WordPress เป็นซอฟต์แวร์ที่เชื่อถือได้หรือไม่?

โดย แบลร์ Jersyer | ข่าว WordPress, บล็อกและเคล็ดลับ

คำถามที่ว่า WordPress มีความปลอดภัยนั้นซับซ้อนหรือไม่ แม้ว่านี่จะเป็นแพลตฟอร์มที่ปลอดภัยเพียงพอสำหรับประมาณหนึ่งในสี่ของเว็บไซต์ที่ขับเคลื่อนด้วย WordPress ทั่วโลก แต่ก็ไม่ได้มีข้อบกพร่อง
ใครเป็นผู้รับผิดชอบต่อความปลอดภัยของ WordPress? แน่นอนส่วนหนึ่งของความรับผิดชอบนั้นตกอยู่กับในที่สุด ชราบ ไหล่. ด้วยเหตุนี้จึงจำเป็นอย่างยิ่งที่จะต้องตระหนักและเคารพ แนวทางปฏิบัติที่ดีที่สุดด้านความปลอดภัยของ WordPress เพื่อให้ไซต์ทั้งหมดที่คุณสร้างมีความปลอดภัยที่สุดเท่าที่จะเป็นไปได้

อย่างไรก็ตามทีมงานที่อยู่เบื้องหลัง WordPress ก็มีส่วนรับผิดชอบในเรื่องนี้เช่นกัน ท้ายที่สุดไม่มีอะไรที่คุณสามารถทำได้เพื่อปกป้อง WordPress core ด้วยตัวคุณเอง

หากคำถามเกี่ยวกับความปลอดภัยของ WordPress รบกวนคุณมากเท่ากับทุกคนที่พยายามทำธุรกิจออนไลน์ให้อ่านต่อไปนี้

ฉันจะพูดถึงส่วนหนึ่งของเรื่องราวเกี่ยวกับปัญหาด้านความปลอดภัยของ WordPress และสิ่งที่โครงการ WordPress กำลังทำอยู่

ประวัติโดยย่อเกี่ยวกับปัญหาด้านความปลอดภัยของ WordPress

ปัญหาไม่จำเป็นว่า WordPress เป็นระบบจัดการเนื้อหาที่อ่อนแอมีแนวโน้มที่จะพยายามแฮ็กและช่องโหว่ด้านความปลอดภัย เป็นไปได้มากว่าปัญหาด้านการมองเห็น WordPress เป็น CMS ที่ได้รับความนิยมมากที่สุดทั่วโลกดังนั้นแน่นอนว่ามันจะเป็นเป้าหมายที่ง่ายสำหรับแฮกเกอร์

WordPress ถูกวิพากษ์วิจารณ์ทั่วไปทางออนไลน์ (ในบล็อกฟอรัมพ็อดคาสท์ ฯลฯ.). ดังนั้นจุดอ่อนของแพลตฟอร์มจึงเป็นที่ทราบกันดี มันจะสมเหตุสมผลแล้วที่แฮกเกอร์จะกำหนดเป้าหมายไปที่เว็บไซต์ WordPress เป็นหลักใช่หรือไม่?

ความปลอดภัยเป็นจุดพูดคุยที่สำคัญสำหรับทุกคน บล็อก WordPress หรือการพัฒนาเว็บ ตามโครงการ WordPress (ทีมที่รับผิดชอบในการจัดการความปลอดภัยของแพลตฟอร์ม) พวกเขาปล่อยแพตช์ความปลอดภัยตลอดเวลา คุณรู้จักการแจ้งเตือนการอัปเดตอัตโนมัติที่คุณได้รับเมื่อลงชื่อเข้าใช้แดชบอร์ดหรือไม่ "WordPress ได้รับการอัปเดตเป็น 4.7.2" หรืออะไรทำนองนั้น? ปกติแล้วเมื่อคุณเห็นรุ่นย่อย ๆ ออกมา นั่นเป็นเพราะทีมต้องแก้ไขปัญหาด้านความปลอดภัย

และสิ่งเหล่านี้มักเกิดขึ้น:

La การละเมิดข้อมูลปานามาไปยัง จาก 2016 นั้นส่วนหนึ่งมาจากช่องโหว่ในปลั๊กอิน Revolution Slider WordPress

ดังนั้นจึงมั่นใจได้ว่า WordPress จัดการกับการละเมิดความปลอดภัยล่าสุดและรายละเอียดสูงที่เกิดจาก REST API ได้อย่างไร

นี่คือสิ่งที่เกิดขึ้น:

  • ในเดือนมกราคม 2017 WordPress ได้เปิดตัวอัปเดต 4.7.2 ไม่มีรายการอัพเดตหรือการแก้ไขใด ๆ ในรายการโปรแกรมปรับปรุงความปลอดภัยที่กล่าวถึง
  • ประมาณหนึ่งสัปดาห์ต่อมา WordPress ได้แจ้งให้ผู้ใช้ทราบว่ามีการตรวจพบและแก้ไขข้อบกพร่องด้านความปลอดภัยในการอัปเดตนี้
  • เหตุผลที่พวกเขาให้สำหรับความล่าช้าในการแจ้งเตือนผู้ใช้? เนื่องจากต้องการให้เวลาอัปเดตเคอร์เนลก่อนที่แฮกเกอร์จะรู้ว่า WordPress รู้เรื่องนี้และแก้ไขปัญหาได้

แน่นอนว่านั่นไม่ได้หยุดแฮกเกอร์จากการทำให้ไซต์ WordPress เสียหาย 1,5 ล้านไซต์ในระหว่างนี้ นอกจากนี้ยังมีผู้ใช้ WordPress ที่ไม่เคยอัปเดต CMS (หรือช้าเกินไป) ซึ่งยังคงเสี่ยงต่อการถูกโจมตี

ดังนั้นแม้ว่าในที่สุด WordPress จะมีการเผยแพร่แพตช์และพวกเขาจัดการประกาศด้วยชั้นเชิงที่จำเป็นมากเว็บไซต์กว่าล้านแห่งได้รับบาดเจ็บในกระบวนการนี้ และที่แย่ไปกว่านั้นเจ้าของเว็บไซต์จำนวนมากยังคงเพิกเฉยต่อความเสื่อมโทรมนี้แม้ว่าจะเกิดขึ้นแล้วก็ตาม

แพทช์รักษาความปลอดภัย ดูเหมือนว่าจะออกมาบ่อยขึ้นโดยมีอัตราการละเมิดสูงสุดในปี 2015 เมื่อสิ่งเหล่านี้เกิดขึ้นมากขึ้นคุณจึงควรทราบว่าใครเป็นผู้รับผิดชอบในการรักษาความปลอดภัย WordPress และคุณสามารถทำอะไรได้บ้างเพื่อให้แน่ใจว่าคุณได้รับการปกป้อง

ความปลอดภัย wordpress.png

สิ่งที่คุณต้องรู้เกี่ยวกับโครงการ WordPress (และความปลอดภัย)

นี่คือสิ่งที่คุณต้องรู้เกี่ยวกับโครงการ WordPress และสิ่งที่พวกเขากำลังทำ รักษาความปลอดภัยเคอร์เนล .

ทีมรักษาความปลอดภัยของ WordPress

ก่อนอื่นเรามาพูดถึงโครงการ WordPress ทีมรักษาความปลอดภัยนี้ประกอบด้วยบุคลากรประมาณ 25 คนซึ่งเป็นผู้เชี่ยวชาญด้านการพัฒนาหรือความปลอดภัยของ WordPress ทั้งหมด ปัจจุบันครึ่งหนึ่งของผู้คนในโครงการ WordPress ทำงานกับ Automattic

ทีมผู้เชี่ยวชาญนี้มีหน้าที่ในการระบุความเสี่ยงด้านความปลอดภัยในเคอร์เนล นอกจากนี้ยังมีหน้าที่รับผิดชอบในการตรวจสอบปัญหาที่อาจเกิดขึ้นกับธีมหรือปลั๊กอินที่ส่งโดยบุคคลที่สามและให้คำแนะนำเกี่ยวกับวิธีที่จะทำให้เครื่องมือของตนแข็งตัวหรือแก้ไขการละเมิดที่ทราบได้

แม้ว่าโดยปกติแล้วพวกเขาจะทำงานด้วยตนเองเพื่อระบุและแก้ไขปัญหาเหล่านี้ แต่พวกเขาจะปรึกษากับผู้เชี่ยวชาญคนอื่นๆ ในสาขานั้นเป็นครั้งคราว โดยเฉพาะอย่างยิ่งจากบริษัทรักษาความปลอดภัยและที่พัก.

WordPress ระบุความเสี่ยงด้านความปลอดภัยอย่างไร

อย่างที่คุณคาดหวังทีมโครงการ WordPress กำลังทำงานเหมือนเครื่องจักรที่มีน้ำมันอย่างดี ขั้นตอนการระบุและแก้ไขความเสี่ยงด้านความปลอดภัยมีดังนี้:

  • ปัญหาถูกระบุโดยบุคคลจากทีมรักษาความปลอดภัยหรือจากภายนอกทีม สมาชิกที่ไม่ได้เป็นสมาชิกของโครงการสามารถแจ้งปัญหาที่ตรวจพบเหล่านี้ได้โดยส่งอีเมลไปที่ [ป้องกันอีเมล].
  • มีการบันทึกรายงานและทีมรักษาความปลอดภัยรับทราบใบเสร็จรับเงิน
  • จากนั้นสมาชิกในทีมจะทำงานร่วมกันบนเซิร์ฟเวอร์ส่วนตัวแบบส่วนตัวเพื่อตรวจสอบว่าภัยคุกคามนั้นถูกต้อง
  • ซึ่งเป็นที่ติดตามทดสอบและซ่อมแซมช่องโหว่ด้านความปลอดภัยที่ตรวจพบ
  • แพตช์รักษาความปลอดภัยจะถูกเพิ่มเข้าไปใน WordPress Minor เวอร์ชันถัดไป
  • สำหรับการซ่อมแซมที่ไม่รุนแรง WordPress จะแจ้งให้ผู้ใช้แดชบอร์ดของ WordPress ทราบเมื่อมีการโพสต์อัตโนมัติเกิดขึ้น
  • สำหรับเรื่องเร่งด่วนเพิ่มเติมโพสต์จะออกทันทีและ WordPress.org จะประกาศในหน้าข่าวสารของไซต์

แน่นอนอย่างที่เราเห็นใน 4.7.2 WordPress ไม่ได้ประกาศการแก้ไขความปลอดภัยเหล่านี้เสมอไป (ด้วยเหตุผลที่ถูกต้อง) แม้ว่าจะดำเนินการแก้ไขทันทีก็ตาม

หมายเหตุเกี่ยวกับการอัพเดทอัตโนมัติ

ตั้งแต่เวอร์ชัน 3.7 เป็นต้นมา WordPress มีความสามารถในการส่งการอัปเดตเล็กน้อยไปยังเว็บไซต์ทั้งหมดโดยอัตโนมัติ สิ่งนี้ช่วยให้มั่นใจได้ว่าทีมรักษาความปลอดภัยของ WordPress จะได้รับการแก้ไขอย่างเร่งด่วนในเวลาที่เหมาะสมและไม่ต้องรอให้ผู้ใช้ตกลงและอัปเดตในแต่ละเว็บไซต์

อย่างไรก็ตามผู้ใช้ WordPress สามารถปิดการอัปเดตอัตโนมัติเหล่านี้ได้ หากเป็นกรณีนี้สำหรับคุณโปรดทราบว่าอาจทำให้ไซต์ของคุณตกอยู่ในความเสี่ยงโดยเฉพาะอย่างยิ่งหากคุณไม่มีเวลาตรวจสอบไซต์ทั้งหมดของคุณอย่างรอบคอบเพื่อรับการอัปเดตล่าสุดและดีที่สุด

ความปลอดภัยของปลั๊กอินและธีม

เช่นเดียวกับที่เป็นความรับผิดชอบของคุณในการมอบประสบการณ์เว็บที่ดีขึ้นแก่ผู้เยี่ยมชม ผู้พัฒนาปลั๊กอินและ ธีม WordPress มีหน้าที่รับผิดชอบต่อความปลอดภัยของผู้ใช้ (เช่น คุณ) แม้ว่า WordPress ไม่สามารถจัดการกับปลั๊กอินและธีมนับหมื่นได้ แต่อย่างน้อยพวกเขาก็สามารถจับตาดูอย่างใกล้ชิดเพื่อให้แน่ใจว่าไม่มีสิ่งใดร้ายแรงที่อาจหลุดรอดไปได้

โครงการ WordPress เป็นทีมที่รับผิดชอบในการทำงานร่วมกับนักพัฒนาเมื่อตรวจพบปัญหาด้านความปลอดภัย อย่างไรก็ตามก่อนหน้านั้นมีทีมอาสาสมัครที่ได้รับมอบหมายให้ตรวจสอบแต่ละธีมหรือปลั๊กอินที่ส่งไปยัง WordPress ทีมนี้จะทำงานร่วมกับนักพัฒนาเพื่อให้แน่ใจว่ามีการปฏิบัติตามแนวทางปฏิบัติที่ดีที่สุด

อย่างไรก็ตามช่องโหว่ด้านความปลอดภัยยังคงเกิดขึ้นและนี่คือเวลาที่ทีมรักษาความปลอดภัยของ WordPress ควรเข้าสู่:

  • จัดเตรียมเอกสารสำหรับนักพัฒนา WordPress เกี่ยวกับการพัฒนาปลั๊กอินและธีมรวมถึงแนวทางปฏิบัติที่ดีที่สุดในด้านความปลอดภัย
  • ตรวจสอบปลั๊กอินและธีมสำหรับช่องโหว่ด้านความปลอดภัยที่เป็นไปได้ ปัญหาใด ๆ ที่ตรวจพบจะแจ้งให้ผู้พัฒนาทราบ
  • ลบปลั๊กอินหรือธีมที่เป็นอันตรายออกจากไดเรกทอรีหากนักพัฒนาไม่ตอบสนองหรือร่วมมือกัน

จากนั้น WordPress จะแจ้งให้ผู้ใช้ทราบผ่านทางผู้ดูแลระบบ WordPress เมื่อมีการแก้ไขด้านความปลอดภัยเหล่านี้ (หรือการลบปลั๊กอินและธีมที่ไม่ดี)

การรักษาความปลอดภัย WordPress ต้องการความระมัดระวังของคุณ

หลังจากผ่านสิ่งเหล่านี้ไปแล้วมันทำให้ฉันสบายใจขึ้นเล็กน้อยเมื่อรู้ว่ามีทีมงานเฉพาะที่ทำงานเพื่อให้แกนของ WordPress ปลอดภัยตลอดเวลา อย่างไรก็ตามนั่นไม่ได้หมายความว่าฉัน (หรือคุณ) ควรถูกกล่อมให้เข้าสู่ความรู้สึกพึงพอใจ

ดังที่เราได้เห็นแม้ในเดือนมกราคมที่ผ่านมามีเว็บไซต์เสียหายถึง 1,5 ล้านแห่งไม่ว่าโครงการ WordPress จะตรวจสอบและรักษาความปลอดภัยแพลตฟอร์มได้ดีเพียงใดแฮกเกอร์ก็จะหาทางแก้ไข

นั่นเป็นเหตุผลว่าทำไมการมีส่วนร่วมของคุณในทั้งหมดนี้จึงเป็นสิ่งสำคัญและทำให้เว็บไซต์ของคุณปลอดภัยจากทุกมุม

โปสเตอร์ le commentaire

ที่อยู่อีเมลของคุณจะไม่ถูกเผยแพร่ ช่องที่ต้องการถูกทำเครื่องหมาย *

เว็บไซต์นี้ใช้ Akismet เพื่อลดสิ่งที่ไม่พึงประสงค์ เรียนรู้เพิ่มเติมเกี่ยวกับวิธีการใช้ข้อมูลความคิดเห็นของคุณ.