Teamet bakom WordPress har dock också något ansvar i allt detta. När allt kommer omkring finns det inget du kan göra för att skydda kärnan i WordPress själv.
Om frågan om WordPress-säkerhet stör dig lika mycket som någon som försöker göra affärer online, fortsätt att läsa följande.
Jag ska prata om en del av historien om WordPress-säkerhetsfrågor och vad WordPress-projektet gör åt det.
En kort historia av WordPress säkerhetsproblem
Problemet är inte nödvändigtvis att WordPress är ett svagt innehållshanteringssystem, utsatt för hackningsförsök och säkerhetshål. Det är mer sannolikt ett synlighetsproblem. WordPress är det mest populära CMS i hela världen, så det kommer naturligtvis att vara ett enkelt mål för hackare.
WordPress kritiseras vanligtvis online (i bloggar, forum, podcaster etc..). Därför är plattformens svagheter välkända. Det vore vettigt då att hackare främst skulle rikta sig mot WordPress-webbplatser, eller hur?
Säkerhet är en viktig diskussionspunkt för alla Wordpress blogg eller webbutveckling. Enligt WordPress-projektet (teamet som ansvarar för att hantera plattformens säkerhet) släpper de säkerhetskorrigeringar hela tiden. Du vet de där automatiska uppdateringsmeddelandena du får när du loggar in på instrumentpanelen? "WordPress har uppdaterats till 4.7.2" eller något liknande? Tja, vanligtvis när du ser dessa mindre utgåvor kommer ut, beror det på att teamet var tvungen att fixa ett säkerhetsproblem.
Och det händer ofta:
La brott mot Panama Papers uppgifter till från 2016 tillskrivs delvis en sårbarhet i ett Revolution Slider WordPress-plugin.
Med det sagt är det lugnande att se hur WordPress hanterade ett mycket nyligen och högt profilerat säkerhetsbrott som härrör från REST API.
Så här gick saker:
- I januari 2017 släppte WordPress uppdatering 4.7.2. Ingenstans i listan över uppdateringar eller korrigeringar nämndes säkerhetsuppdateringen.
- Ungefär en vecka senare informerade WordPress användare om att det verkligen upptäcktes och korrigerades en säkerhetsfel i den här uppdateringen.
- Anledningen till att de gav förseningen med att meddela användare? Eftersom de ville ge dem tid att uppdatera kärnan innan hackarna visste att WordPress visste om det och fixade problemet.
Naturligtvis har det inte hindrat hackare från att vansigera 1,5 miljoner WordPress-webbplatser under tiden. Det finns också de WordPress-användare som aldrig uppdaterade CMS (eller gjorde det för sent) som förblev sårbara för attacken.
Så även om en patch till slut släpptes av WordPress och de hanterade annonsen med välbehövlig takt, skadades över en miljon webbplatser i processen. Och, värre, många webbplatsägare fortsatte att ignorera denna försämring även efter att det hade hänt.
Säkerhetsfixar verkar komma ut oftare, med den högsta andelen missbruk 2015. Eftersom fler och fler av dessa inträffar är det viktigt för dig att veta vem som är ansvarig för att säkra WordPress och vad du kan göra i slutet, för att se till att du är skyddad.
Vad du behöver veta om WordPress-projektet (och dess säkerhet)
Här är vad du behöver veta om WordPress-projektet och vad de gör för upprätthålla kärnsäkerhet .
WordPress-säkerhetsgruppen
Låt oss först prata om WordPress-projektet. Detta säkerhetsteam består av cirka 25 personer, alla experter på WordPress-utveckling eller säkerhet. För närvarande arbetar hälften av personerna på WordPress-projektet för Automattic.
Detta team av experter ansvarar för att identifiera säkerhetsrisker i kärnan. De är också ansvariga för att undersöka potentiella problem med teman eller plugins som lämnas in av tredje part och ge rekommendationer om hur de kan härda sina verktyg eller korrigera kända överträdelser.
Även om de vanligtvis arbetar ensamma för att identifiera och lösa dessa problem, konsulterar de ibland andra experter på området, särskilt de från säkerhets- och mjukvaruföretag.logi.
Hur WordPress identifierar säkerhetsrisker
Som du förväntar dig kör WordPress-projektteamet som en väloljad maskin. Så här fungerar processen för att identifiera och lösa säkerhetsrisker:
- Ett problem identifieras av någon från säkerhetsteamet eller utanför teamet. Medlemmar som inte är medlemmar i projektet kan kommunicera dessa upptäckta problem genom att skicka ett e-postmeddelande till [e-postskyddad].
- En rapport registreras och säkerhetsteamet bekräftar mottagandet.
- Teammedlemmar arbetar sedan tillsammans på en privat server privat för att verifiera att hotet är giltigt.
- Det är här de spårar, testar och reparerar upptäckta säkerhetsproblem.
- Säkerhetsuppdateringen läggs sedan till i nästa version av WordPress Minor.
- För mindre allvarliga reparationer meddelar WordPress helt enkelt användare av WordPress-instrumentpanelen när ett automatiskt inlägg uppstår.
- För mer brådskande frågor kommer inlägget att släppas omedelbart och WordPress.org kommer att meddela det på webbplatsens Nyhetssida.
Naturligtvis, som vi såg med 4.7.2., Tillkännager WordPress inte alltid dessa säkerhetsfixar (av giltiga skäl), även om de alltid vidtar omedelbara åtgärder för att lösa dem.
Obs om automatiska uppdateringar
Sedan version 3.7 har WordPress möjlighet att automatiskt skicka mindre uppdateringar till alla webbplatser. Detta säkerställer att WordPress-säkerhetsteamet kan få brådskande korrigeringar i rätt tid och inte behöva vänta på att användare ska komma överens och uppdatera på var och en av deras webbplatser.
Det är dock möjligt för WordPress-användare att stänga av dessa automatiska uppdateringar. Om detta är fallet för dig, var medveten om att det kan äventyra din webbplats, särskilt om du inte har tid att noggrant övervaka alla dina webbplatser för den senaste och bästa uppdateringen.
Säkerhet för plugins och teman
Precis som det är ditt ansvar att ge besökarna en bättre webbupplevelse, utvecklare av plugins och WordPress-teman är ansvariga för säkerheten för sina användare (dvs dig). Även om WordPress inte kan hantera de tiotusentals plugins och teman, kan de åtminstone hålla ett öga på dem för att se till att inget allvarligt kan glida mellan stolarna.
WordPress-projektet är det team som ansvarar för att arbeta med utvecklare när ett säkerhetsproblem upptäcks. Innan det finns dock ett team av volontärer som har till uppgift att granska varje tema eller plugin som skickas till WordPress. Detta team kommer att arbeta med utvecklare för att säkerställa att bästa praxis följs.
Säkerhetsproblem kan dock fortfarande uppstå och det är då WordPress-säkerhetsgruppen bör gå in för att:
- Ge dokumentation för WordPress-utvecklare om utveckling av plugins och teman samt om bästa metoder för säkerhet.
- Övervaka plugins och teman för möjliga säkerhetshål. Eventuella problem som upptäcks kommer att göras till utvecklarens uppmärksamhet.
- Ta bort skadliga plugins eller teman från katalogen om utvecklare inte svarar eller samarbetar.
WordPress meddelar sedan sina användare via WordPress-administratören när dessa säkerhetsfixar (eller borttagning av dåliga plugins och teman) är tillgängliga.
WordPress-säkerhet kräver din vaksamhet
Efter att ha gått igenom allt detta gör det mig lite bekvämare att veta att det finns ett dedikerat team som arbetar för att hålla WordPress-kärnan säker hela tiden. Men det betyder inte att jag (eller du) ska lullas in i den känslan av självbelåtenhet.
Som vi har sett, även den senaste januari, med 1,5 miljoner webbplatser skadade, oavsett hur bra WordPress-projektet för att övervaka och säkra plattformen, kommer hackare att hitta en lösning.
Det är därför det är viktigt att spela din roll i allt detta och hålla dina webbplatser säkra från alla vinklar.
