Vlákno názorů ke článku WordPress zranitelnost v REST API je aktivně exploitována od Vláďa Smitka - Tak článek s výsledky je venku - https://lynt.cz/blog/masivni-unorova-infekce-wordpress-webu-2017 Nalezl...

Tak článek s výsledky je venku - https://lynt.cz/blog/masivni-unorova-infekce-wordpress-webu-2017

Nalezl jsem 0.5% napadených WP webů (= přes 300), ale zranitelnost se reálně týká 4.5% všech mě známých českých WordPress webů.

Jedná se vážnou zranitelnost, nicméně dochází "pouze" ke změně textu - data prochází sanitizací a běžně není možné vložit javascript nebo dokonce vykonat PHP. To však neznamená, že v kombinaci s nějakým dalším pluginem tam tyto zranitelnosti nevzniknou.

Jinak k předchozí otázce, s Drupalem jsem měl 4 bezpečnostní incidenty - 2x velmi primitivní heslo, 1x Drupalgeddon a 1x backdoor přinesený z jiného hostingu.

sorry, ale tady sam pises, ze jsi mel jeden jediny bezpecnostni incindent s drupalem: drupalgeddon. zbyle 3 nemaji s drupalem nic spolecneho. BTW docela by me zajimal ten utok na velmi primitivni heslo. to ho nekdo proste uhadl na 3 pokusy nebo si na to najal farmu IP adres?

Když si "admin" webu nastaví administrator/ad­ministrator, tak tolik úsilí potřeba není... Vždy záleží na tom kdo web vytvořil a na tom kdo se o něj stará. Vzhledem k rozšířenosti WP je bohužel podobných "adminů" mnohem více než u Drupalu.

Ja jsem narazel hlavne na to, ze Drupal ma zabudovanou flood protection. 3 pokusy na jednoho usera na jedne IP. S prichodem ipv6 to ztraci na ucinnosti, to je pravda. Kazdopadne admin/admin neni bezpecnostni incident zpusobeny Drupalem.