Екипът зад WordPress обаче също носи известна отговорност във всичко това. В края на краищата нищо не можете да направите, за да защитите сами ядрото на WordPress.
Ако въпросът за сигурността на WordPress ви притеснява толкова, колкото всеки, който се опитва да прави бизнес онлайн, продължете да четете следното.
Ще говоря за част от историята за проблемите със сигурността на WordPress и какво прави проектът WordPress по въпроса.
Кратка история на проблемите със сигурността на WordPress
Проблемът не е непременно, че WordPress е слаба система за управление на съдържанието, склонна към хакерски опити и дупки в сигурността. По-вероятно е проблем с видимостта. WordPress е най-популярната CMS система по света, така че, разбира се, ще бъде лесна цел за хакерите.
WordPress често се критикува онлайн (в блогове, форуми, подкасти и др..). Следователно слабостите на платформата са добре известни. Тогава би имало смисъл хакерите да са насочени предимно към уеб сайтове на WordPress, нали?
Безопасността е основна тема за разговори за всички WordPress блог или уеб разработка. Според проекта WordPress (екипът, отговорен за управлението на сигурността на платформата), те пускат пачове за сигурност през цялото време. Знаете ли онези известия за автоматично актуализиране, които получавате, когато влезете в таблото за управление? „WordPress е актуализиран до 4.7.2“ или нещо подобно? Е, обикновено, когато видите тези незначителни версии да излизат, това е, защото екипът трябваше да коригира проблем със сигурността.
И това често се случва:
La нарушаване на данните на Panama Papers до от 2016 отчасти се приписва на уязвимост в плъгин Revolution Slider WordPress.
Въпреки това е успокояващо да се види как WordPress се справи с много скорошно и високопрофилно нарушение на сигурността, произтичащо от REST API.
Ето как минаха нещата:
- През януари 2017 г. WordPress пусна актуализация 4.7.2. Никъде в списъка с актуализации или поправки не се споменава корекцията за сигурност.
- Около седмица по-късно WordPress информира потребителите, че в тази актуализация наистина е открит и коригиран недостатък в сигурността.
- Причината, която дадоха за забавянето при уведомяване на потребителите? Тъй като искаха да им дадат време да актуализират ядрото, преди хакерите да разберат, че WordPress знае за него и е отстранил проблема.
Разбира се, това междувременно не попречи на хакерите да обезобразят 1,5 милиона WordPress сайта. Има и такива потребители на WordPress, които никога не са актуализирали CMS (или са го направили твърде късно), които са останали уязвими към атаката.
Така че, въпреки че в крайна сметка бе издаден кръпка от WordPress и те се отнесоха към съобщението с така необходимия такт, над милион сайтове бяха ранени в процеса. И, което е още по-лошо, много собственици на уебсайтове продължиха да игнорират това влошаване дори след като то се случи.
Пачове за сигурност изглежда излизат по-често, с най-висок процент на злоупотреби през 2015 г. Тъй като се случват все повече от тях, за вас е важно да знаете кой е отговорен за защитата на WordPress и какво можете да направите от своя страна, за да сте сигурни, че сте защитени.
Какво трябва да знаете за проекта на WordPress (и неговата сигурност)
Ето какво трябва да знаете за проекта WordPress и за какво го правят поддържане на сигурността на ядрото .
Екипът за сигурност на WordPress
Първо, нека поговорим за проекта WordPress. Този екип за сигурност се състои от около 25 души, всички експерти в WordPress разработка или сигурност. В момента половината от хората в проекта WordPress работят за Automattic.
Този екип от експерти отговаря за идентифицирането на рисковете за сигурността в ядрото. Те също така са отговорни за проучване на потенциални проблеми с теми или приставки, подадени от трети страни, и даване на препоръки за това как те могат да втвърдят своите инструменти или да коригират известни нарушения.
Въпреки че обикновено работят сами, за да идентифицират и разрешат тези проблеми, те понякога се консултират с други експерти в областта, особено с такива от охранителни компании инастаняване.
Как WordPress идентифицира рисковете за сигурността
Както може да се очаква, екипът на проекта на WordPress работи като добре смазана машина. Ето как протича процесът на идентифициране и разрешаване на рисковете за сигурността:
- Проблем се идентифицира от някой от екипа за сигурност или извън екипа. Членовете, които не са членове на проекта, могат да предадат тези открити проблеми, като изпратят имейл до [имейл защитен].
- Записва се отчет и екипът по сигурността потвърждава получаването.
- След това членовете на екипа работят заедно на частен сървър, за да проверят дали заплахата е валидна.
- Тук те проследяват, тестват и поправят откритите уязвимости в сигурността.
- След това защитният пластир се добавя към следващата версия на WordPress Minor.
- За по-малко сериозни ремонти WordPress просто уведомява потребителите на таблото за управление на WordPress, когато възникне автоматично публикуване.
- За по-неотложни въпроси публикацията ще излезе веднага и WordPress.org ще я обяви на страницата с новини на сайта.
Разбира се, както видяхме с 4.7.2., WordPress не винаги съобщава тези корекции на защитата (по уважителни причини), въпреки че те винаги предприемат незабавни действия, за да ги поправят.
Забележка за автоматичните актуализации
От версия 3.7 WordPress има възможност автоматично да изпраща незначителни актуализации на всички уебсайтове. Това гарантира, че екипът за сигурност на WordPress може да получава своевременни корекции своевременно и да не се налага да чака потребителите да се съгласят и актуализират на всеки от техните уебсайтове.
Възможно е обаче потребителите на WordPress да изключат тези автоматични актуализации. Ако случаят е такъв за вас, имайте предвид, че това може да изложи вашия сайт на риск, особено ако нямате време да наблюдавате усърдно всичките си сайтове за най-новата и най-добрата актуализация.
Сигурност на приставки и теми
Точно както е ваша отговорност да предоставите на посетителите по-добро уеб изживяване, разработчиците на плъгини и Теми на WordPress са отговорни за безопасността на своите потребители (т.е. вас). Докато WordPress не може да се справи с десетките хиляди плъгини и теми, те поне могат да ги следят отблизо, за да се уверят, че нищо сериозно може да се промъкне през пукнатините.
Проектът WordPress е екипът, отговорен за работата с разработчици при откриване на проблем със сигурността. Преди това обаче има екип от доброволци, назначени да преглеждат всяка тема или плъгин, изпратени в WordPress. Този екип ще работи с разработчици, за да гарантира, че се спазват най-добрите практики.
Все пак уязвимости в защитата все още могат да възникнат и именно тогава екипът за сигурност на WordPress трябва да се намеси в:
- Предоставете документация за разработчиците на WordPress относно разработването на приставки и теми, както и за най-добрите практики в сигурността.
- Наблюдавайте приставки и теми за възможни дупки в сигурността. След това всеки открит проблем ще бъде уведомен от разработчика.
- Премахнете вредните приставки или теми от директорията, ако разработчиците не отговорят или сътрудничат.
След това WordPress ще уведоми своите потребители чрез администратора на WordPress, когато тези корекции на защитата (или премахване на лоши плъгини и теми) са налични.
Защитата на WordPress изисква вашата бдителност
След като преминах през всичко това, ми става малко по-комфортно, като знам, че има специален екип, който работи, за да поддържа ядрото на WordPress по всяко време. Това обаче не означава, че аз (или вие) трябва да се приспивам в това чувство на самодоволство.
Както видяхме, дори през изминалия януари с повредените 1,5 милиона уебсайта, независимо колко добър е проектът WordPress за наблюдение и защита на платформата, хакерите ще намерят решение.
Ето защо е важно да играете своята роля във всичко това и да защитите сайтовете си от всички ъгли.
