Дизайнеры, так их разэтак

Захо­те­лось наше­му ген­ди­рек­то­ру пере­де­лать сайт. И, надо ска­зать, пра­виль­но захо­те­лось: сайт у нас нын­че ста­рень­кий, места­ми уже… с аро­ма­том музей­но­го экс­по­на­та.

Запро­си­ли пред­ло­же­ния, полу­чи­ли два вари­ан­та. И одна кон­то­ра мне осо­бен­но запа­ла в душу. И, пря­мо ска­жем, не в хоро­шем смыс­ле.

Мало того, что дизайн у них из серии «вырви глаз» и «при­вет, девя­но­стые», так сайт у этих дят­лов ещё и на WordPress — при­чём с абсо­лют­но неза­кру­чен­ны­ми гай­ка­ми.

wp-admin — тор­чит нару­жу.

И если откры­тый wp-admin ещё худо-бед­но мож­но объ­яс­нить на кли­ент­ских сай­тах — хотя тоже не надо, — то на сай­те самой веб-сту­дии админ­ка долж­на быть доступ­на толь­ко из их сети, через VPN, allowlist, Zero Trust, полёт на ков­ре-само­лё­те, через что угод­но. Но не про­сто так, без тру­сов, голым жопом — в интер­нет.

Но и это ещё не всё.

Про­смотр содер­жи­мо­го wp-content/uploads досту­пен без вся­кой авто­ри­за­ции. Про­сто вот так вот — хоба, захо­дишь, и видишь все фай­лы, загру­жен­ные через WordPress за всё вре­мя суще­ство­ва­ния сай­та.

Кро­ме того, на запрос любо­го .php фай­ла из wp-content/uploads в рыло долж­но при­ле­тать 403 Forbidden, а не 404 Not Found. Стро­го, без вари­ан­тов — 403. Без раз­го­во­ров.

Пото­му что нефиг скрип­там делать в uploads. Вот вооб­ще нефиг. Если туда мож­но залить скрипт, хря­ке­ры туда скрипт и зальют. Не пото­му что они злые гении, а пото­му что авто­ма­ти­зи­ро­ван­ный мусор в интер­не­те круг­ло­су­точ­но сту­чит­ся во все две­ри, окна, фор­точ­ки, коша­чьи и соба­чьи люки, и вен­ти­ля­ци­он­ные шах­ты.

404 в такой ситу­а­ции гово­рит не «сюда нель­зя», а все­го лишь «тако­го фай­ла тут сей­час нет». То есть сер­вер, по сути, не воз­ра­жа­ет про­тив самой идеи PHP-фай­ла в uploads. Он про­сто гру­стит, что кон­крет­но этот файл не нашёл. Ну, полу­чи­лось так. Был бы — он бы тебе его с радо­стью под­та­щил, а нет — так нет.

И вот эти люди при­хо­дят к нам и пред­ла­га­ют сде­лать нам сайт.

За восемь­де­сят тысяч дол­ла­ров.

Восемь­де­сят.
Тысяч.
Дол­ла­ров.

За такие бап­ки я хочу не толь­ко кра­си­вую глав­ную стра­ни­цу с видео­фо­ном и сло­ва­ми “innovative solutions”, я хочу ещё хотя бы базо­вое пони­ма­ние, что WordPress — это в неуме­лых руках крайне опас­ная вещь, кото­рую в режи­ме ²⁴⁄₇ обя­за­тель­но будут шшу­пать за раз­ное. И, что харак­тер­ное, это самое раз­ное рано или позд­но най­дут, пото­му что если поста­вить его на само­тёк, то в пла­ги­нах или самой базе со вре­ме­нем обя­за­тель­но обна­ру­жи­ва­ет­ся дырень. И если веб-сту­дия не уме­ет закру­тить гай­ки на соб­ствен­ном сай­те, я поче­му-то не горю жела­ни­ем дове­рять им наш.