Por qué WordPress Premium-Themes es un riesgo de seguridad

Jan Hornung Actualizado por última vez el 23.01.2020
5 Min.
N02 Temas Premium

Integrar la práctica común Plugins en Premium Themes puede tu WordPress sitio exponerlo a un gran riesgo de seguridad. Pero el problema difícilmente puede ser evitado en la actualidad - el usuario está en demanda.

En 2014 y 2015, se descubrieron enormes agujeros de seguridad en dos de los más populares Plugins de todos los tiempos: ambos La revolución del deslizador [1] (casi 75.000 veces en Envato vendido), así como el Visual Composer (vendida casi 100.000 veces en Envato) fueron afectadas. Sin embargo, las vulnerabilidades de seguridad en sí mismas no eran el principal problema. Los desarrolladores reaccionaron rápidamente y proporcionaron las actualizaciones apropiadas. Pero para algunos clientes de PremiumThemes, que los usan Plugins como parte de los llamados Pluginpaquetes, es decir, por defecto en las Themes constelaciones de plugins integrados, esta medida era inútil. Algunos de ellos pasaron mucho tiempo moviéndose alrededor de la red con estos agujeros de seguridad. Porque no todos ellos Themes permiten una actualización automática en todos los casos.

Doble dependencia de los usuarios

Los Themes usuarios Premium dependen de dos partes para las actualizaciones de los plugins relevantes para la seguridad: los Plugin- y los fabricantes de los temas. Así que puede suceder que el fabricante del plugin reaccione rápidamente y cierre el agujero de seguridad, pero no implemente automáticamente Theme estos cambios. Esto se debe a que las actualizaciones de los plugins no siempre son fácilmente Themes compatibles con el resto de un tema. La interacción del Premium Themes con la nueva versión del plugin normalmente tiene que ser probada primero. Por lo tanto, la velocidad de reacción de los productores del tema es el componente crítico en el proceso de actualización y determina el tiempo que los usuarios tienen que vivir con los agujeros de seguridad [3].

Pero: Los paquetes también son problemáticos para los propios proveedores

En la práctica, esta responsabilidad es también una carga para los fabricantes de temas. Por un lado, deben informar a sus clientes sobre la brecha de seguridad y su importancia. En el caso de Visual Composer, el vendedor del mercado Envato y el vendedor de plugins wpbackery reaccionó de manera ejemplar: Se contactó a todos los clientes por correo electrónico y se recomendó la actualización a su propio riesgo [4]. Por otra parte, el fabricante debe probar espontáneamente la compatibilidad del Premium Themes con la nueva versión del plugin, posiblemente crearlo primero o incluso desarrollar una solución provisional y ponerlo a disposición de los clientes.

El atado de estos paquetes de plugins causa, por lo tanto, problemas a los proveedores y clientes. Sin embargo, dado que el principio del paquete tiene muchas ventajas, como la rápida integración de complicadas funciones adicionales y un funcionamiento conveniente para el cliente, el problema probablemente seguirá existiendo durante mucho tiempo. Por lo tanto, es importante que los operadores de los sitios sean conscientes de este peligro y sepan cómo afrontarlo.

A pesar de la reacción ejemplar: el enfoque reactivo de los fabricantes no resuelve el problema

Aunque Envato y wpbakery reaccionaron rápidamente en el caso del Visual Composer, el caso muestra los límites de la estrategia reactiva y deja claro que la práctica existente acepta activamente las vulnerabilidades de seguridad. El comportamiento reactivo de los vendedores de temas y proveedores del mercado, no importa cuán bien coordinados estén, no necesariamente proporciona un alto nivel de seguridad y funcionalidad. Esto se debe a que los correos electrónicos pueden terminar en los filtros de spam, los mensajes de los medios sociales pueden ser pasados por alto y los mensajes in-app pueden perderse. Por lo tanto, existe un riesgo innecesario para los operadores del sitio de tener Plugin uno inseguro en funcionamiento durante mucho tiempo.

Sin embargo, el enfoque reactivo de los fabricantes también plantea un segundo riesgo. Esto es cuando el operador del sitio no es el titular de la licencia de la primaThemes . Esta es una constelación bastante común, por ejemplo, en el caso de trabajos por encargo de diseñadores de web. Si los diseñadores de la web y los propietarios de los sitios no están en contacto, puede incluso suceder que los afectados no se enteren de la brecha de seguridad. Esta práctica produce masas de sitios web cuyos propietarios y administradores no tienen acceso a themelas actualizaciones internas. Por lo tanto, incluso los sitios mantenidos profesionalmente pueden utilizar los obsoletos y vulnerablesPlugins .

Por lo tanto, un enfoque reactivo de los fabricantes de temas y los proveedores del mercado ignora una parte importante de la realidad del diseño web.

El enfoque proactivo es caro

Ahora surge la pregunta de por qué los Pluginpaquetes no siempre se actualizan automáticamente. La respuesta está en la complejidad del PremiumThemes. Los desarrolladores diseñan Themes con amplias funciones adicionales, como interfaces de edición visual, deslizadores, campos de formulario y y y. Hasta que el Premium sea Theme ensamblado y funcione sin problemas, hay que completar docenas de series de pruebas. Es similar con las actualizaciones de las incorporadasPlugins: Cada nueva versión puede Themes poner en peligro la funcionalidad general de la Premium y en el peor de los casos hacer inutilizable todo el sitio web. Especialmente para los proveedores de comercio electrónico, ese tiempo de inactividad puede significar enormes pérdidas monetarias y un daño duradero a su imagen.

Por lo tanto, las pruebas de compatibilidad consumen mucho tiempo y dinero, lo que elimina el incentivo para que los desarrolladores de temas sean proactivos y explica su comportamiento a veces reactivo. Como el blogger escocés Kevin Muldoon observa que los mercados tampoco promueven pruebas de actualización regulares y no improvisadas. Según Muldoon, por ejemplo, los proveedores podrían trabajar con programas de confianza. En última instancia, depende de cada fabricante de temas decidir qué estrategia de actualización utilizar. Y, por supuesto, no hay que olvidar que hay Themes productos de primera calidad cuyo soporte ha sido completamente descontinuado.

Posibles soluciones: Actualizaciones Premium también para los usuarios y nuevos estándares de calidad

Muldoon sugiere en su artículo de blog una opción de actualización opcional para theme-interno Plugins en WordPress sí mismo-. El usuario podría entonces actualizarse Plugin a la última versión inmediatamente después de que se publique la actualización, pero también asume la responsabilidad de posibles incompatibilidades con el Theme. La introducción de la clave de licencia sólo sería necesaria cuando se activara la Plugins actualización, las actualizaciones también podrían hacerse sin licencia. El usuario también sería informado sobre las nuevas y particularmente importantes actualizaciones directamente en WordPress . Esto eliminaría el paso intermedio de informar a los clientes sobre los fabricantes de temas o mercados.

Los programas de incentivos mencionados por Muldoon también podrían ser una solución si establecen la política de actualización proactiva de los fabricantes del tema como un nuevo aspecto de seguridad prominente. Por ejemplo, las pruebas de compatibilidad periódicas podrían convertirse en un criterio de calidad completamente nuevo para quienes las paganThemes .

Conclusión: El usuario está en demanda

En cualquier caso, sin embargo, el usuario debe hacer frente a este problema: hay que ser consciente de que los paquetesPlugins pueden representar un problema de seguridad y encontrar una posible solución. Por ejemplo, el propietario de un sitio web puede adquirir él mismo las licencias del software Themes correspondiente o hoster confiar en alguien para que realice las actualizaciones correspondientes [5].

Incluso cuando se selecciona la prima Themes en sí, se pueden tener en cuenta algunos aspectos de seguridad importantes. Si se conoce la política de actualización del fabricante del tema y de los usadosPlugins, normalmente ya se puede Themes dar una estimación sólida de la vulnerabilidad del tema.

Aquí tampoco existe la certeza del 100%. Sin embargo, el riesgo puede reducirse significativamente mediante una selección consciente.

Este hecho muestra muy bien cómo se WordPress interrelacionan las ventajas y desventajas de la construcción modular. Dado que esta área problemática es grande y diversa, esperamos su opinión en este momento: ¿Ha tenido problemas con PremiumThemes, actualizaciones de plugins o similares? Háganoslo saber y ayude a la comunidad a prepararse aún mejor para el caso de emergencia.

Enlaces

1]: Explicación de los agujeros de seguridad en la Plugin Revolución de los deslizadores: https://blog.sucuri.net/2014/09/slider-revolution-plugin-critical-vulnerability-being-exploited.html

2]: Explicación de las lagunas de seguridad en el Plugin Visual Composer : https://forums.envato.com/t/visual-composer-security-vulnerability-fix/10494

3]: Esto también lo enfatizan proveedores como Envato en su información de clientes sobre las brechas de seguridad: https://forums.envato.com/t/visual-composer-security-vulnerability-fix/10494

El blogger escocés Kevin Muldoon ha escrito un artículo detallado sobre este tema y ha comentado el enfoque de Envato, además de pedir una función de actualización automática de los paquetesPlugins : http://www.kevinmuldoon.com/packaged-wordpress-plugins-actualizaciones automáticas-

5]: Especialmente si los diseñadores de la web trabajan estrechamente con los respectivos hosters, es decir, tienen la información necesaria para las actualizaciones de los plugins, se puede establecer un proceso de actualización efectivo y rápido.

RAIDBOXER desde el inicio y Jefe de Apoyo. En el bar y WordCamps le gusta hablar de PageSpeed y del rendimiento de los sitios web. La mejor manera de sobornarlo es con un expreso o un pretzel bávaro.

Artículos relacionados

Comentarios sobre este artículo

Escriba un comentario

tu La dirección de correo electrónico no se publicará. Los campos obligatorios están marcados con * marcado.