Plastik média

erre mar legalabb egy hete figyelmeztetett egy kommentelod (hadd ne keressem ki), aztan azzal intezted el, h teged ez nem erint.

hat tessek.

(fszm, mar pentek van, de csak a csutortokot fogadja el)

kesik az orad, legalabb 10 percet.

és a 2.5.1 már nincs veszélyben?

én nemrég csináltam egy wp-s blogot (még tök üres is) és oda a 2.5.1-et raktam fel.

a csöcs ott van, hogy nem is értek ehhez, de mégiscsak jobb a saját istálló.

érdekes ami a neten zajlik illegálban. érdekes.

nőjön köröm a faszára minden ilyen viágrabótnak!

és szakadjon be!

Beparáztattál rendesen.
Azonnal lecseréltem a sajátomat, jelszavamat, új felhasználó, hosszú jelszó, default admintól elvenni minden jogot…, stb…

Szép az új wp, de nem gondoltam, hogy máris meg kell ismerni.

Erősen fontolóra vettem az áttérést vmi másra, pl. textpattern

Használt vmelyőtök mást? Tapasztalat?

amennyire ertem, mind ugyanazon az elven mukodik ;]

És tényleg kiszedtek az indexből, nincs bent egy oldal sem..
Küldj webmaster toolsban egy reconsideration requet-et.

hasznaljatok txp-t, az jo.
http://textpattern.com

kedves józsi, a “nem-e” szófordulat ugye csak vicc? hánynom kell tőle…

Nem véletlen könyörög szinte térden állva a WP, hogy egy-egy frissítéskor mihamarabb töltsék is le azt. Egy ideje már az admin felület is figyelmeztet minden oldalán.

http://search.securitytracker.com/cgi-bin/ts.pl

Aztán írd be, hogy wordpress…

Nem reklám céljából, így nem is linkelném be a dolgot, de pont ezért szeretnék egy olyan “prémium” blogszolgáltatást beindítani, ahol a tárhely szolgáltató veszi le a válladról a folyamatos frissítés, karbantartás gondját. A WordPress szerintem a legkirályabb blogmotor, de tényleg gyakran frissíteni kell, ha nem akar gondot az ember.

De lehet használni a wordpress.com-ot, ahol a szolgáltató leveszi az ember válláról a frissítés problémáját.

Agogy Józsi mondja: tessék rendszeresen és azonnal frissíteni, amint valami biztonsági frissítést kiadnak. Nyilván nem poénból dobálják az ilyesmit akár hetente is. Mindazonáltal ha valaki nyugodtan szeretne aludni manapság, és spamet sem akar, próbálkozhat a Textpattern-nel – a logika/lényeg ugyanaz, csak wp után egy kicsit szokni kell.

“tessék rendszeresen és azonnal frissíteni”: ergó legyek én a wp-ért, nem pedig ő énértem. szép kilátások…

Off:

Józsi! Hátha érdekel: http://www.scenecon.hu/

Hmmm – - – >

http://www.movabletype.org/screenshots/

Az Expression Engine jóóó!

Pont most akarom betesztelni a WordPress-t, jó hogy most már ezt is tudom hogy törik mint gép. Bár nekem csak arra kell, hogy tudjak rá dizájnolni templatet, én tökéletesen megvagyok elégedve az ExpressionEngine-el. Bár amennyit azzal is szoptam…

cadmagician: ne haragudj, de ez egy szar felfogás. Ilyen erővel az autódat se vidd szervízbe, várd meg, amíg beszarik a fék meg a kormánymű (lehetőleg egyszerre) és 180-al burcsázol álá egy viaduktból.

Sajnos a 2008-as hi-tech világban a biztonsági frissítések alapvető fontosságúak, ezt vagy elfogadja valaki vagy nem, de mindenképp így van.

Ez a WordPress blogszolgáltató beharangozója: http://wpress.wish.hu/ (és http://webakademia.hu/2008/06/premium-blogszolgaltatas/)

Nem hiszem, hogy a konkurens termékekben kevesebb hiba lenne, de valószínűleg a hackerek az igencsak elterjedt WP-re mennek rá (“majdnem” ugyanaz mint a Win-Mac vírusok ebből a szempontból – de az idézőjel nem véletlen). A gyakori frissítéssel és backupokkal lehet valószínűleg a legjobban küzdeni a betörés ellen.

AD: téged meg mivel nagy reklámerővel bírsz, szívesen hosztolunk a szolgáltatás keretében ingyen is ha gondolod.

Pionírkodásra a WordPress “nightly”, SVN verzióját ajánlom. Nagyon kényelmesen frissíthető (“svn up” parancs…), és lehet nézegetni a friss fejlesztéseket, meg néha a friss hibákat (nem szoktak vészesek lenni). Expression Engine-t én nézegettem (távolról), de a WordPress még mindig kiforrottabbnak, szebbnek, ügyesebbnek tűnik. De írhatnál róla hogy miért szimpatizálsz vele, valami hasonlót mint én írtam a WordPressről (http://webakademia.hu/2008/05/miert-wordpress/ – bocs a sorozatos linkelgetésekért), azt jó lenne olvasni.

Az ExpressionEngine akkor jobb ha komplexebb site-ot (blogot) akarsz készíteni, hiszen nem csak blog készítésre jó ezért is favorizálják a dizájnerek jobban, mert könnyen összepattinthatsz vele kisebb-közép szájtokat. Én pl. több mint 1 éve foglalkozom vele, volt már kb. 20-30 full reinstallom mert szétvágtam valamit, de a végeredmény megérte:
http://www.newconcept.hu

András bár nem nekem írtad de köszi a tippet, írok majd 1 postot a blogomba miért jó az ee , úgyis azon gondolkoztam kéne már vmi postot írnom

WishMyLove: zsír oldalad van, gratulálok. Mondjuk nekem csak a frissítés gomb harmadszori megnyomására hozza be normálisan, előtte fehér lapokat adogat!

jozsi, ha nem az volt, amit irtam, akkor mi? valahanyszor rakerestem a plastikra a google-lel (miutan toroltem a cachet), az elso result a plastik.hu volt, de a linkre kattintva az anyresults.net-re kerultem. a cikk cime “WordPress AnyResults.net Hack – Search Engine Visits Redirecting to AnyResults.net” volt. ha ez a mostani egy ettol fuggetlen dolog, akkor egyszeruen kettot szoptal be egyszerre.

en pedig a drupalt ajanlom, arra nagyon odafigyelnek a fejlesztok.

Ha már frissítettél pár jótanács SEO irányból

http://yoast.com/articles/wordpress-seo/

gergely: sajnos/nem sajnos, a Drupalban is vannak bugok. Talán tegnap kaptam három, különböző külső modulokat érintő security alertet (bár mintha az egyik a Drupal magban lett volna). Ott sem árt a folyamatos frissítés.

wordpress-nél már csak a joomla nagyobb exploit bánya, amatőrök számára nem javasolt a használata éles rendszerben. amúgy pár hónapja nálam is volt hasonló wordpress fíreg, de nekem mákom volt mert vmi oknál fogva először egy-egy cikkről leszedte a kommentelési lehetőséget és innen vettem észre hogy vki ólálkodik a rendszerben. aztán ment kis viagra meg xanax linkek kikapálgatása jól. de most hogy te is ígyjártál, ma este azt hiszem én felrakom a latest wordpress-t, nem várom meg amíg megint jön vmi átok a jelenleg fennlévő verzióra…

suexID thx! Az általad látott problémával egynelőre más nem talált meg és én sem tapasztalom (pedig az elmúlt hónapban kb 30.000 junikom volt hála a css galériáknak). De nem is ez a lényeg, hanem a WordPress.

Esetleg tudna nekem valaki ajánlani WordPress templatezéshez dizájnoláshoz valami hasznos info site-ot, mert akarok gyártani egy free hc templatet hozzá, aztán pedig többet ha sikeres lesz…

A joomlát én sem ajánlanám, több ismerősöm kipróbálta tetszett nekik aztán köpködés lett a vége

Józsi, valahol ezt olvastam:

“Már Lenin is megmondta:
backunyik, backupnyik, i backupnyik!”

Ha neked is lett volna backupod, nem kellett volna kézzel túrni az SQL-t, meg a könyvtárban levő fájlokat.

De azért meg kell hagyni, kurvára okosak ezek a mai hackerek, spemmerek!
És azt is érdemes észrevenni, hogy a Gogole mekkora jelentőségű valami, hogy hackerek, spemmerek csak azért törnek meg oldalakat, hogy jó helyre kerüljenek a találati listában…

Egy picit részletesebb leírás erről a hackról: http://ocaoimh.ie/2008/06/08/did-your-wordpress-site-get-hacked/

ha mar wordpress: feltuno, hogy mas blogmotorkkal ellentetben ha wordpresses blogot renderel a bongeszo, felbog a laptopom. itt is, a judapesten is feltuno, hogy 100 kommentnel, vagy hosszu bejegyzeseknel mar nagyon erolkodik oldalletoltes utan a processzor.

greg: Pont ma reggel vettem észre az egyik postban a rengeteg linket. Véletlenül nyomtam mellé, mikor megláttam, hogy korábban írt postom scrollbarja milyen hosszú az editorban. Lescrolloztam és láttam, hogy be volt lőve 100-150 hidden spam link. Egyből jött a para, hogy most mi van, végignéztem az összes postot és szerencsére csak 1-et találtam, ami szét volt spammelve. Tény, hogy a régi 2.1.3-as WP van fenn. Frissítéssel meg az a gond, hogy a szolgáltatómnál van valami gebasz, amiért nem megy a 2.5.

az ee meg barmelyik php szarkupac akkoris szarkupac marad, ha fizettek erte, vagy ha najtli bildeket toltotok le.

a hude-szetvagtam-installoltam-husszor mentalitashoz meg csak annyit, hogy: http://www.newconcept.hu/index.php/data/portfolio/

index.php/data/portfolio, 2008

I LAF

legalabb valami url rewrite-ot tessek alkalmazni, ha fizetsz (:

Ez azért jó, mert ha van több száz blogod akkor jó kis szombat esti szórakozás az ilyen. WordPress MU-t is érinti amúgy? Vagy cask a singleplayer WP a beteg?

és ez összefügg azzal, hogy google reader-ben nem jönnek a kommentek?

Nekem se jönnek a kommentek rssen, úgyhogy gebasz bizonyára van.

Ha már kommentek meg stb.,
Józsi, telepítsd a ‘subscribe to comments’ plugint, azt sokan szeretik használni.

igy jar aki valami opensource szemetet hasznal a jolmukodo apple megoldas helyett blogolasra

Hogy túrná szét az appleblogot valami exploit!

En blogomat reggel megprobaltam updatelni, jol tonkre is tettem. Nem ertek hozza, es nem is akarok.

Lix: nem akarod atkoltoztetni a blogomat xms melle? Fizetek

jozsi: ha ilyeneket mondasz, akkor csak halkan tedd. meg jo, hogy nem vagy rendszermernok.

Tamás lehet hogy szerinted 1 szarszemét fos kupac az ee, én viszont megvagyok vele elégedve. Igaz hogy vannak benne baromságok pl, a members modul über gáz, de ha utánna tekersz jobban a support fórumokban belső hackel megtudod csinálni faszára. Az url rewrite meg nem érdekel. Viszont az igen hogy te eddig mit tettél le az asztalra, hogy igy leszarozod az ee-t meg a php-t. Vagy csak így 1szerüen te vagy Tamás a pc mögül?

thx

Tamas, valóban, nyilván sokkal biztonságosabb volna FORTRAN nyelven blogmotort írni, opcionálisan lyukkártyás inputtal. Az olvasó elküldené a lekérdezést leíró input fájlt e-mailben (snail mailen), az operátor lefuttatná a lekérdezést, majd visszaküldené az eredményt.

miklos: te maradj inkabb az atomnal (: en se pofazok bele olyasmibe, amirol csak olvastam valami szkifimagazinban meg a fustoss-fizikaban.

wishmylove: igy van, en vagyok tamas a pc mo:gul, aki utalja a pehapekokanyt. nem arrol van szo, hogy nem lehetsz vele megelegedve, nyilvan megelegszel egy kispolszkival, ha nem ismered a bmw-t. masreszrol, amikor eles rendszerhez a “hack” szo tarsul, az nem sok jot jelenthet. amugy java-fejleszto, solaris istn (haha), meg lassan idm szakerto (haha2).

A post után jól megijedtem és frissítettem saját WordPress motoromat. A plastik.hu-nak köszönhetően tegnap este már jól aludtam.

Van olyan, aki ölbetett kézzel ül ha kijön egy frissítés? Miért nem teszi fel midnenki? Erről nekem az jut eszembe, hogy a barátaim, akik a szutykos XP-ken a biztonsági frissítést semmibe nézik (meg bármilyen más szoftvernél is), azok állandóan szívnak a rendszerrel. Hogy lehet akkor, hogy nekem meg hosszú hónapokon keresztül minden jó? Pedig csak az update gombot kell megnyomni. De lehet, hogy csak magamat idegesítem ezzel.

BA: regarding drupal security: 5 SA jott juni 11-en, ebbol 1 nem is a Drupal-ra vonatkozik (beneztek a szekjuritis cegnel) a masik negy pedig contrib

Drupal-t nem ismeroknek: drupal-hoz a kulonbozo pluginek (=modulok) ket felek lehetnek, contributed, ilyeneket barki irhat, es felteheti a drupal.org/project/ oldalra, illetve core. Core modulok szigoruan auditaltak, es csak par embernek van commit joga a repository-ba, a patch-eket altalaban eleg sokan atnezik. Ugy altalaban a core kod minosege messze magasabb, mint atlagos contrib.

Contribfoldon temerdek modul van, es a szamuk exponencialisan no, ergo hogyha allando is a kod minosege akkor egyre tobb biztonsagi bejelentest olvas az ember, ezert nem erdemes ezek szamabol a Drupal biztonsagara vonatkozoan kovetkeztetni.

Core bugot erinto SA utoljara aprilis 9-en jott ki, Drupal 6.x-re (x<2) vonatkozoan (ez mondjuk egy eleg kinos bug volt).

handras ha akarod de

tamas +1

kurvara koze nincsen a nepszeruseghez a kodminosegnek

a wp -ugyanugy mint az osszes takolt/patkolt FOSS enginek- szar

ennyi

> kurvara koze nincsen a nepszeruseghez a kodminosegnek

annak nyilván nincs, csak a felfedezett hibák számának

Fasza, ma engem is kizárt a google, pedig ennek a cikknek a megjelenésekor frissítettem, jelszócsere, stb…
Viszont hiába nézem a forrását az oldalnak, nem találom a kifogásolt részt.

Zoltán, bizony a tied is meg van hekkelve.
valószínűleg még akkor történhetett, mielőtt frissítettél volna az új verzióra.

azért nem látod a forrásban könnyedén, ahogy angelday is leírta, mert cselesen csak akkor nyomja bele a spam linkeket, ha a böngésződ Googlebot user-agentet küld át. hétköznapi böngészők, Safari, Firefox esetén nem rakja be őket, így sokkal tovább tart, mint bárki észreveszi, hogy gáz van.

ezért kellenek pl ilyen parancsok a tesztelésére:

curl –user-agent Googlebot CÍM
vagy
wget -q -O – –user-agent Googlebot CÍM

Safari 3-ban a Develop menüben az User Agent pontban az Other-t választva lehet tetszőleges dolgot beírni, ide írd be, hogy Googlebot.
(A Develop menüt esetleg előbb engedélyezned kell a Preferencesben, az Advanced fülön van a Show Develop menu in menu bar kapcsoló.)

Fds, köszönöm. Próbáltam most a leírásod alapján Safari 3.1.1-ben az Other-be beírni az általad megadott stringeket, de nekem semmi sem történt.
Kell telepítenem vmit?

Zoltán, úgy tűnik, megoldottátok a problémát, ma már számomra is eltűntek a spam linkek a blogodról, akárhogy is nézem, holott tegnap még ott voltak, Googlebotként betöltve.

Hacsak nincs még ilyen disznóság is beépítve ebbe a hackbe, hogy mondjuk bizonyos napokon egyáltalán nem jelenik meg, hogy még nehezebb legyen észrevenni.

Fds, nekiugrottam a hibaelhárításnak, ezért tűnt el.

Angelday által javasolt oldal és a
http://www.teohuiming.name/blog/wordpress-exploit lépésein mentem végig:

A Curl-t viszont még most sem vágom. Hogyan tudom én is ellenőrízni a blogom ezzel?

Próbáltam a leírásod alapján Safari 3.1.1-ben az Other-be beírni az általad megadott stringeket, ok-ztam, de nekem semmi sem történt. Az oldal nem töltődött újra, az oldal forrása nem változott.

Safari nálam rögtön újratölti az aktuálisan nyitva levő oldalt az User Agent váltáskor, és attól kezdve azt a user-agentet használja a továbbiakban arra a fülre vonatkozóan.

A curl csak egy böngészőtől független parancssori alternatíva lett volna ugyanerre. Mac OS X-ben alapból bent van és legtöbb Linux disztribúcióban is, de Windowsra is le lehet tölteni:
http://curl.haxx.se/download.html#Win32