Je li WordPress pouzdan softver?

još Blair Jersyer | WordPress Novosti, Blog i savjeti

Komplicirano je pitanje je li WordPress siguran. Iako je ovo očito dovoljno sigurna platforma za otprilike četvrtinu svih web stranica s WordPressom širom svijeta, nije bez svojih mana.
Pa tko je odgovoran za sigurnost WordPressa? Naravno, dio te odgovornosti na kraju pada vos ramena. Zbog toga je neophodno biti svjestan i poštivati WordPress najbolje prakse sigurnosti kako bi sve web lokacije koje izrađujete ostale što je moguće sigurnije.

Međutim, tim koji stoji iza WordPressa također ima određenu odgovornost u svemu tome. Napokon, ništa ne možete učiniti da sami zaštitite srž WordPressa.

Ako vas pitanje sigurnosti WordPressa muči koliko i svi koji pokušavaju poslovati putem interneta, nastavite čitati sljedeće.

Govorit ću o dijelu priče o sigurnosnim pitanjima WordPressa i o tome što WordPress projekt radi po tom pitanju.

Kratka povijest sigurnosnih pitanja WordPressa

Problem nije nužno u tome što je WordPress slab sustav za upravljanje sadržajem, sklon pokušajima hakiranja i sigurnosnim rupama. To je vjerojatnije problem vidljivosti. WordPress je najpopularniji CMS u svijetu, pa će naravno biti laka meta za hakere.

WordPress se često kritizira na mreži (u blogovima, forumima, podcastima itd..). Stoga su slabosti platforme dobro poznate. Tada bi imalo smisla da su hakeri prvenstveno ciljani na WordPress web stranice, zar ne?

Sigurnost je glavna točka razgovora za sve WordPress blog ili web razvoj. Prema projektu WordPress (tim odgovoran za upravljanje sigurnošću platforme), oni stalno objavljuju sigurnosne zakrpe. Znate one obavijesti o automatskom ažuriranju koje dobivate kada se prijavite na nadzornu ploču? "WordPress je ažuriran na 4.7.2" ili nešto slično? Pa, obično kada vidite da izlaze ova manja izdanja, to je zato što je tim morao riješiti sigurnosni problem.

I to se često događa:

La kršenje podataka Panama Papers na 2016 je dijelom pripisan ranjivosti u dodatku Revolution Slider WordPress.

To je reklo, ohrabrujuće je vidjeti kako je WordPress riješio vrlo nedavno i visokoprofesionalno kršenje sigurnosti koje proizlazi iz REST API-ja.

Evo kako su stvari krenule:

  • U siječnju 2017. WordPress je objavio ažuriranje 4.7.2. Nigdje na popisu ažuriranja ili ispravki nije spomenuta sigurnosna zakrpa.
  • Otprilike tjedan dana kasnije, WordPress je obavijestio korisnike da je u ovom ažuriranju doista otkrivena i ispravljena sigurnosna greška.
  • Razlog koji su naveli zbog odgode obavještavanja korisnika? Budući da su im željeli dati vremena za ažuriranje jezgre prije nego što su hakeri znali da je WordPress znao za to i riješio problem.

To naravno nije spriječilo hakere da u međuvremenu unakaze 1,5 milijuna WordPress web stranica. Postoje i korisnici WordPressa koji nikada nisu ažurirali CMS (ili su to učinili prekasno) koji su ostali ranjivi na napad.

Pa iako je WordPress na kraju objavio zakrpu i oni su oglas obradili s prijeko potrebnim taktom, više od milijun web mjesta je ozlijeđeno u tom procesu. I, još gore, mnogi vlasnici web stranica nastavili su ignorirati ovu degradaciju čak i nakon što se dogodila.

Zakrpe za sigurnost čini se da izlaze češće, s najvećom stopom zlostavljanja u 2015. godini. Kako se njih sve više događa, važno je da znate tko je odgovoran za osiguranje WordPressa i što na svom kraju možete učiniti kako biste bili sigurni da ste zaštićeni.

sigurnost wordpress.png

Što trebate znati o projektu WordPress (i njegovoj sigurnosti)

Evo što trebate znati o WordPress projektu i za što rade održavanje sigurnosti kernela .

WordPress tim za sigurnost

Prvo, razgovarajmo o projektu WordPress. Ovaj sigurnosni tim sastoji se od oko 25 ljudi, svih stručnjaka za razvoj ili sigurnost WordPressa. Trenutno polovica ljudi na projektu WordPress radi za Automattic.

Ovaj tim stručnjaka odgovoran je za prepoznavanje sigurnosnih rizika u jezgri. Oni su također odgovorni za ispitivanje potencijalnih problema s temama ili dodacima koje su dostavile treće strane i za davanje preporuka o tome kako mogu ojačati svoje alate ili ispraviti poznata kršenja.

Iako obično rade sami kako bi identificirali i riješili te probleme, povremeno se savjetuju s drugim stručnjacima na tom području, osobito onima iz sigurnosnih i softverskih tvrtki.smještaj.

Kako WordPress identificira sigurnosne rizike

Kao što ste mogli očekivati, projektni tim WordPressa radi kao dobro podmazan stroj. Evo kako funkcionira postupak prepoznavanja i rješavanja sigurnosnih rizika:

  • Problem prepoznaje netko iz sigurnosnog tima ili izvan tima. Članovi koji nisu članovi projekta mogu otkriti ove otkrivene probleme slanjem e-pošte na [e-pošta zaštićena].
  • Snima se izvještaj, a sigurnosni tim potvrđuje primitak.
  • Članovi tima tada zajedno rade na privatnom poslužitelju kako bi provjerili je li prijetnja valjana.
  • Ovdje prate, testiraju i popravljaju otkrivene sigurnosne ranjivosti.
  • Sigurnosna zakrpa dodaje se sljedećoj verziji WordPress-a Minor.
  • Za manje ozbiljne popravke WordPress jednostavno obavještava korisnike WordPress nadzorne ploče kada se dogodi automatsko objavljivanje.
  • Za hitnija pitanja, post će odmah izaći, a WordPress.org će ga objaviti na stranici vijesti web stranice.

Naravno, kao što smo vidjeli s 4.7.2., WordPress ne najavljuje uvijek te sigurnosne ispravke (iz valjanih razloga), iako uvijek poduzimaju trenutne mjere kako bi ih riješili.

Napomena o automatskim ažuriranjima

Od verzije 3.7, WordPress ima mogućnost automatskog slanja manjih ažuriranja na sve web stranice. To osigurava da WordPressov tim za zaštitu može pravodobno dobiti hitne popravke i da neće morati čekati da se korisnici slože i ažuriraju na svakom od njihovih web mjesta.

Međutim, korisnici programa WordPress mogu isključiti ova automatska ažuriranja. Ako je ovo slučaj za vas, imajte na umu da to može ugroziti vašu web lokaciju, pogotovo ako nemate vremena marljivo nadzirati sve svoje web stranice kako biste saznali najnovije i najbolje ažuriranje.

Sigurnost dodataka i tema

Baš kao što je vaša odgovornost pružiti posjetiteljima bolje web iskustvo, programeri dodataka i WordPress teme su odgovorni za sigurnost svojih korisnika (tj. vas). Iako se WordPress ne može nositi s desecima tisuća dodataka i tema, oni ih barem mogu pomno pratiti kako bi bili sigurni da ništa ozbiljno ne promakne kroz pukotine.

WordPress projekt tim je koji je odgovoran za rad s programerima kada se otkrije sigurnosni problem. Prije toga, međutim, postoji tim volontera koji je zadužen za pregled svake teme ili dodatka prijavljenog na WordPress. Ovaj će tim surađivati ​​s programerima kako bi osigurao poštivanje najboljih praksi.

Međutim, sigurnosne ranjivosti i dalje mogu nastati i tada bi WordPressov sigurnosni tim trebao uskočiti u:

  • Osigurajte dokumentaciju za WordPress programere o razvoju dodataka i tema kao i o najboljim praksama u sigurnosti.
  • Nadgledajte dodatke i teme radi mogućih sigurnosnih rupa. Svaki otkriveni problem tada će biti upozoren programeru.
  • Uklonite štetne dodatke ili teme iz direktorija ako programeri ne odgovore ili ne surađuju.

WordPress će tada obavijestiti svoje korisnike putem administratora WordPressa kada su dostupni ti sigurnosni popravci (ili uklanjanje loših dodataka i tema).

Sigurnost WordPress-a zahtijeva vašu budnost

Nakon što sam prošao kroz sve ovo, malo mi je ugodnije kad znam da postoji posvećeni tim koji radi na tome da WordPressova jezgra uvijek bude sigurna. Međutim, to ne znači da bih se ja (ili vi) trebao uljuljkati u taj osjećaj samozadovoljstva.

Kao što smo vidjeli, čak i prošlog siječnja, s oštećenih 1,5 milijuna web stranica, bez obzira koliko je dobar projekt WordPress za nadgledanje i osiguravanje platforme, hakeri će pronaći rješenje.

Zbog toga je važno odigrati svoju ulogu u svemu tome i zaštititi web stranice iz svih kutova.

Objavi komentar

Vaša email adresa neće biti objavljena. Obavezna polja su označena *

Ova web stranica koristi Akismet kako bi smanjila neželjene. Saznajte više o načinu upotrebe podataka o vašim komentarima.