Je WordPress spoľahlivým softvérom?

odsek Blair Jersyer | WordPress News, Blog a tipy

Otázka, či je WordPress bezpečný, je komplikovaná. Aj keď je to zjavne dostatočne bezpečná platforma pre asi štvrtinu všetkých webov využívajúcich WordPress na celom svete, nie je to bez chýb.
Kto je teda zodpovedný za bezpečnosť WordPress? Samozrejme, časť tejto zodpovednosti nakoniec padne na vos plecia. Preto je nevyhnutné uvedomovať si a rešpektovať Osvedčené postupy zabezpečenia WordPress aby boli všetky stránky, ktoré vytvoríte, čo najbezpečnejšie.

Tím, ktorý stojí za WordPress, má však za to všetko aj určitú zodpovednosť. Nakoniec nemôžete urobiť nič, aby ste si sami ochránili jadro WordPressu.

Ak vás otázka zabezpečenia WordPress obťažuje rovnako ako ktokoľvek, kto sa snaží obchodovať online, čítajte ďalej.

Budem hovoriť o časti príbehu o bezpečnostných problémoch WordPress a o tom, čo s tým robí projekt WordPress.

Stručná história problémov so zabezpečením WordPress

Problém nemusí nevyhnutne spočívať v tom, že WordPress je slabý systém na správu obsahu, náchylný na pokusy o hackerstvo a bezpečnostné diery. Je to pravdepodobnejšie problém s viditeľnosťou. WordPress je najpopulárnejší CMS na celom svete, takže bude samozrejme ľahkým cieľom pre hackerov.

WordPress je bežne kritizovaný online (v blogoch, fórach, podcastoch atď..). Preto sú slabé stránky platformy dobre známe. Malo by potom zmysel, že by sa hackeri primárne zameriavali na webové stránky WordPress, však?

Bezpečnosť je dôležitým bodom pre všetkých WordPress blog alebo vývoj webu. Podľa projektu WordPress (tím zodpovedný za správu bezpečnosti platformy) vydávajú bezpečnostné záplaty neustále. Poznáte tie upozornenia na automatické aktualizácie, ktoré dostávate, keď sa prihlásite na palubnú dosku? "WordPress bol aktualizovaný na 4.7.2" alebo niečo také? No, zvyčajne, keď vidíte, že vychádzajú tieto menšie vydania, je to preto, že tím musel opraviť bezpečnostný problém.

A tieto sa často stávajú:

La - porušenie údajov spoločnosti Panama Papers z 2016 bolo čiastočne pripisované zraniteľnosti v doplnku Revolution Slider WordPress.

To znamená, že je upokojujúce sledovať, ako WordPress spracoval veľmi nedávne a významné narušenie bezpečnosti vyplývajúce z rozhrania REST API.

Takto to ide:

  • V januári 2017 WordPress vydal aktualizáciu 4.7.2. Oprava zabezpečenia sa nikde v zozname aktualizácií ani opráv neuvádzala.
  • Asi o týždeň WordPress informoval používateľov, že v tejto aktualizácii bola skutočne zistená a opravená bezpečnostná chyba.
  • Dôvod, ktorý uviedli pre oneskorenie oznamovania používateľom? Pretože im chceli dať čas na aktualizáciu jadra skôr, ako sa hackeri dozvedeli, WordPress o tom vedel a problém vyriešili.

To samozrejme hackerom medzitým nezabránilo v tom, aby znetvorili 1,5 milióna webov WordPress. Existujú aj používatelia WordPress, ktorí nikdy neaktualizovali CMS (alebo tak neurobili neskoro), ktorí zostali voči útoku zraniteľní.

Aj keď teda WordPress nakoniec vydal patch a reklamu spracovali s veľmi potrebným taktom, počas tohto procesu bolo zranených viac ako milión stránok. A čo je horšie, mnoho majiteľov webových stránok naďalej ignorovalo túto degradáciu, aj keď k nej došlo.

Bezpečnostné záplaty Zdá sa, že vychádzajú častejšie s najvyššou mierou zneužívania v roku 2015. Pretože sa ich vyskytuje čoraz viac, je dôležité vedieť, kto je zodpovedný za zabezpečenie WordPressu a čo môžete urobiť pre svoju ochranu.

security wordpress.png

Čo potrebujete vedieť o projekte WordPress (a jeho zabezpečení)

Tu je to, čo potrebujete vedieť o projekte WordPress a o čom robia udržiavať bezpečnosť jadra .

Tím zabezpečenia WordPress

Najprv si povieme niečo o projekte WordPress. Tento bezpečnostný tím pozostáva z približne 25 ľudí, všetkých odborníkov na vývoj alebo zabezpečenie WordPress. V súčasnosti polovica ľudí na projekte WordPress pracuje pre spoločnosť Automattic.

Tento tím odborníkov je zodpovedný za identifikáciu bezpečnostných rizík v jadre. Zodpovedajú tiež za preskúmanie potenciálnych problémov týkajúcich sa tém alebo doplnkov predložených tretími stranami a za vydávanie odporúčaní, ako môžu vylepšiť svoje nástroje alebo napraviť známe porušenia.

Hoci na identifikácii a riešení týchto problémov zvyčajne pracujú sami, príležitostne sa radia s inými odborníkmi v tejto oblasti, najmä s odborníkmi z bezpečnostných spoločností aubytovanie.

Ako WordPress identifikuje bezpečnostné riziká

Ako možno čakáte, projektový tím WordPress beží ako dobre naolejovaný stroj. Postup identifikácie a riešenia bezpečnostných rizík funguje nasledovne:

  • Problém identifikuje niekto z bezpečnostného tímu alebo mimo tímu. Členovia, ktorí nie sú členmi projektu, môžu tieto zistené problémy komunikovať zaslaním e-mailu na adresu [chránené e-mailom].
  • Zaznamená sa správa a bezpečnostný tím potvrdí príjem.
  • Členovia tímu potom súkromne spolupracujú na súkromnom serveri, aby overili, či je hrozba platná.
  • Tu sledujú, testujú a opravujú zistené chyby zabezpečenia.
  • Oprava zabezpečenia sa potom pridá do ďalšej verzie programu WordPress Minor.
  • V prípade menej závažných opráv WordPress jednoducho upozorní používateľov palubnej dosky WordPress, keď dôjde k automatickému uverejneniu príspevku.
  • V prípade urgentnejších záležitostí bude príspevok okamžite zverejnený a web WordPress.org ho oznámi na stránke Správ stránky.

Samozrejme, ako sme videli v 4.7.2., WordPress nie vždy oznamuje tieto bezpečnostné opravy (z platných dôvodov), hoci na ich vyriešenie vždy podniknú okamžité kroky.

Poznámka k automatickým aktualizáciám

Od verzie 3.7 má WordPress schopnosť automaticky odosielať menšie aktualizácie na všetky webové stránky. To zaisťuje, že tím zabezpečenia WordPress môže získať urgentné opravy včas a nemusí čakať na súhlas používateľov a aktualizáciu na každom z ich webov.

Používatelia WordPressu je však možné tieto automatické aktualizácie vypnúť. Ak je to váš prípad, uvedomte si, že môže váš web byť vystavený riziku, najmä ak nemáte čas na starostlivé sledovanie všetkých svojich webov, aby ste získali najnovšiu a najlepšiu aktualizáciu.

Bezpečnosť doplnkov a tém

Rovnako ako je vašou zodpovednosťou poskytnúť návštevníkom lepší zážitok z webu, vývojári doplnkov a Témy WordPress sú zodpovední za bezpečnosť svojich používateľov (t. j. vás). Hoci si WordPress s desiatkami tisíc pluginov a tém neporadí, môže ich aspoň pozorne sledovať, aby sa ubezpečil, že nič vážne neprekĺzne.

Projekt WordPress je tím zodpovedný za spoluprácu s vývojármi, keď sa zistí problém so zabezpečením. Predtým je však pridelený tím dobrovoľníkov, ktorý kontroluje každú tému alebo doplnok odoslaný na WordPress. Tento tím bude spolupracovať s vývojármi na zaistení dodržiavania najlepších postupov.

Stále však môžu vzniknúť bezpečnostné chyby, a to je prípad, kedy by mal bezpečnostný tím WordPress zakročiť:

  • Poskytnite dokumentáciu vývojárom WordPress o vývoji doplnkov a tém, ako aj o osvedčených postupoch v oblasti bezpečnosti.
  • Monitorujte doplnky a témy, či neobsahujú bezpečnostné medzery. Akýkoľvek zistený problém bude potom oznámený vývojárovi.
  • Ak vývojári nereagujú alebo nespolupracujú, odstráňte škodlivé doplnky alebo motívy z adresára.

WordPress potom prostredníctvom správcu WordPress upozorní svojich používateľov, keď budú k dispozícii tieto opravy zabezpečenia (alebo odstránenie chybných doplnkov a tém).

Zabezpečenie WordPress vyžaduje vašu ostražitosť

Po absolvovaní toho všetkého mi je trochu príjemnejšie vedieť, že existuje špecializovaný tím, ktorý pracuje na zaistení neustáleho zabezpečenia jadra WordPress. To však neznamená, že by som sa ja (alebo vy) mal upokojiť týmto pocitom uspokojenia.

Ako sme videli, aj tento rok v januári, s poškodením 1,5 milióna webových stránok, bez ohľadu na to, aký dobrý je projekt WordPress na monitorovanie a zabezpečenie platformy, nájdu hackeri riešenie.

Preto je dôležité pri tom všetkom hrať svoju úlohu a udržiavať svoje stránky zabezpečené zo všetkých uhlov.

Pridať komentár

Vaša emailová adresa nebude zverejnená. Povinné položky sú označené *

Táto stránka používa Akismet na zníženie nežiaducich. Získajte viac informácií o používaní údajov o komentároch.