Použití Wordpressu pro weby místních sdružení

[Michal.Ketner]

Já samozřejmě mluvím o standardech https://www.first.org/cvss/calculator/3. Tohle beru jako stanovani zavaznosti projektu a na uroven zranitelnosti nepouzivam automaticky scany na hodnocení.

K

[Petr.Vileta]

Já samozřejmě mluvím o standardech https://www.first.org/cvss/calculator/3.

Oops, where is this page?

To je nějaký divný calculator

Jo, ale ty poučky a měřítka musíš nakonec něčím vyhodnotit, že? Nemůžeš si říct "název databáze phpbb znám", protože si to může správce snadno změnit při instalaci. Takže to musíš něčím otestovat, jestli ti to dovolí přístup, nebo tě to stokrát vykopne a pak tvoji IP dokonce zablokuje.
https://pentest-tools.com/website-vulne ... er-scanner

[Patrick.Zandl]

Ja chapu ze tvuj mozek se technicky zasekl v 90kach, ale ted tu mame botnet, a wordpress je proste tercem automatickejch scanu. Takze je super, ze tomu neveríš, ale vubec me to neprekvapuje.
Tady nejde o to ze to nejde hacknout(ikdyz staticky stranky,který nepodlehaji utajeni, se ani moc hackkovat nedaj),ale tady jde o tu slozitost, kdy tohle zvladne automatic scan na botnetu, nebo kdejakej script kiddie.

Nic proti, ale provozuju pár navštěvovaných webů na Wordpressu a už pár let s hackama nejsou problémy. V logu jsou sice pokusy vidět, ale jsou to jen pokusy. Wordpress se za posledních pět let bezpečnostně dost posunul, není třeba být zaujatý.

Za poslednich pul roku jsem testoval asi 5 wordpress webu. Vsechny mely kritickou uroven zranitelnosti, ale ok jsem zaujatej . Celkove jsem se nechtel bavit o osobni zkusenosti, ktera je statisticky nerelevantní a vychazim ze statistickejch dat, který jsou na internetu dohledatelné.

Statistika? a mohl bych ji vidět? Nakonec jsem žádnou relevantní nedohledal. U WP je pointa v tom, aktualizovat, zabezpečit přes security pluginy, nepoužívat divné pluginy a používat běžnou IT hygienu, jako neprovařená hesla.

[Andrej.Ramaseuski]

Ja chapu ze tvuj mozek se technicky zasekl v 90kach, ale ted tu mame botnet, a wordpress je proste tercem automatickejch scanu. Takze je super, ze tomu neveríš, ale vubec me to neprekvapuje.
Tady nejde o to ze to nejde hacknout(ikdyz staticky stranky,který nepodlehaji utajeni, se ani moc hackkovat nedaj),ale tady jde o tu slozitost, kdy tohle zvladne automatic scan na botnetu, nebo kdejakej script kiddie.

u me hostovane zakazniky s wordpressem nemaji ani nejmensi problem s botnety - fail2ban posila skenery do prdele z pateho pokusu o prihlasini a z prvniho pokusu otukat zname (i kdyz uz davno neexistujici (a co kdyby nejaky zakaznuk to nemel zavreno?) diry). samozrejme, jeste lepsi udelat par honeypotu a ridit firewall centalne. wordpress sam od sebe neni bezpecnostni dira, ale nasazovat ho na dulezity nebo highload projekt by me nenapadlo, treba z hlediska vykonu. ale to weby MS rozhodne nejsou.

[Vit.Fux]

Zrovna to taky řešíme. Jekyll vypadá dobře (Wordpress ale teda líp, hlavně ho tu všichni známe). Neexistuje nějaká jednotná šablona, kterou lze zkopírovat? předpokládám, že všechna místní sdružení mají podobné potřeby, tedy asi i podobné weby a nechceme zrovna do webu věnovat víc úsilí, než je třeba...
Mimochodem, alespon miniwiki návod na zprovoznění by se hodil, zase tak přímočarý ten jekyll není ...

Zrovna minulý týden jsem s TO řešil to samé a nechal jsem se překecat, že bychom měli zkusit ten Jekyll. Nyní mám hotový náš místní web praha12.pirati.cz, jen ještě není nikam publikovaný. Pevně doufám, že se to povede zveřejnit začátkem tohoto týdne.

Vyšel jsem z jiného webu, akorát v něm byla hromada balastu, jak ten sám vznikl zklonováním dalších dvou webů. Bylo těžké se v tom zorientovat a na všelijakých místech přepisovat názvy.

Tak jsem všechny tyto proměnné (název sdružení, název a link na krajské sdružení, link na FB stránku, kalendář, ...) dal do extra souboru s proměnnými, který, když se změní, bude hotovo. Pak už jen změnit fotku v headeru a základ webu je de-facto hotový. Napsal jsem pro to i krátký návod.

[Andrej.Ramaseuski]

mj, k jekyllu.

v pardubickym kraji (dekujeme Filip.Varecha ) byl proveden docela podstatny zasah do zastaraleho navodu ke zprovozneni lokalni instance webu (vcetne pouziti docker kontaineru). doporucuji. nikdy to nebylo jednodussi

[Patrick.Zandl]

Honzo, poslal by jsi mi ty soubory a návod? Patrick.zandl zavináč piráti.cz

Díky moc. Přesně tomu čištění souborů jsem se chtěl vyhnout...

[Andrej.Ramaseuski]

Honzo, poslal by jsi mi ty soubory a návod? Patrick.zandl zavináč piráti.cz

Díky moc. Přesně tomu čištění souborů jsem se chtěl vyhnout...

https://github.com/pirati-web/pardubicky.pirati.cz

[Jan.Adamec]

Honzo, poslal by jsi mi ty soubory a návod? Patrick.zandl zavináč piráti.cz

Díky moc. Přesně tomu čištění souborů jsem se chtěl vyhnout...

OK, posláno. Má to zazipované 3,5 MB (včetně 2 blogpostů s 5 fotkami a profily 3 lidí). Návod je na začátku /readme.md.

[Petr.Vileta]

Honzo, poslal by jsi mi ty soubory a návod? Patrick.zandl zavináč piráti.cz

Díky moc. Přesně tomu čištění souborů jsem se chtěl vyhnout...

OK, posláno. Má to zazipované 3,5 MB (včetně 2 blogpostů s 5 fotkami a profily 3 lidí). Návod je na začátku /readme.md.

Můžeš ten ZIP poslat i na fidokomik@gmail.com ?