Du kunne risikere at det stoppede med at virke ved næste Wordpress opdatering, men reelt set begrænser det sig "kun" til at det typisk efterlader en masse sikkerhedshuller hvilket kan være potentielt farlige.
--
Veni, Vidi, Vici. dimidium facti qui coepit habet faber est quisque fortunae suae

#1 Hvad kunne være et eksempel på sådanne sikkerheds huller? Måske man skal holde sig fra de fleste plugins så? jeg syntes plugins som page builder, custom fields og origin widgets are mega nice, men hvis det pludselig crasher siden om 2 år, så kan man vel lige så godt hand-code det hele i CSS med den der style.css Editor?
--
Gæstebruger, opret dit eget login og få din egen signatur.

#2 Din store hovedpine er sikkerhedsopdateringer. Jeg personligt anbefale http://pyrocms.com[...] fremfor Wordpress.
--
http://bfgeeks.eu[...] kom og spil Battlefield 1942 og Desert Combat Befri dig selv for daglige overgreb og slet din Facebook konto.

Min kones blog blev netop hacket forleden, og den manglede en masse opdateringer til plugins, temaet og wordpress. Da jeg genskabte bloggen fra backup, opdaterede jeg alt, hvilket resulterede i, at et plugin ikke længere virkede korrekt. Så det er en pain - man bør opdatere så snart, det er muligt, men man bør også teste opdateringerne, så man ved, om de ødelægger noget.
--
ITX: i7 4770k Gigabyte 970 Bitfenix Prodigy

#3 Hej og tak for svaret :) jeg forstår ikke helt, hvad er problemet med wordpress sikkerhedsopdateringer? Og hvad er det Pryocms kan hvor wordpress fejler?
--
Gæstebruger, opret dit eget login og få din egen signatur.

Måske bør man holde sig fra gratis Themes og købe et Theme på Themeforest så man er sikker op at det bliver opdateret de næste 10-20år så man er fremtidssikret?
--
Gæstebruger, opret dit eget login og få din egen signatur.

#6 Themes er ikke et problem, da det typisk blot er statisk CSS. Det er plugins i sig selv der er problemet.
--
Veni, Vidi, Vici. dimidium facti qui coepit habet faber est quisque fortunae suae
--

Sidst redigeret 06-02-2016 21:35

#6 Hvordan i alverden er du sikker på at et tema fra themeforest er opdateret de næste 10-20 år? 1-2 år, hvis du er heldig er helt normalt.
--
ITX: i7 4770k Gigabyte 970 Bitfenix Prodigy

#7 Tak, vil det sige at det er bedre at få et Theme med indbygget plugins/funktionalitet end et Theme uden og så skulle finde diverse plugins?
--

#9 Problemet er lidt mere kompleks. Hvis du har købt et tema som allerede bruger integrerede plugins, f.eks. Revolution Slider eller andet, så skal du manuelt opdatere dem, da de ofte kan være en del at temaets hovedfunktioner. Tit, kan det også være at temaet har en premium version af et plugin, som kræver betaling for at blive opdateret. Dette er i sig selv en stor sikkerhedsproblem. Tager du Twenty Sixteen mm. direkte fra WP, så kommer de uden ekstra plugins, men har så heller ikke så mange funktioner. Man kan sagtens have 100+ plugins kørende, uden at være bange for sikkerhedshuller MEN (og det er et stort MEN), de fleste har ikke selv udviklet alle deres plugins og kender derfor ikke til koden. Har et af disse plugins en sikkerhedsbrist, ja så er hele siden sårbar. Den mest optimale løsning, er at udvikle ALT selv i WordPress (temaer, funktioner og plugins). Det er dog de fleste som gør dette og bruger en blanding af selvudviklet kode og fx en pagebuilder (VisualComposer). Det er klart at dem som udgiver og sælger temaer og plugins, lever af deres salg og holder det derfor ved lige når de har udviklere til at supportere det. Intet salg = ingen support. Vælger man at købe et 3. parts tema og bruge 3. parts plugins, ja så overlader man sikkerheden til 3. part.
--

#10 Tak for forklaringen. jeg underer mig stadig lidt over hvad det præcis er der gør at et wordperss-godkendt plugin kan gøre ens side sårbar overfor hacker angreb: Fx hvis downloader et plugin der tilføjer en custom post-type som fx Testimonials så jeg kan tilføje testimonials til en side: Det eneste det plugin gør er at tilføje en ny custom post type på ens side, er det den slags plugins man skal passe på? Eller er det større plugins som whoocommerce som på en eller anden måde kan gå ind og gøre wordpress usikkert overfor hacker angreb ved fx at gøre ens passsword lettere tilgængeligt?
--

Der er forskellige angrebs teknikker, men fælles for dem alle er at én fejl kan få hele korthuset til at vælge. Det er ligegyldigt hvor fejlen er, om det er del af kerne koden i WP, eller tredje parts kode. Hvis et plugin f.eks. foretager queries imod WP databasen, med usantieret input, vil det typisk være muligt at køre arbitrære SQL kommandoer imod databasen (AKA SQL injection) Dette link beskriver hvordan en fejl i et plugin kan gøre SQLi muligt: http://www.flippercode.com[...] Dette link beskriver hvordan det var muligt at upload en PHP fil igennem et upload PHP script i et bestemt WP plugin: https://www.rapid7.com[...] (AKA Arbitrary Code Execution)
--
Freelance PHP udvikler - Kontakt oplysninger i min profil.
--

Sidst redigeret 14-02-2016 02:00

Grunden til det i øvrigt er muligt at en fejl kan vælte korthuset er fordi man ikke rigtig går så langt i sikkerhedsmodellerne, fordi det ville gøre det langt sværere at sætte WP op og optimere det. WPs popularitet er IMO også en af WPs største svagheder. Det er rigtig mange plugins, som er skrevet af både amatørere og professionelle programmøre. Derfor er koden også af svingende kvalitet. Normalt holder jeg mig langt væk fra WP (og Drupal) opgaver
--
Freelance PHP udvikler - Kontakt oplysninger i min profil.
--

Sidst redigeret 14-02-2016 02:12

#12#13 Hej Inckie, tak for et rigtigt godt svar som altid, nu forstår jeg det bedre. Interessant, Dvs. Så snart man laver plugins der interagere med Mysqli databasen og gør brug af SQL syntax, så kan det gå galt især hvis php programmøren glemmer at santiere sin SQL input. Bare ud af nysgerrighed: Hvad bruger du så hvis ikke du bruger wordpress eller drupal? Jeg syntes det er så dejlig let at sætte folk ind i wordpress men kan godt se "The downside" af at bruge det.
--

Jeg bruger PyroCMS: http://pyrocms.com[...]
--
Freelance PHP udvikler - Kontakt oplysninger i min profil.

#16 ved du ikke hvilket årstal du befinder dig i?
--
Gæstebruger, opret dit eget login og få din egen signatur.

#17 Det er tydeligvis link building og tekst oversat af Google translate.
--