Пропустить

Является ли WordPress надежным программным обеспечением?

Divi: самая простая тема WordPress для использования

Divi: Лучшая тема WordPress всех времен!

Более Загрузка 600.000, Divi - самая популярная тема WordPress в мире. Он является полным, простым в использовании и поставляется с более чем бесплатными шаблонами 62. [Рекомендуется]

Вопрос о безопасности WordPress сложен. Хотя это, конечно, достаточно безопасная платформа для примерно четверти всех сайтов на WordPress по всему миру, она не лишена недостатков.
Итак, кто несет ответственность за безопасность WordPress? Конечно, часть этой ответственности в конечном итоге ложится на Вос плечи. Вот почему важно знать и уважать Лучшие практики безопасности WordPress чтобы все создаваемые вами сайты были максимально безопасными.

Тем не менее, команда WordPress также несет определенную ответственность за все это. Ведь вы ничего не можете сделать, чтобы защитить ядро ​​WordPress самостоятельно.

Если вопрос безопасности WordPress беспокоит вас так же, как и любого, кто пытается вести бизнес в Интернете, продолжайте читать следующее.

Я собираюсь рассказать о части истории о проблемах безопасности WordPress и о том, что делает с этим проект WordPress.

Краткая история проблем безопасности WordPress

Проблема не обязательно в том, что WordPress является слабой системой управления контентом, склонной к попыткам взлома и нарушениям безопасности. Это скорее проблема видимости. WordPress - самая популярная CMS в мире, поэтому, конечно, она станет легкой мишенью для хакеров.

WordPress обычно критикуют онлайн (в блогах, форумах, подкастах и ​​т. д..). Поэтому слабые стороны платформы хорошо известны. Тогда было бы логично, чтобы хакеры ориентировались в первую очередь на сайты WordPress, не так ли?

Безопасность - главная тема обсуждения для любого блога WordPress или веб-разработки. Согласно проекту WordPress (команда, отвечающая за управление безопасностью платформы), они постоянно выпускают исправления безопасности. Знаете ли вы эти автоматические уведомления об обновлениях, которые вы получаете при входе в панель управления? "WordPress обновлен до 4.7.2" или что-то? Ну, обычно, когда вы видите, что выходят эти второстепенные релизы, это потому, что команда должна была решить проблему безопасности.

И это часто случается:

La нарушение данных Панамских документов в от 2016, частично, был приписан уязвимости в плагине Revolution Slider WordPress.

Тем не менее, отрадно видеть, как WordPress справился с недавним крупномасштабным нарушением безопасности, возникающим из-за REST API.

Начните продвигать свой блог

Загрузите десятки логотипов, баннеров, шаблонов веб-сайтов и многих других маркетинговых инструментов для продвижения вашего блога WordPress. [Рекомендуется]

Вот как все прошло:

  • В январе 2017 WordPress выпустил обновление 4.7.2. Нигде в списке обновлений или исправлений не упоминалось исправление безопасности.
  • Примерно через неделю WordPress сообщил пользователям, что в этом обновлении действительно была обнаружена и исправлена ​​ошибка безопасности.
  • Причину они дали за задержку в уведомлении пользователей? Потому что они хотели дать им время обновить ядро, прежде чем хакеры узнали, что WordPress знал и решил проблему.

Конечно, это не помешало хакерам изуродовать 1,5 миллионами сайтов WordPress. Есть также пользователи WordPress, которые никогда не обновляли CMS (или делали это слишком поздно), которые оставались уязвимыми для атаки.

Таким образом, даже несмотря на то, что WordPress наконец-то выпустил патч, и они обрабатывали рекламу с крайне необходимым тактом, более миллиона сайтов пострадали в процессе. И, что еще хуже, многие владельцы сайтов продолжают игнорировать эту деградацию даже после того, как это произошло.

Патчи безопасности кажется, выходят чаще, поскольку 2015 имеет самый высокий уровень злоупотреблений. По мере того, как все больше и больше таких событий происходит, вам важно знать, кто отвечает за защиту WordPress и что вы можете сделать на своей стороне, чтобы убедиться, что вы защищены.

security wordpress.png

Что нужно знать о проекте WordPress (и его безопасности)

Вот что вам нужно знать о проекте WordPress и о том, что они делают для поддерживать безопасность ядра .

Команда безопасности WordPress

Сначала поговорим о проекте WordPress. Эта команда безопасности состоит из примерно 25 людей, всех экспертов в области разработки или безопасности WordPress. В настоящее время половина людей в проекте WordPress работает на Automattic.

Эта команда экспертов отвечает за выявление угроз безопасности в ядре. Они также несут ответственность за рассмотрение потенциальных проблем с темами или плагинами, предоставленными третьими сторонами, и за предоставление рекомендаций о том, как они могут укрепить свои инструменты или исправить известные нарушения.

Хотя они обычно работают в одиночку, чтобы выявить и решить эти проблемы, они иногда консультируются с другими экспертами в этой области, особенно с экспертами в области безопасности и хостинговых компаний.

Легко создайте свой сайт с Elementor

Elementor позволяет легко создать любой дизайн сайта с профессиональным дизайном. Прекратите платить дорого за то, что вы можете сделать сами. [Free]

Как WordPress определяет угрозы безопасности

Как и следовало ожидать, команда проекта WordPress работает как хорошо смазанная машина. Вот как работает процесс выявления и устранения угроз безопасности:

  • Проблема обнаружена кем-то из команды безопасности или из-за пределов команды. Участники, не являющиеся участниками проекта, могут сообщить об обнаруженных проблемах, отправив электронное письмо на адрес [Электронная почта защищена]
  • Отчет записывается, и служба безопасности подтверждает получение.
  • Затем члены группы работают вместе на частном сервере в частном порядке, чтобы убедиться, что угроза действительна.
  • Здесь они отслеживают, тестируют и исправляют обнаруженные уязвимости.
  • Затем исправление безопасности добавляется в следующую версию WordPress Minor.
  • Для менее серьезных исправлений WordPress просто предупреждает пользователей панели управления WordPress о автоматической публикации.
  • По более неотложным вопросам публикация будет выпущена немедленно, и WordPress.org объявит об этом на странице новостей сайта.

Конечно, как мы видели в 4.7.2., WordPress не всегда рекламирует эти исправления безопасности (по уважительным причинам), хотя они всегда предпринимают немедленные шаги для их устранения.

Обратите внимание на автоматические обновления

Начиная с версии 3.7, WordPress имеет возможность автоматически отправлять незначительные обновления на все веб-сайты. Это гарантирует, что команда безопасности WordPress сможет своевременно получать срочные исправления и не будет ждать, пока пользователи примут и обновят каждый из своих веб-сайтов.

Однако пользователи WordPress могут отключить эти автоматические обновления. Если это так, знайте, что это может подвергнуть риску ваш сайт, особенно если у вас нет времени на тщательный мониторинг всех ваших сайтов на предмет последних и самых последних обновлений.

Безопасность плагинов и тем

Так же, как вы несете ответственность за предоставление посетителям лучшего веб-интерфейса, разработчики плагинов и тем WordPress несут ответственность за безопасность своих пользователей (то есть вас). Хотя WordPress не может обрабатывать десятки тысяч плагинов и тем, они могут по крайней мере внимательно следить за ними, чтобы убедиться, что ничего серьезного не может попасть в трещины.

Проект WordPress - это команда, отвечающая за работу с разработчиками при обнаружении проблем с безопасностью. До этого, однако, есть команда добровольцев, назначенных для проверки каждой темы или плагина, представленных в WordPress. Эта команда будет работать с разработчиками, чтобы обеспечить соблюдение передового опыта.

Тем не менее, уязвимости безопасности все еще могут возникать, и именно в этот момент группа безопасности WordPress должна вмешаться в:

  • Предоставить документацию для разработчиков WordPress по разработке плагинов и тем, а также по передовым практикам в области безопасности.
  • Следите за плагинами и темами для выявления уязвимостей в безопасности. Любая обнаруженная проблема будет доведена до сведения разработчика.
  • Удалите вредоносные плагины или темы из каталога, если разработчики не отвечают или не сотрудничают.

WordPress затем сообщит своим пользователям через администратора WordPress, когда будут доступны эти исправления безопасности (или удаление плохих плагинов и тем).

Вы ищете лучшие темы и плагины WordPress?

Загрузите лучшие плагины и темы WordPress на Envato и легко создайте свой сайт. Уже больше, чем 49.720.000. [ЭКСКЛЮЗИВ]

Безопасность WordPress требует вашей бдительности

Изучив все это, я чувствую себя немного более комфортно, зная, что есть специальная команда, которая постоянно работает над безопасностью ядра WordPress. Однако это не означает, что я (или вы) должны быть утешены этим чувством самодовольства.

Как мы видели, даже в январе прошлого года, когда 1,5 повредил миллионы веб-сайтов, независимо от того, насколько хорош проект WordPress для мониторинга и защиты платформы, хакеры найдут решение.

Вот почему важно играть свою роль во всем этом и защищать свои сайты со всех сторон.

Эта статья содержит комментарии 0

Оставить комментарий

Ваш электронный адрес не будет опубликован. Обязательные для заполнения поля помечены *

Этот сайт использует Akismet для уменьшения нежелательности. Узнайте больше о том, как используются ваши комментарии.

Вверх
3 акции
доля2
чирикать1
Регистрация