Pytanie, czy WordPress jest Bezpieczny, czy nie, jest skomplikowane. Chociaż jest to oczywiście wystarczająco bezpieczna platforma dla około jednej czwartej wszystkich stron internetowych na całym świecie, które są zasilane przez WordPress, nie jest bez wad.

Kto jest odpowiedzialny za bezpieczeństwo WordPressa? Oczywiście część tej odpowiedzialności ostatecznie spada na Twój ramiona. Dlatego ważne jest, aby być świadomym i przestrzegać najlepszych praktyk bezpieczeństwa WordPress, aby zapewnić bezpieczeństwo każdej tworzonej witryny.

Jednak zespół odpowiedzialny za WordPress ma również pewną odpowiedzialność w tym wszystkim. W końcu nie możesz nic zrobić, aby chronić podstawowy rdzeń WordPress.

Jeśli kwestia bezpieczeństwa WordPress drażni na ciebie tak samo, jak wszyscy inni, którzy próbują prowadzić biznes w Internecie, czytaj dalej.

Zamierzam omówić niektóre z historii wokół problemów z bezpieczeństwem WordPress i tego, co robi projekt WordPress.

Chcesz wiedzieć więcej? Sprawdź nasz szczegółowy samouczek krok po kroku, najlepszy przewodnik po bezpieczeństwie WordPress.Czytaj więcej

Krótka historia problemów z bezpieczeństwem WordPress

Czy wiesz, że”[h]ackers atakują witryny WordPress zarówno duże, jak i małe, z ponad atakami 90,978 na minutę”?

Problem niekoniecznie polega na tym, że WordPress jest słabym systemem zarządzania treścią, podatnym na próby włamania i naruszenia bezpieczeństwa. To raczej problem widoczności. WordPress to najpopularniejszy CMS na całym świecie, więc oczywiście będzie łatwym celem dla hakerów.

WordPress jest powszechnie omawiany w Internecie (na blogach, forach, podcastach itp.), więc w związku z tym słabości platformy są dobrze znane. Miałoby to sens, że hakerzy będą przede wszystkim celować w witryny WordPress, prawda?

Bezpieczeństwo jest głównym tematem dyskusji dla każdego bloga WordPress lub web development, w tym WPMU DEV. Nie oznacza to, że jesteśmy winni publicznego udostępniania wad WordPressa. W naszej społeczności jest to w większości powszechna wiedza. Jednak wszystkie te opublikowane informacje boleśnie czynią luki w WordPress jasne.

Według projektu WordPress (zespołu odpowiedzialnego za zarządzanie bezpieczeństwem platformy), cały czas wydają poprawki bezpieczeństwa. Znasz powiadomienia o automatycznych aktualizacjach, które otrzymujesz po zalogowaniu się do obszaru administracyjnego? “WordPress został zaktualizowany do 4.7.2” czy coś w tym stylu? Cóż, zazwyczaj, gdy widzisz, że te drobne wersje wychodzą, to dlatego, że zespół musiał naprawić problem z bezpieczeństwem.

A te zdarzają się często:

Naruszenie danych Panama Papers z 2016 było częściowo spowodowane luką w wtyczce suwaka WordPress.

To zestawienie z WPMU DEV obejmuje szereg innych udokumentowanych exploitów bezpieczeństwa WordPress. Może nie wszyscy są tak głośni jak Panama Papers, ale nadal warto wiedzieć, że pomimo najlepszych wysiłków projektu WordPress – a także programistów odpowiedzialnych za utrzymanie swoich wtyczek i motywów – hakerzy nadal znajdują drogę.

To powiedziawszy, uspokajające jest, aby zobaczyć, jak WordPress poradził sobie z bardzo niedawnym i daleko idącym naruszeniem bezpieczeństwa wynikającym z REST-API.

Oto jak sprawy potoczyły się:

  • W styczniu 2017 r.WordPress wydał aktualizację 4.7.2. Nigdzie na liście aktualizacji lub łatek nie wspomniano o łatce bezpieczeństwa.
  • Około tydzień później WordPress powiadomił użytkowników, że rzeczywiście wykryto lukę bezpieczeństwa i poprawiono tę aktualizację.
  • Powód opóźnienia w powiadomieniu użytkowników? Ponieważ chcieli dać im czas na aktualizację rdzenia, zanim atakujący zorientowali się, że WordPress był świadomy i naprawił problem.

Oczywiście nie powstrzymało to hakerów przed zniszczeniem 1.5 miliona witryn WordPress w międzyczasie. Są też tacy użytkownicy WordPressa, którzy nigdy nie aktualizowali CMS (lub zrobili to za późno), którzy pozostali podatni na atak.

Tak więc, mimo że łatka została ostatecznie wydana przez WordPress i obchodzili się z jej ogłoszeniem z taktem bardzo potrzebnym, ponad milion witryn ucierpiało w tym procesie. Co gorsza, wielu właścicieli witryn nadal nie było świadomych tego defacement nawet po tym, jak to się stało.

Wydaje się, że poprawki bezpieczeństwa pojawiają się częściej, a 2015 r.otrzymuje ciężar nadużyć. Ponieważ pojawia się ich coraz więcej, ważne jest, abyś wiedział, kto jest odpowiedzialny za zabezpieczenie WordPressa i co możesz zrobić ze swojej strony, aby zapewnić, że te zagrożenia pozostaną poza zasięgiem.

WordPress security

Co musisz wiedzieć o projekcie WordPress (i bezpieczeństwie)

Oto, co musisz wiedzieć o projekcie WordPress i co robią, aby utrzymać bezpieczeństwo rdzenia.

Zespół Ds. Bezpieczeństwa WordPress

Najpierw porozmawiajmy o projekcie WordPress. Ten zespół ds. bezpieczeństwa składa się z około 25 osób, z których wszyscy są ekspertami w dziedzinie rozwoju lub bezpieczeństwa WordPress. Obecnie połowa osób w projekcie WordPress pracuje dla Automattic.

Ten zespół ekspertów jest odpowiedzialny za identyfikację zagrożeń bezpieczeństwa w rdzeniu. Są one również odpowiedzialne za przegląd potencjalnych problemów z motywami lub wtyczkami przesłanymi przez osoby trzecie i wydawanie zaleceń dotyczących tego, w jaki sposób mogą wzmocnić swoje narzędzia lub naprawić znane naruszenia.

Chociaż zwykle pracują samodzielnie, aby zidentyfikować i rozwiązać te problemy, od czasu do czasu konsultują się z innymi ekspertami w tej dziedzinie, zwłaszcza z firmami zajmującymi się bezpieczeństwem i hostingiem.

Jak WordPress Identyfikuje Zagrożenia Bezpieczeństwa

Jak można się spodziewać, zespół projektowy WordPress działa jak dobrze naoliwiona maszyna. Oto jak działa proces identyfikacji i rozwiązywania zagrożeń bezpieczeństwa:

  • Problem jest identyfikowany przez kogoś z zespołu ds. bezpieczeństwa lub spoza zespołu. Członkowie spoza projektu mogą poinformować o wykrytych problemach, wysyłając wiadomość e-mail na adres [email protected]
  • Raport jest rejestrowany, a zespół ds. bezpieczeństwa potwierdza jego otrzymanie.
  • Następnie członkowie zespołu współpracują na serwerze murowanym i prywatnym, aby zweryfikować, czy zagrożenie jest poprawne.
  • W tym miejscu śledzą, testują i naprawiają wszelkie wykryte luki w zabezpieczeniach.
  • Poprawka bezpieczeństwa zostanie następnie dodana do następnego Niewielkiego wydania WordPress.
  • W przypadku mniej poważnych napraw WordPress po prostu powiadamia użytkowników na pulpicie nawigacyjnym WordPress, gdy wystąpi automatyczne zwolnienie.
  • W przypadku bardziej pilnych problemów, wydanie zostanie natychmiast wydane i WordPress.org ogłosi go na stronie Aktualności serwisu.

Oczywiście, jak widzieliśmy z 4.7.2., WordPress nie zawsze natychmiast ogłasza te poprawki bezpieczeństwa (z ważnych powodów), chociaż zawsze podejmują natychmiastowe działania w celu ich rozwiązania.

Uwaga O Automatycznych Aktualizacjach

Od wersji 3.7 WordPress miał możliwość automatycznego wysyłania drobnych aktualizacji do wszystkich stron internetowych. Zapewnia to, że zespół ds. bezpieczeństwa WordPress może szybko uzyskać pilne poprawki i nie musi czekać, aż użytkownicy zaakceptują i dokonają aktualizacji na każdej ze swoich stron internetowych.

Użytkownicy WordPress mogą jednak zrezygnować z tych automatycznych aktualizacji podstawowych. Jeśli tak jest w przypadku Ciebie, pamiętaj, że może to narazić Twoją witrynę na dodatkowe ryzyko, zwłaszcza jeśli nie masz czasu na pilne monitorowanie wszystkich witryn pod kątem najnowszej i najlepszej aktualizacji.

Wtyczki i motywy WordPress bezpieczeństwo

Podobnie jak Twoim obowiązkiem jest zapewnienie odwiedzającym bezpiecznego korzystania z witryny, Wtyczka WordPress i twórcy motywów są odpowiedzialni za zapewnienie bezpieczeństwa swoim użytkownikom(tj. Podczas gdy WordPress nie może zarządzać dziesiątkami tysięcy wtyczek i motywów, mogą przynajmniej mieć na nie oko, aby upewnić się, że nic poważnie niepewnego nie prześlizgnie się przez szczeliny.

Projekt WordPress to zespół odpowiedzialny za współpracę z programistami w przypadku wykrycia problemu z bezpieczeństwem. Wcześniej jednak istnieje zespół wolontariuszy przypisanych do przeglądu każdego motywu lub wtyczki przesłanej do WordPress. Zespół ten będzie współpracować z programistami, aby zapewnić przestrzeganie najlepszych praktyk.

Niemniej jednak luki w zabezpieczeniach mogą nadal występować i wtedy zespół ds. bezpieczeństwa WordPress musi wkroczyć do:

  • Dostarczyć dokumentację dla programistów WordPress na temat wtyczek i rozwoju motywów oraz najlepszych praktyk bezpieczeństwa.
  • Monitoruj wtyczki i motywy pod kątem potencjalnych luk w zabezpieczeniach. Wszelkie wykryte problemy zostaną następnie przekazane deweloperowi.
  • Usuń szkodliwe wtyczki lub motywy z katalogu, jeśli twórcy nie odpowiadają lub nie współpracują.

WordPress powiadomi swoich użytkowników za pośrednictwem administratora WordPress, gdy dostępne są te poprawki bezpieczeństwa (lub usunięcie złych wtyczek i motywów).

TOP 10 OWASP

Fundacja Open Web Application Security Project (OWASP) została utworzona w 2001 roku w celu ochrony organizacji przed oprogramowaniem i programami, które mogłyby im zaszkodzić. Możesz być zaskoczony tym, że projekt WordPress ma na celu przestrzeganie przez cały czas Top 10 OWASP.

Top 10 to lista złożona przez OWASP ze znanych i bardzo poważnych zagrożeń bezpieczeństwa. Po zapoznaniu się z tą listą zespół ds. bezpieczeństwa WordPress wykorzystuje te trendy, aby zdefiniować własną listę najlepszych sposobów obrony rdzenia 10. Obecnie ich celem jest ochrona rdzenia przed następującymi zagrożeniami:

  1. Nadużycie w zarządzaniu kontem użytkownika
  2. Nieautentyczne żądania dostępu do administratora WordPress
  3. Niechciane lub nieautoryzowane przekierowania
  4. Ujawnianie prywatnych danych użytkowników
  5. Wnioski o dostęp do bezpośredniego odniesienia do obiektu
  6. Błąd konfiguracji serwera
  7. Nieautoryzowane wstrzykiwanie kodu
  8. Cross-Site scripting od nieautoryzowanych użytkowników
  9. Cross-site żądanie fałszerstwa, w których hakerzy nadużywają WordPress nonces
  10. Uszkodzone wtyczki, motywy, frameworki, biblioteki itp.

Bezpieczeństwo WordPress Wymaga Czujności

Po przejrzeniu tego wszystkiego, czuję się nieco bardziej swobodnie, wiedząc, że istnieje dedykowany zespół, który pracuje nad tym, aby rdzeń WordPress był cały czas Bezpieczny. Nie oznacza to jednak, że ja (lub ty) powinniśmy być uśpieni w poczuciu samozadowolenia.

Jak widzieliśmy – nawet w styczniu ubiegłego roku z 1.5 milionami zniszczonych stron internetowych – bez względu na to, jak dobry jest projekt WordPress w monitorowaniu i zabezpieczaniu platformy, hakerzy znajdą drogę.

Dlatego ważne jest, aby odegrać w tym wszystkim swoją rolę i zapewnić bezpieczeństwo witryn pod każdym kątem. Wtyczka Defender security to dobre miejsce na początek.

Aby uzyskać więcej wskazówek, nie zapomnij subskrybować WPMU DEV blog jako temat ” czy WordPress jest Bezpieczny?”i co można zrobić, aby lepiej chronić go będzie nadal pojawiać się raz po raz.

Do Ciebie: jaka jest jedna niezbędna sztuczka, której konsekwentnie używasz, aby wzmocnić bezpieczeństwo swoich witryn?

Tagi:

You May Also Like

Jak naprawić nieprawidłowy błąd JSON w WordPress (Przewodnik dla początkujących)

W artykule: Co powoduje błąd “nieprawidłowa odpowiedź JSON” w WordPress?1. Sprawdź adresy…

Jak naprawić błąd krytyczny w WordPress (krok po kroku)

W artykule: Co To jest błąd krytyczny w WordPress?Co powoduje krytyczny błąd…

Jak zmienić kolor linku w WordPress (poradnik dla początkujących)

W artykule: Dlaczego Linki Są Ważne?Jak dodawać linki w postach i stronach…

9 Najlepsze Darmowe Wtyczki WordPress Author Bio Box

W artykule: 1. Simple Author Box2. Branda3. Autor postu WP4. Author Bio…