Роман Садоян

У вордпресса есть проблема с плагинами, такая же проблема есть и в MODX.
Просто рынок модикса ничтожно мал по сравнению с гигантом WP. По этому под MODX еще не пишут ботов всяких итд итп, которые бы проверяли сайт на дыры и грузили бы шеллы, а вот по WP это все есть и прекрасно работает.

Да, но там закрывают дыры, а у нас по словам Евгения — просто меняют вектор атаки.

config.inc.php нужно скрывать, в новых версиях отключать заголовок X Powered By.
Но, это все не спасет, если бот будет проверять наличие какого-нибудь дополнения.
pdoTools почти на каждом сайте же, а 200 ответ от сервера по данному URL modx.pro/assets/components/pdotools/js/pdopage.js на 99,9% идентифицирует о том, что это MODX.
Можно переименовывать папку /assets/ от ботов может быть спасет, но не более.

А так дыры есть везде, одно дело если они в компонентах, другое дело, когда в системе.

Только за деньги всем помогать надо?

поменяйте префикс и все.

modx.pro/security/10266-critical-vulnerability-in-modx-revolution/#comment-70142

Может бложек вести будешь?
У Евгения был раньше, а сейчас что-то нет.

Может отправить на security@modx.com полный список всех клиентов и их данные и сказать «Ай, ай, ай ребята», прикрепить ссылку на эту новость, пускай учат русский и читают комменты, м?
Сказать, что выложим в публичный доступ все email + имена. Это как-никак конфиденциальная информация и мало кто этому обрадуется. Получится своеобразный пинок под зад, надеюсь они выйдут на контакт и приложат усилия к фиксу.

Ага, не говори, у нас у всех потенциально на проектах есть огроменная дыра, которая сидит и ждет мозговитого спеца, который захочет извлечь какие-нибудь данные или нанести ущерб.

А это у Login или у другого компонента кривой контроллер?
Получается что все дополнения рассчитывали на безопасность XPDO на нижнем уровне (жесткую проверку на авторизацию, строгая типизация какая-нибудь), а как оказалось её там нет, так?

Или это все та же песня о том, что разработчики (дополнений) сами не фильтруют входные данные и открывают дыры XSS/SQL?

Так Евгений Борисов это и делал (судя по комментам выше), но увы, руководству было всё равно.

.

Зашел/Зарегился что бы обосрать MODX?)))

Предлагаешь не юзать OpenSource?
Авторы позиционируют MODX как безопасную CMS, а тут выясняется, что это не так, что они не занимаются закрытием дыры, а просто меняют вектор атаки.
Я был вообще не в курсе таких проблем, даже после публикации этой статьи, пока не отписал Евгений Борисов. Я не менял префиксы таблиц, я просто закрыл доступ к /core/ /connectors/ и /manager/ там где можно, но есть проекты, где я сделать это не могу.

На мой взгляд именно Open Source способствует поиску уязвимостей. Ведь автор не один, комьюнити MODX это не комьюнити AltoCMS или Livestreet, где продукт пилят 1-2 разработчика.

Наличие такой дыры заставило серьезно задуматься о дальнейшей разработки проектов на MODX CMS.

Тренды говорят, что нужно уходить в JS на ноду, ставить метеор или экспресс, но это как идти вые***аться в чужой двор. Там своих проблем должно хватать.
Laravel сейчас топ-1 PHP фреймворк. Если важна скорость, то можно посмотреть в сторону Phalcon, а если какое-то Enterprise решение, то на мой взгляд — Symfony.
Для всего остального есть Laravel :D
P.S.: Писать на Laravel приятно. Но куда девать любовь к MODX?

Сделать свой modx на симфони))))

Евгений, а есть способ защиты от этого?
Можно к файлам в connectors перекрыть доступ, но это только, если статический IP у манагеров, админов.

Вот так можно:

$sql = 'SELECT name FROM test_table WHERE id="1"';
        $q = $modx->prepare($sql);
        $q->execute();
        $result = $q->fetchAll(PDO::FETCH_ASSOC);

А далее foreach перебираем результаты.

docs.modx.com/xpdo/2.x/class-reference/xpdo/xpdo.query

Юзабилити вашего сайта оставляет желать лучшего. С мобильного очень неудобно пользоваться. Меню как-то не правильно работает (можно сказать не работает), плавающая шапка постоянно мешает скролу. Благо, что ssl сертификат сменили на LE и он стал без предупреждений открываться на мобильниках.
И это еще не все. Имхо сайт выглядит недоделанным, 2 статьи и пару комментариев на главной странице я вынужден идти в Статьи, что бы просмотреть ленту. Авторизация, которая почему-то меня не авторизует (http://pix.toile-libre.org/upload/original/1478086203.png).
Не понимаю, почему у специалистов такого уровня, такой плохой портал, modx.pro на обычном бутстрапе выглядит намного достойнее и сразу располагает к себе посетителя.
Всегда заходил на modxclub из-за интересных и полезных статей, но публикация подобных статей сократилась до 1-3 в месяц.
Но это так, к слову.

P.S. хотелось бы видеть конкурентный modx.pro портал, тем более, что у Вас есть большое количество своих дополнений.

Просто оставлю это здесь:

Я тоже сделал как Сергей и стал париться.