Spamboti jsou na vzestupu. Cílem jsou oblíbené CMS jako WordPress, Joomla!, Drupal a další. Jedná se o nebezpečné skripty, které hledají slabiny ve vašem neaktualizovaném CMS, rychle jej infiltrují a čekají na rozkaz z venčí. Situace byla v roce 2013 poměrně vážná a celkem se divím, že se o tom nijak extra nemluvilo.
Každý hosting má poměrně velkou hodnotu. Unikátní IP adresu a čistý SPAMovací profil. Prostě nejste na spamovacím black listu. Pokud se nějakému robotovi podaří infiltrovat váš web a získá přístup k PHP funkci mail() je to jak vyhrát v loterii. Zvláště pokud přes ní může rozesílat neomezené množství emailů.
Dříve něco takového bylo poměrně nemožné. Na míru dělané redakční systémy vyžadovaly hackera, který najde slabinu a nahraje do systému skript na rozesílání spamu. Ovšem s tím jak se rozšiřovaly CMS jako WordPress, Joomla!, Drupal, PHPbb a spousty dalších už hackera nahradil robot, který prostě věděl kam u neaktualizovaného a zranitelného redakčního systému sáhnout. Výsledkem je záplava infikovaných CMS, které na vnější pokyn jsou schopny rozesílat nepředstavitelné množství SPAMu. Podle některých studií stačí, aby se někdo napálil na každý miliontý email a celá tahle akce se vyplatí.
Hostingy tak přistupují k omezování funkce mail(). Což je značně nepříjemné. Pokud máte větší množství uživatelů, které potřebujete pravidelně oslovovat, například autorizačním emailem, anebo prostě chcete poslat newsletter tak narážíte na emaily. To co bylo dříve považováno spíše za exces společnosti WEDOS (omezení 500 odeslaných emailů za den), postupně přebrala například Savana u svého tarifu S100 anebo nejnověji Aerohosting. Další hostingové společnosti se nejspíše postupně budou přidávat. Nikdo nechce mít svoje IP adresy na black listech.
Popravdě doufám, že se poučí vývojáři CMS. Například WordPress teď udělal celkem slušný krok kupředu. Všechny bezpečnostní aktualizace se instalují úplně sami. Prostě vám přijde jen informační email, že váš WordPress byl aktualizován. Kéž by něco podobného bylo samozřejmostí i u ostatních.
Ale přiznejme si to. Ostatní často vyžadují aktualizaci přehráním původních souborů přes FTP. To v kombinaci s automatickým instalátorem z rozhraní hostingových firem na jedno kliknutí je smrtelná kombinace. Takoví lidé to nemají často ani šanci zvládnout a je jen otázkou času než jejich CMS bude infiltrován anebo infikován virem :/
Možná by měla každá hostingová společnost přijmout i zodpovědnost za to co nabízí. Tedy pokud nabízí instalaci CMS na jedno kliknutí, tak by měla zároveň i nabízet aktualizaci na jedno kliknutí.
Jenomže která ze společností v ČR něco takového umí? Radši napíší, že aktualizace je váš problém. Hlavně že se mohou pochlubit instalací na jedno kliknutí.
Instalátor na jedno kliknutí je relativně jednoduchá záležitost, ale aktualizace CMS na jedno kliknutí, tak to je opravdu oříšek a příliš mě nenapadá, jak by to šlo nějak jednoduše a elegantně řešit. Řekněme taková Joomla, tady přejít z verze 1.5 na verzi 2.5 nebo 3 je téměř nadlidský úkon. Vždyť ještě dnes je mnoho templates nekompatibilní s novou verzí Joomly. Pokud provedete update jádra Joomly, tak v 99% případů se vzhled (template) webu stane nepoužitelný a trvá i několi hodin, než to člověk dá dohromady. Navíc právě u Joomly byl největší problém s integrovaným editorem JCE, který se aktualizuje samostatně zvlášť a aktualizace Joomly na to kolikrát neměla žádný vliv a ponechá původní zranitelnou verzi. Stejné je to s pluginy, které se aktualizují také zvlášť a update CMS na ně nemá vliv. Neříkám, že to nejde, protože třeba špička v tomto oboru https://www.softaculous.com/ to nějakým způsobem nabízí. Ale sám jsem skeptický a příliš nevěřim, že to bezproblémově funguje ve všech případech. Z mého pohledu je tam tolika ale a problémů, že se do toho žádný hoster nehrne. Nechce se dostat do situace, kdy si zákazník jedním kliknutím “rozbije” fungující web.
Přesně tak, to omezení mail() je ke vzteku, na jednom webu mám 7000 uživatelů, pořád ztrácejí hesla a nechávají si posílat nové, jsou nové registrace…a hostingu se to nelíbí, myslí si, že rozesílám spam no…
Tiež mám občas problém s omedzením mail funkcie. Na druhej strane chápem, že hostingové spoločnosti nechú byť na spam zoznamoch, no omedzovanie nie je riešenie.
v dnešnej dobe si už môžete nechať naprogramovať špecifického spamovacieho robota za pár desiatok USD, takže sa vôbec nedivím, že spam je na vzestupu len ta ochrana proti spamu je stále rovnaká
Zajímalo by mne, zda omezení funkce mail() třeba na 500 e-mailů denně se týká každého příjemce v e-mailu nebo jen každého zavolání funkce mail(). Pro představu – mám nějaký e-mail, který chci poslat 100 lidem. Všechny uvedu v BCC (blind carbon copy) – je tento e-mail brán jako jeden nebo jako 100 e-mailů, protože mám 100 příjemců v jednom e-mailu? 🙂
Martin: to je zajímavá otázka
Emailové omezení má již delší dobu řada hostingovek, což mě nějak ani nepřekvapuje a popravdě, ještě nikdy jsem se nikde nesetkal s tím, že by mi v případě nedostatku nevyhověli a limit nezvýšily. Samozřejmě jsem musel prokázat na co to přesně chci, s čím nemám absolutně žádný problém, jelikož spam netvořím a neposílám. Proto si myslím, že se nikdo podobný jako já nemusí bát, že by ho to nějak limitovalo. Například u Wedosu je v administraci vidět, kolik emailů bylo odesláno.