N02 PremiumThemes

Proč jsou wordpress prémiová témata bezpečnostním rizikem

Běžná praxe integrace pluginů do prémiových témat může vystavit vaše stránky WordPress velkému bezpečnostnímu riziku. Problému se však v tuto chvíli lze jen stěží vyhnout - uživatel je v poptávce.

V letech 2014 a 2015 byly objeveny masivní zranitelnosti ve dvou nejpopulárnějších pluginech vůbec: Slider Revolution [1] (prodalo se téměř 75 000 kopií na Envato) a Visual Composer [2] (téměř 100 000 kopií prodaných na Envato). Samotné zranitelnosti však nebyly hlavním problémem. Protože vývojáři reagovali rychle a dodali příslušné aktualizace. Ale pro některé zákazníky Premium Themes, kteří používají tyto dva pluginy jako součást takzvaných balíčků pluginů, tj.plugin konstelace integrované do témat ve výchozím nastavení, bylo toto opatření zbytečné. Někteří z nich dlouho trpěli sítí s těmito bezpečnostními mezerami. Protože ne všechny motivy umožňují automatickou aktualizaci ve všech případech.

Dvojitá závislost uživatelů

Uživatelé prémiových témat jsou závislí na dvou stranách pro aktualizace pluginů relevantních pro zabezpečení: výrobce pluginů a motivů. Může se tedy stát, že výrobce pluginu rychle zareaguje a uzavře bezpečnostní mezeru, ale téma tyto změny automaticky neimplementuje. Protože aktualizace pluginů nejsou vždy snadno kompatibilní se zbytkem motivu. Interakce prémiového motivu s novou verzí pluginu musí být obvykle nejprve testována. Rychlost reakce výrobců motivů je tedy kritickou složkou procesu aktualizace a určuje, jak dlouho musí uživatelé žít s bezpečnostními mezerami [3].

Ale: Balíčky jsou problematické i pro samotné poskytovatele

V praxi je tato odpovědnost také zátěží pro výrobce témat. Na jedné straně musí informovat své zákazníky o bezpečnostní mezeře a jejím významu. V případě Visual Composeru reagoval poskytovatel tržiště Envato a výrobce pluginů wpbackery příkladným způsobem: všichni zákazníci byli kontaktováni e-mailem a aktualizace byla doporučena na vlastní nebezpečí [4]. Na druhou stranu musí výrobce spontánně otestovat kompatibilitu prémiového motivu s novou verzí pluginu, případně jej nejprve vyrobit nebo dokonce vyvinout provizorní řešení a zpřístupnit jej zákazníkům.

Šněrování takových zásuvných svazků tak způsobuje problémy poskytovatelům a zákazníkům. Vzhledem k tomu, že princip svazku má mnoho výhod, jako je rychlá integrace komplikovaných doplňkových funkcí a pohodlný provoz pro zákazníka, problém bude pravděpodobně přetrvávat po dlouhou dobu. Proto je důležité, aby si provozovatelé stránek byli tohoto nebezpečí vědomi a věděli, jak se s ním vypořádat.

Navzdory příkladné reakci: Reaktivní přístup výrobců problém nevyřeší

I když Envato a wpbakery reagovaly v případě Visual Composeru rychle, případ ukazuje limity reaktivní strategie a jasně ukazuje, že stávající praxe aktivně akceptuje bezpečnostní mezery. Reaktivní chování výrobců témat a poskytovatelů tržišť – bez ohledu na to, jak dobře může být koordinované – nemusí nutně nabízet vysoký standard zabezpečení a funkčnosti. Vzhledem k tomu, že e-maily mohou skončit ve spamovém filtru, příspěvky na sociálních médiích mohou být přehlédnuty a zprávy v aplikaci mohou být ztraceny. Existuje tedy zbytečné riziko, že provozovatelé stránek budou mít dlouhodobě v provozu nezabezpečený plugin.

Reaktivní přístup výrobců však nese druhé nebezpečí. Konkrétně, pokud provozovatel webu není držitelem licence prémiového tématu. Poměrně běžná konstelace, například v zakázkových pracích webových designérů. Pokud weboví designéři a vlastníci stránek nejsou v kontaktu, může se dokonce stát, že se postižení nedozví o bezpečnostní mezeře. Tato praxe produkuje masy webových stránek, jejichž vlastníci a správci nemají přístup k interním aktualizacím témat. I profesionálně udržované stránky tak mohou používat zastaralé a zranitelné pluginy.

Reaktivní přístup výrobců témat a poskytovatelů tržišť tak ignoruje důležitou část reality webového designu.

Proaktivní přístup je drahý

Nyní vyvstává otázka, proč nejsou balíčky pluginů vždy automaticky aktualizovány. Odpověď spočívá ve složitosti prémiových témat. Vývojáři navrhují motivy s komplexními doplňkovými funkcemi, jako jsou vizuální editační rozhraní, posuvníky, pole formulářů a tak dále. Dokud nebude prémiové téma sestaveno a nebude probíhat hladce, musí být dokončeny desítky testovacích sérií. Podobná situace je s aktualizacemi vestavěných pluginů: Každá nová verze může ohrozit celkovou funkčnost motivu a v nejhorším případě učinit celý web nepoužitelným. Zejména pro poskytovatele elektronického obchodování mohou takové prostoje znamenat obrovské peněžní ztráty a trvalé poškození jejich image.

Testy kompatibility proto spotřebovávají spoustu času a peněz, což vývojáře témat zbavuje motivace k proaktivnímu přístupu a vysvětluje jejich někdy reaktivní chování. Jak poznamenává skotský blogger Kevin Muldoon , tržiště také nepropagují pravidelné, nevyprovokované testy aktualizací. Například poskytovatelé by mohli pracovat s programy důvěry, řekl Muldoon. Nakonec je na každém samotném výrobci tématu, který aktualizuje strategii, kterou řídí. A samozřejmě nesmíme zapomínat, že existují prémiová témata, jejichž podpora byla zcela ukončena.

Možná řešení: Prémiové aktualizace i pro uživatele a nové standardy kvality

Ve svém blogovém článku Muldoon navrhuje volitelnou možnost aktualizace pro interní pluginy témat v samotném WordPressu. Uživatel by pak mohl aktualizovat příslušný plugin na nejnovější verzi ihned po vydání aktualizace, ale také přebírá odpovědnost za možné nekompatibility s vybraným tématem. Zadání licenčního klíče by bylo nutné pouze při aktivaci pluginu, aktualizace by mohly být také provedeny bez licence. Uživatel by byl také informován o nových a zvláště důležitých aktualizacích přímo ve WordPressu. Mezikrok o tematických výrobcích nebo tržištích, kteří musí nejprve informovat své zákazníky, by tak byl vynechán.

Motivační programy zmíněné společností Muldoon by také mohly být řešením, pokud zavedou proaktivní aktualizační politiku výrobců témat jako prominentní, nový bezpečnostní aspekt. Pravidelné testy kompatibility by se tak mohly stát zcela novým kritériem kvality placených témat.

Závěr: Uživatel je v poptávce

V každém případě tento problém volá na uživatele: Musíte si být vědomi toho, že pluginy balíčku mohou být bezpečnostním problémem a najít možné řešení. Například vlastník webových stránek si může zakoupit licence na odpovídající témata sám nebo se spolehnout na hostitele, který provádí příslušné aktualizace [5].

I při výběru samotného prémiového motivu lze zvážit některé důležité bezpečnostní aspekty. Pokud znáte zásady aktualizace výrobce motivu a použité pluginy, můžete obvykle již poskytnout solidní odhad náchylnosti k problému motivu.

I zde platí následující: Neexistuje nic takového jako 100% bezpečnost. Riziko však může být výrazně sníženo vědomým výběrem.

Tato skutečnost velmi pěkně ukazuje, jak spolu souvisí výhody a nevýhody modulární struktury WordPressu. Vzhledem k tomu, že tato problémová oblast je velká a různorodá, těšíme se na váš vstup v tomto okamžiku: Měli jste někdy problémy s prémiovými motivy, aktualizacemi pluginů nebo podobně? Dejte nám vědět a pomozte komunitě připravit se ještě lépe na nouzovou situaci.

Odkazy

[1]: Vysvětlení chyb zabezpečení v pluginu Slider Revolution: https://blog.sucuri.net/2014/09/slider-revolution-plugin-critical-vulnerability-being-exploited.html

[2]: Vysvětlení chyb zabezpečení v pluginu Visual Composer: https://forums.envato.com/t/visual-composer-security-vulnerability-fix/10494

[3]: To zdůrazňují také poskytovatelé, jako je Envato, ve svých zákaznických poznámkách k odpovídajícím bezpečnostním chybám: https://forums.envato.com/t/visual-composer-security-vulnerability-fix/10494

[4]: Skotský blogger Kevin Muldoon napsal podrobný článek o tomto problému a komentoval přístup společnosti Envato, stejně jako funkci automatické aktualizace pro pluginy balíčků: http://www.kevinmuldoon.com/packaged-wordpress-plugins-automatic-updates/

[5]: Zejména pokud weboví designéři úzce spolupracují s příslušnými hostiteli, tj. Mají potřebné informace pro aktualizace pluginů, lze vytvořit efektivní a rychlý proces aktualizace.

Líbil se vám tento článek?

Svou recenzí nám pomůžete zlepšit náš obsah.

Napsat komentář

Vaše e-mailová adresa nebude zveřejněna. Povinná pole jsou označena *.