Минимальная безопасность
-
Доброго.
Я тут неоднократно приставал по поводу безопасности к основоположникам WP. Потому как считаю, что даже минимальная не обеспечивается ни для контента ни для файлов для двига загруженного «из коробки».
На днях нашел плагин https://wordpress.org/plugins/user-access-manager/ (для многих, возможно, это «не новость». Есть еще «Advanced Access Manager», но первый, на мой взгляд, выполнен проще и элегантнее). На сколько могу судить со своей «колокольни» — выполнен на отлично. Весит не много, около 0.8Мб (без скринов), многоязычный, код хорошо читаемый и понятный, зловредов и подвохов не видно. Работает с кастомными таксо и записями.
Есть еще один старенький плагин (или турецкий или арабский), хорошо работающий до версии 4.5 (далее не проверял и название не помню, найду если надо). Тоже — минимум, небольшой, прописывался везде, кроме файлов и обеспечивал приемлемое поведение для минимума безопасности. Этот на порядок лучше.Выполняет практически то, о чем просил изначально — разграничения доступа, минимально необходимые для сайта, выкладываемого в И-нет. Или тут все считают, что на WP должны быть только новостные сайты или открытые блоги?
Предложение: Рассмотреть кандидата на реализацию в основной дистрибутив.
Кому-то такие проблемы покажутся банальными, но я считаю, что WP в настоящем виде — ущербная реализация, без основ безопасности. И не надо говорить «что сделано для того, чтобы плагины могли разрабатывались сторонние». Минимум необходим.
Иллюзий не строю, но, если будет время, просьба посмотреть реализацию и включить в обычную версию хотя бы часть функций.
Часть пользователей, которая берет WP для тестов, вскоре обнаруживает, что из защиты там присутствует только «пароль на запись». И все. Это многих отталкивает от продукта, что печально, и ни про какие плагины, которые тем более «хочу-нихочу и может быть» выпускаются — слышать не хотят.
Сделайте _элементарные_ средства защиты сайта, наконец (хотя бы разграничение по категориям и группам пользователей и отсутствия доступа Гостевым аккаунтам). Ща только и разговоров по новостям о безопасности, а у Вас все как 5 лет назад в этом плане.
-
А я против! Я наоборот за то, что бы очистить ядро от разные ненужностей.
Часть пользователей, которая берет WP
должна хотя бы заглянуть в документацию, и увидеть что есть в ядре.
https://codex.wordpress.org/Roles_and_CapabilitiesGU, я вот не пойму, почему Вы постоянно хотите заставить других пользоваться тем, что им не нужно? Вам нужно? Ну и используйте плагины, какие проблемы?
я не агитирую за захламление ядра.
ядро может быть составным на этапе установки. ставите галку в меню инсталляции и получаете фичу.
>Вы постоянно хотите заставить других пользоваться
я тоже против некоторых функций, заложенных изначально. rss и всякие взаимодействия др.блогами\сетями мне на#. не нужны. И показ аватар (а также после установки отметка сайта на сервере пинга и аватаров). но они же есть по умолчанию «в коробке» и приходится устранять. а установку опциями я давно предлагал, да и не ново это. ваши тоже ессесено вкурсе до моих предложений, видимо решили опустить это, сделав движение в стороны простоты установки.++
Спасибо за ответы забыл сказать. Видно, что отвечающим «не все равно». Для меня это важно.безопасность должна присутствовать изначально, хотя бы «элементарная» (согласитесь — пароль на пост — не вариант).
Во первых указанные Вами плагины никакого отношения к безопасности не имеют.
Во вторых безопасность кода в ВП проходит многоступенчатую и разнообразную проверку, а найденные уязвимости устраняются достаточно быстро (а не как у Оракла — по плану, через 40 дней. )
Рискну утверждать, что ВП — один из самых безопасных движок при подобной сложности и универсальности (как известно — чем сложнее система, тем больше в ней слабых и уязвимых мест).Ида. Подавляющее большинство сайтов не имеют больше 1-2-3 юзеров. И родных ролей им более чем достаточно. Даже с избытком.
Так что то что нужно Вам — не значит, что нужно всем.Ида2. Не забывайте, что плагины, кроме «установить», нужно ещё и настраивать. Настраивать под конкретные сайт/задачи/условия. Трудозатраты этого несоизмеримо больше, чем непосредственно сама установка этих плагинов.
А это значит, что «установка галочками» при развертывании ВП будет только вредна ибо пачка ненастроенных плагинов могут помешать работе сайта.
Поэтому лучше когда человек СОЗНАТЕЛЬНО и ПО ОЧЕРЕДИ будет ставить только то, что ему нужно.Ида3. А ещё будет нытьё — а почему установили «этот», а не «тот». «Тот» же для меня лучше..
Нафик-нафик.
- Тема «Минимальная безопасность» закрыта для новых ответов.