narcis 1 Опубликовано: 6 октября 2011 Рассказать Опубликовано: 6 октября 2011 Здравствуйте, дорогие друзья! Я пользуюсь CMS DLE уже порядочно. Практически все меня в ней устраивает. Но недавно, от компании которая раскручивает мой сайт, мне на почту пришла интересная ссылка: http://safesearch.ya...xml?item_no=120 (Всем советую ознакомиться с информацией и коментариями прежде чем что то писать!) Пройдя по ней я попал на страницу рейтинга CMS и их уязвимости. Судя по графикам, которые там были отражены, DLE не очень то популярна, зато наиболее уязвима для взлома (50% от всех остальных CMS)... Я советую DLE своим друзьям и коллегам как отличный и удобный движок и кто то уже им пользуется. Да и сам я подумывал о создании еще одного проекта на этом движке, пока не прочитал этот рейтинг... Я надеюсь что админы смогут убедить меня и всех остальных (всех тех, у кого появились сомненияв) в том что это все фэйк, и что DLE не такой то уж простой орешек!!! Цитата Ссылка на сообщение Поделиться на других сайтах
Critical Error 155 Опубликовано: 6 октября 2011 Рассказать Опубликовано: 6 октября 2011 Популярна нулленная версия движка, поэтому столько и сайтов в графике с уязвимостью! Цитата Ссылка на сообщение Поделиться на других сайтах
WWW.ZEOS.IN 1 161 Опубликовано: 6 октября 2011 Рассказать Опубликовано: 6 октября 2011 (изменено) http://itrack.ru/research/cmsrate/ WordPress и Joomla популярные, так как бесплатные (большинство людей любит "халяву" (Халява — бесплатный сыр.)) Bitrix популярен, так как хорошо себя рекламируют (хотя движок просто ужас) uCoz это вообще... Если бы движок DLE был бесплатен, то он 100% был бы в тройке самых популярных CMS Но так как DLE нравится многим, а многие любят "халяву", то они устанавливают NULL версию (не задумываясь о последствиях). Что такое NULL можете прочитать тут: http://forum.dle-new...uncement=1&f=46 Злоумышленники очень часто в NULL версии вставляют какие-то дырки для дальнейшего взлома сайта и использования его в своих целях (иначе какой им смысл просто так распространять эту CMS на своих сайтах). Поэтому и показано, что 50% взломов это DLE. Если бы DLE изначально была бесплатной CMS, то никто бы не стал делать null версию и все бы качали скрипт DLE с официального сайта без дырок от злоумышленников) А те, кто купил лицензию DLE и использует оригинальный скрипт у тех нет проблем со взломами сайтов (конечно же надо еще следить за баг-фиксами http://dle-news.ru/bags/ и вовремя их применять). Ну и конечно же надо понимать и разбираться во многом. Часто взламывают тех, кто только начинает познавать web и создавать сайты в сети интернет. Изменено 6 октября 2011 пользователем WWW.ZEOS.IN 2 Цитата Ссылка на сообщение Поделиться на других сайтах
Wanderers 17 Опубликовано: 6 октября 2011 Рассказать Опубликовано: 6 октября 2011 Черным по белому там написано: "Не используйте контрафактные версии CMS – в некоторых случаях в них умышленно снижена степень безопасности или даже внедрены готовые backdoor’ы (пример – некоторые выпуски CMS DLE от M.I.D. с backdoor от Zloy)." Цитата Ссылка на сообщение Поделиться на других сайтах
celsoft 6 068 Опубликовано: 6 октября 2011 Рассказать Опубликовано: 6 октября 2011 Пройдя по ней я попал на страницу рейтинга CMS и их уязвимости. Судя по графикам, которые там были отражены, DLE не очень то популярна, зато наиболее уязвима для взлома (50% от всех остальных CMS)... Я советую DLE своим друзьям и коллегам как отличный и удобный движок и кто то уже им пользуется. Да и сам я подумывал о создании еще одного проекта на этом движке, пока не прочитал этот рейтинг... Зачем уж так перевирать яндкес, он назвал не уязвимые CMS, а назвал топ сайтов на которых обнаружена зараза. Зараженный сайт это не говорит уязвимости CMS, это говорит о том на какой CMS самые безолаберные администраторы, которые не заботятся о своем сайте, ставят все подряд на сайт, не следять за своими доступами и т.д. То что DLE стал настолько простым в освоении и работе, что на нем делают сайты все кому не лень, неудивительно. И с учетом того что уже более года на DLE не выходило и не публиковалось уязвимостей, это говорит лишь о том насколько некомпетентны вебмастера, делающие сайты на DLE, хотя большинство и вебмастерами назвать сложно. Уже миллион раз как притча на устах, говорилось не ставьте сторонние модули неизвестно от кого, до 70% сторонних модулей написаны плохо, авторы которых даже понятия не имеют о то что такое фильтрация входящих данный. Не скачивайте шаблоны с сомнительных источников, много где есть уже JS трояны в шаблонах. Отдельной темой стоят нелегальные копии, там бэкдоры уже встроены злоумышленниками. Цитата Ссылка на сообщение Поделиться на других сайтах
Compton 34 Опубликовано: 6 октября 2011 Рассказать Опубликовано: 6 октября 2011 (изменено) celsoft очень верно заметил, чего грешить на двиг коли руки из ж*пы растут.. В DLE интегрирована базовая для всех проектов защита, чего вам еще надо? Но да, она не в коем случае не защитит сайт от кривых ручек... А вот вам верное лекарство от нуллей: + обфускация кода + шифрование (Zend Guard например, и не обязательно шифровать абсолютно все файлы) + единый интерфейс для подключению модулей/плагинов/расширений (чтобы у пользователя не было необходимости лезть в исходный код) ... но если и этого мало - + мощный, гибкий API движка + максимально возможное отделение кода от HTML + понапихать в разные файлы функций, которые через определенное время производили валидацию лицезионного ключа md5($host, $key, $license_type, $client_name, $client_id) и тому подобное.. Изменено 6 октября 2011 пользователем Compton Цитата Ссылка на сообщение Поделиться на других сайтах
narcis 1 Опубликовано: 6 октября 2011 Рассказать Опубликовано: 6 октября 2011 Автор Суть то не в корявых ручках (всем известно что их не мало) или чего то там еще... Суть в том что мое рекламное агенство практичекси посоветовало мне сменить CMS, а я этого делать не хочу!!! Эта тема создана именно для того чтобы развеять все сомнения и послушать мнения окружающих! Цитата Ссылка на сообщение Поделиться на других сайтах
celsoft 6 068 Опубликовано: 6 октября 2011 Рассказать Опубликовано: 6 октября 2011 Суть в том что мое рекламное агенство практичекси посоветовало мне сменить CMS, а я этого делать не хочу!!! Эта тема создана именно для того чтобы развеять все сомнения и послушать мнения окружающих! Вам нужно пользоваться своим мнением, а не чужим. Если вы хотите сменить, то меняйте. Если не хотите, то не меняйте. А рекламные агенства советуют то, за что им платят, за какую CMS они будут больше получать, та и будет для них самой лучшей. Также как и на этом форуме, где все пользователи DLE, вы не найдете объективных советов что вам делать, т.к. все пользуются именно DLE а не другой CMS. Также как и на другом сайте другой CMS вам будут говорить что их CMS самая лучшая. Поэтому нужно делать свои выводы и иметь собственное мнение, а не жить по чужим мнениям. 1 Цитата Ссылка на сообщение Поделиться на других сайтах
narcis 1 Опубликовано: 6 октября 2011 Рассказать Опубликовано: 6 октября 2011 Автор Суть в том что мое рекламное агенство практичекси посоветовало мне сменить CMS, а я этого делать не хочу!!! Эта тема создана именно для того чтобы развеять все сомнения и послушать мнения окружающих! Вам нужно пользоваться своим мнением, а не чужим. Если вы хотите сменить, то меняйте. Если не хотите, то не меняйте. А рекламные агенства советуют то, за что им платят, за какую CMS они будут больше получать, та и будет для них самой лучшей. Также как и на этом форуме, где все пользователи DLE, вы не найдете объективных советов что вам делать, т.к. все пользуются именно DLE а не другой CMS. Также как и на другом сайте другой CMS вам будут говорить что их CMS самая лучшая. Поэтому нужно делать свои выводы и иметь собственное мнение, а не жить по чужим мнениям. Я всегда пользуюсь своим мнением! И не стоит воспринимать все сразу в штыки!!! Мне захотелось узнать мнение окружающих, может у кого то и были проблемы со взломами... Лично мне бы этого совершенно не хотелось! Я повторюсь - Dle как CMS меня полностью устраивает! Цитата Ссылка на сообщение Поделиться на других сайтах
celsoft 6 068 Опубликовано: 6 октября 2011 Рассказать Опубликовано: 6 октября 2011 Например ко мне приходит мое рекламное агество и говорит, смотри на рейтинг и дает и ссылку и при этом говорит эта CMS уязвимая, надо менять. Что я буду делать? Я пойду, почитаю по ссылке, и сам!!! объективно и по тексту вижу что на этой странице нет ни слова о безопасности в различных CMS. Какие лично действия основываясь на своем мнении должен делать? Правильно, что тот кто дал мне эту ссылку несет некомпетентную чушь, т.к. в той статье нет ни слова насколько безопасна та или иная CMS. И я на основе своего мнения лучше перестану любые отношения с компанией, которая некомпетента, чем буду бегать по интернету, спрашивать кого либо и т.д. Я всегда пользуюсь своим мнением! И не стоит воспринимать все сразу в штыки!!! Мне захотелось узнать мнение окружающих, может у кого то и были проблемы со взломами... Я не воспринимаю вас или ваше сообщение в штыки, я вам пытаюсь объяснить как вам правильнее поступать. Обратите внимание, что я нигде не написал, что DLE лучшая, забудьте по всех и верьте мне и прочее. Я вам написал лишь то что вы должны сами для себя принимать решение. т.к. это ваше решение, а не чужое. Нельзя жить по чужим мнениям и решениям. Вы должны быть самостоятельной личностью. Поэтому если вы решите например бросить DLE и перейти на другой скрипт, то я не буду против, потому что уважительно отношусь к вашему выбору, какой бы вы его не сделали. Цитата Ссылка на сообщение Поделиться на других сайтах
Compton 34 Опубликовано: 6 октября 2011 Рассказать Опубликовано: 6 октября 2011 (изменено) ТС, вы поймите пожалуйста, что большая составляющая этого рейтинга - пользователи которым не захотелось платить деньги, и они выбрали взломанные версии движков. Что такое NULLED? вор берет лицензионную версию движка и вырезает проверки-валидаторы лицензии. На месте вырезанных проверок появляются дырки. Это в лушем случае если просто дырки. В худшем - вставляется разнообразный вредоносный код (бэкдоры и прочая гадость), ссылки и тд. Пользователь ставит нулль. Через n-ое время сайт ломается. Пользователь начинает "вонять" на весь интернет какое DLE г*вно и что у него сперли пароль и логин/просто грохнули сайт/понатыкали всяких поп-клик андеров/сперли базу данных и т.д (нужное подчеркнуть). Вот и весь секрет. Не используйте взломанных версий, покупайте лицензию! И не будет никаких проблем с учетом того, что у вас не кривые руки (но заметьте, движок здесь уже не причем). А вобще советую celsoft'у сделать так, как я описал в посте выше. Изменено 6 октября 2011 пользователем Compton Цитата Ссылка на сообщение Поделиться на других сайтах
celsoft 6 068 Опубликовано: 6 октября 2011 Рассказать Опубликовано: 6 октября 2011 может у кого то и были проблемы со взломами... Они были у всех, даже у меня. Например 2 года назад, у меня появился шелл на сервере, но благодаря четко расставленным параметрам безопасности он не смог запуститься и навредить системе, причем он был в папке DLE (других папок на сервере попросту не было). Что это значит, что DLE был виноват? Тщательный анализ логов сервера показал, что залили шел через уязвмимости phpMyAdmin, пришлось полностью пересматривать политику безопасности всего серверного ПО. Вывод: за безопасностью нужно следить, а не думать, что если взломали то это только потому что стоит та или иная CMS. Существует 1000 и один способ взлома сайта, и только десяток способов, это взлом через CMS. Поэтому нужно сделить комплексно за всей безопасностю, начиная от CMS и заканчивая сервером и компьютером за которым вы сидите. Потому что если у вас сопрут пароли с комьютера, вам ни одна система безопасности на сервере не поможет. 2 Цитата Ссылка на сообщение Поделиться на других сайтах
guusr 19 Опубликовано: 6 октября 2011 Рассказать Опубликовано: 6 октября 2011 ой, да не бось ноют же ребята с паролями "123456" или "йцукен" Цитата Ссылка на сообщение Поделиться на других сайтах
Compton 34 Опубликовано: 6 октября 2011 Рассказать Опубликовано: 6 октября 2011 ой, да не бось ноют же ребята с паролями "123456" или "йцукен" kRicha, поверьте, человеку который зануллил движок и вписал в него свой вредный код, не суть как важно какой там пароль Впрочем это опять же не вина движка Как говорится: "В мире есть две бесконечности - человеческая тупость и человеческая тупость" 1 Цитата Ссылка на сообщение Поделиться на других сайтах
alex32 942 Опубликовано: 6 октября 2011 Рассказать Опубликовано: 6 октября 2011 (изменено) Слушайте, сколько же можно муссировать эту тему? Если у меня куплена лицензия и меня взломают, то в первую очередь у меня будет претензия к разработчикам. Вот только пока мои сайт никто не ломал, предявлять нечего, что говорит о надежности этого движка.Я пользуюсь CMS DLE уже порядочно.narcis, а правила форума никто не отменял, так что сайтик свой покажите. Думаю, там стоит NULL, вот вы и ссыте, что бы вас не сломали. Изменено 6 октября 2011 пользователем alex32 Цитата Ссылка на сообщение Поделиться на других сайтах
Compton 34 Опубликовано: 6 октября 2011 Рассказать Опубликовано: 6 октября 2011 (изменено) alex32, вы правы, разработчик должен отвечать за свой продукт. Но, опять же, речь идет о рейтинге CMS, и в нем преобладают именно NULLED версии... Дело за малым, искоренить нулль версии Заключение: Этот рейтинг безопасности CMS не стоит считать компетентным потому что мы сейчас говорим о факте взлома лицензионных копий движка! Много ли таких? Я видел несколько. И скажу честно - это были ошибки пользователей. Помогал ли этим людям разработчик? - Да, помогал. Я лично видел это. Поэтому если я захочу купить лицензию, у меня не будет левых мыслей на счет безопасности и поддержки. Я буду занят лишь одним - разработкой своего сайта. Изменено 6 октября 2011 пользователем Compton Цитата Ссылка на сообщение Поделиться на других сайтах
celsoft 6 068 Опубликовано: 6 октября 2011 Рассказать Опубликовано: 6 октября 2011 narcis, а правила форума никто не отменял, так что сайтик свой покажите. Думаю, там стоит NULL, вот вы и ссыте, что бы вас не сломали. У пользователя есть лицензия и пользуется он лицензионным скриптом, поэтому не нужно обвинять человека голословно. Это не красиво. Цитата Ссылка на сообщение Поделиться на других сайтах
MiXa 5 Опубликовано: 6 октября 2011 Рассказать Опубликовано: 6 октября 2011 Здравствуйте, дорогие друзья! А какой Вам движек рекомендуют? Наверное это самописное двигло этой компании? Самописные движки компаний это прекрасная удочка поиметь клиента, ибо с уходом от этой компании Вы остаетесь у разбитого корыта. Недавно нашел вот такой топик: http://forum.xakep.ru/m_1739211/tm.htm Насколько он актуален? Цитата Ссылка на сообщение Поделиться на других сайтах
Compton 34 Опубликовано: 6 октября 2011 Рассказать Опубликовано: 6 октября 2011 Недавно нашел вот такой топик: http://forum.xakep.ru/m_1739211/tm.htm Насколько он актуален? Неактуально. Это для старых версий. Тем более баг быстро нашли и залатали. Цитата Ссылка на сообщение Поделиться на других сайтах
celsoft 6 068 Опубликовано: 6 октября 2011 Рассказать Опубликовано: 6 октября 2011 Недавно нашел вот такой топик: http://forum.xakep.ru/m_1739211/tm.htm Насколько он актуален? Неактуально. Это для старых версий. Тем более баг быстро нашли и залатали. Ничего не находили, ничего не латали. Это сторонний модуль, такого облако тегов в DLE никогда не было. Там речь идет о облаке тегов в виде трехмерного вращающегося шарика. Этот сторонний модуль был сделан на основе плагина Wordpress, со всеми сопутствующими багами. В стандартном DLE такого бага не могло быть априори, по причине отсутвия в нем файла /engine/classes/tagcloud/tagcloud.swf Цитата Ссылка на сообщение Поделиться на других сайтах
Compton 34 Опубликовано: 6 октября 2011 Рассказать Опубликовано: 6 октября 2011 Ничего не находили, ничего не латали. Это сторонний модуль, такого облако тегов в DLE никогда не было. Там речь идет о облаке тегов в виде трехмерного вращающегося шарика. Этот сторонний модуль был сделан на основе плагина Wordpress, со всеми сопутствующими багами. В стандартном DLE такого бага не могло быть априори, по причине отсутвия в нем файла /engine/classes/tagcloud/tagcloud.swf Не знаю, я тогда еще не пользовался DLE Просто этот баг так раздули, что читая, я подумал что был баг в стандартном модуле облака тегов.. Цитата Ссылка на сообщение Поделиться на других сайтах
narcis 1 Опубликовано: 6 октября 2011 Рассказать Опубликовано: 6 октября 2011 Автор Слушайте, сколько же можно муссировать эту тему? Если у меня куплена лицензия и меня взломают, то в первую очередь у меня будет претензия к разработчикам. Вот только пока мои сайт никто не ломал, предявлять нечего, что говорит о надежности этого движка.Я пользуюсь CMS DLE уже порядочно.narcis, а правила форума никто не отменял, так что сайтик свой покажите. Думаю, там стоит NULL, вот вы и ссыте, что бы вас не сломали. Ну уж... ссыте... Такое чувство что вы как то затерялись между двумя обществами... что то вроде между дегенератами и интелегентами... Саитик пожалуйсто: www.narcisstroy.ru Вот только хамить не надо!!! Цитата Ссылка на сообщение Поделиться на других сайтах
Compton 34 Опубликовано: 6 октября 2011 Рассказать Опубликовано: 6 октября 2011 Ну уж... ссыте... Такое чувство что вы как то затерялись между двумя обществами... что то вроде между дегенератами и интелегентами... Саитик пожалуйсто: www.narcisstroy.ru Вот только хамить не надо!!! Уважаемый.. Ради бога успокойтесь.. Вам никто не хамил, просто есть правил форума и каждый их должен соблюдать. Вам уже все подробно расписали, делайте выводы. Цитата Ссылка на сообщение Поделиться на других сайтах
narcis 1 Опубликовано: 6 октября 2011 Рассказать Опубликовано: 6 октября 2011 Автор Здравствуйте, дорогие друзья! А какой Вам движек рекомендуют? Наверное это самописное двигло этой компании? Самописные движки компаний это прекрасная удочка поиметь клиента, ибо с уходом от этой компании Вы остаетесь у разбитого корыта. Недавно нашел вот такой топик: http://forum.xakep.ru/m_1739211/tm.htm Насколько он актуален? В том то и дело что ничего мне в замен не предлогалось! Вот сомнения и затесались. Цитата Ссылка на сообщение Поделиться на других сайтах
Compton 34 Опубликовано: 6 октября 2011 Рассказать Опубликовано: 6 октября 2011 В том то и дело что ничего мне в замен не предлогалось! Вот сомнения и затесались. Не сомневайтесь, движок хороший Поверьте, я вам говорю это как пользователь. Не подумайте что я тут кому-то ж*пу лижу, у меня такой привычки нет. ...И так или иначе, это ваш личный выбор Цитата Ссылка на сообщение Поделиться на других сайтах
Рекомендованные сообщения
Присоединяйтесь к обсуждению
Вы можете опубликовать сообщение сейчас, а зарегистрироваться позже. Если у вас есть аккаунт, войдите в него для написания от своего имени.