Tag: bezpieczeństwo

Naruszenie ochrony danych osobowych przez wysłanie wiadomości e-mial na błędny adres e-mail, nawet jeśli tak podał go klient

Niedawno pisałem o tym, że przy okazji zbliżającego się końca roku rozmawialiśmy w gronie znajomych m.in. o wycenie produktów cyfrowych, np. w oparciu o kwotę, jaką chcemy uzyskać ze sprzedaży (ile sztuk i w jakiej cenie, by uzyskać 100k). Z początkiem roku tematem głównym w kontekście eCommerce bez wątpienia jest kwestia zmian w prawie, które pod pewnymi warunkami, również w przypadku zakupów „na firmę” przyznają kupującemu prawa dotychczas zarezerwowane tylko dla konsumentów w znaczeniu osób, niedokonujących zakupów na firmę (bo można było oczywiście prowadzić firmę, i nadał robić zakupy jako konsument, po prostu nie kupując „na firmę”). Innym ciekawym tematem jest kara nałożona na Wartę (Towarzystwo Ubezpieczeń i Reasekuracji WARTA S.A) przez UODO (Urząd Ochrony Danych Osobowych).

SnapShots i WP Staging, czyli prosty sposób na migawki i klonowanie stron(y) na WordPressie, nie tylko na potrzeby testów

Stron „na WordPressie” mam pod opieką trochę więcej niż kilka, większość zadań staram się zautomatyzować, na tyle, na ile jest to możliwe. Są jednak takie działania, gdzie nie ma wyjścia, trzeba zalogować się do WordPressa i dokonać np. wdrożenia jakiejś nowej funkcjonalności. W przypadku niektórych stron – zwłaszcza sklepów internetowych czy platform kursowych – mam na potrzeby testów wdrożone deweloperskie wersje stron(y). Ale z racji tego, że jest to dodatkowa praca, dodatkowe zasoby serwera, więc zazwyczaj jest to też dodatkowa płaca. A nie zawsze ma to sens, i to nie tylko z ekonomicznego punktu widzenia. W takich sytuacjach z pomocą przychodzą migawki i klonowanie…

WP Mail Logging by MailPoet, czyli przydatna i darmowa wtyczka do monitorowania wychodzących wiadomości e-mail w WordPressie

Oprócz tego, że mam kilka swoich projektów, które opierają się m.in. na stronach internetowych, w dużej mierze działających na WordPressie, to mam też sporo stron klientów pod swoją opieką, również na WordPressie. Są to różne strony – od prostych wizytówek, trochę bardziej złożonych stron firmowych, przez strony-aplikacje, a na różnej maści sklepach internetowych i platformach kursowych – tak „modnych” zwłaszcza ostatnio – kończąc. I choć na pierwszy rzut oka mogą wydawać się to całkiem różne projekty, to mają zazwyczaj kilka elementów wspólnych. Jednym z takich elementów są wychodzące ze strony wiadomości e-mail. Czy to z formularza kontaktowego, czy też różnej maści wiadomości marketingowe (newsletter), czy też tzw. wiadomości transakcyjne (np. potwierdzenia zamówienia ze sklepu internetowego). I oczywiście najważniejsza jest dostaraczalność takich wiadomości, ale to nie wszystko. Warto też wiedzieć kiedy i jakie wiadomości wyszły z naszej strony…

Potencjalnie groźna podatność w popularnej wtyczce Contact Form 7 do WordPressa, choć to chyba „z dużej chmury mały deszcz”

Wczoraj wieczorem na moim telefonie pojawiła się informacja, która sprawiła, że natychmiast odpaliłem system automatycznie aktualizujący wszystkie strony, którymi się opiekuję. Informacja dotyczyła Contact Form 7, czyli jednej z najpopularniejszych wtyczek do formularzy kontaktowych w WordPressie (ponad 5 milionów aktywnych instalacji, i to tylko tych z repozytorium WordPress.org). Nagłówki kolejnych alertów (i informacji) grzmiały o możliwości podrzucenia na serwer np. pliku PHP, a tym samym – przynajmniej potencjalnie, jeśli ktoś nie używa PHP Pools i/lub open_basedir – przejęcia całego serwera. Brzmiało groźnie, więc na szybko, w międzyczasie jak prewencyjnie aktualizowały się strony, postanowiłem przeczytać, co o tej podatności w internetach piszą… Podwójne znaczenie.

Różne podejście do zarządzania (i limitowania) licencjami płatnych motywów i wtyczek w WordPressie na kilku przykładach

Kilka dni temu, korzystając z promocji w ramach Black Friday (Czarny Piątek) / Cyber Monday (Cyber Poniedziałek) skusiłem się, i „za jedyne” 499,5 dolara wykupiłem nielimitowaną w czasie i liczbie stron licencję na wersję premium wtyczki Tutor LMS, służącej do tworzenia kursów internetowych na WordPressie (i WooCommerce). I choć licencję mam nielimitowaną również jeśli chodzi o liczbę (w sumie to może być i ilość ;-)) stron, to z racji tego, że wdrożenia – również moich licencji – czasem przeprowadzam nie tylko u stałych klientów, ale i takich w pewnym sensie „z doskoku” (i z polecenia), to cenię kompleksową kontrolę nad tym, gdzie (na jakiej stronie) taka licencja działa. I to nie dlatego, by po zakończonej współpracy (np. koniec obsługi serwisowej strony) móc licencję wyłączyć, bo tego zazwyczaj nie robię, ale po to, by później taka licencja nie latała po różnych forach…

Dostałem „ofertę współpracy nie do odrzucenia”, czyli mam zapłacić 1300 USD albo „zostanę gwiazdą internetu”, i to z filmem „jak robię sobie dobrze” ;-)

Zajęcia zdalne, to dzieci od razu mają nadmiar wolnego czasu, którego – przynajmniej w niektórych przypadkach – nie jest w stanie już zagospodarować nawet YouTube czy TikTok z całą patologią dla młodzieży” czającą się tam… Więc być może niektórzy wyciągają klawiatury i zamiast „dawać donejty na patusy” postanawiają spróbować coś zarobić (;-)). I choć nie jest to nic nowego, bo pisałem o tym choćby w 2018 roku, w artykule „mam dla ciebie złe wieści – Twój adres e-mail został naruszony, czyli kolejny script kiddie w akcji”, to patrząc po katalogach SPAM na moich „testowych skrzynkach e-mail”, obecnie trwa jakaś większa „kompania marketingowa”, z małymi modyfikacjami do „aktualnej sytuacji”. Wprawdzie jeszcze bez odwołania do symboliki mogącej kojarzyć się z nazizmem, ale jest i TikTok, jest i Covid-19…

Jak umożliwić użytkownikom grupy na Facebooku dodawanie postów anonimowych (w ramach grupy typu „rodzicielstwo”)

Problem braku anonimowości w przestrzeni Facebooka jest jednym z tych aspektów, które często powstrzymują osoby borykające się z trudnościami, przed rozwiązywaniem ich na forum. W ostatnim czasie ekipa Facebooka wyszła temu naprzeciw i uruchomiła posty anonimowe w grupach typu „rodzicielstwo”. Udostępnienie użytkownikom możliwości dodawania tego typu postów jest dla właścicieli grupy banalnie proste, choć w pewnym zakresie ograniczone. W tym artykule podzielę się z Wami tym, w jaki sposób włączyć tę opcję i z czym ona się wiąże.

Revolut Bank dostępny już (dla pierwszych klientów) w Polsce, czyli większe bezpieczeństwo zdeponowanych w ramach usługi środków

Podczas uruchamiania aplikacji Revolut, by doładować konto kolejną porcją dolarów na zakupy w To Øl, a konkretnie na To Ølekalender 2020 (kalendarz „adwentowy” z 24 piwkami) pojawiła mi się propozycja przejścia z Revolut Payments do Revolut Bank, czyli z podmiotu działającego na podstawie licencji pieniądza elektronicznego, do podmiotu z licencją bankową. Długo się nie zastanawiałem, bo minusów raczej żadnych, a plusy są, i to dość istotne, zwłaszcza przy większej kwocie środków na koncie…

Gdy SMSy nie wychodzą z telefonu, sprawdź – i w razie konieczności ustaw – numer CSMS na karcie SIM (o ile możesz ;-))

Z powodu pewnych wydarzeń z ostatnich dni postanowiłem – szybciej niż planowałem – wyciągnąć z szuflady trackery GPS (TK102B), które są przeznaczone do monitorowania położenia moich psów na dłuższych (i leśnych) spacerach. Całość miała potrwać chwilę, a jak się okazało, wymagała trochę więcej pracy/zachodu, niż mi się wydawało…

Release Management w WordPress.org, czyli dodatkowa autoryzacja aktualizacji wtyczek dla deweloperów (twórców)

Tam, gdzie mogę (i ma to jakikolwiek sens) korzystam z uwierzytelnienia dwuskładnikowego (2FA). W WordPress.com (WordPress jako usługa) z takiego rozwiązania korzystam, w przypadku WordPress.org niestety takiego rozwiązania nie ma. A szkoda, bo takie konto jest przez wiele osób wykorzystywane nie tylko do zgłaszania uwag/problemów, czy też oceniania wtyczek i motywów, ale również do publikacji (i późniejszej aktualizacji) własnych motywów i wtyczek. Nie da się ukryć, że to w wielu przypadkach może być cennym wektorem ataku, i to nie tylko w kontekście platform eCommerce (np. sklep internetowy, platforma kursowa) opartych o WordPressa. Zresztą podobny problem może być w przypadku wtyczki, która ma kilku współautorów, i któryś z nich postanowi zrobić psikusa „na odchodne” pozostałym…

WordPress 5.5 to nowości nie tylko dla fanów Gutenberga, ale też i dla normalnych użytkowników (klasycznego edytora ;-))

Artykuł ten powinien pojawić się na przełomie sierpnia, gdy WordPress w wersji 5.5 (Eckstine) miał swoja publiczną premierę. Ale ze względu na zmiany w moim życiu takiej możliwości nie było. Mógłbym więc temat tej wersji pominąć, jak to czynię z większością, ew. dać w ramach newsloga, ale jest w tej aktualizacji kilka zmian – i to nie w obrębie Gutenberga, jak to ostatnio zazwyczaj bywa –  o których warto napisać. Tak więc może z lekkim poślizgiem, przedstawiam…

Bezpłatny webinar z możliwością zakupu certyfikatu uczestnictwa, czyli dobry pomysł na monetyzację darmowego wydarzenia

Tak się zastanawiałem, czy dawać to jako newslog, ze względu na spodziewaną niewielką objętość tekstu, ale uznałem, że jednak dodam „trochę wody”, niczym typowy technopudelek i będzie z tego (normalny) artykuł. Zwłaszcza że tych ostatnio nie ma (za dużo), i jeszcze przynajmniej przez kilka dni nie będzie. Trzeba mieć priorytety, a obecnie moje są zupełnie poza internetem. Ale to, co sprawiło, że w ogóle postanowiłem o tym napisać, zrobiło na koledze na tyle duże wrażenie, że uznałem, że zasługuje na pełnoprawny artykuł.

Piwowar, magazyn wydawany przez Polskie Stowarzyszenie Piwowarów Domowych doczekał się wersji elektronicznej

Wczoraj późnym wieczorem (lub wczesną nocą) na moją skrzynkę powiązaną z kontem członka Polskiego Stowarzyszenia Piwowarów Domowych (PSPD) trafił e-mail. Niby nic nadzwyczajnego, bo co chwilę trafiają tam jakieś „ważne wiadomości od zarządu i nie tylko”. Ale ten e-mail dotyczył pierwszego elektronicznego wydania magazynu Piwowar (plus oczywiście plik PDF w załączniku). Przyznam, że było to dla mnie małe zaskoczenie. Ale nie dlatego, że cyfrowe wydanie (plik PDF) się ukazało, bo o takich planach słyszałem już w styczniu, ale 2019. Stąd moje zaskoczenie dotyczyło nie tyle „że”, co bardziej, „że w końcu”… ;-)

Weryfikacja sum kontrolnych plików WordPressa (i zainstalowanych wtyczek) z wykorzystaniem narzędzia WP-CLI

Wprawdzie większość stron, którymi się opiekuję, to są strony, które sam tworzyłem, lub przynajmniej nadzorowałem ten proces, to dość często – zwłaszcza ostatnio – trafiają pod moje skrzydła strony zewnętrzne, czyli robione przez kogoś innego. Zazwyczaj taka strona poza dostosowaniem pod moje procedury/wymagania przechodzi audyt. Audyt, który ma na celu nie tylko zweryfikowanie zastosowanych rozwiązań (np. wtyczki, czy struktura strony), ale też zweryfikowanie, czy przypadkiem w plikach strony nie ma jakichś „niespodzianek”, których być nie powinno. I to nie tylko wtedy, gdy klienta rozstanie z poprzednikami zajmującymi się obsługą strony było nie do końca przyjazne…

Bezpieczne (za)granie, czyli logowanie dwuetapowe wymagane do odbioru bezpłatnych gier w Epic Games

Wprawdzie gram rzadziej niż rzadko, to regularnie moją kolekcję gier (w które większości zapewne nigdy nie zagram) zasilają kolejne tytuły. Od jakiegoś czasu jednym z głównych gier regularnie zasila Epic, a to wszystko dzięki regularnie udostępnianym gratisom. Wczoraj w aplikacji Epic Games pojawiła się informacja, że przez najbliższe dni (od 28 kwietnia do 21 maja) odbierać bezpłatne gry będą mogli tylko użytkownicy z aktywnym logowaniem dwuetapowym (2FA).

Loading

InfoWidget

InfoWidget

InfoWidget

Pin It on Pinterest