CYBERWOLF: druhý obrázek už by měl jet, jen chyba v přenosu, ten problematický wordpress jede na jiné doméně a hostingu.


MRTVY_KENNY: no, to si taky říkám, jestli oni to nějak nedorazili tou změnou, kdy přidali položku Portfolio (web jsem stavěl ještě v době, kdy tam tohle nebylo) a dali tam ty bloky, ze kterých jsem pořád zmatený.

SUN_VU_KUNG: druhý linkovaný obrázek existuje, ale není v pořádku. Velikost 0 bajtů. Možná to je ptoblém?

Ahoj, jdu sem zase s problémem :/ Nevím, co se stalo, ale od nějaké doby (možná po aktualizaci), se přestaly zobrazovat obrázky vložené do Příspěvků. Fyzicky jsou ve složce Uploads, ale při rozbalení příspěvku se nezobrazí. Pokud chci příspěvek editovat ve Wordpressu, tak ani tam vložené obrázky nejsou a celý dialog je nějak zmršený, protože nemohu žádné nové obrázky vložit - pole Gallery - upload images in single gallery není nijak aktivní, zmizelo tlačítko Add images i možnost zadat descriptions atd. Vůbec to nefunguje. Snažím se najít řešení na internetu, ale zatím marně, nestalo se to taky někomu? Posílám screen části dialogu editace příspěvku, kde je vidět to pole Gallery, které tam vlastně vůbec není:
http://www.darkart.cz/data/wp_2019_fail_02.jpg
Dík za jakýkoliv nápad nebo radu - nechce se mi předělávat všechny příspěvky znovu :-/ Wordpress 5.2.4,
takhle by to mělo vypadat - screen ze starší instalace Wordpressu, kde je dialog Gallery funkční:
http://www.darkart.cz/data/wp_2019_fail_01.jpg

CITRONAK: Jako když na tom trváš, můžeš v Laravelu napsat plugin. Teda, asi. Normální frameworky se do toho teda vejdou. Ne že by to dávalo úplně smysl. Když už, tak se používají třeba komponenty ze symfony a tak.

Jinak když to vezmeme důkladně, tak by neměl být problém použít wordpress jako UI a přes nějaký API si volat velkou aplikaci v javě, .NETu, nebo v čem to dneska velký kluci s vizuálníma nástrojeme dělaj.

No a jelikož ZPC chce dodělat nějaký metadata a workflow k obrázkům a pracovat s on-line OCR (volat API), tak to je přesně ono a tak mi připadá wordpress jako rozumná volba.

WOJTISHEK: WordPress jehotovy produkt, ktery ma nejakou miru prizpusobeni.

Web framework by mel podporovat vyvoj webovych aplikaci. Neomezuje te. Pripadne te jen vede nejakym best practicies.

CITRONAK: Laravel znam :) podle ceho definujes framework?

WOJTISHEK: Sorry, ale ne. Aby to byl framework, tak tomu chybí mnoho ale fakt mnoho věcí. Pokud nad tím chce někdo stavět něco náročnějšího, než je blok a prezentační web, tak si kope hrob.

Pokud jsi PHP vývojář, podívej se na laravel.com, který je inspirovaný od rubyonrails.org. TO jsou webové frameworky.

CITRONAK: Jenze WP uz prave neni jen redakcni system pro blog, ale pomalu se stava samostatnym frameworkem...

Ahoj, potřeboval bych asi profesionální (placenou) konzultaci ohledně používání ACF (nebo podobné funkcionality), geolokace dat ve WP, práce s nimi na mapách (rozšířené funkce jako body na mapách, tvoření tras s použitím bodů, tvoření čar s použitím bodů, filtrování pomocí tagů), rozšíření medií (obrázků) o pole textový význam (ocr výstup obrázku), možnosti práce s on-line OCR (není až tak nutností), nastavování workflow u těchto obrázků/OCR scanů (awaiting OCR, awaiting revision, 1st revision done, final revision done), přiřazování těchto obrázků/OCR k místům/postům.

Chtěl bych proto poprosit tedy, jestli někdo z vás má s alespoň 90% z tohoto (to OCR nemusíte) developerskou/administrátorskou zkušenost, prosím, ozvěte se mi do pošty.

Sejdeme se, představím vám požadavky (na vypisování do postu je to moc věcí), vyjasníme si kontext, vy mi k tomu řeknete co byste dělali třeba jinak a proč, dáme u toho třeba večeři nebo oběd a ještě dostanete zaplaceno za konzultaci. Je to sice non-profit projekt, ale záleží mi na tom, takže do toho chci i něco investovat. A to třeba i na straně WP.

Díky za pochopení.

Jinak mám asi kandidáta na způsob, kudy se tam ta věc dostla: https://wpvulndb.com/vulnerabilities/9230

Taky se mi podařilo zalogovat requesty kterými se dneska snažil ten sajrajt obnovit. Vypadá to, že posílá i část cesty, odkud se to má stáhnout.

Nenašel by se tu někdo, kdo by mi pomohl zčitelnit ten kód? Začínám dostávat kyberpunkovou náladu :)

CYBERWOLF: Spamvertising Checks
Check if this website is being “Spamvertised”

Spam Check
Check if this website IP is generating spam

Blacklist Check
Check if this website is on a domain blacklist

Server State
Scan for unauthorized DNS changes (discontinued)
Monitor disk space
Scan for misconfigured How does Wordfence get IPs
PHP Version Check (Can not be disabled)

File Changes
Scan wp-admin and wp-includes for files not bundled with WordPress
Scan plugin files against repository versions for changes
Scan theme files against repository versions for changes
Scan core files against repository versions for changes

Malware Scan
Scan for signatures of known malicious files
Scan file contents for backdoors, trojans and suspicious code

Content Safety
Scan comments for known dangerous URLs and suspicious content
Scan posts for known dangerous URLs and suspicious content
Scan file contents for malicious URLs

Public Files
Scan for publicly accessible quarantined files
Scan for publicly accessible configuration, backup, or log files

Password Strength
Check the strength of passwords

Vulnerability Scan
Scan for out of date, abandoned, and vulnerable plugins, themes, and WordPress versions

User & Option Audit
Scan WordPress core, plugin, and theme options for known dangerous URLs and suspicious content
Scan for admin users created outside of WordPress

CYBERWOLF: uz mi to parkrat tyhle veci vychytalo. wordfence

bud to najde bordel v nejakem skriptu podle kusu kodu (tzn to, co umi ten hosting taky)
pokud je to plugin nebo sablona v repozitari wordpressu a samozrejme instalace WP samotna, tak to najde i podle toho, ze nesouhlasi obsah s tim, co je v repu vcetne souboru navic.

MRTVY_KENNY: teoreticky.

CYBERWOLF: no tak on najde, ze tam mas soubory, ktere tam nemaji co delat, hotovo. prikladem ve wp-includes je jasne dane, co byt ma a co ne snad..

MRTVY_KENNY: mám zakázaný přístupy v htaccessu. Můj hosting skenuje soubory, ale na tohle nepřišel. Což se vzhledem k obfuskaci nedivím. Že by na to přišel nějaký security plugin bych považoval za čirou náhodu.

CYBERWOLF: a co tam mas za zabezpeceni? normalni pluginy scanujou pravidelne obsah a tohle by mely hned hodit do karanteny/hlasit ?

CYBERWOLF: parchant se vrátil. Tentokrát ho strejda google našel dřív, takže jsem i něco vyčetl z logů. Vypadá to, že mě nějakej skopčák s botnetem připravil o středu a pokazil reputaci u Googlu. Děkujem pěkně.

Nejsem si jistý, jestli se to tam dostalo znova, nebo jestli jsem to někde nechal od posledně. Takže jsem celý web hodil do stoupy a obnovil z dva roky staré zálohy, která vypadá čistá.

Podle access logu tomu předcházelo docela dost pokusů u přihlášení, dotazy xmlrpc.php a soubory pluginů, které na webu nemám (tj. zřejmě hledání zranitelnosti). Jednalo se o pokusy z mnoha různých IP.

Našel jsem škodlivý kód vložený do 4 souborů (zřejmě se jedná o mírně upravené názvy jinak existujících souborů):

\wp-includes\customize\class-wp-customize-filters-setting.php

\wp-includes\images\smilies\icon_reds.gif

\wp-admin\images\align-lefts.png

\wp-admin\includes\medias.php

Zdá se, že data změny souborů jsou nastavena na podle již existujících souborů, aby to nebylo snadné najít.

Když se tyhle soubory zavolají s nějakými POST parametry (z accesslogu není patrné jakými), tak udělají adresář /widgetso/ a nafrkají přesměrování do .htaccessu. To se mi stalo během doby co jsem to likvidoval.

Úplně do detailu jsem nezkoumal, co ten kód dělá, protože je to hodně znečitelnětelé. Domnívám se, že se rozstrká do různých souborů které mají podobné názvy jako soubory, co tam mají být a pak je bot spouští, když nenajde /widgetso/

Pokud chcete prohledat své soubory, doporučuji hledat (včetně fragmentů a variant):
@ini_set('display_errors', 0);@set_time_limit(3600);
$q1 ($q2, $q3 ...)
různé kombinace 0 a O, např. OO0O00

Co zkusit karusel v AMP? To by mohlo vypadat trochu co si (možná) představuješ

Ahoj, nejsem WP guru. Klient by chtel na stranku nase sluzby dat portfolio praci, predstavu ma ze to bude slider obdelnik (nejlepe poskladany v masonry)

Napadlo me na to pouzit nejaky custom guttenberg block.

(chteji samo za to utratit co nejmin :))

Mate nekdo nejaky napad, jestli to moje je dobra cesta?

HORST_FUCHS: nahrat nestaci https://websitesetup.org/http-to-https-wordpress/