Proč WordPress Premium Themes jsou bezpečnostním rizikem

Jan Hornung Naposledy aktualizováno Jan 23, 2020
5 min.
N02 PremiumTémata

Běžná praxe Plugins v prémiovém účtu Themes integrovat své WordPress na významné bezpečnostní riziko. Ale problém lze jen stěží vyhnout v tuto chvíli - uživatel je v poptávce.

V letech 2014 a 2015 byly zjištěny masivní bezpečnostní chyby ve dvou Plugins objevil vůbec: Oba Posuvník revoluce [1] (téměř 75 000krát Envato prodány), stejně jako Visual Composer [2] (prodáno téměř 100 000krát na Envato) byly ovlivněny. Samotná zranitelná místa však nebyla hlavním problémem. Vývojáři reagovali rychle a poskytli odpovídající aktualizace. U některých prémiových zákazníků však Themes , které oba Plugins jako součást tzv. Plugin svazky, tj. Themes integrovaných plugin souhvězdí, toto opatření bylo k ničemu. Někteří z nich klopýtal přes síť na dlouhou dobu s těmito bezpečnostními zranitelnostmi. Vzhledem k tomu, že ne všechny Themes ve všech případech automatickou aktualizaci.

Dvojitá závislost uživatelů

Uživatelé premium Themes  jsou závislé na dvou stranách pro aktualizace pluginů relevantních pro zabezpečení: Plugin - a výrobce memů. Pokud například výrobce pluginů rychle reaguje a chybu zabezpečení uzavře, Theme změny nejsou automaticky vynucovat. Vzhledem k tomu, plugin aktualizace nejsou vždy snadné se zbytkem Themes Kompatibilní. Souhra prémiového Themes s novou verzí pluginu obvykle musí být testovány jako první. Rychlost reakce výrobců memů je tedy klíčovou součástí procesu aktualizace a určuje, jak dlouho musí uživatelé žít s bezpečnostními chybami zabezpečení [3].

Ale: Balíčky jsou také problematické pro samotné poskytovatele

V praxi je tato odpovědnost také zátěží pro výrobce témat. Na jedné straně musí informovat své zákazníky o zranitelnosti a jejím významu. V případě vizuálního skladatele, poskytovatele tržiště Envato a výrobce pluginů wpbackery odpovědělpříkladně: Všichni zákazníci byli kontaktováni prostřednictvím e-mailu a aktualizace byla doporučena na vlastní nebezpečí [4]. Na druhé straně musí výrobce spontánně zkontrolovat kompatibilitu prémiového účtu Themes s novou verzí pluginu, případně ji nejprve vyrábět nebo dokonce vyvinout dočasné řešení a zpřístupnit jej zákazníkovi.

Šněrování takových zásuvných svazků tak způsobuje problémy poskytovatelům a zákazníkům. Protože však princip svazku má mnoho výhod, jako je rychlá integrace složitých doplňkových funkcí a pohodlný provoz pro zákazníka, problém bude pravděpodobně přetrvávat po dlouhou dobu až do konce. Je proto důležité, aby si provozovatelé stránek byli tohoto nebezpečí vědomi a věděli, jak se s ním vypořádat.

I přes příkladnou odpověď: Reaktivní přístup výrobců problém neřeší

Ačkoli Envato a wpbakery reagovaly rychle v případě vizuálního skladatele, případ ukazuje omezení reaktivní strategie a dává jasně najevo, že stávající praxe aktivně přijímá bezpečnostní chyby. Reaktivní chování výrobců témat a poskytovatelů tržiště – jakkoli dobře koordinované – nemusí nutně nabízet vysoký standard bezpečnosti a funkčnosti. Vzhledem k tomu, že e-maily mohou skončit ve filtru spamu, mohou být příspěvky na sociálních médiích přehlíženy a zprávy v aplikaci mohou být ztraceny. V důsledku toho existuje zbytečné riziko, že provozovatelé lokalit po dlouhou dobu Plugin být v provozu.

Reaktivní přístup výrobců však představuje druhé nebezpečí. To je, když provozovatel lokality není držitelem licence na prémii Themes Je. Poměrně časté konstelace, například v případě zadané práce webových designérů. Pokud návrháři webů a vlastníci stránek nejsou v kontaktu, může se dokonce stát, že se dotčené osoby o této chybě se nedozví. Tato praxe vytváří obrovské množství webových stránek, jejichž vlastníci a správci nemají přístup theme interní aktualizace. Profesionálně udržované lokality tak mohou být také zastaralé a zranitelné Plugins Použít.

Reaktivní přístup výrobců tématu a poskytovatelů trhu tak ignoruje důležitou část reality web designu.

Proaktivní akce je nákladná

Nyní vyvstává otázka, proč Plugin nemusí být vždy automaticky aktualizována. Odpověď spočívá ve složitosti pojistného Themes . Vývojáři navrhují Themes s komplexními doplňkovými funkcemi, jako jsou vizuální editační rozhraní, posuvníky, pole formulářů a. Až do Theme Desítky testovacích sérií musí být dokončeny a běží hladce. Totéž platí pro aktualizace nainstalovaných Plugins : Každá nová verze může být použita Themes v nejhorším případě, aby se celá webová stránka nepoužitelná. Zejména pro poskytovatele elektronického obchodu může takový prostoje znamenat obrovské peněžní ztráty a trvalé poškození obrazu.

Testování kompatibility tak spotřebovává spoustu času a peněz, což vývojáře motivů zbavuje motivace k proaktivníakci a vysvětluje jejich částečně reaktivní chování. Stejně jako skotský blogger Kevin Muldoon tržiště nepodporují pravidelné, náhodné aktualizace testů jeden. Například poskytovatelé by mohli pracovat s důvěryhodnými programy, řekl Muldoon. Nakonec je na každém výrobci motivů, aby se rozhodl, kterou strategii aktualizace použít. A samozřejmě, to je také nesmíme zapomínat, že Premium Themes jejichž podpora byla zcela ukončena.

Možná řešení: Prémiové aktualizace i pro uživatele a nové standardy kvality

Ve svém blogu muldoon navrhuje volitelnou možnost aktualizace pro theme -vnitřní Plugins In WordPress samotného. Ihned po vydání aktualizace může uživatel použít příslušný Plugin nejnovější verzi, ale také přebírá odpovědnost za případné neslučitelnosti s vybranými Theme . Zadání licenčního klíče by bylo možné pouze při aktivaci Plugins nezbytné, aktualizace by mohly být provedeny i bez licence. Kromě toho by uživatel prostřednictvím nových a obzvláště důležitých aktualizací mohl WordPress Informováni. Mezikrok o tématech výrobců nebo tržišť, které nejprve musí informovat své zákazníky, by byl odstraněn.

Motivační programy uvedené Muldoon by také mohlo být řešením, pokud se stanoví proaktivní aktualizaci politiky tvůrců tématu jako prominentní nový bezpečnostní aspekt. Například pravidelné testy kompatibility by mohly být zcela novým kritériem kvality pro Themes Bve.

Závěr: Uživatel je v poptávce

V každém případě je však uživatel požádán o tento problém: je třeba si být vědom toho, že Plugins problém se zabezpečením a najít možné řešení. Vlastník webu může například získat licence na příslušné Themes nebo se spoléhat na hoster, aby příslušné aktualizace [5].

Také při výběru prémiového Themes některé důležité bezpečnostní aspekty již lze zohlednit. Pokud znáte zásady aktualizace výrobce motivu a zásady aktualizace Plugins , je obvykle možné poskytnout solidní odhad zranitelnosti Themes vzdát.

Opět platí, že neexistuje žádná 100% bezpečnost. Riziko však může být výrazně sníženo s vědomým výběrem.

Tato situace velmi pěkně ukazuje, jak výhody a nevýhody modulární konstrukce WordPress Související. Vzhledem k tomu, že tato problémová oblast je velká a rozmanitá, těšíme se na váš vstup: Už jste někdy měli problémy s Premium Themes , plugin aktualizace nebo podobné? Dejte nám vědět a pomozte komunitě připravit se ještě lépe na stav nouze.

Odkazy

[1]: Vysvětlení slabých míst zabezpečení Plugin Posuvník revoluce: https://blog.sucuri.net/2014/09/slider-revolution plugin -critical-vulnerability-being-exploited.html -critical-vulnerability-being-exploited.html -critical-vulnerability-being-exploited.html -critical

[2]: Vysvětlení slabých míst v oblasti bezpečnosti Plugin Visual Composer : https://forums.envato.com/t/visual-composer-security-vulnerability-fix/10494

[3]: To to také zdůrazňují poskytovatelé, jako je Envato, v poznámkách zákazníků o odpovídajících bezpečnostních chybách: https://forums.envato.com/t/visual-composer-security-vulnerability-fix/10494

[4]: Skotský blogger Kevin Muldoon napsal podrobný článek o této otázce, komentoval přístup Envato, stejně jako funkci automatické aktualizace pro balíčky. Plugins Požadované: http://www.kevinmuldoon.com/packaged-wordpress plugins -automatické aktualizace/

[5]: Zvláště pokud weboví návrháři úzce spolupracují s příslušnými hostiteli, tj.

Jeden z prvních členů u RAIDBOXES a vedoucí podpory. Na Bar a WordCamps, preferuje mluvit o PageSpeed a výkonnosti webových stránek. Nejlepší způsob, jak ho podplatit, je espresso – nebo bavorský preclík.

Podobné články

Komentáře k tomuto článku

Napsat komentář

Vaše e-mailová adresa nebude zveřejněna. Povinná pole jsou označena * .