Sidoqoftë, ekipi që qëndron pas WordPress gjithashtu ka një farë përgjegjësie në të gjithë këtë. Mbi të gjitha, nuk mund të bëni asgjë për të mbrojtur vetë thelbin e WordPress.
Nëse pyetja e sigurisë së WordPress po ju shqetëson po aq sa dikush që përpiqet të bëjë biznes online, vazhdoni të lexoni sa më poshtë.
Unë do të flas për një pjesë të tregimit në lidhje me çështjet e sigurisë WordPress dhe çfarë po bën projekti WordPress në lidhje me të.
Një histori e shkurtër e çështjeve të sigurisë së WordPress
Problemi nuk është domosdoshmërisht se WordPress është një sistem i dobët i menaxhimit të përmbajtjes, i prirur për përpjekje piraterie dhe vrima sigurie. Ka shumë të ngjarë që të ketë një çështje të shikimit. WordPress është CMS më i popullarizuar në të gjithë botën, kështu që natyrisht do të jetë një objektiv i lehtë për hakerat.
WordPress zakonisht kritikohet në internet (në blogje, forume, podkaste etj..). Prandaj, dobësitë e platformës janë të njohura. Do të kishte kuptim atëherë që hakerat do të synonin kryesisht faqet e internetit të WordPress, apo jo?
Siguria është një pikë kryesore bisede për të gjithë blog WordPress ose zhvillimi i uebit. Sipas projektit WordPress (ekipi përgjegjës për menaxhimin e sigurisë së platformës), ata lëshojnë arna sigurie gjatë gjithë kohës. I njihni ato njoftime të përditësimit automatik që merrni kur hyni në panelin e kontrollit? "WordPress është përditësuar në 4.7.2" apo diçka e tillë? Epo, zakonisht kur shihni këto publikime të vogla që dalin, kjo është për shkak se ekipi duhej të rregullonte një çështje sigurie.
Dhe këto shpesh ndodhin:
La shkelja e të dhënave të Panama Papers në nga 2016, pjesërisht, i atribuohej një cenueshmërie në një shtojcë Revolution Slider WordPress WordPress.
Kjo tha, është qetësuese për të parë se si WordPress trajtoi një shkelje shumë të fundit dhe të profilit të lartë të sigurisë që buron nga REST API.
Ja se si shkuan gjërat:
- Në janar 2017, WordPress lëshoi azhurnimin 4.7.2. Askund në listën e azhurnimeve ose rregullimeve nuk u përmend patch-i i sigurisë.
- Rreth një javë më vonë, WordPress informoi përdoruesit se vërtet ishte zbuluar dhe korrigjuar një defekt sigurie në këtë azhurnim.
- Arsyeja që ata dhanë për vonesën në njoftimin e përdoruesve? Sepse ata donin t'u jepnin atyre kohë për të azhurnuar kernelin para se hakerat të dinin se WordPress dinte për të dhe rregulluar çështjen.
Sigurisht, kjo nuk i ka ndaluar hakerat të shpërfytyrojnë 1,5 milion faqe WordPress ndërkohë. Ka edhe nga ata përdorues të WordPress që nuk e azhurnuan kurrë CMS (ose e bënë kaq vonë) të cilët mbetën të prekshëm nga sulmi.
Pra, edhe pse një copë toke u lëshua përfundimisht nga WordPress dhe ata e trajtuan njoftimin me taktin aq të nevojshëm, mbi një milion faqe u plagosën gjatë procesit. Dhe, më keq, shumë pronarë të faqeve të internetit vazhduan ta injorojnë këtë degradim edhe pasi të kishte ndodhur.
Arna sigurie duket se dalin më shpesh, me shkallën më të lartë të abuzimit në vitin 2015. Ndërsa gjithnjë e më shumë nga këto ndodhin, është e rëndësishme për ju të dini se kush është përgjegjës për sigurimin e WordPress dhe çfarë mund të bëni në fundin tuaj, për t'u siguruar që jeni të mbrojtur.
Farë duhet të dini për projektin WordPress (dhe sigurinë e tij)
Ja se çfarë duhet të dini për projektin WordPress dhe për çfarë po bëjnë mirëmbani sigurinë e kernelit .
Ekipi i sigurisë WordPress
Së pari, le të flasim për projektin WordPress. Ky ekip sigurie përbëhet nga rreth 25 persona, të gjithë ekspertë në zhvillimin ose sigurinë e WordPress. Aktualisht, gjysma e njerëzve në projektin WordPress punojnë për Automattic.
Ky ekip ekspertësh është përgjegjës për identifikimin e rreziqeve të sigurisë në kernel. Ata janë gjithashtu përgjegjës për shqyrtimin e çështjeve të mundshme me tema ose shtojca të paraqitura nga palë të treta dhe për të bërë rekomandime se si ato mund të forcojnë mjetet e tyre ose të korrigjojnë shkeljet e njohura.
Megjithëse ata zakonisht punojnë vetëm për të identifikuar dhe zgjidhur këto çështje, ata herë pas here konsultohen me ekspertë të tjerë në këtë fushë, veçanërisht ata nga kompanitë e sigurisë dhe softuerëve.akomodimi.
Si WordPress identifikon rreziqet e sigurisë
Siç mund ta prisni, ekipi i projektit WordPress po funksionon si një makinë e vajosur mirë. Ja se si funksionon procesi i identifikimit dhe zgjidhjes së rreziqeve të sigurisë:
- Një problem identifikohet nga dikush nga ekipi i sigurisë ose nga jashtë ekipit. Anëtarët që nuk janë anëtarë të projektit mund t'i komunikojnë këto çështje të zbuluara duke dërguar një email tek [email mbrojtur].
- Regjistrohet një raport dhe ekipi i sigurisë pranon marrjen.
- Anëtarët e ekipit më pas punojnë së bashku në një server privat privatisht për të verifikuar që kërcënimi është i vlefshëm.
- Kjo është ajo ku ata gjurmojnë, testojnë dhe riparojnë dobësitë e zbuluara të sigurisë.
- Paketa e sigurisë është shtuar më pas në versionin tjetër të WordPress Minor.
- Për riparime më pak serioze, WordPress thjesht njofton përdoruesit e panelit të WordPress kur ndodh një postim automatik.
- Për çështje më urgjente, postimi do të dalë menjëherë dhe WordPress.org do ta shpallë atë në faqen e lajmeve të faqes.
Sigurisht, siç e pamë me 4.7.2., WordPress nuk njofton gjithmonë këto rregullime të sigurisë (për arsye të vlefshme), megjithëse ata gjithmonë marrin masa të menjëhershme për t'i zgjidhur ato.
Shënim mbi azhurnimet automatike
Që nga versioni 3.7, WordPress ka aftësinë të dërgojë automatikisht azhurnime të vogla në të gjitha faqet e internetit. Kjo siguron që ekipi i sigurisë WordPress mund të marrë rregullime urgjente në kohën e duhur dhe të mos duhet të presë që përdoruesit të bien dakord dhe azhurnojnë në secilën nga faqet e tyre të internetit.
Sidoqoftë, është e mundur që përdoruesit e WordPress të fikin këto azhurnime automatike. Nëse ky është rasti për ju, jini të vetëdijshëm se kjo mund ta vërë në rrezik faqen tuaj, veçanërisht nëse nuk keni kohë për të monitoruar me zell të gjitha faqet tuaja për azhurnimin më të fundit dhe më të madh.
Siguria e shtojcave dhe temave
Ashtu siç është përgjegjësia juaj t'u ofroni vizitorëve një përvojë më të mirë në internet, zhvilluesve të shtojcave dhe Temat e WordPress janë përgjegjës për sigurinë e përdoruesve të tyre (d.m.th. juve). Ndërsa WordPress nuk mund të trajtojë dhjetëra mijëra shtojca dhe tema, ata të paktën mund t'i mbajnë një sy të ngushtë mbi to për t'u siguruar që asgjë serioze të mos kalojë nëpër çarje.
Projekti WordPress është ekipi përgjegjës për të punuar me zhvilluesit kur zbulohet një çështje sigurie. Megjithatë, para kësaj, ekziston një ekip vullnetarësh të caktuar për të shqyrtuar secilën temë ose shtojcë të paraqitur në WordPress. Ky ekip do të punojë me zhvilluesit për të siguruar ndjekjen e praktikave më të mira.
Sidoqoftë, dobësitë e sigurisë mund të shfaqen ende dhe kjo është kur ekipi i sigurisë WordPress duhet të ndërhyjë për të:
- Siguroni dokumentacionin për zhvilluesit e WordPress mbi zhvillimin e shtojcave dhe temave, si dhe për praktikat më të mira në siguri.
- Monitoroni shtojcat dhe temat për vrimat e mundshme të sigurisë. Çdo problem i zbuluar do të sillet në vëmendjen e zhvilluesit.
- Hiq shtojcat ose temat e dëmshme nga drejtoria nëse zhvilluesit nuk reagojnë ose bashkëpunojnë.
WordPress do të njoftojë përdoruesit e tij përmes administratorit të WordPress kur këto rregullime të sigurisë (ose heqja e shtojcave dhe temave të këqija) janë në dispozicion.
Siguria e WordPress kërkon vigjilencën tuaj
Pasi i kalova të gjitha këto, kjo më bën pak më komode duke ditur se ekziston një ekip i përkushtuar që punon për të mbajtur të sigurt WordPress-in në çdo kohë. Sidoqoftë, kjo nuk do të thotë që unë (ose ju) duhet të jem tërhequr në atë sens të vetëkënaqësisë.
Siç kemi parë, edhe këtë janar të kaluar, me 1,5 milion faqet e internetit të dëmtuara, pa marrë parasysh sa i mirë është projekti WordPress për të monitoruar dhe siguruar platformën, hakerat do të gjejnë një zgjidhje.
Kjo është arsyeja pse është e rëndësishme të luani rolin tuaj në të gjitha këto dhe të siguroni faqet tuaja nga të gjitha këndet.
