lostyazilim
tr.link

Wordpress Açığı - Battı Balık Yan Gider

48 Mesajlar 6.838 Okunma
acebozum
tr.link

Drozturk Drozturk WM Aracı Kullanıcı
  • Üyelik 17.01.2014
  • Yaş/Cinsiyet 34 / E
  • Meslek Web Geliştiricisi
  • Konum Diğer
  • Ad Soyad M** Ç**
  • Mesajlar 324
  • Beğeniler 111 / 117
  • Ticaret 28, (%100)
wordpress bugpointy kapsamında Olsa Bildiri yapanlara Küçük Mevla Verilse.
Ve Yıllık 1 tl Gibi Bir Üçret Alsa Wordpress cms Sistemi Bu Duruma Düşmez.
UNKEF

kişi bu mesajı beğendi.

elektronikssl
webimgo

UNKEF UNKEF WM Aracı Kullanıcı
  • Üyelik 06.03.2015
  • Yaş/Cinsiyet 35 / E
  • Meslek ARGE
  • Konum Balıkesir
  • Ad Soyad F** Ç**
  • Mesajlar 2422
  • Beğeniler 995 / 744
  • Ticaret 17, (%100)

Dröztürk adlı üyeden alıntı

wordpress bugpointy kapsamında Olsa Bildiri yapanlara Küçük Mevla Verilse.
Ve Yıllık 1 tl Gibi Bir Üçret Alsa Wordpress cms Sistemi Bu Duruma Düşmez.


Ben bu güne kadar bazı dönüşler yaptım ve ulaşabildiğim en etkili olacak kişileri buldum. Bana ücret vermesinler hatta ben ücret veririm yıllık hiç sorun değil. Yeter ki beleşcieler yüzünden işini hakkıyla yapanlar(yapmaya çalışanlar diyeyim) da rezil olmasın hocam.
 

 

Machine Machine www.mybb.pro Kullanıcı
  • Üyelik 24.08.2012
  • Yaş/Cinsiyet 29 / E
  • Meslek Front end Developer
  • Konum Aksaray
  • Ad Soyad H** K**
  • Mesajlar 1041
  • Beğeniler 327 / 328
  • Ticaret 12, (%100)
Arkadaşlar sistemi yermek yerine bu açığın ne olduğu ile ilgili bilgi verseniz daha iyi olmaz mı ? Benim bildiğim kadarıyla 4.7.1 sürümünde bir xss ve sql injection açığı var idi onuda 4.7.2 sürümünde düzelttiler onun dışında herhangi bir açık durumu bulunmadı, sürekli wordpress'in blog ve developer sayfalarına göz atarım günlük, şuan wmaracin da bu konuları görünce dedim ne oluyor ?
Konuya bi girdim baştan sonra wordpressi sevenler ile sevmeyenler arasında laf dalaşından başka birşey yok.

Bu açıktan zarar gören arkadaşlar hangi dosyadan, hangi yapıdan açık oluşmuş, nasıl girilmiş vb konularda yaşadıkları sorunu anlatırlarsa, zarar görmemiş arkadaşlar da önceden önlemlerini alırlar.

Açıksız, hacklenemeyecek sistem yoktur arkadaşlar zaten bunun bilincinde olmanız lazım yıllardır bu sektörde iseniz. Bunu bilmiyorsanız şayet sektörde havada kalmışsınız diyebilirim. Şuan google'de hacklense onuda mı yereceksiniz ? aman be nasıl bir arama motoruymuş mu diyeceksiniz ? yapmayın arkadaşlar, bu sektörde olmayan birisi bu yazdıklarınızı yazsa anlarım ama bu sektörün içinde söylediklerinize göre 10 yılı aşkındır bu sektörde olmanıza rağmen hacklenemeyecek sistem arayışında iseniz çok yanlış sektördesiniz...
 

 

MyBB Türkçe Destek Forumu | mybb.pro

amatoryus amatoryus WM Aracı Kullanıcı
  • Üyelik 26.03.2014
  • Yaş/Cinsiyet 42 / E
  • Meslek müzisyen
  • Konum İstanbul Avrupa
  • Ad Soyad D** G**
  • Mesajlar 1531
  • Beğeniler 253 / 293
  • Ticaret 1, (%0)
koskoca google, facebook, twitter in açığı var küçüçük çocuklar açıklarını bulup bildiriyorlar adamlar kapatıyor hayır wp nin neden olmasın neden bu kadar büyüttünüz anlamadım
 

 

wmaraci
wmaraci

Drozturk Drozturk WM Aracı Kullanıcı
  • Üyelik 17.01.2014
  • Yaş/Cinsiyet 34 / E
  • Meslek Web Geliştiricisi
  • Konum Diğer
  • Ad Soyad M** Ç**
  • Mesajlar 324
  • Beğeniler 111 / 117
  • Ticaret 28, (%100)
twitter uber bile wordpress kullanıyor.
****hubda dahil ****huba bu acıgı bildiren bir kişi 1500 dolar ödül aldı
temizinden 7 bin tl cepte :D
bugpointy kapsamında

 

 

Ergin Ergin WM Aracı Kullanıcı
  • Üyelik 03.07.2015
  • Yaş/Cinsiyet 42 / E
  • Meslek müzisyen/webmaster
  • Konum Ankara
  • Ad Soyad E** A**
  • Mesajlar 431
  • Beğeniler 47 / 219
  • Ticaret 3, (%100)
Bence sorun insanların burada bile görüldüğü üzere wordpress'i CMS sanması. Wordpress CMS değil arkadaşlar blog yazılımı. Adam gibi üyelik paneli dahi olmayan yazılımdan CMS olur mu?

Ha alırsınız cart eklentisi curt eklentisi derken bir sürü eklenti kurarsınız ben bundan shop yaptım, forum yaptım dersiniz. Sonra bir sürü açıkla, upgrade sorunlarıyla uğraşırsınız.

Wordpress blog olarak tasarlanmış eski bir yazılım olduğu için doğru düzgün bir mimarisi yok. Built-in olarak gelmesi gereken en temel şeyler bile yok. SEO veya cache gibi en basit şeyler için bile eklenti kurmanız gerekir. Popüler olmasının nedeni gelişmiş olması değil basit olması.

Önerin nedir derseniz düz blog olarak alın kullanın. Açıklar çıkar, kapatılır çok da dert olmaz. Ama tutup da buna CMS muamelesi yapmayın, shop kurmayın, ne bileyim forum yapmayın. Başınız ağrır.
 

 

cihaneken cihaneken Üyeliği Durdurulmuş Banlı Kullanıcı
  • Üyelik 25.07.2014
  • Yaş/Cinsiyet 30 / E
  • Meslek Elektrik Teknisyeni
  • Konum Fransa
  • Ad Soyad C** E**
  • Mesajlar 3508
  • Beğeniler 488 / 1190
  • Ticaret 1, (%100)
UNKEF Ben artı yönlerini açıkladım buyurun sizde FİYASKO dediğiniz yönleri açıklayın.

Ticari anlamda bir kazanımım yok wordpress ile alakalı, evet sitelerimden bir çoğu wordpress çünkü şuan güven veren tek yazılım bu.

Sanki Dünya harikası gibi anlatmıyorum ama bir CMS harikası olduğu reddedilemez bir gerçek.

Burada övgü nedeni sadece ücretsiz olması değil. Kaldı ki ücretli yaptıracak olsanız, buyurun dengi bir sistemi ücreti ile yapabilen çıkıyor mu? Bakın ne kadar bir bütçe gerekeceğinden bahsetmiyorum, yapabilen var mı, çıkacak mı diye soruyorum. Ayrıca altın değerinde değil altından daha değerli bir sistem bunu kimse inkar edemez.

Wordpress'i basit işleri için kullanan webmaster'lar var diye bu wordpress'in basit olduğu anlamına gelmez.

Wordpress gayet büyük çaplı işler içinde kullanılabilir. Bu ayrıca wordpress'i varsayılan durumu ile kullanacağınız anlamına gelmez. Wordpress açık kaynaklı bir sistem olması dolayısı ile istenirse kendi ekibiniz tarafından geliştirilip gerekli optimizasyonlar yapılabilir.

Sıfırdan bir sistem yazmaktansa, var olan wordpress'i geliştirmek çok daha akıllıca olacaktır.
Burada herkes beleşe kaçıyor, wordpress kullanıyor diyorsun. Yahu burası webmaster forumu.
Geliştirmek için, fikir alışverişi yapmak için konular açtım diyorsun fakat sen yanlış yerde yanlış iş peşindesin burası bir webmaster forumu, web master demek web yöneticisi demek buradaki insanlar yönetim ile ilgilenirler. Burası yazılım forumu değil. Geliştirme işi yazılımcının işidir. Web yöneticisi geliştirmez, var olan sistemi yönetir.

Ayrıca ben şu siteler kullanıyor, bu siteler kullanıyor diye savunmuyorum. Sistemi kimin kullandığının bir önemi yok benim için sistemin ne amaçla, nasıl kullanıldığı önemli.


Bakın AMP denen bir şey çıktı, daha millet bu şeyin ne olduğunu anlamadan, geliştiriciler hemen eklentisini yaptı ve insanlar bir kaç tıklama ile sitelerini AMP uyumlu hale getirdiler.

Millet ne yapsın kıytırık yazılımlara para mı döksün? Her bir özellik için ek ücret mi ödesin. Yazılım dan anlamayan kişiler içinde, yazılım konusunda profesyonel olan kişiler içinde wordpress hazır bir framework dur ve nimet dir nimet.

Açıkları konusuna gelince, emin olun şuan satmaya çalıştırğınız buzzy scripti bile defalarca hata düzeltmeleri ve açıklar nedeniyle güncellendi, belki şuan wordpress den çok daha fazla açığı mevcuttur. Fakat wordpress gözde bir sistem olduğu ve milyonlar tarafından kullanıldığı için açık arayan kişide wordpress'e ağırlık veriyor. Kim uğraşsın buzzy nin açığıyla.

Burada buzzy scripti örnek olarak verdim sadece farklı taraflara çekilmesin.


microsoft'un işletim sistemlerinde bile yıllar sonra halen açıklar çıkıyor. Ücretli satılan bir sistemin 12-13 yıl sonra bile halen açıklar için güvenlik güncellemeleri yapılıyor. Hele XP'nin açıklarını kapat kapat bitiremedi artık kapatmayıda bıraktı. Açıklarla başa çıkamadıkça sistemi evirip çevirip yeniliyor tekrar piyasaya sürüyor.


Herkesin kesin olarak güvendiği Apple peki?

Kimsenin hack yapılamaz dediği cloud sistemini uçurdular. Bakın milyon dolarlık bir firmadan bahsediyoruz.
Peki ya iphone tuş kilidi olayını hatırlıyormusunuz. Kırılmaz dene tuş kilidini FBI çözemiyoruz diye apple'dan yardım istedi, McAfee getirin beleşe çözeyim 1.5 saatimi alır dedi. Sonra FBI başka bir firma ile anlaştı ve ücreti ile kırılmaz denen iphone'u hack yaptı.


Yani anlatmak istediğim birşey ücretli olunca güvenli olacak diye bir şey yok, tam tersi bir şey açık kaynak kodlu ise diğerlerine nazaran daha güvenlidir. Linux içinde aynı şey söz konusu örnek.


Uzun lafın kısası buyurun getirin dengi bir sistemi bizde övülmesi gereken wordpress'i övmeyi bırakalım.


Hatalar ve yavaşlık konusunda tekrar söylüyorum sorun kullanıcı taraflı, wordpress istendiğinde gayette hızlı bir hale getirilebilir. Ben wordpress te şimdiye kadar hiç hız veya kaynak sorunu çekmedim. Gerekenleri yaparsa kimsede çekmez.

Hata konusunda da şunu söyleyim, durduk yere wordpress hata VERMEZ, hata ile karşılaşmanızda %90 farklı sebepler yatar.

Ayrıca bazı arkadaşların yıllardı kapatamadılar açıkları demesine de şöyle bir cevap vermek istiyorum.
Wordpress geliştiricileri şimdiye kadar kendi açıklarından çok eklentilerin açıklarıyla uğraştılar. Eklentiler ise wordpress'in değil kullanıcının sorumluluğunda olan bir şey.

Bir şeyin paralı olması, lisanslı olması o şeyin güvenli olduğu anlamına gelmez.
akrepkral

kişi bu mesajı beğendi.

fulltimeonline fulltimeonline WM Aracı Kullanıcı
  • Üyelik 25.02.2013
  • Yaş/Cinsiyet 30 / E
  • Meslek üniversite öğrencisi
  • Konum Kocaeli
  • Ad Soyad O** Ö**
  • Mesajlar 278
  • Beğeniler 49 / 45
  • Ticaret 1, (%100)
Yani sonuçta bir kod dizisi, illaki bir yerde bir boşluk olacak. Eğer güncellemeleri takip etseniz bundan etkilenmezsiniz. Bir açık varsa zaten bir kaç saat içerisinde direk fark ediliyor.
GokhanKara

kişi bu mesajı beğendi.

GokhanKara GokhanKara Whatsappla.com Kullanıcı
  • Üyelik 17.12.2011
  • Yaş/Cinsiyet 33 / E
  • Meslek Grafiker
  • Konum Ankara
  • Ad Soyad G** K**
  • Mesajlar 1421
  • Beğeniler 760 / 545
  • Ticaret 21, (%100)

UNKEF adlı üyeden alıntı

cihaneken

Yok aslında wordpress yeryüzündeki en mükemmel buluş hatta evrenin harikası. Hocam söylediklerinizde tek katıldığım "ücretsiz bir şeyler arayanalra çare" kabaca Türkiye'de webmaster veya yazılımcıyım diye geçinenler için BELEŞ olması kısmında haklısınız.
Gerisi cidden fiyasko:)

Hele ki şu son kısım yok mu
"Hayır şu soruyu soran yok mu kendisine; Ulan benim yaptırdığım script'i daha dün php öğrenmiş biri yazdı, bu wordpress'i ise profesyonel kişiler/ekipler yazdı şimdi ben hangisine güveneyim."

Yahu madem 13 yıllık bir tecrübe ve çalışma + yüzlerce klasörü binlerce dosyası bilmem nesi var ve bu kadar altın değerinde gibi anlatmışsınız ki sizin gibi böyle anlatanlar var(genelde wp teması yapanlar, wp site kurulur bilmem ne diye ilan verenler) yani bu sorunlara ticaret çıkarları doğrultusunda bakanlar wordpress sorunalarından ziyade över hep zaten. Size çıkarlarınızdan dolayı böyle konuşuyosunuz demiyorum yanlış anlamayın sakın. Belki siz de böyle konuşanlardan duydunuz veya wordpress bir siteniz var sevdiğiniz değer verdiğiniz bilemiyorum. Ama gerçekten bunlar hikaye.

Tamam saygı duyuyorum wordpress geliştirilmeye çalışılmış ve ücretsiz kaynak olarak sunulmuş takdir ediyorum. Fakat böyle abartmalara gerek yok. Yok çok büyük bir sistemmiş, dev şirketler kullanıyomuş(sadece tek sayfa küçük bir blog kısımları için kullananlar olabilir elbette) harici birkaç orta ölçekli gazete ve birkaç adını duyurmuş web siteleri hariç kimse kullanmaz bunu, kullanamaz.

Yıllardır açıklarından ve diğer çeşitli sorunlarından dolayı(herkes bilir ki admin panel, yazma hataları, kayma sorunları, durduk yere sitenin bembeyaz kalması, hack açıkları, cpu tüketim sorunu, yavaşlık vb.) herkes yakınır.

Ben kötülemek için yazmadım ki kötüleyince bir şey kazanmam zaten. Ben bu güne kadar birçok konu açtım wordpress ile ilgili ve hep en ince detayları üzerinde durmak istedim. Tek tük cevaplar geldi ve bu sayılı cevapların yarısı zaten boş boş övgülerden ibaret oldu. Övenler az önce söylediğim kitle. Çözümünü tartışıp nedenleri üzerinde durmak için grup kurayım dedim herkes girdiği gibi çıktı işlerine gelmedi kafa yormak. Ben 8-10 yıldır web işini hobi olarak yapıyorum ticaret güdümüm hiç olmadı ve ticaret yaptıysam hep para dağıtan taraf oldum bir şeyler için. Tecrübe için belki 10-15 bin tl harcamam oldu şimdiye kadar. Her çeşit sistemi de denedim kullandım. Elimde lisanslı 12 tane wordpress teması var en ucuzu 75-80 tl Türk geliştiricisinden almıştım. Diğerleri hep 40-50$

Kullanıcı kaynaklı sorunlar diyosunuz bu temalarda gram hata yok o kadar satın aldım ve sonra para verip tekrar wordpress uzmanıyız diyen firmalara tarattım baştan sonra her şeyi. Kullandığım tüm plugins/eklentiler lisanslı. Ama ben halen yavaşlık sorunu yaşadım, cpu kendinden geçti bir süre sonra zaten ve son olarak hack yedik.

He He haklısınız wordpress dev şirketler kullanıyo zaten wordpress yaaa.

Bu işin aslı şudur: Wordpress web sitesi açmak isteyenlere beleş diye gaz verir, web sektöründeki apıldama aşamasında olanlar içinse bir umut ve avunmadır.
Wordpress ile basit bloglar, basit tanıtım sayfaları ve küçük çaplı siteler vb. yapılabilir. Gerisi yalan olur.


Bakın hala neler yazmışsınız diyorum cevap vermeyeyim ama duramıyorum ki :)
Beğenmediğiniz Wordpress ile ben geçici şifre korumalı giriş sistemi yazdım. Sen sitenin güvenliklerini kapatmazsan, verilerini ortalık yerde bırakırsan her türlü sisteme erişimi sağlarlar.

En basit pagenavi için bile eklenti kuranları görüyorum. Adam sitesine logo yükleyecek ( hele ki upload yapılan bir çok eklentide açık %50 pay vardır ) eklenti kuruyor.

Sen bilgili ve ilgili değilsen sisteme suç bulmana veya çamur atmana karşıyım ben.
 

 

Profesyonel Tasarım & Wordpress Tema / Eklenti hizmeti - http://whatsappla.com/@gokhankaraofficial

YORci YORci yorci.com Kullanıcı
  • Üyelik 06.02.2016
  • Yaş/Cinsiyet 29 / E
  • Meslek Arkaplan Yazılım
  • Konum Ankara
  • Ad Soyad I** Y**
  • Mesajlar 261
  • Beğeniler 88 / 127
  • Ticaret 21, (%100)
Wordpress'in güncellemelerini takip ederseniz her şey açıkca yazıyor orada, wordpresse entegre bir geliştirme arayüzü yapılıyor ve bu production ortamında test ediliyor, tabi bu benim tercih ettiğim bir şey değil ama aslında bu birazda sizin suçunuz, wordpress kullanıcıların eğer kullanılmayacaksa wp-json arayüzünü kapatmalarını söylüyor. Kapatmadığınız taktirde böyle şeylerle karşılaşmanız normal. Wordpress bu forumdaki 3-5 sözde yazılımcı arkadaşın geliştirdiği bir sistem değil ki öyle geniş çaplı bir açık olsun, bu tamamen sizin hatanız, htaccess dosyasına yazılacak 3 satır ile wp-json'a gelen istekleri geri çevireceksiniz bu kadar.
 

 

wmaraci
wmaraci
Konuyu toplam 1 kişi okuyor. (0 kullanıcı ve 1 misafir)
Site Ayarları
  • Tema Seçeneği
  • Site Sesleri
  • Bildirimler
  • Özel Mesaj Al