• Доброго.

    Я тут неоднократно приставал по поводу безопасности к основоположникам WP. Потому как считаю, что даже минимальная не обеспечивается ни для контента ни для файлов для двига загруженного «из коробки».

    На днях нашел плагин https://wordpress.org/plugins/user-access-manager/ (для многих, возможно, это «не новость». Есть еще «Advanced Access Manager», но первый, на мой взгляд, выполнен проще и элегантнее). На сколько могу судить со своей «колокольни» — выполнен на отлично. Весит не много, около 0.8Мб (без скринов), многоязычный, код хорошо читаемый и понятный, зловредов и подвохов не видно. Работает с кастомными таксо и записями.
    Есть еще один старенький плагин (или турецкий или арабский), хорошо работающий до версии 4.5 (далее не проверял и название не помню, найду если надо). Тоже — минимум, небольшой, прописывался везде, кроме файлов и обеспечивал приемлемое поведение для минимума безопасности. Этот на порядок лучше.

    Выполняет практически то, о чем просил изначально — разграничения доступа, минимально необходимые для сайта, выкладываемого в И-нет. Или тут все считают, что на WP должны быть только новостные сайты или открытые блоги?

    Предложение: Рассмотреть кандидата на реализацию в основной дистрибутив.

    Кому-то такие проблемы покажутся банальными, но я считаю, что WP в настоящем виде — ущербная реализация, без основ безопасности. И не надо говорить «что сделано для того, чтобы плагины могли разрабатывались сторонние». Минимум необходим.

    Иллюзий не строю, но, если будет время, просьба посмотреть реализацию и включить в обычную версию хотя бы часть функций.

    Часть пользователей, которая берет WP для тестов, вскоре обнаруживает, что из защиты там присутствует только «пароль на запись». И все. Это многих отталкивает от продукта, что печально, и ни про какие плагины, которые тем более «хочу-нихочу и может быть» выпускаются — слышать не хотят.

    Сделайте _элементарные_ средства защиты сайта, наконец (хотя бы разграничение по категориям и группам пользователей и отсутствия доступа Гостевым аккаунтам). Ща только и разговоров по новостям о безопасности, а у Вас все как 5 лет назад в этом плане.

    • Тема изменена 8 лет, 2 месяца назад пользователем ☭Gu.
Просмотр 15 ответов — с 1 по 15 (всего 18)
  • Модератор Yui

    (@fierevere)

    永子

    спасибо что ткнули, пойду допереведу «кандидата» до 100% русской локали

    Модератор Sergey Biryukov

    (@sergeybiryukov)

    Live and Learn

    прописывался везде, кроме файлов

    Это как?

    спасиб. да, заметил, там не очень Ру. Вроде все в порядке, но «сообщения, записи, посты» — можно в настройках не за то принять. И другое по мелочи, хотя в целом грех жаловаться — полный перевод.

    >>прописывался везде, кроме файлов

    у того опции были в посте, категориях, страницах.
    у этого везде.
    у того если зайти по прямой ссылки на jpg загруженый в М.библиотеку — его видим.
    у этого — если в настройках вкл. опции — фигвам.

    А я против! Я наоборот за то, что бы очистить ядро от разные ненужностей.

    Часть пользователей, которая берет WP

    должна хотя бы заглянуть в документацию, и увидеть что есть в ядре.
    https://codex.wordpress.org/Roles_and_Capabilities

    GU, я вот не пойму, почему Вы постоянно хотите заставить других пользоваться тем, что им не нужно? Вам нужно? Ну и используйте плагины, какие проблемы?

    • Ответ изменён 8 лет, 2 месяца назад пользователем SeVlad.

    я не агитирую за захламление ядра.
    ядро может быть составным на этапе установки. ставите галку в меню инсталляции и получаете фичу.
    >Вы постоянно хотите заставить других пользоваться
    я тоже против некоторых функций, заложенных изначально. rss и всякие взаимодействия др.блогами\сетями мне на#. не нужны. И показ аватар (а также после установки отметка сайта на сервере пинга и аватаров). но они же есть по умолчанию «в коробке» и приходится устранять. а установку опциями я давно предлагал, да и не ново это. ваши тоже ессесено вкурсе до моих предложений, видимо решили опустить это, сделав движение в стороны простоты установки.

    ++
    Спасибо за ответы забыл сказать. Видно, что отвечающим «не все равно». Для меня это важно.

    • Ответ изменён 8 лет, 2 месяца назад пользователем ☭Gu.
    • Ответ изменён 8 лет, 2 месяца назад пользователем ☭Gu.
    • Ответ изменён 8 лет, 2 месяца назад пользователем ☭Gu.
    Модератор Yui

    (@fierevere)

    永子

    ядро может быть составным на этапе установки. ставите галку в меню инсталляции и получаете фичу.

    оно и так составное, хотя конечно интересная идея сделать «Рекомендуемые плагины» отдельным списком, но тут тоже сложно определиться кому что нужно и вообще зачем… У всех разные требования и ожидания от CMS

    безопасность должна присутствовать изначально, хотя бы «элементарная» (согласитесь — пароль на пост — не вариант).
    особенно сейчас. минимум нужен. конешна, с необходимым пояснением «что это не сейф, и реализовано так-то с ссылкой на wiki». если обдумать, то можно свести требование к нескольким не сложным реализациям и 2-3 доп. галкам в настройках, откл.по умолчанию.
    я о минимуме говорю, а не полномасштабной защите.

    включение плагинов в пакет думаю не лучшая идея, хотя интересная. при выходе новой версии, например, можно реализовывать стандартный пакет и пакет+ (с плагинами), заодно голосование проводить что в сл. пакет вкл или вЫкл.

    Модератор Yui

    (@fierevere)

    永子

    когда-нибудь пытались собрать ядро линукс?

    make menuconfig

    вот примерно вот это Вы сейчас хотите от установщика WordPress
    чем меньше будет спрошено у пользователя при установке — тем лучше, а если там будет жуткое меню с кучей уровней вложенности, а еще не дай бог зависимостями одних опций от других… Новички шарахаться будут… в сторону левых сборок, которые спрашивать не будут ставить ненужные галки

    пытался.
    нет, это не то. плохой пример.
    в инсталляции сделать «по умолчанию (рекомендуется)» и «дополнительно» с несколькими опциями.

    что ж меня тут воспринимают в «штыки» всегда? 🙁
    я на вашей стороне и пытаюсь тоже улучшить WP.

    для начала отвечающим необходимо признать, что безопасность в WP = 0.
    если это есть, а также читаете последние новости, должны знать, что это необходимо.
    я не пишу о супер-защитах. пишу об элементарном, однако, это обсуждается как лишнее.

    в общем, основные мысли высказал в первом посте.

    буду рад, если в следующих реализациях появится это (реализация простая, код см.в плагине выше):

    — в опциях, там где

    Членство: Любой может зарегистрироваться

    появится

    галка «Гости не могут читать сайт»

    (т.е. для входа треб. логин\пасс) для начала этого будет достаточно.

    а остальное потом.

    ++
    к сожалению форум глюкнул и часть мысли не добавилась (уже засыпаю и по второму разу столько не напишу). Но и этого хватит для начала «за глаза».

    безопасность должна присутствовать изначально, хотя бы «элементарная» (согласитесь — пароль на пост — не вариант).

    Во первых указанные Вами плагины никакого отношения к безопасности не имеют.

    Во вторых безопасность кода в ВП проходит многоступенчатую и разнообразную проверку, а найденные уязвимости устраняются достаточно быстро (а не как у Оракла — по плану, через 40 дней. )
    Рискну утверждать, что ВП — один из самых безопасных движок при подобной сложности и универсальности (как известно — чем сложнее система, тем больше в ней слабых и уязвимых мест).

    Ида. Подавляющее большинство сайтов не имеют больше 1-2-3 юзеров. И родных ролей им более чем достаточно. Даже с избытком.
    Так что то что нужно Вам — не значит, что нужно всем.

    Ида2. Не забывайте, что плагины, кроме «установить», нужно ещё и настраивать. Настраивать под конкретные сайт/задачи/условия. Трудозатраты этого несоизмеримо больше, чем непосредственно сама установка этих плагинов.
    А это значит, что «установка галочками» при развертывании ВП будет только вредна ибо пачка ненастроенных плагинов могут помешать работе сайта.
    Поэтому лучше когда человек СОЗНАТЕЛЬНО и ПО ОЧЕРЕДИ будет ставить только то, что ему нужно.

    Ида3. А ещё будет нытьё — а почему установили «этот», а не «тот». «Тот» же для меня лучше..
    Нафик-нафик.

    • Ответ изменён 8 лет, 2 месяца назад пользователем SeVlad.
    • Ответ изменён 8 лет, 2 месяца назад пользователем SeVlad.
    • Ответ изменён 8 лет, 2 месяца назад пользователем SeVlad.

    что ж меня тут воспринимают в «штыки» всегда? 🙁
    я на вашей стороне и пытаюсь тоже улучшить WP.

    Не Вас, а некоторые Ваши «благие намерения» 😉

    • Ответ изменён 8 лет, 2 месяца назад пользователем SeVlad.

    > … безопасность кода в ВП проходит..

    я не про код пишу, а про разграничение доступа к категориям, постам и файлам

    я не про код пишу, а про разграничение доступа к категориям, постам и файлам

    Я потому и акцентировал про код. Про безопасность ВП, если угодно.

    А разграничение доступа на каком-то конкретном сайте(!) — это управление. Управление ролями и их возможностями.

Просмотр 15 ответов — с 1 по 15 (всего 18)
  • Тема «Минимальная безопасность» закрыта для новых ответов.