Teamet bag WordPress har dog også noget ansvar i alt dette. Når alt kommer til alt er der intet, du kan gøre for at beskytte kernen i WordPress selv.
Hvis spørgsmålet om WordPress-sikkerhed generer dig lige så meget som enhver, der prøver at gøre forretninger online, skal du fortsætte med at læse følgende.
Jeg vil tale om en del af historien om WordPress-sikkerhedsproblemer, og hvad WordPress-projektet gør ved det.
En kort historie med WordPress-sikkerhedsproblemer
Problemet er ikke nødvendigvis, at WordPress er et svagt indholdsstyringssystem, der er tilbøjeligt til hackingsforsøg og sikkerhedshuller. Det er mere sandsynligt et synlighedsproblem. WordPress er det mest populære CMS i hele verden, så det bliver selvfølgelig et let mål for hackere.
WordPress kritiseres ofte online (i blogs, fora, podcasts osv..). Derfor er platformens svagheder velkendte. Det ville da give mening, at hackere primært ville målrette mod WordPress-websteder, ikke?
Sikkerhed er et vigtigt diskussionspunkt for alle WordPress blog eller webudvikling. Ifølge WordPress-projektet (teamet, der er ansvarligt for at administrere platformens sikkerhed), frigiver de sikkerhedsrettelser hele tiden. Kender du de meddelelser om automatisk opdatering, du får, når du logger ind på dashboardet? "WordPress er blevet opdateret til 4.7.2" eller sådan noget? Nå, normalt når du ser disse mindre udgivelser komme ud, er det fordi holdet skulle løse et sikkerhedsproblem.
Og det sker ofte:
La overtrædelse af Panama Papers data til fra 2016 blev delvis tilskrevet en sårbarhed i et Revolution Slider WordPress-plugin.
Når det er sagt, er det betryggende at se, hvordan WordPress håndterede en meget nylig og højt profileret sikkerhedsbrud, der stammer fra REST API.
Sådan gik tingene:
- I januar 2017 udgav WordPress opdatering 4.7.2. Intetsteds på listen over opdateringer eller rettelser blev sikkerhedsopdateringen nævnt.
- Omkring en uge senere informerede WordPress brugerne om, at der faktisk var opdaget og rettet en sikkerhedsfejl i denne opdatering.
- Årsagen, de gav for forsinkelsen med at underrette brugere? Fordi de ønskede at give dem tid til at opdatere kernen, før hackerne vidste, at WordPress vidste om det og løste problemet.
Selvfølgelig har det ikke forhindret hackere i at skæve 1,5 millioner WordPress-sider i mellemtiden. Der er også WordPress-brugere, der aldrig opdaterede CMS (eller gjorde det for sent), der forblev sårbare over for angrebet.
Så selvom et program til sidst blev frigivet af WordPress, og de håndterede annoncen med den meget nødvendige takt, blev over en million sider såret i processen. Og værre, mange webstedsejere fortsatte med at ignorere denne nedbrydning, selv efter at det skete.
Sikkerhedsrettelser synes at komme hyppigere ud med den højeste andel af misbrug i 2015. Da flere og flere af disse forekommer, er det vigtigt for dig at vide, hvem der er ansvarlig for at sikre WordPress, og hvad du kan gøre i din ende, for at sikre dig, at du er beskyttet.
Hvad du har brug for at vide om WordPress-projektet (og dets sikkerhed)
Her er hvad du har brug for at vide om WordPress-projektet, og hvad de gør for opretholde kernelsikkerhed .
WordPress-sikkerhedsteamet
Lad os først tale om WordPress-projektet. Dette sikkerhedsteam består af omkring 25 personer, alle eksperter i udvikling eller sikkerhed af WordPress. I øjeblikket arbejder halvdelen af folk på WordPress-projektet for Automattic.
Dette eksperthold er ansvarlig for at identificere sikkerhedsrisici i kernen. De er også ansvarlige for at undersøge potentielle problemer med temaer eller plugins indsendt af tredjeparter og for at komme med anbefalinger til, hvordan de kan hærde deres værktøjer eller rette kendte overtrædelser.
Selvom de normalt arbejder alene for at identificere og løse disse problemer, rådfører de sig lejlighedsvis med andre eksperter på området, især dem fra sikkerhedsfirmaer ogovernatning.
Hvordan WordPress identificerer sikkerhedsrisici
Som du måske forventer, kører WordPress-projektteamet som en velsmurt maskine. Sådan fungerer processen med at identificere og løse sikkerhedsrisici:
- Et problem identificeres af nogen fra sikkerhedsteamet eller uden for teamet. Medlemmer, der ikke er medlemmer af projektet, kan kommunikere disse opdagede problemer ved at sende en e-mail til [e-mail beskyttet].
- En rapport registreres, og sikkerhedsteamet bekræfter modtagelsen.
- Teammedlemmer arbejder derefter sammen på en privat server privat for at kontrollere, at truslen er gyldig.
- Det er her, de sporer, tester og reparerer opdagede sikkerhedssårbarheder.
- Sikkerhedsrettelsen tilføjes derefter til den næste version af WordPress Minor.
- For mindre alvorlige reparationer underretter WordPress simpelthen WordPress-dashboardbrugere, når der opstår et automatisk indlæg.
- For mere presserende forhold vil indlægget straks gå ud, og WordPress.org vil annoncere det på webstedets nyhedsside.
Selvfølgelig, som vi så med 4.7.2., Annoncerer WordPress ikke altid disse sikkerhedsrettelser (af gyldige grunde), selvom de altid tager øjeblikkelig handling for at løse dem.
Bemærk om automatiske opdateringer
Siden version 3.7 har WordPress muligheden for automatisk at sende mindre opdateringer til alle websteder. Dette sikrer, at WordPress-sikkerhedsteamet kan få presserende rettelser i tide og ikke behøver at vente på, at brugerne accepterer og opdaterer på hver af deres websteder.
Det er dog muligt for WordPress-brugere at slå disse automatiske opdateringer fra. Hvis dette er tilfældet for dig, skal du være opmærksom på, at det kan sætte dit websted i fare, især hvis du ikke har tid til omhyggeligt at overvåge alle dine websteder for at få den nyeste og bedste opdatering.
Sikkerhed af plugins og temaer
Ligesom det er dit ansvar at give de besøgende en bedre weboplevelse, udviklere af plugins og WordPress-temaer er ansvarlige for sikkerheden for deres brugere (dvs. dig). Selvom WordPress ikke kan håndtere de titusindvis af plugins og temaer, kan de i det mindste holde et vågent øje med dem for at sikre, at intet seriøst kan glide igennem sprækkerne.
WordPress-projektet er det team, der er ansvarligt for at arbejde med udviklere, når et sikkerhedsproblem opdages. Forud for det er der dog et team af frivillige, der har til opgave at gennemgå hvert tema eller plugin, der sendes til WordPress. Dette team vil arbejde med udviklere for at sikre, at bedste praksis følges.
Der kan dog stadig opstå sikkerhedssårbarheder, og det er her WordPress-sikkerhedsteamet skal træde ind for at:
- Giv dokumentation til WordPress-udviklere om udvikling af plugins og temaer samt om bedste praksis inden for sikkerhed.
- Overvåg plugins og temaer for mulige sikkerhedshuller. Ethvert opdaget problem vil derefter blive gjort opmærksom på udvikleren.
- Fjern skadelige plugins eller temaer fra biblioteket, hvis udviklere ikke reagerer eller samarbejder.
WordPress underretter derefter sine brugere via WordPress-administratoren, når disse sikkerhedsrettelser (eller fjernelse af dårlige plugins og temaer) er tilgængelige.
WordPress-sikkerhed kræver din årvågenhed
Efter at have gennemgået alt dette gør det mig lidt mere behagelig at vide, at der er et dedikeret team, der arbejder på at holde WordPress-kernen til enhver tid. Det betyder dog ikke, at jeg (eller dig) skal lulles ind i den følelse af selvtilfredshed.
Som vi har set, selv i sidste januar, med de 1,5 millioner websteder beskadiget, uanset hvor godt WordPress-projektet er til at overvåge og sikre platformen, vil hackere finde en løsning.
Derfor er det vigtigt at spille din rolle i alt dette og holde dine websteder sikre fra alle vinkler.
