EmDash – Hậu duệ tinh thần của WordPress đã giải quyết vấn đề bảo mật plugin

Tôi cũng nhớ là từng thấy các URL lạ bị bắt trong công cụ quản trị trang web nên đã thấy khó hiểu.

"Cách kỳ lạ dùng thẻ để đăng ký lên Google những trang không tồn tại trên máy cục bộ của tôi" là theo cơ chế như thế nào vậy??

Có cách nào chặn việc này không?

Cũng có kiểu spam đăng ký backlink vào bài viết trên blog khác bằng URL kết quả tìm kiếm có chứa các cụm từ mang tính spam;
Dù là kiểu nào thì cuối cùng cũng phải tự xóa thủ công thôi...

Thông thường, cách xâm nhập là lợi dụng các plugin/theme có lỗ hổng liên quan đến tải tệp lên.
Khi đã vào được theo cách này, họ sẽ cài nội dung vào tag/category v.v. mà chủ blog gốc không hề hay biết.
Thực tế thì trên trang blog hoàn toàn không nhìn thấy gì nên rất khó nhận ra, nhưng chúng dùng cách render để URL này chỉ hiển thị với bot của Google. (ví dụ như BabaYaga).

Một khi đã bị xâm nhập như vậy thì trên thực tế gần như không còn cách nào khác ngoài việc khiến toàn bộ truy cập vào các địa chỉ đó trả về 410 Gone. Trên máy chủ, tôi cấu hình để mọi địa chỉ không cần thiết đều trả về 410, rồi trong Search Console phải yêu cầu xóa thủ công các mẫu truy cập cụ thể trong 6 tháng. Ví dụ như phải xóa tất cả những gì bắt đầu bằng /tag.

Tôi đã gửi yêu cầu xóa suốt một tháng nay mà vẫn chưa xóa hết. Việc Google indexing cần hoạt động đúng, nhưng quá trình này mất khá lâu.

À, ra là vậy. Cảm ơn bạn đã cho biết. Có vẻ sẽ phải chú ý nhiều mặt đây.

Ý kiến trên Hacker News

• Tôi đã làm việc với WordPress hơn 10 năm, và tôi nghĩ dự án này đã giải quyết rất tốt hai điểm là TypeScript và plugin Worker
  Gần đây tôi suy nghĩ nhiều về các vấn đề bảo mật của WP; plugin độc hại có thể truy cập DB hoặc biến môi trường, hoặc gây ra XSS. Nhưng một hệ thống plugin được thiết kế tốt có thể giảm thiểu điều đó
  Cá nhân tôi đang phát triển HotsauceCMS. Nó cho phép tùy chọn dùng plugin Worker của NodeJS hoặc Deno, để plugin bên thứ nhất chạy nhanh trong tiến trình, còn plugin bên thứ ba có thể được cô lập trong worker
  Chỉ có 4 dependency và 0 dependency bắc cầu, vì tôi đã quá mệt mỏi với cảnh báo Dependabot và các cuộc tấn công chuỗi cung ứng npm
  Dựa trên cấu trúc schema-first với Drizzle, nên có thể kiểm soát hoàn toàn cấu trúc DB và định nghĩa các tính năng như tải tệp lên bằng gợi ý schema
  Không phụ thuộc vào DB cụ thể, nên chạy được trên mọi DB mà Drizzle hỗ trợ như Postgres, MySQL, SQLite
  Có thể tự do chọn frontend, và cá nhân tôi thích JSX không có React
  Rất mong nhận được phản hồi. Tôi muốn biết liệu mình có bỏ sót gì không và hướng đi có đúng không. Tôi cũng đang mong chờ xem EmDash sẽ phát triển thế nào

  • Tôi muốn nghe giải thích vì sao bạn cho rằng TypeScript lại quan trọng đến vậy
  • Trước đây tôi dùng WordPress rất nhiều, và khi đó sức hút của nó là khả năng cài đặt cực kỳ đơn giản: chỉ cần tải lên bằng FTP là chạy được. Không cần CLI hay công cụ build. Nhưng bảo mật luôn là vấn đề, và chuyện bị hack diễn ra liên tục
  • Xin chia sẻ liên kết tới thảo luận trước đó

• Họ nói EmDash là hậu duệ tinh thần của WordPress, nhưng tôi lại nghĩ CMS nên đi theo hướng ngược lại
  Thay vào đó nên đơn giản hóa để quay về website dựa trên tệp tĩnh. Dễ cache, nhanh và cũng dễ quản lý hơn
  Tất nhiên, từ góc nhìn của Cloudflare thì có vẻ họ chọn cấu trúc này để bán sản phẩm Workers của mình. Tôi vẫn còn nghi ngờ liệu nó đã thật sự giải quyết được vấn đề bảo mật cốt lõi hay chưa

  • Tôi cũng thích site tĩnh, nhưng khách hàng thường vẫn muốn nội dung động. Ban đầu họ nói chỉ cần site đơn giản, nhưng sau đó lại muốn thêm form, tồn kho, tính năng đặt chỗ. Vì thế tôi hiểu vì sao cấu trúc xoay quanh plugin lại hợp lý
  • Khách hàng không phải lập trình viên thích có thể tự chỉnh sửa qua UI. WordPress có UI quá phức tạp và cồng kềnh, nên phần lớn cuối cùng vẫn giao lại cho lập trình viên. Lý tưởng nhất là UI tối giản, chỉ cho phép sửa những phần cần thiết
  • Nếu dùng Astro thì về cơ bản đó là một trình tạo site tĩnh. Khi cần có thể thêm component React, và cũng có thể tùy chọn dùng plugin
  • Nếu bạn muốn host tệp tĩnh ở nơi dễ cache thì Cloudflare đã có dịch vụ như vậy
  • Astro xuất ra HTML tĩnh, nên ở điểm đó có vẻ không có vấn đề gì

• Tôi nghĩ Cloudflare đang tiếp cận từ sai hướng
  WordPress thành công nhờ cài đặt dễ dàng và hiệu ứng mạng lưới. Thậm chí còn hơn cả bảo mật, vì đã có rất nhiều lập trình viên quen thuộc với WP
  Nếu EmDash muốn thành công thì phải dễ hơn, nhanh hơn và linh hoạt hơn Wix hay Squarespace. Nếu không thì rất khó tạo ra hiệu ứng mạng lưới

  • WordPress đã có sẵn rất nhiều nhân lực thành thạo, còn EmDash thì mới bắt đầu. Dù vậy nếu nó phát triển được thì tôi vẫn muốn ủng hộ

• Với tư cách là lập trình viên WordPress, nỗi đau lớn nhất của tôi là kiến trúc plugin
  WP đặt plugin vào thư mục wp-content cùng với ảnh, khiến CI/CD trở thành cơn ác mộng. EmDash thì plugin là các module TS nên gọn gàng hơn nhiều

  • WP không có khái niệm staging, nên muốn đưa thay đổi sang production thì phải làm lại thủ công

• Khái niệm tiêu chuẩn thanh toán x402 của Cloudflare khá thú vị
  Cấu trúc này cho phép agent tự động gửi các khoản thanh toán nhỏ để lấy quyền truy cập nội dung; hơi đáng sợ nhưng cũng mang tính tương lai
  Nói đùa thôi, nếu tạo một HTTP 402 honeypot đòi 10 xu cho mỗi lượt truy cập thì có khi lại là sự tái sinh của ý tưởng “1 pixel 1 đô” ngày xưa

  • Nếu lừa được agent tiếp tục thanh toán, thì có thể kiếm tiền bằng vòng lặp chuyển hướng vô hạn hoặc nội dung rác
  • Tham khảo tài liệu HTTP 402
  • Cảm giác như vụ hack biển thủ tiền lẻ trong phim Office Space đã được hợp pháp hóa

• Giá trị của WordPress không nằm ở code mà ở hệ sinh thái và mạng lưới hỗ trợ
  Chất lượng code thì không cao, nhưng mọi SaaS đều cung cấp connector cho WP.
  Để EmDash thành công, ngay cả người không phải lập trình viên cũng phải có thể dễ dàng thuê tùy biến trên Fiverr. Đó không phải vấn đề công nghệ mà là vấn đề của thị trường lao động

  • Cloudflare không làm trò Cá tháng Tư. 1.1.1.1 cũng ra mắt vào ngày 1/4 và giờ đã là dịch vụ DNS lớn
  • Tôi đã xác nhận đây là dự án có thật
  • Cũng đáng tham khảo tranh cãi .com vs .org liên quan đến “mã nguồn mở” của WordPress
  • Một lựa chọn thay thế cũ hơn là Textpattern

• Việc đây là hậu duệ của WordPress do Cloudflare tạo ra thì hấp dẫn thật, nhưng cơ chế cô lập plugin dựa trên Dynamic Workers chỉ hoạt động trong runtime của Cloudflare
  Trên host khác thì nó chỉ là một CMS viết bằng TS, nên sự phụ thuộc kiến trúc là vấn đề

  • Rốt cuộc đây là OSS bị phụ thuộc vào hạ tầng Cloudflare, nên khó được chấp nhận rộng rãi
  • Tuy vậy Workerd là mã nguồn mở nên cũng có thể tự host
  • Runtime khác cũng có thể sao chép tính năng này
  • Có vẻ chiến lược của Cloudflare là biến các OSS phổ biến thành bản thay thế chỉ dành cho hạ tầng của họ

• Tôi thắc mắc vì sao người ta vẫn làm dự án AI bằng JavaScript
  Giờ đây ngay cả với ngôn ngữ biên dịch như Go cũng có thể làm app rất nhanh. Nhỏ hơn, nhanh hơn và triển khai cũng đơn giản hơn
  JS là ngôn ngữ thông dịch nên chậm và phức tạp. Trước đây ưu điểm là chạy ngay lập tức, nhưng giờ compile cũng đã rất nhanh

  • Nói rằng “JS không phải là ngôn ngữ thực thụ” thì hơi quá. Vẫn còn nhiều lý do để dùng ngôn ngữ thông dịch
  • JS là ngôn ngữ duy nhất có thể bao quát cả frontend web, backend, mobile và desktop. Với các công cụ như tRPC, còn có thể đạt được độ an toàn kiểu end-to-end
  • Đa số lập trình viên đã quen với JS/TS và cộng đồng cũng lớn nhất. Hệ sinh thái quá đồ sộ nên không có nhiều lý do để đổi
  • Go khá bất tiện ở xử lý JSON và làm việc với template. Hệ thống kiểu cũng kém linh hoạt hơn nên có nhiều hạn chế trong phát triển frontend
  • LLM dùng TS khá tốt, và TS đã khắc phục nhiều nhược điểm của JS. Runtime nhanh và triển khai dễ cũng khiến nó vẫn rất hấp dẫn

• Điều thú vị là EmDash không dùng code của WordPress nên được phát hành theo giấy phép MIT
  Nhưng nó lại khiến tôi nghĩ đến Malus, một Cleanroom as a Service mới xuất hiện gần đây. Thời điểm trùng hợp khá lạ

  • Thực ra Malus là một dự án châm biếm