Teamet bak WordPress har imidlertid også noe ansvar i alt dette. Tross alt er det ingenting du kan gjøre for å beskytte kjernen til WordPress selv.
Hvis spørsmålet om WordPress-sikkerhet plager deg like mye som alle som prøver å gjøre forretninger på nettet, fortsett å lese følgende.
Jeg skal snakke om en del av historien om WordPress-sikkerhetsproblemer og hva WordPress-prosjektet gjør med det.
En kort historie med WordPress sikkerhetsproblemer
Problemet er ikke nødvendigvis at WordPress er et svakt innholdsstyringssystem, utsatt for hackingsforsøk og sikkerhetshull. Det er mer sannsynlig et synlighetsproblem. WordPress er det mest populære CMS over hele verden, så selvfølgelig kommer det til å være et enkelt mål for hackere.
WordPress blir ofte kritisert på nettet (i blogger, fora, podcaster, etc..). Derfor er svakhetene ved plattformen kjent. Det ville da være fornuftig at hackere først og fremst ville målrette WordPress-nettsteder, ikke sant?
Sikkerhet er et viktig samtalepunkt for alle WordPress blog eller webutvikling. I følge WordPress-prosjektet (teamet som er ansvarlig for å administrere sikkerheten til plattformen), slipper de sikkerhetsoppdateringer hele tiden. Du vet de automatiske oppdateringsvarslene du får når du logger på dashbordet? "WordPress har blitt oppdatert til 4.7.2" eller noe sånt? Vel, vanligvis når du ser disse mindre utgivelsene komme ut, er det fordi teamet måtte fikse et sikkerhetsproblem.
Og dette skjer ofte:
La brudd på Panama Papers data til fra 2016 ble delvis tilskrevet en sårbarhet i et Revolution Slider WordPress-plugin.
Når det er sagt, er det betryggende å se hvordan WordPress håndterte et veldig nylig og høyt profilert sikkerhetsbrudd som stammer fra REST API.
Slik gikk det:
- I januar 2017 ga WordPress ut oppdatering 4.7.2. Ingensteds i listen over oppdateringer eller reparasjoner ble sikkerhetsoppdateringen nevnt.
- Omtrent en uke senere informerte WordPress brukere om at det faktisk var en sikkerhetsfeil oppdaget og rettet i denne oppdateringen.
- Årsaken de ga for forsinkelsen med å varsle brukere? Fordi de ønsket å gi dem tid til å oppdatere kjernen før hackerne visste at WordPress visste om det og løste problemet.
Selvfølgelig har det ikke stoppet hackere fra å skjemme 1,5 millioner WordPress-nettsteder i mellomtiden. Det er også de WordPress-brukerne som aldri oppdaterte CMS (eller gjorde det for sent) som forble sårbare for angrepet.
Så selv om en oppdatering til slutt ble utgitt av WordPress, og de håndterte kunngjøringen med sårt tiltrengt takt, ble over en million nettsteder skadet i prosessen. Og verre, mange eiere fortsatte å ignorere denne nedbrytningen selv etter at den hadde skjedd.
Sikkerhetsoppdateringer ser ut til å komme ut oftere, med den høyeste misbruksfrekvensen i 2015. Ettersom flere og flere av disse forekommer, er det viktig for deg å vite hvem som er ansvarlig for å sikre WordPress og hva du kan gjøre på slutten, for å sikre at du er beskyttet.
Hva du trenger å vite om WordPress-prosjektet (og dets sikkerhet)
Her er hva du trenger å vite om WordPress-prosjektet og hva de gjør for opprettholde kjernesikkerhet .
WordPress-sikkerhetsteamet
La oss først snakke om WordPress-prosjektet. Dette sikkerhetsteamet består av rundt 25 personer, alle eksperter på utvikling eller sikkerhet av WordPress. For tiden jobber halvparten av personene på WordPress-prosjektet for Automattic.
Dette teamet av eksperter er ansvarlig for å identifisere sikkerhetsrisikoer i kjernen. De er også ansvarlige for å undersøke potensielle problemer med temaer eller plugins sendt inn av tredjeparter og komme med anbefalinger om hvordan de kan herde verktøyene sine eller korrigere kjente brudd.
Selv om de vanligvis jobber alene for å identifisere og løse disse problemene, rådfører de seg av og til med andre eksperter på området, spesielt de fra sikkerhetsselskaper ogovernatting.
Hvordan WordPress identifiserer sikkerhetsrisikoer
Som du kanskje forventer, kjører WordPress-prosjektgruppen som en velsmurt maskin. Slik fungerer prosessen med å identifisere og løse sikkerhetsrisiko:
- Et problem identifiseres av noen fra sikkerhetsteamet eller utenfor teamet. Medlemmer som ikke er medlemmer av prosjektet, kan kommunisere disse oppdagede problemene ved å sende en e-post til [e-postbeskyttet].
- En rapport blir registrert og sikkerhetsteamet bekrefter mottaket.
- Teammedlemmer jobber deretter sammen på en privat server privat for å verifisere at trusselen er gyldig.
- Det er her de sporer, tester og reparerer oppdagede sikkerhetsproblemer.
- Sikkerhetsoppdateringen legges deretter til neste versjon av WordPress Minor.
- For mindre alvorlige reparasjoner varsler WordPress ganske enkelt WordPress-dashbordbrukere når et automatisk innlegg oppstår.
- For mer presserende saker vil innlegget gå ut umiddelbart, og WordPress.org vil kunngjøre det på nettstedets Nyhetsside.
Selvfølgelig, som vi så med 4.7.2., Kunngjør WordPress ikke alltid disse sikkerhetsoppdateringene (av gyldige grunner), selv om de alltid tar umiddelbare grep for å løse dem.
Merk om automatiske oppdateringer
Siden versjon 3.7 har WordPress muligheten til å automatisk sende mindre oppdateringer til alle nettsteder. Dette sikrer at WordPress-sikkerhetsteamet kan få hastende rettelser i tide og ikke trenger å vente på at brukerne skal bli enige og oppdatere på hvert av deres nettsteder.
Det er imidlertid mulig for WordPress-brukere å slå av disse automatiske oppdateringene. Hvis dette er tilfelle for deg, må du være oppmerksom på at det kan sette nettstedet ditt i fare, spesielt hvis du ikke har tid til å flittig overvåke alle nettstedene dine for den nyeste og beste oppdateringen.
Sikkerhet for plugins og temaer
Akkurat som det er ditt ansvar å gi besøkende en bedre nettopplevelse, utviklere av plugins og WordPress-temaer er ansvarlige for sikkerheten til sine brukere (dvs. deg). Selv om WordPress ikke kan håndtere de titusenvis av plugins og temaer, kan de i det minste holde et øye med dem for å være sikker på at ingenting seriøst kan slippe gjennom sprekkene.
WordPress-prosjektet er teamet som er ansvarlig for å samarbeide med utviklere når et sikkerhetsproblem oppdages. Før det er det imidlertid et team av frivillige som har til hensikt å gjennomgå hvert tema eller plugin sendt til WordPress. Dette teamet vil samarbeide med utviklere for å sikre at beste praksis følges.
Imidlertid kan sikkerhetsproblemer fremdeles oppstå, og det er da WordPress-sikkerhetsteamet bør gå inn for å:
- Gi dokumentasjon for WordPress-utviklere om utvikling av plugins og temaer samt om beste praksis innen sikkerhet.
- Overvåk plugins og temaer for mulige sikkerhetshull. Eventuelle problemer som blir oppdaget, blir deretter gjort oppmerksom på utvikleren.
- Fjern skadelige plugins eller temaer fra katalogen hvis utviklere ikke svarer eller samarbeider.
WordPress vil da varsle brukerne via WordPress-administratoren når disse sikkerhetsrettelsene (eller fjerning av dårlige plugins og temaer) er tilgjengelige.
WordPress-sikkerhet krever din årvåkenhet
Etter å ha gått gjennom alt dette, gjør det meg litt mer komfortabelt å vite at det er et dedikert team som jobber for å holde WordPress-kjernen til enhver tid. Det betyr imidlertid ikke at jeg (eller deg) skal lulles inn i den følelsen av selvtilfredshet.
Som vi har sett, selv i løpet av januar, med 1,5 millioner nettsteder skadet, uansett hvor bra WordPress-prosjektet er å overvåke og sikre plattformen, vil hackere finne en løsning.
Derfor er det viktig å spille en rolle i alt dette og holde nettstedene dine sikre fra alle vinkler.
