Meghekkelték a komáromi Selye kórház szerverét

Security-all

Megfelelő keresőkifejezésre Google első oldalán ad egy olyan találatot, amely szerint a kórház weboldalán van egy blog, amely blog egyik bejegyzése a téged érdeklő adat elérhetősége torrent formában. Ha belenézel a torrent fájlba, látszólag ott az adat, letöltve pedig egy vírusos valamit kapsz :-)

  • 1257 megtekintés

( tlecso | 2025. 11. 04., k – 19:28 )

Privátban tudnál adnii egy linket? Eljuttatom az illetékesnek.

Igen, ez egy WP. De nem a WP-t minősíti az, ha minden "vérpistike" abban tákol weboldalt. Önmagában az alaprendszerrel nem sok gond van, megfelelő kezekben remek kis eszköz. Amíg viszont minden kókler hülye intézményi és egyéb weboldalakat nulla hozzáértéssel tákol vele, addig sajnos ez lesz. A "majd a szomszéd haver megcsinálja, az nagyon ért a számítógépekhez" mentalitás mindenhol jelen van.

Lehetséges, de ezzel együtt és minden utóbbi évtizedben történt valóban pozitív fejlődés ellenére ma is gyenge alapnak tartom a php-t, és ezért WP-t sem használnék soha. 

Helyette Headless CMS-t mint, 

Strapi: (Node.js / JavaScript alapú) 

Ghost: (Node.js / JavaScript alapú)

Directus: (Node.js / JavaScript alapú)

 

Vagy Statikus Oldal Generátort (ssg) mint,

Hugo: (Go nyelven)

Jekyll: (Ruby ) 

Next.js (JavaScript / React) vagy Nuxt.js (JavaScript / Vue)

 

De akár hagyományos (Monolit) CMS-t csak ne PHP-val mint, 

Wagtail: (Python / Django)

Django CMS: (Python / Django)

A PHP-s WérPistikét meg el kellene már felejteni a francba! Persze ha több évtized örökségét kell görgetni nem egyszerű a migráció. A komáromi kórháznál valószínűleg nincs erről szó és simán lehetne tiszta lappal modern cms-re váltani. 

Persze ezekhez nem árt tudni webprogramozni, nem lehet csak WP módjára összekattintgatni a portált. De ugyanezért biztonságosak is, a sokkal szilárdabb alapjaik mellett, még a WP egy homokra épített vár. 

Ez jogos kritika, de azóta sok minden változott. Az npm a Node csomagkezelője tanult az esetből. Szigorúbb szabályokat vezettek be a csomagok visszavonására és gyakorlatilag már nem lehet úgy eltávolítani egy sokat használt csomagot, ahogy a left-pad fejlesztője tette.

Megjelent az npm audit. Beépített eszköz lett a sebezhetőségek keresésére a függőségekben.

Vannak már alternatív csomagkezelők, yarn és különösen a pnpm sokkal robusztusabb és biztonságosabb módon kezelik a függőségeket, mint az npm.

Persze megértem, ha ez a filozófia, a rengeteg apró, külső függőségre építkezés idegen neked.

De akkor adjunk plusz egy monolit és WP-nél robusztusabb alapokra épített cms-t a listához, a .NET-re épülő Umbraco-t. Magyarországi C# fókuszú oktatás mellett, erőteljesen jelen van az országban a háttértudás hozzá. és Umbraco 9 óta Linux-on is működik, sőt szinte biztos vagyok benne, hogy ma már jellemzően Linuxos Docker konténerek viszik prímet Umbraco-nál. 

A headless CMS önmagában hogyan helyettesíti a WPt? Nem baszogtatásból, csak nem látom. Van side projektem, amit jó ismerősnek átvettem, mert aki rakta neki össze, azzal nem volt megelégedve. WP sajnos, pistikézve. Elég régen gondolkozom rajta, hogy rászánom az időt, és átrakom valamibe, mert az még hagyján, hogy én minden alkalommal elhányom magam (bár azt meg kell hagyni az egésznek, hogy végül is olyan random feljövő szarokat is meg lehetett ugrani, hogy működjön, ami azért célra építettben nehezebb ügy lett volna), de valójában a felülete se annyira jó annak, aki egyébként adminolja. (ami miatt aztán rendszeresen én kattogtatok benne triviáliákat is). Meg egyébként is, jobban értékelném, ha alapvetően vmi static generált lenne a kiszolgált cucc.

Néztem a directust, szerintem alapvetően barom jó, de egyáltalán nem látom, hogy abból önmagában hogy lenne oldal. Abból remek admin felületet lehet építeni (amihez viszont imho egyáltalán nem kell webprogramozni, remekül össze lehet kattogtatni. Jó, az nyilván nem árt, ha adatbázist azért láttál már, azt adom). De utána még mindenféleképpen kéne egy jó SSG. Szóval mit nem értek, vagy mit értettem felére fent? :)

Directus vagy bármelyik headless CMS önmagában nem váltja ki a WordPress-t, csak a WordPress "testét", a wp-admin felületet és az adatbázis-kezelést.

Headless CMS SSG egyértelműen több meló és több ismeretet igényel. Ez nem egy "feltöltöm a témát és a plugint, és megy" dolog, mint a WP. Itt kell külön "fejet" (frontendet) programozni. Astro, Hugo, vagy Next.js oldal, ami aztán az adatokat lekéri a Directus API-tól.

Pont a komáromi kórházas eset miatt jobb és biztonságosabb. A WP egy monolit rendszer. A wp-admin és a publikus oldal egy helyen fut, ugyanazon az örökké foltozott PHP motoron. Ha a cracker talál egy rést egy elavult pluginon mint ahogy a kórháznál szinte biztosan történt, akkor övé az egész rendszer. Feltölt egy backdoor.php shellt, és onnantól azt csinál a szervereden, amit akar. torrent szerver, spam bot, bármi.

Ezzel Headless + SSG modellel a weboldalad az SSG statikus HTML.
A publikus oldalon, amit a látogató lát nincs PHP, nincs futó kód, nincs adatbázis-kapcsolat. Nincs mit futtatni. A komáromi kórházi crack itt eleve lehetetlen, mert nincs hova feltölteni egy futtatható PHP fájlt, ami aztán futna. A támadási felület drasztikusan lecsökken. Az admin felület futhat egy admin.valamikomarom.hu aldomainen, vagy akár egy belső hálózati címen, amit a publikus oldalról meg sem lehet találni. A kettő,a "test" és a "fej" fizikailag el van választva.

Ha ki van adva, hogy nincs WP, nincs PHP, akkor Wér Pistikék sincsenek, mert ezekhez ő hozzá sem tud szagolni. 

Több meló? Igen.
Több ismeret kell hozzá? Abszolút. De jobb is így!
Cserébe kapsz egy szinte feltörhetetlen statikus oldalt. 

De további alternatívákként írtam klasszikus monolit cms-eket is. Bármelyik biztonságosabb mint a WP. 

"kapsz egy szinte feltörhetetlen statikus oldalt."

Mondjuk ezt WP-vel se őrület nagy mutatvány megcsinálni. Persze sok esetben mégse megy annyira simán, mert kell neki az adatbázis, pl. ha belül intézi az időfoglalást. De megkockáztatom, hogy a WP oldalak (darabszámra) 95%-a pont úgy menne statikusan generált lapokkal.

Itt kell külön "fejet" (frontendet) programozni. 

És pont itt vérzik el az összes általad felsorolt megoldás. "programozni" mindig költségesebb mint "összekattintani". Pláne, ha vlaamit nulláról kell felépíteni, és nem mondjuk van egy alap téma, amiből kiindulok, átírok néhány CSS-t / JS-t és ennyi. A monolitikus CMS-ek (WP, Drupal) előnye pont az, hogy egyben van minden, és amit testre kel szabni a frontenden, az lényegében a HTML template amit generálunk meg a hozzá tartozó CSS-JS. Plusz, nem két webalkalamzást kell karban tartani, hanem csak egyet.

Ráadásul egy SSG önmagában nem generál automatikusan az adatbázisból egyből kiszolgálható weboldalt, azt időnként valaminek valahogy valamitől meg kell futtatni. Ami megint csak infrastrukturális komplexitás, szemben mondjuk egy WP-vel, ahol ezzel nem kell foglalkozni, mert a tartalom elmentése után van egy URL, amire legeneráljuk a HTML-t. Aztán ezt lehet cachelni.

Nagyon-nagyon sok olyan projekt van, ami egyszerűen nem rendelkezik a megfelelő idő/pénz büdzsével ehhez, egy random szakmai blog ilyen tud lenni például. A WordPress pont az ilyen projekteknek nyújt jó alapot, ahova toális overkill lenne egy ilyet csinálni.

Disclaimer: Nem azt mdondom, hogy a WP jó, megvannak a maga hibái. De a kétféle oldalkiszolgálás más-más feladatokra való.

(Ráadásul: a WP-t is lehet jól csinálni, van egy csomó security measure ami viszonylag könnyen megtehető WP admin és webszerver oldalról ezáltal biztonságossá + gyorssá tehető az oldal. Több meló? igen. Több ismeret kell hozzá? Igen)

Blog | @hron84

valahol egy üzemeltetőmaci most mérgesen toppant a lábával 

via @snq-

Igen, kis pénz kis foci

pont erre jó egy céges facebook. 

Ha egy vidéki kórház úgy érzi, hogy presztízsük megkívánja a saját weboldalt saját domain néven, akkor tegyenek oda legalább minimálisan elégséges pénzt. Írtam többek között Umbraco cms-ről is. Nem gondolom, hogy bonyolultabb lenne azzal megoldani, mint WP-vel. Nyilván mindig van lejjebb és biztos vannak WérPistikék akik gombokért meg az éjszakás nővérke mosolyáért összetaknyolják WP-vel, de ez az a pont ahol már tényleg inkább Facebookban kell gondolkozni. 

Mintha a kórház betegszállító Nysa 521S kiszuperált bontószökevénye szenvedne balesetet a lapos gumik és a gyengén fogó fék miatt, majd azzal mentegetné a helyzetet a kórház vezetése, hogy sorry csak erre volt pénzünk. Ha csak életveszélyes járműparkkal lehet megoldani a betegszállítást, akkor még mindig jobb megkérni a pácienseket, hogy jöjjenek be a kórházba inkább tömegközlekedéssel. A buszok és vonatok többsége már úgyis akadálymentesített. Felelősebb megoldás és sokkal biztonságosabb mint műszakilag alkalmatlan, életveszélyes kiszuperált járművekkel szállítani a betegeket. 

Na, ha valahova nem tennék blogot, az a Facebook. Borzasztó az adatkezelésük, nagyon nem felhasználóbarát az egész felület, ha hivatalosan akarod csinálni, akkor iszonyú nagy szopások vannak. Ha a Facebook egy CMS lenne, a legrosszabbak között lenne.

Ráadásul bármikor bármit levehetnek kérdés nélkül, és sok szerencsét visszapakolni. A Facebookon levő blog nem a tied, hanem a Facebooké, ahova nagy kegyesen megengedik, hogy posztolj te is.

Ha már mindenáron SaaS megoldást akarok ajánlani, akkor a WordPressnek van felhős megoldása is...

Blog | @hron84

valahol egy üzemeltetőmaci most mérgesen toppant a lábával 

via @snq-

Ja. A Directus vagy más headless cms önmagában nem váltja ki a teljes WP-t, csak a testét, admin + backend. Ehhez még kell fejleszteni egy külön fejet pl. Astro, Hugo, ami a statikus oldalt generálja. Ez valóban több meló és tudás, nem a kattintok és kész WP-módszer. Egyben ez is biztosítja, hogy ne egy kókler kattintgassa össze a portált. 

És akkor miért éri meg mégis? Pont a komáromi kórház esete miatt.

A kórház WP oldalát azért törték fel valószínűleg egy plugin résén át, mert a WP sebezhető cms admin és a publikus oldal egybe van drótozva. A cracker bejutott, feltöltött egy PHP fájlt, és mivel a szerver PHP-t futtat, máris övé volt az irányítás.

Felvetetted a "Headless WP"-t, azaz statikus oldal generálása WP-ből és az admin eldugása. Ez technikailag működik, de a biztonsági rés megmarad. De az eldugás önmagában nem védelem. security through obscurity. Ha megtalálják az eldugott WP-t, ugyanúgy feltörhető a régi pluginokon keresztül, és a PHP miatt ugyanúgy futtatható rajta kártékony kód.

A modern Headless, mondjuk Directus + SSG modellnél viszont két védelmi szinted is van.
1. Publikus oldal, full statikus HTML. Nincs PHP, nincs mit lefuttatni. A komáromi kúrházas betörés itt technikailag lehetetlen. 
2. Admin oldal. Itt is van eldugás, de a különbség az, hogy mit rejtünk el. Nem egy ezer sebből vérző, pluginokkal teli WP-t, hanem egy modern, Node.js alapú, minimális támadási felületű rendszert.

Szóval röviden: a WP-t eldugni olyan, mintha egy fa viskót rejtenél az erdőbe. A Directust eldugni pedig olyan, mintha egy betonbunkert. Megtalálni mindkettőt meg lehet, de feltörni nem ugyanaz a kategória.

Szóval hosszú távon megéri a befektetett plusz munka. 

És pénz, paripa honnét lesz ilyenre? Valszeg a WP oldalnak az elkészítése volt amire volt pénz és ennyi. Ugyanannyiból ki tudsz hozni egy ugyanilyen rendszert, amin utána a titkár is tud tartalmat módosítani, frissíteni?

Hajrá, írj nekik, hogy te vállalod, biztos örömmel veszik!

Persze, kis pénz, kis foci! Régi igazság.

De akkor már lehet jobb csinálni egy facebook profilt és azt használni internetes kommunikációra. Persze az is php (sokba is fájt nekik Zuckerberg rossz álvasztása:) de nem a te bajod, a kórház baja, a cég baja. 

Vagy ha megvizsgálják, mire van valóban szükség, még kiderülhet, hogy tisztán statikus oldalakkal is felépíthető a portál. 

"amin utána a titkár is tud tartalmat módosítani, frissíteni?"

ha a módosítás, szócikkek írását, képi, videós stb tartalom hozzáadásár jelenti akkor természetesen. 

"Hajrá, írj nekik, hogy te vállalod, biztos örömmel veszik!"

Nem valószínű, hogy beleférnék a költségvetésükbe:) 

Nem az összekattintgatással van a legnagyobb baj amúgy, hanem, hogy összekattingatják felveszik a lét, aztán az update gombot meg nem nyomja meg a kutya se. :)

Ugyanez van a mikrotikekkel is... Ha meg már nincs ember aki update gombot nyom rajta, akkor legalább a winbox portját ne nyissák már ki. (szerintem amúgy se , de ez részletkérdés :))

Semmi baj a php-val, söt megbízhatóbb alap mint a node. Az nem php hibája h nem frissítették a wp-t/pluginokat, meg a szerver is szarul volt beállítva. Mindkettövel dolgoztam/dolgozok nem kis projecteken, estig tudnám neked szindi a nodoja-t kezdve a tipusbiztonsággal, nem a ts sem feltétlen véd meg, a dependency hell-ről, nem is beszélve, meg hogy mit benem huznak emberek indokooatlanul, nézd meg az is-odd on hány letötés volt az elmult 1 hónapban akár csak, pedig baromi egyszerü. Hozzátenném hogy ehez nagyban hozzájárul, hogy annak a takonynak egx normális standard libje nincs.

( derWRK | 2025. 11. 04., k – 19:35 )

nincs itt semmi látnivaló, a kórházakban gyakoriak a vírusfertőzések

Amikor az asszony a kicsi gyerek mellett volt egy hétig a kórházban a gyerek szembetegsége miatt, majd mire hazajöttek, annak másnapján ő lett rosszul hányás-hasmenéses tünetekkel, két napra rá én, utána pár napra a nagyszülők... Szerencsére a gyerek megúszta, különben mehettünk volna vissza :(

Itthon, jobb kórházak? Minden tiszteletem az ott dolgozóknak, de nagyítóval kell olyan kórházat keresni, ami ilyen szempontból rendben van. Egy túlterhell és alulfinanszírozott eü rendszerben ne várj ilyeneket.

Blog | @hron84

valahol egy üzemeltetőmaci most mérgesen toppant a lábával 

via @snq-