Уязвимость Nibbleblog
Случайно обнаружил неприятную особенность, заметив в корневике сайта файлы install.php и update.php. На версии 4.0.3 (возможно, последней версии Нибблблога) файлы установки и обновления не удаляются автоматически и не закрываются от доступа извне, что печально.
При запуске первого движок уведомляет о том, что он уже установлен, и предлагает обновиться, давая ссылку на update.php.
При переходе по ссылке на update.php запускается апдейт, в отсутствие новых файлов заключающийся в обновлении локальной базы данных со сбросом назначенных URL ко всем опубликованным записям и рубрикам. То есть после такого «обновления» все введённые блогером ЧПУ летят в тар-тарары - к примеру, post/cinema становится чем-то типа post/ideya-ulichniy-kinoteatr, в общем, в ссылках за секунду воцаряется бардак.
К счастью, Гугл отлично индексирует, и он помог мне восстановить все URL'ы, которых пока не так уж и много. Не представляю, что бы было, если б я или кто-то другой запустил этот файл через год или два - вряд ли было бы возможно всё быстро вручную восстановить.
Не стал проверять эту фигню на других Nibbleblog'ах, но у себя сразу же удалил оба файла, и вам рекомендую.
UPD: автоматическое обновление (с помощью скрипта типа Softaculus) точно так же ломает УРЛы, поэтому решил не заморачиваться и забить на них...