Je WordPress spolehlivým softwarem?

, vyrábí jej Blair Jersyer | WordPress News, Blog a tipy

Otázka, zda je WordPress bezpečný, je komplikovaná. I když je to zjevně dostatečně zabezpečená platforma pro zhruba čtvrtinu všech webů využívajících WordPress po celém světě, není to bez chyb.
Kdo je tedy odpovědný za bezpečnost WordPress? Část této odpovědnosti nakonec samozřejmě spadá vos ramena. Proto je důležité si toho být vědom a respektovat ho Doporučené postupy zabezpečení WordPress aby všechny weby, které vytváříte, byly co nejbezpečnější.

Tým WordPressu má však za to všechno také určitou odpovědnost. Koneckonců, nemůžete udělat nic, abyste si sami ochránili jádro WordPressu.

Pokud vás otázka zabezpečení WordPress trápí stejně jako kdokoli, kdo se snaží obchodovat online, čtěte dále.

Budu hovořit o části příběhu o bezpečnostních problémech WordPress a o tom, co s tím dělá projekt WordPress.

Stručná historie problémů se zabezpečením WordPress

Problém nemusí nutně spočívat v tom, že WordPress je slabý systém pro správu obsahu, náchylný k pokusům o hackerství a bezpečnostní díry. Je to spíše problém s viditelností. WordPress je nejpopulárnější CMS na celém světě, takže bude samozřejmě snadným terčem hackerů.

WordPress je běžně kritizován online (v blogy, fóra, podcasty atd..). Proto jsou slabiny platformy dobře známy. Dalo by tedy smysl, aby se hackeři primárně zaměřovali na weby WordPress, že?

Bezpečnost je hlavním tématem pro všechny WordPress blog nebo vývoj webu. Podle projektu WordPress (tým zodpovědný za správu bezpečnosti platformy) vydávají bezpečnostní záplaty neustále. Znáte ta upozornění na automatické aktualizace, která dostanete, když se přihlásíte do řídicího panelu? "WordPress byl aktualizován na 4.7.2" nebo něco takového? No, obvykle, když vidíte vycházet tyto menší verze, je to proto, že tým musel opravit bezpečnostní problém.

A tyto se často stávají:

La porušení údajů společnosti Panama Papers z 2016 bylo zčásti přičítáno zranitelnosti v zásuvném modulu Revolution Slider WordPress.

To znamená, že je uklidňující vidět, jak WordPress zpracoval velmi nedávné a významné narušení zabezpečení vyplývající z rozhraní REST API.

Zde je návod, jak to šlo:

  • V lednu 2017 WordPress vydal aktualizaci 4.7.2. Oprava zabezpečení nebyla nikde uvedena v seznamu aktualizací nebo oprav.
  • Asi o týden později WordPress informoval uživatele, že v této aktualizaci skutečně byla zjištěna a opravena bezpečnostní chyba.
  • Důvod, který uvedli pro zpoždění při upozorňování uživatelů? Protože jim chtěli dát čas na aktualizaci jádra, než hackeři věděli, že o tom WordPress věděl, a problém vyřešili.

To samozřejmě nezastavilo hackery, aby mezitím znetvořili 1,5 milionu webů WordPress. Existují také uživatelé WordPress, kteří nikdy neaktualizovali CMS (nebo tak učinili příliš pozdě), kteří zůstali zranitelní útokem.

Takže i když WordPress nakonec vydal patch a zacházeli s reklamou s tolik potřebným taktem, během procesu bylo zraněno více než milion webů. A co je horší, mnoho majitelů webových stránek i nadále ignorovalo tuto degradaci, i když k ní došlo.

Bezpečnostní záplaty Zdá se, že vycházejí častěji, s nejvyšší mírou zneužívání v roce 2015. Jak se jich stále více objevuje, je důležité vědět, kdo je zodpovědný za zabezpečení WordPressu a co můžete na svém konci dělat, abyste se ujistili, že jste chráněni.

security wordpress.png

Co potřebujete vědět o projektu WordPress (a jeho zabezpečení)

Zde je to, co potřebujete vědět o projektu WordPress a o tom, pro co dělají udržovat zabezpečení jádra .

Tým zabezpečení WordPress

Nejprve si promluvme o projektu WordPress. Tento bezpečnostní tým se skládá z přibližně 25 lidí, všech odborníků na vývoj nebo zabezpečení WordPress. V současné době polovina lidí v projektu WordPress pracuje pro společnost Automattic.

Tento tým odborníků je zodpovědný za identifikaci bezpečnostních rizik v jádře. Jsou také zodpovědní za zkoumání potenciálních problémů s tématy nebo pluginy předloženými třetími stranami a za doporučení, jak mohou posílit své nástroje nebo napravit známá porušení.

Přestože na identifikaci a řešení těchto problémů obvykle pracují sami, příležitostně konzultují další odborníky v oboru, zejména odborníky z bezpečnostních a softwarových společností.ubytování.

Jak WordPress identifikuje bezpečnostní rizika

Jak můžete očekávat, projektový tým WordPress běží jako dobře naolejovaný stroj. Postup identifikace a řešení bezpečnostních rizik funguje takto:

  • Problém identifikuje někdo z bezpečnostního týmu nebo mimo tým. Členové, kteří nejsou členy projektu, mohou tyto zjištěné problémy komunikovat zasláním e-mailu na adresu [chráněno e-mailem].
  • Zaznamená se zpráva a bezpečnostní tým potvrdí přijetí.
  • Členové týmu poté soukromě spolupracují na soukromém serveru, aby ověřili, zda je hrozba platná.
  • Zde sledují, testují a opravují zjištěné chyby zabezpečení.
  • Oprava zabezpečení je poté přidána do další verze WordPress Minor.
  • Pro méně závažné opravy WordPress jednoduše upozorní uživatele řídicího panelu WordPress, když dojde k automatickému zveřejnění příspěvku.
  • V naléhavějších případech bude příspěvek okamžitě zveřejněn a WordPress.org jej oznámí na stránce Zprávy webu.

Samozřejmě, jak jsme viděli u 4.7.2., WordPress ne vždy oznamuje tyto opravy zabezpečení (z platných důvodů), i když vždy podniknou okamžité kroky k jejich vyřešení.

Poznámka k automatickým aktualizacím

Od verze 3.7 má WordPress schopnost automaticky odesílat drobné aktualizace na všechny webové stránky. Tím je zajištěno, že tým zabezpečení WordPress může získat urgentní opravy včas a nemusí čekat na souhlas uživatelů a aktualizaci na každém z jejich webů.

Uživatelé WordPressu je však možné tyto automatické aktualizace vypnout. Pokud je to váš případ, uvědomte si, že to může váš web ohrozit, zvláště pokud nemáte čas na důsledné monitorování všech svých webů, abyste získali nejnovější a nejlepší aktualizaci.

Zabezpečení pluginů a témat

Stejně jako je vaší povinností poskytnout návštěvníkům lepší webovou zkušenost, vývojáři pluginů a Témata WordPress jsou zodpovědní za bezpečnost svých uživatelů (tedy vás). Přestože si WordPress s desítkami tisíc pluginů a témat neporadí, může je alespoň bedlivě sledovat, aby se ujistil, že nic vážného neproklouzlo.

Projekt WordPress je tým odpovědný za spolupráci s vývojáři, když je zjištěn problém se zabezpečením. Před tím je však přidělen tým dobrovolníků, který kontroluje každé téma nebo plugin odeslaný na WordPress. Tento tým bude spolupracovat s vývojáři, aby zajistil dodržování osvědčených postupů.

Stále však mohou nastat bezpečnostní chyby, a to je situace, kdy by měl bezpečnostní tým WordPress zasáhnout:

  • Poskytněte dokumentaci vývojářům WordPressu o vývoji zásuvných modulů a témat ao osvědčených postupech v oblasti zabezpečení.
  • Monitorujte doplňky a motivy, zda neobsahují bezpečnostní mezery. Jakýkoli zjištěný problém bude poté oznámen vývojáři.
  • Pokud vývojáři nereagují nebo nespolupracují, odeberte z adresáře škodlivé doplňky nebo motivy.

WordPress poté prostřednictvím administrátora WordPress upozorní své uživatele, až budou k dispozici tyto opravy zabezpečení (nebo odstranění chybných pluginů a motivů).

Zabezpečení WordPress vyžaduje vaši ostražitost

Po absolvování toho všeho mi je trochu příjemnější vědět, že existuje specializovaný tým, který neustále pracuje na zabezpečení jádra WordPress. To však neznamená, že bych měl (nebo vy) ukolébat ten pocit uspokojení.

Jak jsme viděli, i letos v lednu, s poškozením 1,5 milionu webových stránek, bez ohledu na to, jak dobrý je projekt WordPress pro monitorování a zabezpečení platformy, hackeři najdou řešení.

Proto je důležité v tom všem hrát svoji roli a udržovat své stránky zabezpečené ze všech úhlů.

Přidat komentář

Vaše e-mailová adresa nebude zveřejněna. Povinné položky jsou označeny *

Tato stránka používá společnost Akismet ke snížení nežádoucích účinků. Přečtěte si další informace o tom, jak se používají vaše komentáře.