízí veřejnosti odměnu 1000 eur, v případě vysoké závažnosti je to 500 eur. Program se inspiruje přístupy běžnými v komerčním sektoru nebo ve veřejné sféře v zahraničí.

    Ladislav Hagara | Komentářů: 19
    Česko představilo nový jednotný vizuální styl státu
    16.7. 16:22 | IT novinky

    Vláda dne 16. července 2025 schválila návrh nového jednotného vizuálního stylu státní správy. Vytvořilo jej na základě veřejné soutěže studio Najbrt. Náklady na přípravu návrhu a metodiky činily tři miliony korun. Modernizovaný dvouocasý lev vychází z malého státního znaku. Vizuální styl doprovází originální písmo Czechia Sans.

    Ladislav Hagara | Komentářů: 26
    Vyhledávač DuckDuckGo má dnes výpadky
    16.7. 15:33 | Upozornění

    Vyhledávač DuckDuckGo je podle webu DownDetector od 2:15 SELČ nedostupný. Opět fungovat začal na několik minut zhruba v 15:15. Další služby nesouvisející přímo s vyhledáváním, jako mapyAI asistent jsou dostupné. Pro některé dotazy během výpadku stále funguje zobrazování například textu z Wikipedie.

    bindiff | Komentářů: 8
    Více než 600 Laravel aplikací je zranitelných vůči vzdálenému spuštění kódu
    16.7. 13:33 | Bezpečnostní upozornění

    Více než 600 aplikací postavených na PHP frameworku Laravel je zranitelných vůči vzdálenému spuštění libovolného kódu. Útočníci mohou zneužít veřejně uniklé konfigurační klíče APP_KEY (např. z GitHubu). Z více než 260 000 APP_KEY získaných z GitHubu bylo ověřeno, že přes 600 aplikací je zranitelných. Zhruba 63 % úniků pochází z .env souborů, které často obsahují i další citlivé údaje (např. přístupové údaje k databázím nebo cloudovým službám).

    Ladislav Hagara | Komentářů: 6
    Centrum | Napsat | Starší
    navrhněte » Anketa
    Kolik tabů máte standardně otevřeno ve web prohlížeči?
     (17%)
     (17%)
     (8%)
     (0%)
     (0%)
     (8%)
     (0%)
     (50%)
    Celkem 12 hlasů
     Komentářů: 3, poslední dnes 17:26
    Rozcestník
    AbcLinuxu
    HDmag.cz
    AbcLinuxu:/ Zprávičky / Masivní útoky na WordPress
    Štítky: PHP, programování, skript, WordPress

    Masivní útoky na WordPress

    Od začátku února se zvyšuje počet infikovaných WordPress webů s vloženou cizí reklamou. Jedná se o útok připravovaný několik měsíců, který využíval více starších bezpečnostních chyb a na weby propašoval skript pro vykonávání libovolného PHP kódu. V ČR bylo zatím nalezeno zhruba 400 napadených webů, počet však dále stoupá - podrobnosti o nákaze.

    4.2.2016 15:43 | smíťa | Bezpečnostní upozornění


    Tiskni Sdílej: Linkuj Jaggni to Vybrali.sme.sk Google Del.icio.us Facebook

    Komentáře

    Nástroje: Začni sledovat (1) ?Zašle upozornění na váš email při vložení nového komentáře. , Tisk

    Vložit další komentář

    4.2.2016 17:54 Jardík
    Rozbalit Rozbalit vše Re: Masivní útoky na WordPress
    Jak vůbec může někdo tyhle redakční systémy používat. Je to všechno nabobtnaná patlanina všeho možnýho, jenom aby tam bylo všechno, co by mohl nějakej Franta potřebovat. Mnohem lepší si něco napsat na koleni, kde bude jen to, co potřebuju. Dneska je hroznej problém napsat si webovku, kde jsou 4 divy, tak si každej vezme tu nejpřeplácanější šablonu, zkombinuje ji s nejpřeplácanějším CMS a pak se diví. Nedávno třeba root.cz, koukali jste na ten jejich nový vzhled a ten přeplácaný design s nechutně nabobtnaným DOMem.
    4.2.2016 18:52 smíťa | skóre: 9 | blog: Zápisky z Lyntu
    Rozbalit Rozbalit vše Re: Masivní útoky na WordPress
    Já jsem naopak velký příznivce tohoto opensource řešení. Pokud se používá rozumně, tak funguje velmi dobře a zvládají ho jednoduše ovládat i laici. Už sem se setkal v velkým množstvím CMS psaných na koleni, které obsahovaly velmi závažné bezpečnostní problémy, ale narozdíl od WP nebyl nikdo, kdo by měl zájem je opravit. Bohužel WP "profesionál" je dnes kde kdo, stačí stáhnout nějakou pěknou prémiovou šablonu někde z torrentu a je to...
    4.2.2016 21:40 R
    Rozbalit Rozbalit vše Re: Masivní útoky na WordPress
    Tiez som videl nejake tragicke veci... Napr. upload suborov urobeny tak, ze sa dali uploadovat aj PHP subory (a potom spustat). "Oprava" spocivala v zakaze uploadu suborov *.php, akurat sa zabudlo na funkciu premenovania. Takze stacilo skript premenovat na .jpg, uploadnut a premenovat na .php.
    5.2.2016 08:45 j
    Rozbalit Rozbalit vše Re: Masivní útoky na WordPress
    A on wordpress byl za celou doby svy existence aspon jeden jedinej den bez zavazny diry? To by se ovsem melo oslavovat vyroci ...
    5.2.2016 11:28 smíťa | skóre: 9 | blog: Zápisky z Lyntu
    Rozbalit Rozbalit vše Re: Masivní útoky na WordPress
    Je třeba rozlišovat co jsou opravdu chyby WordPress a co jsou chyby vzniklé nekvalitně napsaným doplňkem, nebo nevhodným nastavením.
    svido avatar 6.2.2016 22:20 svido | skóre: 28
    Rozbalit Rozbalit vše Re: Masivní útoky na WordPress
    blbost, WP je jedna velka dira. Sorry, ale umožňovat normálním BFU hrabat do PHP je blbe. CMR / CMS apod mají být především blbuvzdorné. Používat jakýkoliv "oblíbený" opensource je hloupost, akorát si zahráváte s bezpečnostní. Útoky se dělají především na podobné opensource. Nehlede na to, že WP není ani v OOP, coding standards jsou totální výsměch.

    Njn, bohužel dnes každý amatér (zámerně nechci psát b*b) si hraje na programátora a pak "programuje" haluz ve WP... :-(
    7.2.2016 20:36 smíťa | skóre: 9 | blog: Zápisky z Lyntu
    Rozbalit Rozbalit vše Re: Masivní útoky na WordPress
    Nevím, proč by měl běžný mít běžný uživatel WP možnost hrabat do PHP, toto rozhodně není vlastnost, kterou by se dal WordPress charakterizovat. Na druhou stranu může do PHP běžný uživatel hrabat u libovolého PHP webu... V tomto kontextu je Linux také jedna velká díra - umožňuje běžnému uživateli spouštět příkazy.

    Oblíbený prověřený opensource je pro mě naopak z hlediska bezpečnosti často důvěryhodnější než kód, jehož základ psal jeden člověk/menší skupinka. Sebelepší programátor někdy udělá chybu. U oblíbeného opensource vím, co můžu čekat a být na to připraven. Pokud se objeví nějaký vážný problém, tak se o něm velmi rychle dozvím a mohu si ověřit, zda se mne také týkal. Co si počnu s exotickým systémem, když se problém objeví a původní tvůrce již není k dispozici? V případě oblíbeného opensource jsou k dispozici tisíce dalších lidí, kteří problém umí vyřešit. Co udělá menší web studio, které vyrobilo stovku webů na svém vlastním CMS, když se v něm najde bezpečnostní chyba? V lepším případě v tichosti chybu na všech webech opraví a zákazník se o ní nikdy nedozví, přestože již třeba nějakou škodu způsobila. Minimum vývojářů na rovinu obešle všechny své klienty a přizná jim, že udělali chybu...

    Kód WP také nemám rád, ale jelikož se jedná především o systém pro uživatele a ne framework pro vývojáře, dokáži s tím žít. Coding standards vychází z původního určení PHP jakožto šablonovacího jazyka, vzhledem k historii tohoto systému a důrazem na zpětnou kompatibilitu se s tím těžko bude něco dělat...

    S tvrzením o amatérech bohužel musím souhlasit.
    4.2.2016 18:57 marek_hb
    Rozbalit Rozbalit vše Re: Masivní útoky na WordPress
    třeba někdo, kdo není programátor a živí se něčím úplně jiným...
    4.2.2016 19:51 Tonda
    Rozbalit Rozbalit vše Re: Masivní útoky na WordPress
    Takový člověk by ale měl zvážit, jestli není lepší si to nechat udělat od někoho, kdo tomu rozumí, než si stáhnout wordpress a pak ho špatně nastavit, nebo ho neaktualizovat, ...
    4.2.2016 19:57 marek_hb
    Rozbalit Rozbalit vše Re: Masivní útoky na WordPress
    záleží na úrovni - když potřebuju někde vystavit pár fotek a článek, tak proč si to neudělat sám, když budu potřebovat optimalizované firemní stránky, tak to někde zadám
    Hans1024 avatar 4.2.2016 21:24 Hans1024 | skóre: 5 | blog: hansovo
    Rozbalit Rozbalit vše Re: Masivní útoky na WordPress
    Jenomze takovy clovek nedokaze rozeznat nekoho, kdo tomu rozumi, od nekoho, kdo jenom stahne wordpress, spatne ho nastavi a necha si za to zaplatit :-D
    Veni, vidi, copi
    Max avatar 4.2.2016 21:25 Max | skóre: 72 | blog: Max_Devaine
    Rozbalit Rozbalit vše Re: Masivní útoky na WordPress
    Chceš říci, že každý jouda si napíše bezpečnější CMS, než team lidí, co se o vývoj stará za many a zveřejňuje zdrojáky, jejichž bezpečností se ve finále zabývá nemálo lidí?
    Dobrej joke ...
    Zdar Max
    PS: Problém je s údržbou a správou. Těžko budeš platit programátora, aby ti udržoval texty, vydával články apod. Mj. proto CMS existují, aby se o obsah starali lidi, kteří jsou pro to nejvhodnější.
    PPS: ta tvá poslední věta nedává v kontextu žádný smysl, jak design souvisí s CMS?
    Měl jsem sen ... :(
    5.2.2016 08:47 j
    Rozbalit Rozbalit vše Re: Masivní útoky na WordPress
    Spis ze kazdej clovek napise web, na kterej mu tezko zautoci nejakej script, kterych denne vidim v logu tisice. A prave wordpress je jeden z nejcastejsich cilu.
    Max avatar 5.2.2016 23:00 Max | skóre: 72 | blog: Max_Devaine
    Rozbalit Rozbalit vše Re: Masivní útoky na WordPress
    To ale nemá s bezpečností nic společného. Použití neznámého sw, který je stejně tak děravý, resp. spíše ještě více a spoléhat na to, že si toho nějaký děcko nevšimne, to fakt není řešení.
    Aneb neřešit důsledek, ale příčinu.
    Tzn. vyvarovat se nebezpečným pluginům, pravidelně dělat update + popř. mít vhodně nastavený server.
    Zdar Max
    Měl jsem sen ... :(
    5.2.2016 16:47 Bill Gates
    Rozbalit Rozbalit vše Re: Masivní útoky na WordPress
    Prominte, ale cms psany pro konkretni ucel je mnohem vhodnejsi nez masove nasazovany z mnoha hledisek. Uz napriklad v tom, ze schopnost napadnout znacne mnozstvi webu postavenych na wordpresu, joomle, prestashopu,.... je dana take jeho masovou rozsirenosti, utok ma tak vetsi dopad a vetsi silu a da se lepe automatizovat. Moznosti studovat chyby v kodu jsou pro utocnika take docela cenne. Diky nahledu do kodu je znam mechanismus starych nebo dosud neopravenych chyb. To se u CMS kde zdrojak obecne neni k dispozici tak nejak mnohem hure dela. U CMS na miru vidim take vyhodu v moznosti oslovit primo jeho tvurce a za upravy mu samozrejme zaplatit. Jinak napriklad zakaznicke zmeny v kodu masove nasazovaneho systemu vyjdou stejne tak draho jako zmeny v kodu masivne nasazovaneho systemu. Nedej boze kdyz se komunita rozhodne jit jinym smerem, nez zakaznik potrebuje. Ani jeden z programatoru to nebude delat zadarmo. A kdo preci jen zadarmo nebo za smesnou cenu delat bude, necht se hlasi u me, mam pro nej spoustu prace.
    Max avatar 5.2.2016 17:43 Max | skóre: 72 | blog: Max_Devaine
    Rozbalit Rozbalit vše Re: Masivní útoky na WordPress
    Pěkný pokus o další flejm. Bezpečnost closed vs. oss source, to je hodně staré téma, ale třeba se ještě někdo chytne ;-)
    Zdar Max
    Měl jsem sen ... :(
    5.2.2016 18:56 Bill Gates
    Rozbalit Rozbalit vše Re: Masivní útoky na WordPress
    Napadlo vas nekdy kolego, ze existuje i věcná a faktická diskuze a ne jen vase domněnky o flamech a obvykle i vasich pocitech o tom jak jsme vsichni trolove? Koukám s vami je ta diskuze docela těžká, jak neni po vašem, tak je zle. No, co uz.... :) by me zajimalo, jestli jste takovy i osobne nebo jen na netu.... to musi byt tedy radost.
    5.2.2016 20:21 Vantomas | skóre: 32 | Praha
    Rozbalit Rozbalit vše Re: Masivní útoky na WordPress
    Tehdá jsem na internetu četl něco o útokách na bankomaty, kdy se na platební kartu, do toho magnetického proužku zapsalo prostě něco jinak než ten bankomat očekával, následkem toho tam něco přeteklo a útočník byl schopen vytáhnout peníze i bez jakýchkoliv autorizací. Samozřejmě je otázka jestli útočník náhodou nebyl insider a neměl přístup ke zdrojovým kódům, ale dle útoků jinde (třeba USB host na entertainment systémech v letadlech) bych spíš řekl, že někdo to jen zkoušel tak dlouho, až mu to prostě prošlo a zdrojáky toho kam útočil prostě nepotřeboval. Z tohoto pohledu tedy beru closed-source jen jako pocit falešné bezpečnosti, protože člověk co se na to zaměří spíš ty zdrojáky nepotřebuje.
    Max avatar 5.2.2016 22:49 Max | skóre: 72 | blog: Max_Devaine
    Rozbalit Rozbalit vše Re: Masivní útoky na WordPress
    Pročetl jsem nemálo flejmů na toto téma a nikdy to nikam nevedlo, nechápu tedy, proč bych se do takové diskuse měl zapojovat. Nikam to nepovede, oba jsme si své názory sdělili a nemám zapotřebí to nějak dále rozebírat, jak už jsem řekl, nikam to nepovede, jen ztráta času.
    Zdar Max
    Měl jsem sen ... :(
    5.2.2016 19:10 R
    Rozbalit Rozbalit vše Re: Masivní útoky na WordPress
    Je to len iluzia bezpecnosti, security by obscurity. Nenapadne ti to sice nejaky skript a neumiestni na web reklamu. Ale ked sa k tomu dostane clovek, ktory ma zaujem to hacknut, tak sa vyskusa skutocna bezpecnost a ta byva velmi pochybna. Kod niekolko takychto systemov som videl a bola to tragedia. A do toho kodu som nepozeral len tak pre srandu - analyzoval som hacknuty server.
    6.2.2016 11:55 Bill Gates
    Rozbalit Rozbalit vše Re: Masivní útoky na WordPress
    Souhlasim s iluzi bezpecnosti kolem security by obscurity a chapu to. Z praxe ale presto radeji pouziju vlastni CMS bez verejne dostupneho kodu (vyvoj od 2005, overeno v produkcnim prostredi nekolika firem) pro projekt uz kvuli rychlosti oprav (ve svem kodu se orientuji mnohem lepe nez v cizim), opravu muzu zaradit do hlavni vyvojove vetve hned a ne az uzna za vhodne komunita, ktera problem nemusi vubec vnimat jako problem, pricemz pro zakaznikuv projekt to muze byt obrovsky problem.

    Vyhody vidim i ve vyvoji uprav na klic, tedy specialit, ktere se me vyviji mnohem rychleji na vlastnim kodu nez na cizim. Chyby seka kde kdo, i ja i kdokoliv jiny kdo se podili na masove vydavanem projektu. Zkusenostmi a letitou praxi v oboru se jim muzeme lepe vyhnout, zkratka vime co delame. Stava se mi ze napisu slozitejsi kus kodu na jeden zatah, ktery po prvnim pouziti bezvadne funguje. I tohle se mi obvykle zda podezrele a funkcnimu kodu napsanemu "from the scratch" take neverim, takze dukladne overuji a trapim ho.

    Souhlasim take s prasackosti kodu ktere jsem take mel moznost videt. Obvykle byli autory mladi lide bez zkusenosti cerstve po studiu, kdy teoreticke znalosti jsou dobre, praxe vsak nulova a mysleni nad tim jak kod funguje, treba kontrola vstupnich dat, osetreni vsech chybovych stavu, vyjimek, atd... to je nekdy opravdu na facku.

    I u nas ve firme takoveho jednoho blba vystudovaneho mame, ktery neni schopen osetrit ani existenci nazvu databaze. Ze mu mysql řve ze DB neexistuje ho nezajima, klidne nasledne provede do neexistujici db select, cimz mu jeho app spadne na hubu na neosetreny exception a opravit to musim ja testy mimo aplikaci, protoze on neni schopen. Takze prvne provedu testy scriptem a pak az (pokud vse projde) pustim tu jeho zprasenou app od ktere nemam zdroje (jinak bych to davno opravil).

    Jinak tedy u meho CMS zakaznik ma zdroje. Muze si je editovat, auditovat, dale vyvijet po konzultaci a ma je zaplaceny. Pokud to i pres zaplaceni hodi na net, nenadelam nic, zpet to nevratim, tim to ale prestava byt "muj kod" a jeho uziti je na vlastni riziko. Klient se tim ale dostava do pozice kdy nakresli / otiskne profil sveho klice od bytu, tento verejne vystavi a ocekava ze mu byt nikdo nevykrade a nikdo si klic nevyrobi. Jako by reze si pod sebou vetev.

    Ono neni vse cerne a bile. Neni jen opensource a closedsource. Existuje mnoho variant mezi tim ktera kazda ma sve vyhodi i nevyhody. Otazka taky jak je co treba klientem preferovano. Jeden preferuje uzavreny kod a security by obscurity, s cimz ja take nesouhlasim, a druhy opensource aplikaci, coz ne vzdy muze byt uplne to nejlepsi reseni, napriklad jako u wordpresu a jeho snadnou hacknutelnosti verejne zdokumentovanymi chybami drive nez klient zajisti upgrade jim vyuzivane aplikace coz take nemusi byt vzdy tak jednoduse pruchozi.

    Založit nové vláknoNahoru


    Píšeme jinde
    ISSN 1214-1267   www.czech-server.cz
    Redakce | Inzerce | Podmínky použití | Osobní údaje
    © 1999-2015 Nitemedia s. r. o. Všechna práva vyhrazena.