Este WordPress un software fiabil?

de Blair Jersyer | WordPress Știri, Blog și sfaturi

Întrebarea dacă WordPress este sigur este complicată. În timp ce aceasta este, în mod evident, o platformă suficient de sigură pentru aproximativ un sfert din toate site-urile web cu WordPress din întreaga lume, nu este lipsită de defectele sale.
Deci, cine este responsabil pentru securitatea WordPress? Desigur, o parte din această responsabilitate revine în cele din urmă Vos umerii. Acesta este motivul pentru care este esențial să fim conștienți și respectați Cele mai bune practici de securitate WordPress pentru a menține cât mai sigure toate site-urile pe care le construiți.

Cu toate acestea, echipa din spatele WordPress are, de asemenea, o oarecare responsabilitate în toate acestea. La urma urmei, nu puteți face nimic pentru a proteja singur nucleul WordPress.

Dacă problema securității WordPress vă deranjează la fel de mult ca oricine încearcă să facă afaceri online, continuați să citiți următoarele.

Voi vorbi despre o parte din poveste despre problemele de securitate WordPress și despre ce face proiectul WordPress în acest sens.

O scurtă istorie a problemelor de securitate WordPress

Problema nu este neapărat că WordPress este un sistem slab de gestionare a conținutului, predispus la încercări de hacking și la găuri de securitate. Este mai probabil o problemă de vizibilitate. WordPress este cel mai popular CMS din întreaga lume, deci, desigur, va fi o țintă ușoară pentru hackeri.

WordPress este de obicei criticat online (în bloguri, forumuri, podcast-uri etc..). Prin urmare, punctele slabe ale platformei sunt bine cunoscute. Ar avea sens atunci că hackerii ar viza în primul rând site-urile web WordPress, nu-i așa?

Siguranța este un punct de discuție major pentru toată lumea WordPress blog sau dezvoltare web. Potrivit proiectului WordPress (echipa responsabilă cu gestionarea securității platformei), ei lansează tot timpul patch-uri de securitate. Știți acele notificări de actualizare automată pe care le primiți când vă conectați la tabloul de bord? „WordPress a fost actualizat la 4.7.2” sau ceva de genul? Ei bine, de obicei, când vedeți că apar aceste versiuni minore, este pentru că echipa a trebuit să remedieze o problemă de securitate.

Și acestea se întâmplă adesea:

La încălcarea datelor Panama Papers la de la 2016 a fost atribuit, în parte, unei vulnerabilități într-un plugin WordPress Revolution Slider.

Acestea fiind spuse, este liniștitor să vedem cum WordPress s-a descurcat cu o încălcare de securitate foarte recentă și cu un profil înalt rezultată din API-ul REST.

Iată cum au decurs lucrurile:

  • În ianuarie 2017, WordPress a lansat actualizarea 4.7.2. Nicăieri în lista de actualizări sau remedieri nu a fost menționat patch-ul de securitate.
  • Aproximativ o săptămână mai târziu, WordPress a informat utilizatorii că a existat într-adevăr un defect de securitate detectat și corectat în această actualizare.
  • Motivul pentru care au dat întârzierea notificării utilizatorilor? Pentru că au vrut să le acorde timp să actualizeze nucleul înainte ca hackerii să știe că WordPress știa despre asta și a remediat problema.

Desigur, asta nu i-a oprit pe hackeri să desfigureze între timp 1,5 milioane de site-uri WordPress. Există, de asemenea, acei utilizatori WordPress care nu au actualizat niciodată CMS (sau au făcut-o prea târziu) care au rămas vulnerabili la atac.

Așa că, chiar dacă un patch a fost lansat în cele din urmă de WordPress și au gestionat anunțul cu tact foarte necesar, peste un milion de site-uri au fost rănite în acest proces. Și, mai rău, mulți proprietari de site-uri web au continuat să ignore această degradare chiar și după ce s-a întâmplat.

Patch-uri de securitate par să apară mai frecvent, cu cea mai mare rată de abuz în 2015. Pe măsură ce apar din ce în ce mai multe, este important să știți cine este responsabil pentru securizarea WordPress și ce puteți face în final, pentru a vă asigura că sunteți protejat.

securitate wordpress.png

Ce trebuie să știți despre proiectul WordPress (și securitatea acestuia)

Iată ce trebuie să știți despre proiectul WordPress și pentru ce fac mențineți securitatea nucleului .

Echipa de securitate WordPress

În primul rând, să vorbim despre proiectul WordPress. Această echipă de securitate este formată din aproximativ 25 de persoane, toți experți în dezvoltarea sau securitatea WordPress. În prezent, jumătate din persoanele din proiectul WordPress lucrează pentru Automattic.

Această echipă de experți este responsabilă pentru identificarea riscurilor de securitate din nucleu. Aceștia sunt, de asemenea, responsabili de examinarea potențialelor probleme cu temele sau pluginurile trimise de terți și de a face recomandări cu privire la modul în care își pot întări instrumentele sau corecta încălcările cunoscute.

Deși, de obicei, lucrează singuri pentru a identifica și rezolva aceste probleme, ei consultă ocazional alți experți în domeniu, în special cei de la companii de securitate și software.cazare.

Cum identifică WordPress riscurile de securitate

După cum v-ați putea aștepta, echipa de proiect WordPress funcționează ca o mașină bine unsă. Iată cum funcționează procesul de identificare și rezolvare a riscurilor de securitate:

  • O problemă este identificată de cineva din echipa de securitate sau din afara echipei. Membrii care nu sunt membri ai proiectului pot comunica aceste probleme detectate prin trimiterea unui e-mail la [e-mail protejat].
  • Se înregistrează un raport și echipa de securitate confirmă primirea.
  • Membrii echipei lucrează apoi împreună pe un server privat în mod privat pentru a verifica dacă amenințarea este validă.
  • Aici urmăresc, testează și repară vulnerabilitățile de securitate detectate.
  • Patch-ul de securitate este apoi adăugat la următoarea versiune a WordPress Minor.
  • Pentru reparații mai puțin grave, WordPress notifică pur și simplu utilizatorii tabloului de bord WordPress atunci când apare o postare automată.
  • Pentru probleme mai urgente, postarea va ieși imediat și WordPress.org o va anunța pe pagina de știri a site-ului.

Desigur, așa cum am văzut cu 4.7.2., WordPress nu anunță întotdeauna aceste remedieri de securitate (din motive valide), deși iau întotdeauna măsuri imediate pentru a le rezolva.

Notă despre actualizări automate

De la versiunea 3.7, WordPress are capacitatea de a trimite automat actualizări minore către toate site-urile web. Acest lucru asigură că echipa de securitate WordPress poate obține remedieri urgente în timp util și nu trebuie să aștepte ca utilizatorii să fie de acord și să actualizeze pe fiecare dintre site-urile lor web.

Cu toate acestea, este posibil ca utilizatorii WordPress să dezactiveze aceste actualizări automate. Dacă acesta este cazul dvs., rețineți că vă poate pune site-ul în pericol, mai ales dacă nu aveți timp să monitorizați cu atenție toate site-urile dvs. pentru cea mai recentă și mai bună actualizare.

Securitatea pluginurilor și a temelor

Așa cum este responsabilitatea dumneavoastră să oferiți vizitatorilor o experiență web mai bună, dezvoltatorilor de pluginuri și Teme WordPress sunt responsabili pentru siguranța utilizatorilor lor (adică dvs.). În timp ce WordPress nu poate gestiona zecile de mii de plugin-uri și teme, ele pot cel puțin să le supravegheze îndeaproape pentru a se asigura că nimic serios nu poate scăpa prin fisuri.

Proiectul WordPress este echipa responsabilă de lucrul cu dezvoltatorii atunci când este detectată o problemă de securitate. Cu toate acestea, înainte de aceasta, există o echipă de voluntari desemnați să revizuiască fiecare temă sau plugin trimis la WordPress. Această echipă va colabora cu dezvoltatorii pentru a se asigura că sunt respectate cele mai bune practici.

Cu toate acestea, vulnerabilitățile de securitate pot apărea în continuare și atunci echipa de securitate WordPress ar trebui să intervină pentru:

  • Oferiți documentație pentru dezvoltatorii WordPress cu privire la dezvoltarea de plugin-uri și teme, precum și despre cele mai bune practici în materie de securitate.
  • Monitorizați pluginurile și temele pentru posibile găuri de securitate. Orice problemă detectată va fi apoi adusă la cunoștința dezvoltatorului.
  • Eliminați plugin-urile sau temele dăunătoare din director, dacă dezvoltatorii nu răspund sau nu cooperează.

WordPress își va anunța apoi utilizatorii prin intermediul administratorului WordPress când sunt disponibile aceste remedieri de securitate (sau eliminarea pluginurilor și temelor defecte).

Securitatea WordPress necesită vigilență

După ce am parcurs toate acestea, mă face un pic mai confortabil știind că există o echipă dedicată care lucrează pentru a menține nucleul WordPress sigur în orice moment. Cu toate acestea, asta nu înseamnă că eu (sau dumneavoastră) ar trebui să ne lăsăm liniștiți în acel sentiment de satisfacție.

După cum am văzut, chiar în ianuarie trecut, cu 1,5 milioane de site-uri web deteriorate, oricât de bun ar fi proiectul WordPress pentru a monitoriza și securiza platforma, hackerii vor găsi o soluție.

Acesta este motivul pentru care este important să vă jucați rolul în toate acestea și să vă protejați site-urile din toate unghiurile.

Posteaza comentariu

Adresa ta de email nu va fi publicată. Câmpurile obligatorii sunt marcate *

Acest site folosește Akismet pentru a reduce nedorite. Aflați mai multe despre modul în care sunt utilizate datele dvs. de comentarii.