Дизайнеры, так их разэтак
Apr. 27th, 2026 01:53 pm![[personal profile]](https://www.dreamwidth.org/img/silk/identity/user.png){kind=small}
nlothikЗахотелось нашему гендиректору переделать сайт. И, надо сказать, правильно захотелось: сайт у нас нынче старенький, местами уже… с ароматом музейного экспоната.
Запросили предложения, получили два варианта. И одна контора мне особенно запала в душу. И, прямо скажем, не в хорошем смысле.
Мало того, что дизайн у них из серии «вырви глаз» и «привет, девяностые», так сайт у этих дятлов ещё и на WordPress — причём с абсолютно незакрученными гайками.
wp-admin — торчит наружу.
И если открытый wp-admin ещё худо-бедно можно объяснить на клиентских сайтах — хотя тоже не надо, — то на сайте самой веб-студии админка должна быть доступна только из их сети, через VPN, allowlist, Zero Trust, полёт на ковре-самолёте, через что угодно. Но не просто так, без трусов, голым жопом — в интернет.
Но и это ещё не всё.
Просмотр содержимого wp-content/uploads доступен без всякой авторизации. Просто вот так вот — хоба, заходишь, и видишь все файлы, загруженные через WordPress за всё время существования сайта.
Кроме того, на запрос любого .php файла из wp-content/uploads в рыло должно прилетать 403 Forbidden, а не 404 Not Found. Строго, без вариантов — 403. Без разговоров.
Потому что нефиг скриптам делать в uploads. Вот вообще нефиг. Если туда можно залить скрипт, хрякеры туда скрипт и зальют. Не потому что они злые гении, а потому что автоматизированный мусор в интернете круглосуточно стучится во все двери, окна, форточки, кошачьи и собачьи люки, и вентиляционные шахты.
404 в такой ситуации говорит не «сюда нельзя», а всего лишь «такого файла тут сейчас нет». То есть сервер, по сути, не возражает против самой идеи PHP-файла в uploads. Он просто грустит, что конкретно этот файл не нашёл. Ну, получилось так. Был бы — он бы тебе его с радостью подтащил, а нет — так нет.
И вот эти люди приходят к нам и предлагают сделать нам сайт.
За восемьдесят тысяч долларов.
Восемьдесят.
Тысяч.
Долларов.
За такие бапки я хочу не только красивую главную страницу с видеофоном и словами “innovative solutions”, я хочу ещё хотя бы базовое понимание, что WordPress — это в неумелых руках крайне опасная вещь, которую в режиме 24/7 обязательно будут шшупать за разное. И, что характерное, это самое разное рано или поздно найдут, потому что если поставить его на самотёк, то в плагинах или самой базе со временем обязательно обнаруживается дырень. И если веб-студия не умеет закрутить гайки на собственном сайте, я почему-то не горю желанием доверять им наш.