Jednak zespół odpowiedzialny za WordPress również ponosi za to pewną odpowiedzialność. W końcu nic nie możesz zrobić, aby samodzielnie chronić rdzeń WordPressa.
Jeśli problem bezpieczeństwa WordPress niepokoi Cię tak samo, jak każdy, kto próbuje prowadzić działalność online, czytaj dalej.
Opowiem o części historii o problemach związanych z bezpieczeństwem WordPressa io tym, co robi z tym projekt WordPress.
Krótka historia problemów bezpieczeństwa WordPress
Problem niekoniecznie polega na tym, że WordPress jest słabym systemem zarządzania treścią, podatnym na próby włamań i luki w zabezpieczeniach. Bardziej prawdopodobny jest problem z widocznością. WordPress to najpopularniejszy CMS na świecie, więc oczywiście będzie łatwym celem dla hakerów.
WordPress jest powszechnie krytykowany online (w blogach, forach, podcastach itp..). Dlatego dobrze znane są słabe strony platformy. Miałoby to sens, gdyby hakerzy atakowali przede wszystkim witryny WordPress, prawda?
Bezpieczeństwo jest głównym tematem rozmów dla wszystkich blog WordPress lub tworzenie stron internetowych. Według projektu WordPress (zespół odpowiedzialny za zarządzanie bezpieczeństwem platformy) cały czas publikują łatki bezpieczeństwa. Znasz te powiadomienia o automatycznych aktualizacjach, które otrzymujesz po zalogowaniu się do pulpitu nawigacyjnego? „WordPress został zaktualizowany do wersji 4.7.2” czy coś takiego? Cóż, zwykle kiedy widzisz te drobne wydania, dzieje się tak dlatego, że zespół musiał naprawić problem z bezpieczeństwem.
A te często się zdarzają:
La naruszenie danych Panama Papers do z 2016 został częściowo przypisany luce we wtyczce Revolution Slider WordPress.
To powiedziawszy, pocieszające jest zobaczenie, jak WordPress poradził sobie z bardzo niedawnym i głośnym naruszeniem bezpieczeństwa wynikającym z interfejsu API REST.
Oto jak poszło:
- W styczniu 2017 WordPress wydał aktualizację 4.7.2. Nigdzie na liście aktualizacji lub poprawek nie wspomniano o poprawce zabezpieczeń.
- Około tydzień później WordPress poinformował użytkowników, że rzeczywiście wykryto i poprawiono lukę w zabezpieczeniach w tej aktualizacji.
- Podali powód opóźnienia w powiadamianiu użytkowników? Ponieważ chcieli dać im czas na zaktualizowanie jądra, zanim hakerzy dowiedzą się, że WordPress się o tym dowie i naprawią problem.
Oczywiście nie powstrzymało to w międzyczasie hakerów przed oszpeceniem 1,5 miliona witryn WordPress. Są też tacy użytkownicy WordPressa, którzy nigdy nie aktualizowali CMS (lub zrobili to za późno), którzy pozostawali podatni na atak.
Więc mimo że poprawka została ostatecznie wydana przez WordPress i potraktowano ogłoszenie bardzo potrzebnym taktem, ponad milion witryn zostało rannych w tym procesie. Co gorsza, wielu właścicieli witryn nadal ignorowało tę degradację, nawet po jej wystąpieniu.
Łatki bezpieczeństwa wydają się pojawiać częściej, a najwyższy wskaźnik nadużyć w 2015 r. Ponieważ występuje coraz więcej takich przypadków, ważne jest, aby wiedzieć, kto jest odpowiedzialny za zabezpieczenie WordPressa i co możesz zrobić po swojej stronie, aby zapewnić sobie ochronę.
Co musisz wiedzieć o projekcie WordPress (i jego bezpieczeństwie)
Oto, co musisz wiedzieć o projekcie WordPress i do czego służą utrzymuj bezpieczeństwo jądra .
Zespół bezpieczeństwa WordPress
Najpierw porozmawiajmy o projekcie WordPress. Ten zespół ds. Bezpieczeństwa składa się z około 25 osób, wszystkich ekspertów w dziedzinie rozwoju lub bezpieczeństwa WordPressa. Obecnie połowa osób zajmujących się projektem WordPress pracuje dla Automattic.
Ten zespół ekspertów jest odpowiedzialny za identyfikację zagrożeń bezpieczeństwa w jądrze. Są również odpowiedzialni za badanie potencjalnych problemów z motywami lub wtyczkami przesłanymi przez strony trzecie oraz za wydawanie zaleceń, w jaki sposób mogą wzmocnić swoje narzędzia lub naprawić znane naruszenia.
Chociaż zazwyczaj pracują samodzielnie, aby zidentyfikować i rozwiązać te problemy, czasami konsultują się z innymi ekspertami w tej dziedzinie, zwłaszcza z firmami ochroniarskimi izakwaterowanie.
Jak WordPress identyfikuje zagrożenia bezpieczeństwa
Jak można się spodziewać, zespół projektowy WordPress działa jak dobrze naoliwiona maszyna. Oto jak przebiega proces identyfikacji i rozwiązywania zagrożeń bezpieczeństwa:
- Problem jest identyfikowany przez kogoś z zespołu bezpieczeństwa lub spoza zespołu. Członkowie, którzy nie są członkami projektu, mogą informować o wykrytych problemach, wysyłając wiadomość e-mail na adres [email chroniony].
- Raport jest rejestrowany, a zespół bezpieczeństwa potwierdza odbiór.
- Członkowie zespołu pracują następnie wspólnie na prywatnym serwerze, aby sprawdzić, czy zagrożenie jest ważne.
- W tym miejscu śledzą, testują i naprawiają wykryte luki w zabezpieczeniach.
- Poprawka bezpieczeństwa jest następnie dodawana do następnej wersji WordPress Minor.
- W przypadku mniej poważnych napraw WordPress po prostu powiadamia użytkowników pulpitu nawigacyjnego WordPress o automatycznym wpisie.
- W pilniejszych sprawach post zostanie natychmiast opublikowany, a WordPress.org ogłosi to na stronie z aktualnościami.
Oczywiście, jak widzieliśmy w 4.7.2., WordPress nie zawsze ogłasza te poprawki bezpieczeństwa (z ważnych powodów), chociaż zawsze podejmuje natychmiastowe działania, aby je naprawić.
Uwaga na temat automatycznych aktualizacji
Od wersji 3.7 WordPress ma możliwość automatycznego wysyłania drobnych aktualizacji do wszystkich witryn internetowych. Gwarantuje to, że zespół ds. Bezpieczeństwa WordPress może otrzymać pilne poprawki w odpowiednim czasie i nie musi czekać, aż użytkownicy wyrażą zgodę i zaktualizują każdą ze swoich witryn internetowych.
Jednak użytkownicy WordPress mogą wyłączyć te automatyczne aktualizacje. Jeśli tak jest w Twoim przypadku, pamiętaj, że może to zagrozić Twojej witrynie, zwłaszcza jeśli nie masz czasu na dokładne monitorowanie wszystkich swoich witryn pod kątem najnowszych i największych aktualizacji.
Bezpieczeństwo wtyczek i motywów
Tak jak Twoim obowiązkiem jest zapewnienie odwiedzającym lepszego doświadczenia w Internecie, twórcy wtyczek i Motywy WordPress odpowiadają za bezpieczeństwo swoich użytkowników (tj. Ciebie). Chociaż WordPress nie radzi sobie z dziesiątkami tysięcy wtyczek i motywów, mogą przynajmniej uważnie je obserwować, aby upewnić się, że nic poważnego nie prześlizgnie się przez szczeliny.
Projekt WordPress to zespół odpowiedzialny za współpracę z programistami w przypadku wykrycia problemu z bezpieczeństwem. Wcześniej jednak istnieje zespół ochotników przydzielonych do przeglądu każdego motywu lub wtyczki przesłanej do WordPress. Ten zespół będzie współpracował z programistami, aby zapewnić przestrzeganie najlepszych praktyk.
Jednak nadal mogą pojawić się luki w zabezpieczeniach i wtedy zespół bezpieczeństwa WordPress powinien wkroczyć, aby:
- Zapewnij programistom WordPress dokumentację dotyczącą rozwoju wtyczek i motywów, a także najlepszych praktyk w zakresie bezpieczeństwa.
- Monitoruj wtyczki i motywy pod kątem możliwych luk w zabezpieczeniach. Każdy wykryty problem zostanie następnie zgłoszony deweloperowi.
- Usuń szkodliwe wtyczki lub motywy z katalogu, jeśli programiści nie odpowiedzą lub nie będą współpracować.
WordPress powiadomi swoich użytkowników za pośrednictwem administratora WordPress, gdy te poprawki bezpieczeństwa (lub usunięcie złych wtyczek i motywów) będą dostępne.
Bezpieczeństwo WordPress wymaga czujności
Po przejściu przez to wszystko czuję się trochę bardziej komfortowo, wiedząc, że istnieje dedykowany zespół, który pracuje nad zapewnieniem bezpieczeństwa rdzenia WordPressa przez cały czas. Nie oznacza to jednak, że ja (lub ty) powinniśmy zostać uśpieni w poczuciu samozadowolenia.
Jak widzieliśmy, nawet w styczniu ubiegłego roku, przy 1,5 miliona uszkodzonych witryn internetowych, bez względu na to, jak dobry jest projekt WordPress w zakresie monitorowania i zabezpieczania platformy, hakerzy znajdą rozwiązanie.
Dlatego ważne jest, aby odegrać swoją rolę w tym wszystkim i zabezpieczyć swoje witryny ze wszystkich stron.
