Proč WordPress Premium Themes jsou bezpečnostním rizikem

Jan Hornung Naposledy aktualizováno 23. ledna 2020
5 min.
N02 PremiumThemes

Běžná praxe Plugins v prémii Themes integrovat WordPress k velkému bezpečnostnímu riziku. V současné době se však problému lze jen stěží vyhnout – uživatel je v poptávce.

V letech 2014 a 2015 byly zjištěny obrovské chyby zabezpečení ve dvou z nejpopulárnějších Plugins objeveno vůbec: Jak Slider Revolution [1] (prodáno téměř 75 000krát na Envato), tak Visual Composer [2] (prodáno téměř 100 000krát na Envato) byly ovlivněny. Samotné zranitelnosti však nebyly hlavním problémem. Vývojáři reagovali rychle a poskytli odpovídající aktualizace. U některých prémiových zákazníků však Themes , které obě Plugins jako součást tzv. Plugin balíčky, tj. ve výchozím nastavení v Themes integrovaných souhvězdí pluginů, toto opatření bylo zbytečné. Někteří z nich s těmito chybami zabezpečení dlouho prohledávali síť. Protože ne všechny Themes povolit automatickou aktualizaci ve všech případech.

Dvojitá závislost uživatele

Uživatelé Premium Themes  jsou závislé na dvou stranách pro aktualizace pluginů relevantní pro zabezpečení: Plugin - a výrobců memů. I když například výrobce pluginu reaguje rychle a tuto chybu zabezpečení uzavírá, Theme změny nejsou automaticky vynucovány. Protože aktualizace pluginů nejsou vždy snadné se zbytkem Themes Kompatibilní. Souhra prémiového Themes s novou verzí pluginu je obvykle třeba nejprve otestovat. Rychlost reakce výrobců motivů je tedy klíčovou součástí procesu aktualizace a určuje, jak dlouho musí uživatelé žít se slabými místy zabezpečení [3].

Ale: Balíčky jsou problematické i pro samotné poskytovatele

V praxi je tato odpovědnost zátěží i pro výrobce témat. Na jedné straně musí informovat své zákazníky o zranitelnosti a jejím významu. V případě vizuálního skladatele reagovali exemplárním způsobem poskytovatel tržiště Envato a výrobce pluginů wpbackery: Všichni zákazníci byli kontaktováni poštou a aktualizace byla doporučena na vlastní nebezpečí [4]. Na druhou stranu musí výrobce spontánně zkontrolovat kompatibilitu prémiového Themes s novou verzí pluginu ji případně nejprve vyrobte nebo dokonce vyvíjněte dočasné řešení a zpřístupníte zákazníkovi.

Šněrování těchto zásuvných balíčků tak způsobuje problémy poskytovatelům a zákazníkům. Vzhledem k tomu, že princip balíčku má mnoho výhod, jako je rychlá integrace složitých doplňkových funkcí a pohodlný provoz pro zákazníka, problém bude pravděpodobně přetrvávat po dlouhou dobu až do konce. Je proto důležité, aby si provozovatelé stránek byli tohoto nebezpečí vědomi a věděli, jak se s ním vypořádat.

Navzdory příkladné odpovědi: Reaktivní přístup výrobců problém nevyřeší

Ačkoli Envato a wpbakery reagovaly rychle v případě vizuálního skladatele, případ ukazuje omezení reaktivní strategie a jasně ukazuje, že stávající praxe aktivně přijímá chyby zabezpečení. Reaktivní chování výrobců témat a poskytovatelů tržiště – jakkoli dobře koordinované – nemusí nutně nabízet vysoký standard bezpečnosti a funkčnosti. Vzhledem k tomu, že e-maily mohou skončit ve filtru nevyžádané pošty, mohou být příspěvky na sociálních médiích přehlíženy a zprávy v aplikaci mohou být ztraceny. V důsledku toho existuje pro provozovatele lokalit po dlouhou dobu zbytečné riziko, že Plugin být v provozu.

Reaktivní přístup výrobců však představuje druhé nebezpečí. To v případě, že provozovatel stránek není držitelem licence prémie Themes Je. Poměrně běžná konstelace, například v případě zadáděné práce webových designérů. Pokud weboví návrháři a vlastníci stránek nejsou v kontaktu, může se dokonce stát, že se dotčené osoby o této chybě zabezpečení dozvědí. Tato praxe vytváří obrovské množství webových stránek, jejichž vlastníci a správci nemají přístup theme interní aktualizace. Profesionálně udržované lokality tak mohou být také zastaralé a zranitelné Plugins Použít.

Reaktivní přístup výrobců témat a poskytovatelů tržiště tak ignoruje důležitou část reality webového designu.

Proaktivní akce je nákladná

Nyní vyvstává otázka, proč Plugin balíček nemusí být vždy aktualizován automaticky. Odpověď spočívá ve složitosti pojistného Themes . Návrh vývojářů Themes s komplexními doplňky funkcí, jako jsou rozhraní vizuálních úprav, posuvníky, pole formulářů a. Až do prémie Theme Desítky testovacích sérií musí být dokončeny a běží hladce. Totéž platí pro aktualizace nainstalovaného Plugins : Každou novou verzi lze použít Themes v nejhorším případě zneužijete celou webovou stránku. Zejména pro poskytovatele elektronického obchodování může taková prostoje znamenat obrovské peněžní ztráty a trvalé poškození obrazu.

Testování kompatibility tak spotřebovává spoustu času a peněz, což zbavuje vývojáře témat pobídky k proaktivní akci a vysvětluje jejich částečně reaktivní chování. Jak upozorňuje skotský blogger Kevin Muldoon, tržiště nepagují pravidelné, náhodné testy aktualizací. Poskytovatelé by například mohli pracovat s důvěryhodnými programy, řekl Muldoon. Nakonec je na každém výrobci motivů, aby se rozhodl, kterou strategii aktualizace použít. A samozřejmě také nesmí být zapomenuto, že Premium Themes jejichž podpora byla zcela ukončena.

Možná řešení: Prémiové aktualizace i pro uživatele a nové standardy kvality

Ve svém článku na blogu Muldoon navrhuje volitelnou možnost aktualizace pro theme -interní Plugins In WordPress sám o sobě. Ihned po vydání aktualizace by uživatel mohl použít příslušné Plugin k nejnovější verzi, ale také přebírá odpovědnost za možné nekompatibility s vybraným Theme . Zadání licenčního klíče by bylo možné pouze při aktivaci Plugins nezbytné, aktualizace by mohly být také provedeny bez licence. Kromě toho by uživatel mohl prostřednictvím nových a zvláště důležitých aktualizací WordPress Informováni. Mezikrok o výrobcích témat nebo tržištích, kteří musí nejprve informovat své zákazníky, by byl odstraněn.

Motivační programy uvedené společností Muldoon by také mohly být řešením, pokud stanoví proaktivní politiku aktualizací výrobců témat jako prominentní nový bezpečnostní aspekt. Například pravidelné testy kompatibility by mohly být zcela novým kritériem kvality pro placené Themes Bve.

Závěr: Uživatel je v poptávce

V každém případě je však uživatel požádán o tento problém: je třeba si uvědomit, že Plugins problém se zabezpečením a najít možné alternativní řešení. Vlastník webu může například získat licence pro příslušné Themes nebo se při příslušných aktualizacích spoléhá na hostitele [5].

Také při výběru prémiového Themes některé důležité bezpečnostní aspekty již lze zohlednit. Pokud znáte zásady aktualizace výrobce motivu a Plugins , je obvykle možné poskytnout solidní odhad zranitelnosti Themes Vzdejte to.

Opět neexistuje 100% bezpečnost. Riziko však může být výrazně sníženo vědomým výběrem.

Tato situace velmi pěkně ukazuje, jak výhody a nevýhody modulárního designu WordPress Související. Vzhledem k tomu, že tato problémová oblast je velká a rozmanitá, těšíme se na váš vstup: Měli jste někdy problémy s Premium Themes , aktualizace pluginů nebo podobné? Dejte nám vědět a pomozte komunitě připravit se ještě lépe na stav nouze.

Odkazy

[1]: Vysvětlení slabých míst zabezpečení Plugin Otáčky posuvníku:https://blog.sucuri.net/2014/09/slider-revolution plugin -kritická-zranitelnost-zneužívaná.html

[2]: Vysvětlení slabých míst zabezpečení Plugin Visual Composer : https://forums.envato.com/t/visual-composer-security-vulnerability-fix/10494

[3]: To je také zdůrazněno poskytovateli, jako je Envato, v poznámkách zákazníků o odpovídajících bezpečnostních zranitelnostech: https://forums.envato.com/t/visual-composer-security-vulnerability-fix/10494

[4]: Skotský blogger Kevin Muldoon napsal podrobný článek o této otázce, komentující přístup Envato a funkci automatické aktualizace balíčků. Plugins Požadované: http://www.kevinmuldoon.com/packaged-wordpress plugins -automatické aktualizace/

[5]: Zejména pokud weboví návrháři úzce spolupracují s příslušnými hostiteli, tj. mají potřebné informace pro aktualizace pluginů, lze vytvořit efektivní a rychlý proces aktualizace.

Jeden z prvních členů u RAIDBOXES a vedoucí podpory. Na Bar a WordCamps, preferuje mluvit o PageSpeed a výkonnosti webových stránek. Nejlepší způsob, jak ho podplatit, je espresso – nebo bavorský preclík.

Podobné články

Komentáře k tomuto článku

Napsat komentář

Vaše e-mailová adresa nebude zveřejněna. Povinná pole jsou označena *.