WordPress zranitelnost v REST API je aktivně exploitována

a to je nam prekvapeni :-)

To neni ten podstatny faktor. Tim faktorem je kultura, licencni politika apod. Pak jsou za tim samozrejme taky komercni vlivy.
Drupal ma (pres vsechno spatne co v nem je) pomerne jasne API.
Drupal ma za sebou Security team, pomerne cerstve ma taky neco jako "certifikace" modulů prave od secteamu.
Drupal ma schvalovaci proces pokud chces na drupal.org pridat contrib project(modul, sablonu apod).
Drupal ma za sebou Acquia. Ma jasne vize - i ty technicke. Ma placene vyvojare. Od toho se odrazi veci jako drush, drush make, nove Console.

Tohle vsechno dohromady znamena, ze kdyz se objevil Drupalgeddon tak bezny spravce webů na Drupalu (pouziva SSH a git, pripadne rovnou nejaky CI) dokaze vse fixnout aplikaci jednoho patche na vsechny weby v radu hodin.
Typicky lepič/klikač Wordpressu (pouziva FTP na Wedosu) ani netuší, že se něco děje.

Viz nedavny clanek o tisicich zranitelnosti v pluginech WP - tam slo diletatnstvi a jasne exploity. Naproti tomu drtiva vetsina security issues u Drupalu ma v podminkach, ze uzivatel musi mit opravneni "administer NĚCO" coz dokazu zpravidla vyhodnotit tak, ze tito uzivatele jsou provereni a neni treba to resit akutne, neni to 0day, nejsou to otevrene dvere jako krava.

Ale buďme fér - i ve firmách spravujících miliardy dolarů jsou diletanti schopní nechat tenhle jedinej skutecnej pruser za historii Drupalu nezaplatovany nekolik let... (panama papers)

WP vs Drupal je věčné téma - jelikož jsem jeden z organizátorů https://2017.prague.wordcamp.org/, tak asi nebude těžké odhadnout, že u mě vede WP :-). Pokud bych si měl rýpnout, tak u mě běží 40x více WP webů než Drupalů a na Drupalech jsem řešil 2x více bezpečnostních incidentů než na WP. Záleží jen na správci (a uznávám, že toto je často u WP problém).

Každopádně čísla napadených CZ webů v článku jsou dost zkreslená, protože jsou ve výsledcích podstránky webů, kterých může být opravdu hodně.

Monitoruji zhruba 80 000 českých WP webů a právě mi jede scan na zjišťování, které byly opravdu napadené - zatím jsem našel zhruba 60 z 30 000. Zítra by měl být scan komplet hotový, přesná čísla zveřejním.

Co presne znamena 2x vice? Protoze ja resil za 10 let s Drupalem prave presne 2 bezpecnostni incidenty. Jeden byl Drupalgeddon a druha byla nejaka breberka skrze CKEditor. Jinak zadna security issue nebyla v mem pripade takova abych to musel resit.
(abych byl fer tak tam byla jeste jedna critical issue s modulem Coder, ale ten jsem nikdy nikde nemel na produkci)

A trochu mi nesedi, ze by WP mel historicky jediny bezpecnostni incident. Aspon teda vypisy z logu vypovidaji o tom, ze WP je velice lakava vstupni brana do systemu (temer vsechny 404ky jsou neco jako wp/admin.php).

Mimochodem hezkou prednasku na toto tema mel nejaky typek z Wedosu na DrupalCamp.cs v Blavě, da se to najit na youtube.

Tak článek s výsledky je venku - https://lynt.cz/blog/masivni-unorova-infekce-wordpress-webu-2017

Nalezl jsem 0.5% napadených WP webů (= přes 300), ale zranitelnost se reálně týká 4.5% všech mě známých českých WordPress webů.

Jedná se vážnou zranitelnost, nicméně dochází "pouze" ke změně textu - data prochází sanitizací a běžně není možné vložit javascript nebo dokonce vykonat PHP. To však neznamená, že v kombinaci s nějakým dalším pluginem tam tyto zranitelnosti nevzniknou.

Jinak k předchozí otázce, s Drupalem jsem měl 4 bezpečnostní incidenty - 2x velmi primitivní heslo, 1x Drupalgeddon a 1x backdoor přinesený z jiného hostingu.

sorry, ale tady sam pises, ze jsi mel jeden jediny bezpecnostni incindent s drupalem: drupalgeddon. zbyle 3 nemaji s drupalem nic spolecneho. BTW docela by me zajimal ten utok na velmi primitivni heslo. to ho nekdo proste uhadl na 3 pokusy nebo si na to najal farmu IP adres?

Když si "admin" webu nastaví administrator/ad­ministrator, tak tolik úsilí potřeba není... Vždy záleží na tom kdo web vytvořil a na tom kdo se o něj stará. Vzhledem k rozšířenosti WP je bohužel podobných "adminů" mnohem více než u Drupalu.

Ja jsem narazel hlavne na to, ze Drupal ma zabudovanou flood protection. 3 pokusy na jednoho usera na jedne IP. S prichodem ipv6 to ztraci na ucinnosti, to je pravda. Kazdopadne admin/admin neni bezpecnostni incident zpusobeny Drupalem.