„Cron mi nějak neběhá.“ Klasická věta, která ve WordPress světě může znamenat cokoli od špatně nastavené WP_SITEURL, přes loopback zablokovaný Cloudflarem, až po fatal error v callbacku, který nechal viset transient doing_cron. WP-Cron totiž není skutečný scheduler — je to pseudo-cron závislý na návštěvnosti webu a HTTP loopbacku, se všemi pastmi, které si dokážete představit. Tenhle článek je hloubkový průchod jeho vnitřnostmi: co se reálně děje při spawn_cron(), kde vznikají race conditions, proč selhává a čím ho v produkci nahradit.

WordPress pohání přes 40 % všech webů na světě. To z něj dělá nejrozšířenější CMS a zároveň nejčastější terč automatizovaných útoků. Boti nepotřebují cílit přímo na vás: systematicky procházejí miliony domén a hledají otevřené dveře. Stačí zapomenutý plugin bez aktualizace, výchozí prefix databáze nebo heslo z uniklé databáze. Tento článek není seznam pluginů. Je to průvodce od základů přes hardening konfigurace až po serverové zabezpečení s konkrétními kroky, které můžete udělat ještě dnes.

AI asistenti často naráží na stejný problém — neznají kontext — tohle platí, zejména pokud člověk potřebuje použít nějakou konkrétní technologii nebo framework. Skvělým příkladem je Nette Framework, hojně využívaný českou PHP komunitou.…

Společnost PeoplePath pořádá v Plzni jednou za dva měsíce workshopy na různá IT témata. Tentokrát bylo hlavním tématem PHPUnit a byl pořízen videozáznam. Ve videu je porovnání různých testovacích framewroků, ale hlavně se…

Při útoku XML External Entity Injection (XXE) může útočník na místo jím vytvořené entity v XML souboru vložit obsah nějakého jiného souboru, třeba takového, ke kterému nemá jinak přístup. Co se stane pak záleží především na vás a vaší aplikaci. O XXE ale píšu hlavně proto, abych na konkrétním příkladu ukázal proč aktualizovat na novější PHP verze spíš rychleji, než pomaleji, protože tenhle problém se už v roce 2020 defaultně vyřešil tak nějak sám vydáním PHP 8.0.

Krádež session id z výpisu phpinfo() je již nějakou dobu známá technika, která se používá k obcházení atributu HttpOnly, který JavaScriptu zakazuje přístup k takto označené cookie (např. PHPSESSID). Mě akorát až teď napadlo řešení, které dovolí phpinfo() zachovat: ty citlivé údaje prostě zcenzurujeme, čímž phpinfo() pro útočníka ztratí část své hodnoty.

Konec roku se blíží a s ním již tradiční výlet do Brna. Tentokrát nás čeká 7 řečníků a 6 přednášek. Začínáme od 15h v KoPlac. Program: Vstup na akci je zdarma, registrace na meetup.com

Po dlouhé pauze opět vyrážíme do Českých Budějovic, a bude to velké. Jako řečníci se představí David Grudl, Srigi, Jirka Pudil, Ondřej Záruba a Jan Svěrák. Ano, počítáte správně: meetup bude mít 6…

Když se v nějaké vámi používané PHP knihovně objeví bezpečnostní chyba, tak máte několik možností jak se o ní dozvědět dříve, než bude pozdě. V jednom z předchozích článků jsem popisoval PHP Security Advisories Database a její použití pomocí Roave Security Advisories i několik dalších způsobů. Všechny zmíněné ale vyžadují mít nebo používat nějaký extra balíček nebo nástroj.

Proběhla březnová akce #posobota a tady najdete záznamy z jejích přednášek.