Amint azt bizonyára tudjátok, nem az ubuntu.hu volt bejelentve, hanem a fullcircle.hu. Arra volt link az ubuntu.hu oldalról. Az alábbi dolgok nem az ubuntu.hu-ról szólnak (annak egy dedikált VM van), hanem a fullcircle.hu weblapról. Elöljáróban annyit, hogy igyekszem ma vagy holnap megcsinálni és visszatenni a FC oldalt is.
Azon a virtuális gépen több WP is volt és eddig nem ellenőrizte a felügyeleti rendszerünk, hogy a lehető legfrissebbek-e. Az egyik sajnos nem volt frissítve, így azon keresztül több CMS téma fejléceibe is beírt egy támadó automata egy iframe hivatkozást. Ahogy van időm minden oldal teljes frissességét ellenőrzöm és kapcsolgatom vissza őket. Csak sajnos nem tudok erre akármennyi időt szánni... És keresek (vagy csinálok) a Nagios-ba egy CMS frissesség ellenőrző plugin-t.
Egyébként csókoltatom azokat a CMS fejlesztőket, ezek a gondjaim az általam ismert CMS-ekkel:
1. On-the-fly kell _minden_ oldalt generálni a helyett, hogy előre kigenerálnának statikus html lapokat, melyeken belépett felhasználó esetén JS-tel lehetne aktualizálni egyénileg a tartalmat...
2. Az admin dolgait más csatornán kellene intézni, pl. egy helyben, másik porton figyelő webalkalmazással, vagy egy JSON-RPC alapú mobil vagy Qt alkalmazással, akkor nem lenne ilyen könnyen támadható a nem frissített oldal.
3. A weblap fájljainak a www-data felhasználó tulajdonában kell lennie hogy frissíteni lehessen. Egy kis trükközéssel ezt is meg lehetne oldani másképp.
Ha ezeket kis gondolkodással másképp oldanák meg, akkor nem lenne ez a röhejes biztonság minden CMS-ben. Persze ez csak utólagos kesergés.