Тем не менее, команда, стоящая за WordPress, также несет определенную ответственность за все это. В конце концов, вы ничего не можете сделать, чтобы защитить ядро WordPress самостоятельно.
Если вопрос безопасности WordPress беспокоит вас так же, как и любого, кто пытается вести бизнес в Интернете, продолжайте читать следующее.
Я собираюсь рассказать часть истории о проблемах безопасности WordPress и о том, что проект WordPress делает с этим.
Краткая история проблем безопасности WordPress
Проблема не обязательно в том, что WordPress - слабая система управления контентом, склонная к попыткам взлома и дырам в безопасности. Скорее всего, проблема с видимостью. WordPress - самая популярная CMS в мире, поэтому, конечно, она станет легкой мишенью для хакеров.
WordPress обычно критикуют онлайн (в блогах, форумах, подкастах и т. д..). Таким образом, недостатки платформы хорошо известны. Тогда имело бы смысл, что хакеры будут в первую очередь нацеливаться на сайты WordPress, не так ли?
Безопасность – главный вопрос для всех WordPress блог или веб-разработки. Согласно проекту WordPress (команда, отвечающая за управление безопасностью платформы), они постоянно выпускают исправления безопасности. Вы знаете те уведомления об автоматических обновлениях, которые вы получаете, когда входите в панель управления? «WordPress обновлен до 4.7.2» или что-то в этом роде? Что ж, обычно, когда вы видите эти второстепенные релизы, это потому, что команде нужно было исправить проблему безопасности.
И это часто случается:
La нарушение данных Панамских документов в от 2016, частично, был приписан уязвимости в плагине Revolution Slider WordPress.
Тем не менее, обнадеживает то, как WordPress справился с недавним и громким нарушением безопасности, вызванным REST API.
Вот как все прошло:
- В январе 2017 года WordPress выпустил обновление 4.7.2. Патч безопасности нигде в списке обновлений или исправлений не упоминается.
- Примерно через неделю WordPress сообщил пользователям, что в этом обновлении действительно была обнаружена и исправлена ошибка безопасности.
- Причину задержки с уведомлением пользователей они назвали? Потому что они хотели дать им время обновить ядро до того, как хакеры узнают, что WordPress знает об этом и исправит проблему.
Конечно, это не помешало хакерам тем временем обезобразить 1,5 миллиона сайтов WordPress. Есть также пользователи WordPress, которые никогда не обновляли CMS (или сделали это слишком поздно), но остались уязвимыми для атаки.
Таким образом, несмотря на то, что WordPress в конечном итоге выпустил патч и они отнеслись к рекламе с должным тактом, более миллиона сайтов были повреждены в процессе. И, что еще хуже, многие владельцы веб-сайтов продолжали игнорировать эту деградацию даже после того, как это произошло.
Патчи безопасности кажутся более частыми, с самым высоким уровнем злоупотреблений в 2015 году. По мере того, как их становится все больше и больше, для вас важно знать, кто отвечает за безопасность WordPress и что вы можете сделать со своей стороны, чтобы убедиться, что вы защищены.
Что нужно знать о проекте WordPress (и его безопасности)
Вот что вам нужно знать о проекте WordPress и о том, для чего они нужны поддерживать безопасность ядра .
Команда безопасности WordPress
Сначала поговорим о проекте WordPress. Эта группа безопасности состоит из примерно 25 человек, все они являются экспертами в области разработки или безопасности WordPress. В настоящее время половина людей в проекте WordPress работают в Automattic.
Эта группа экспертов отвечает за выявление угроз безопасности в ядре. Они также несут ответственность за изучение потенциальных проблем с темами или плагинами, предоставленными третьими сторонами, и за предоставление рекомендаций о том, как они могут усилить свои инструменты или исправить известные нарушения.
Хотя они обычно работают в одиночку над выявлением и решением этих проблем, иногда они консультируются с другими экспертами в этой области, особенно из охранных компаний и организаций.Hébergement.
Как WordPress определяет угрозы безопасности
Как и следовало ожидать, команда проекта WordPress работает как хорошо отлаженная машина. Вот как работает процесс выявления и устранения угроз безопасности:
- Проблема обнаружена кем-то из группы безопасности или вне группы. Участники, не являющиеся участниками проекта, могут сообщить об обнаруженных проблемах, отправив электронное письмо по адресу [электронная почта защищена].
- Отчет записывается, и служба безопасности подтверждает его получение.
- Затем члены группы работают вместе на частном сервере в частном порядке, чтобы убедиться, что угроза действительна.
- Именно здесь они отслеживают, тестируют и устраняют обнаруженные уязвимости безопасности.
- Затем исправление безопасности добавляется в следующую версию WordPress Minor.
- Для менее серьезного ремонта WordPress просто уведомляет пользователей панели управления WordPress, когда происходит автоматическая публикация.
- По более срочным вопросам сообщение будет немедленно отправлено, и WordPress.org объявит об этом на странице новостей сайта.
Конечно, как мы видели в 4.7.2., WordPress не всегда объявляет об этих исправлениях безопасности (по уважительным причинам), хотя они всегда принимают немедленные меры для их устранения.
Обратите внимание на автоматические обновления
Начиная с версии 3.7 WordPress имеет возможность автоматически отправлять незначительные обновления на все веб-сайты. Это гарантирует, что команда безопасности WordPress может своевременно получать срочные исправления и не ждать, пока пользователи согласятся и обновятся на каждом из своих веб-сайтов.
Однако пользователи WordPress могут отключить эти автоматические обновления. Если это так для вас, имейте в виду, что это может поставить ваш сайт под угрозу, особенно если у вас нет времени внимательно следить за всеми вашими сайтами на предмет последних и наиболее важных обновлений.
Безопасность плагинов и тем
Точно так же, как вы несете ответственность за предоставление посетителям лучшего веб-сайта, разработчики плагинов и Темы WordPress несут ответственность за безопасность своих пользователей (т.е. вас). Хотя WordPress не может работать с десятками тысяч плагинов и тем, они могут, по крайней мере, внимательно следить за ними, чтобы убедиться, что ничего серьезного не ускользнет.
Проект WordPress - это команда, отвечающая за работу с разработчиками при обнаружении проблем с безопасностью. Однако до этого есть команда добровольцев, которым поручено проверять каждую тему или плагин, отправленный в WordPress. Эта команда будет работать с разработчиками, чтобы обеспечить соблюдение передовых практик.
Тем не менее, уязвимости в системе безопасности все еще могут возникнуть, и именно тогда команда безопасности WordPress должна вмешаться, чтобы:
- Предоставить документацию для разработчиков WordPress по разработке плагинов и тем, а также по передовым практикам в области безопасности.
- Следите за плагинами и темами на предмет возможных дыр в безопасности. Любая обнаруженная проблема будет доведена до сведения разработчика.
- Удалите вредоносные плагины или темы из каталога, если разработчики не отвечают или не сотрудничают.
Затем WordPress будет уведомлять своих пользователей через администратора WordPress, когда доступны эти исправления безопасности (или удаление плохих плагинов и тем).
Безопасность WordPress требует вашей бдительности
Пройдя через все это, я чувствую себя более комфортно, зная, что есть специальная команда, работающая над постоянным обеспечением безопасности ядра WordPress. Однако это не значит, что я (или вы) должны испытывать чувство самоуспокоенности.
Как мы видели, даже в январе этого года, когда было повреждено 1,5 миллиона веб-сайтов, независимо от того, насколько хорош проект WordPress для мониторинга и защиты платформы, хакеры найдут решение.
Вот почему так важно играть во всем этом свою роль и обеспечивать безопасность ваших сайтов со всех сторон.
