Jako jeden z najbardziej znanych na świecie projektów oprogramowania open-source, WordPress był naturalnym celem ciągłych wyzysków bezpieczeństwa, odkąd pojawił się na scenie.

Ponieważ baza użytkowników stale rośnie, a jej pozycja jako najpopularniejszego CMS na świecie umacnia się, jest to Bezpieczny zakład, że nie zmieni się to w najbliższym czasie.

Pojawienie się w tym roku istotnych luk w zabezpieczeniach po raz kolejny przypomniało nam o potrzebie ciągłej czujności i znaczeniu aktualizowania witryn.

W tym artykule omówimy wybór najważniejszych do tej pory exploitów bezpieczeństwa WordPress i to, co oznaczały one zarówno dla użytkowników takich jak ty, jak i dla przyszłości WordPress.

Zanim jednak zagłębimy się w przeszłość, wypełnimy kilka luk na temat bezpieczeństwa WordPress w ogóle.

Trochę tła na temat bezpieczeństwa WordPress

The WordPress Security White Paper.
Biała Księga Bezpieczeństwa WordPress.

Bezpieczeństwo było na radarze społeczności WordPress od samego początku nie bez powodu i jest kluczową częścią projektu jako całości.

Miarą tego, jak wysokie jest bezpieczeństwo kolejki priorytetów, można zobaczyć, przechodząc do strony o WordPress.org gdzie sekcja bezpieczeństwa jest bardzo wyraźnie wyświetlana.

Whitepaper Bezpieczeństwa WordPress

Jeśli wcześniej nie czytałeś białej księgi dotyczącej bezpieczeństwa WordPress, warto poświęcić kilka minut, aby ją przejrzeć.

Zawiera zwięzły przegląd podejścia projektu do bezpieczeństwa i obejmuje szereg przydatnych punktów, w tym następujące:

  • Numeracja wersji i Wydania zabezpieczające: Wydania podrzędne są zarezerwowane do usuwania luk w zabezpieczeniach, o czym świadczy najnowsza wersja zabezpieczeń 4.1.2.
  • Wewnętrzna organizacja bezpieczeństwa WordPress: Zespół ds. bezpieczeństwa WordPress zawiera około 25 osób, a Automattic wnosi połowę zasobów. Mają duże doświadczenie w pracy z innymi liderami branży nad wspólnymi słabościami i są zaangażowani w politykę otwartości.
  • Najczęstsze rodzaje zagrożeń: W artykule przedstawiono również użyteczny przegląd najczęstszych zagrożeń bezpieczeństwa zdefiniowanych przez Open Web Application Security Project. Obejmuje to typowe wektory ataków, takie jak SQL injection i cross-Site scripting.
  • Rola wtyczek i motywów: Z około 30,000 + wtyczek i 2,000 + tematów dostępnych na WordPress.org sam, jest oczywiste, że stanowią one zdecydowanie najbardziej narażoną drogę wejścia.
  • Znaczenie hostingu: Najlepsze środki ostrożności na świecie na lokalnym poziomie WordPress niewiele znaczą, jeśli okaże się, że środowisko hosta jest zagrożone.

Archiwum Zabezpieczeń WordPress

Najszybszym sposobem na uzyskanie przeglądu, ile aktywności było na froncie bezpieczeństwa WordPress przez lata, jest szybka wizyta w archiwum zabezpieczeń WordPress:

Security Category Archive

Tam znajdziesz szczegóły wszystkich dotychczasowych wydań zabezpieczeń wygodnie zmontowanych w jednym miejscu.

Jak widać z dziennika wpisów, problemy z bezpieczeństwem mają tendencję do pojawiania się fal i wkrótce przejdziemy do szczegółów niektórych z nich.

Bądź na bieżąco

Jak zauważa Matt Mullenweg, największą poprawą bezpieczeństwa Twojej witryny jest zapewnienie jej ciągłej aktualności.

Trwające ataki są niestety faktem w życiu online, ale społeczność ma doskonałe osiągnięcia w radzeniu sobie z nimi szybko i przejrzyście.

Przejdźmy do niektórych znaczących okresów, w których poziom zagrożenia był szczególnie wysoki i byli do tego zmuszeni.

2007/2008-Wczesne Ataki

Rosnąca popularność WordPressa jako CMS, gdy zbliżał się do swojej pięcioletniej rocznicy, znacznie zwiększyła poziom ataków.

Hakerzy naturalnie koncentrowali się na nisko wiszących owocach, a fala exploitów ukierunkowanych na blogi SEO i Adsense wyszła na jaw w 2007 i 2008:

TechCrunch WordPress security issues article headline
TechCrunch prowadził z tym dość niepokojącym nagłówkiem.

Co gorsza, własne serwery WordPress zostały naruszone w tym czasie, co doprowadziło do włączenia potencjalnego backdoora w WordPress 2.1.1 w 2007 roku.

Problem został szybko rozwiązany w wersji bezpieczeństwa 2.1.2, ale niewiele zrobił dla wczesnej reputacji oprogramowania.

Do połowy 2007 r. temat bezpieczeństwa był coraz bardziej głównym przedmiotem zainteresowania wśród liderów społeczności, a jednym z głównych długoterminowych skutków tego odnowionego skupienia jest ostateczne wprowadzenie aktualizacji jednym kliknięciem w WordPress 2.7 (Coltrane).

Wcześniej ręczny proces aktualizacji od dawna był oznaczany jako główna przeszkoda w zachęcaniu użytkowników do regularnej aktualizacji, sytuacja, która znacznie zwiększyła liczbę żywych witryn podatnych na ataki.

2009-ponowny nacisk na bezpieczeństwo

W 2009 r.nastąpił dalszy ciąg aktywności od lipca do października wraz z wydaniem serii poprawek bezpieczeństwa, obejmujących wersje WordPress od 2.8.1 do 2.8.6.

Sytuacja rozpoczęła się wraz z odkryciem przez CoreLabs poważnej luki wpływającej na wersje 2.8 i niższe. Zostało to rozwiązane wraz z wydaniem 2.8.1, ale oznaczało również początek serii wydań dotyczących ogólnego hartowania WordPressa lub naprawiania dalszych ostrych luk w zabezpieczeniach.

Sekwencja ta zakończyła się wraz z wydaniem 2.8.6 Thanksgiving 2009.

Chociaż długoterminowy efekt zaostrzenia ogólnego bezpieczeństwa WordPress był niezwykle pozytywny, wielu członków społeczności zapamięta to jako mroczny czas dla platformy, kiedy wydawało się, że wymagana jest aktualizacja co drugi tydzień.

Jest znakomity zapis tego okresu przez Jason Cosper na moment obrotowy, oddanie całej serii incydentów w perspektywie i wskazując punkt zmiany dla platformy, którą reprezentował.

2011-problemy z obrazami

Rok 2011 był głównie godny uwagi ze względu na pojawienie się luki TimThumb na dużą skalę, dzięki czemu popularne narzędzie do zmiany rozmiaru obrazu mogło być użyte do załadowania i wykonania dowolnego kodu PHP na serwerze.

Chociaż oryginalny numer został szybko poprawiony i wykonano znaczną dodatkową pracę nad narzędziem w kolejnych latach, TimThumb pozostał celem ciągłych ataków aż do 2014 roku.

Binary Moon Tim Thumb article
Tim Thumb developer Ben Gillbanks oficjalnie wycofał KOD 27 września 2014 roku.

Służy jako doskonałe przypomnienie o uporczywości hakerów w kierowaniu na trasę po ustaleniu luki w zabezpieczeniach.

2013-Major Sites at Risk

W 2013 r. kolejne pióra bezpieczeństwa zostały wzburzone wraz z wydaniem szeregu raportów podkreślających trwające luki w profilowanych witrynach WordPress w dziczy.

Firma zabezpieczająca umożliwia Profilowanie zabezpieczeń witryn WordPress wymienionych wśród najlepszych milionów witryn Alexa i doszła do wniosku, że spośród 42,106 znalezionych witryn WordPress 73.2% było podatnych na atak w wyniku uruchamiania nieaktualnych wersji oprogramowania.

Chociaż było trochę kłótni na temat poziomu zagrożenia faktycznie obecnego, liczby działały jako kolejne przypomnienie, że regularna aktualizacja pozostaje problemem nawet w przypadku największych instalacji WordPress.

Osobny raport na temat wtyczek izraelskiej firmy Checkmarx wykazał, że siedem z dziesięciu najpopularniejszych wtyczek e-commerce również zawierało potencjalne luki w zabezpieczeniach.

2015-Najważniejsze Wtyczki

I tak docieramy w końcu do 2015, kolejnego roku notowania.

Wynika to w dużej mierze z niedawnego odkrycia luki XSS wpływającej na wiele najczęściej instalowanych wtyczek w ekosystemie WordPress.

Lista wtyczek, których to dotyczy, była prawdziwym, kto jest kim WordPress wielki i dobry, w tym Yoast, Gravity Forms, a nawet Jetpack.

Jetpack
Nawet największe na świecie wtyczki WordPress mogą być podatne na ataki, ale aktualizacje zabezpieczeń są wydawane niemal natychmiast.

Jak zwykle, podstawowa luka została szybko rozwiązana w wersji 4.1.2, ale to po prostu pokazuje, że nawet w 2015 roku przy ponad dekadzie aktywnego monitorowania i hartowania platformy, główne problemy z bezpieczeństwem mogą nadal wybuchnąć w jednej chwili.

Dowiedz się więcej o WPMU DEV

Oprócz aktualizowania, istnieje oczywiście znacznie szerszy zestaw środków, które możesz podjąć za pomocą WordPress, aby Twoja witryna była tak bezpieczna, jak to możliwe.

Przez lata wielokrotnie zajmowaliśmy się tematem bezpieczeństwa tutaj w WPMU DEV i zapewniliśmy kompleksowe przewodniki, które pomogą Ci utrzymać te cyfrowe drzwi mocno zamknięte.

Przejrzyj te trzy artykuły, w szczególności, aby uzyskać pełne informacje na temat kroków, które należy podjąć, aby chronić swoją witrynę:

  1. Bezpieczeństwo WordPress: wypróbowane i prawdziwe wskazówki, aby zabezpieczyć WordPress. Jenni McKinnon przedstawiła aktualny przegląd tematu ogólnego bezpieczeństwa WordPress na początku tego roku. Super punkt wyjścia, jeśli dopiero zaczynasz badać ten temat.
  2. WordPress Security Essentials. Raelene Wilson przedstawia naszą pięcioczęściową serię filmów o wszystkim, co musisz wiedzieć, aby zabezpieczyć swoją witrynę. Niezbędny zegarek dla właścicieli witryn.
  3. Bezpieczeństwo WordPress: Najlepszy Przewodnik. Artykuł Kevina Muldoona z 2014 roku to cudownie dogłębny przewodnik po krokach, które podjął po zhakowaniu własnej strony. Poważnie pouczające głębokie zanurzenie w temacie.

Zasoby W Dalszej Części

Temat bezpieczeństwa online jest oczywiście rozległy, więc ograniczymy się do dwóch solidnych punktów wyjścia do dalszej eksploracji:

  1. Hartowanie WordPressa. Sam Kodeks WordPress stanowi doskonały punkt wyjścia do głębszego kopania i nie ma lepszego miejsca, aby zacząć od tego, niż sekcja dotycząca zabezpieczania WordPressa.
  2. Sucuri.net. Oprócz pomocy w tegorocznych problemach z wtyczkami surface, dobrzy ludzie w Sucuri od dłuższego czasu śledzą obawy dotyczące bezpieczeństwa WordPress. Ich blog jest doskonałym źródłem informacji na temat bezpieczeństwa online w ogóle, a w szczególności WordPress.

Wniosek

Jak widać zarówno z historycznych epizodów, które tutaj podkreśliliśmy, jak i z obecnej serii exploitów, które wywołują fale w 2015, bezpieczeństwo jest tematem, nad którym właściciele WordPressa muszą stale nadążyć.

Sama platforma podjęła znaczące kroki na przestrzeni lat, aby stworzyć światowej klasy zespół ds. bezpieczeństwa, a jej reakcja na poszczególne wyczyny rzadko była mniej niż natychmiastowa.

Regularne aktualizacje i zwracanie uwagi na rodzaj zasobów bezpieczeństwa, o których wspomnieliśmy pod koniec artykułu, pozostają najlepszym sposobem na zapewnienie bezpieczeństwa, jeśli zarządzasz własną witryną.

Jesteśmy ciekawi Twoich przemyśleń na temat tego, jak WordPress poradził sobie z tym tematem przez lata i czy uważasz, że najnowsza fala exploitów jest poważnym ciosem dla reputacji platformy, czy nie. Podziel się swoją opinią w komentarzach poniżej.

Tagi:

You May Also Like

Jak naprawić nieprawidłowy błąd JSON w WordPress (Przewodnik dla początkujących)

W artykule: Co powoduje błąd “nieprawidłowa odpowiedź JSON” w WordPress?1. Sprawdź adresy…

Jak naprawić błąd krytyczny w WordPress (krok po kroku)

W artykule: Co To jest błąd krytyczny w WordPress?Co powoduje krytyczny błąd…

Jak zmienić kolor linku w WordPress (poradnik dla początkujących)

W artykule: Dlaczego Linki Są Ważne?Jak dodawać linki w postach i stronach…

9 Najlepsze Darmowe Wtyczki WordPress Author Bio Box

W artykule: 1. Simple Author Box2. Branda3. Autor postu WP4. Author Bio…