Perché WordPress Premium-Themes è un rischio per la sicurezza

Jan Hornung Ultimo aggiornamento 23.01.2020
5 Min.
N02 Temi Premium

La pratica comune di integrare Plugins in Premium Themes può esporre il tuo sito WordPress a un grande rischio di sicurezza. Tuttavia, il problema è difficilmente evitabile al momento - dipende dall'utente.

Nel 2014 e 2015, sono state scoperte massicce vulnerabilità di sicurezza in due dei più popolari Plugins di sempre: sia Slider Revolution [1] (venduto quasi 75.000 volte su Envato ), sia il Visual Composer [2] (venduto quasi 100.000 volte su Envato) sono stati colpiti. Tuttavia, le vulnerabilità stesse non erano il problema principale. Gli sviluppatori hanno reagito rapidamente e hanno fornito aggiornamenti appropriati. Ma per alcuni clienti di Premium Themes, che usano i due Plugins come parte dei cosiddetti bundle Plugin, cioè costellazioni di plugin integrate di default nel Themes , questa misura era inutile. Si sono imbattuti nella rete con queste lacune di sicurezza per molto tempo. Perché non tutti i Themes permettono un aggiornamento automatico in tutti i casi.

Doppia dipendenza degli utenti

Gli utenti di Premium Themes dipendono da due parti per gli aggiornamenti dei plugin rilevanti per la sicurezza: Plugin- e i produttori di temi. Quindi può succedere che il produttore di plugin reagisca rapidamente e chiuda la falla di sicurezza, ma il Theme non implementa automaticamente questi cambiamenti. Questo perché gli aggiornamenti dei plugin non sono sempre facilmente compatibili con il resto di un Themes . L'interazione del premium Themes con la nuova versione del plugin di solito deve essere testata prima. La velocità di reazione dei produttori di temi è quindi la componente critica nel processo di aggiornamento e determina per quanto tempo gli utenti devono vivere con lacune di sicurezza[3].

Ma: i bundle sono anche problematici per i fornitori stessi

In pratica, questa responsabilità è anche un peso per i produttori di temi. Da un lato, devono informare i loro clienti sul gap di sicurezza e sul suo significato. Nel caso di Visual Composer, il fornitore di marketplace Envato e il produttore di plugin wpbackery hanno reagito in modo esemplare: Tutti i clienti sono stati contattati via mail e raccomandati di aggiornare a proprio rischio[4]. D'altra parte, il produttore deve testare spontaneamente la compatibilità del Premium Themes con la nuova versione del plugin, eventualmente stabilirla prima o anche sviluppare una soluzione provvisoria e metterla a disposizione dei clienti.

Legare questi bundle di plugin provoca quindi problemi per i fornitori e i clienti. Tuttavia, poiché il principio del bundle ha molti vantaggi, come l'integrazione veloce di complicate funzioni aggiuntive e il funzionamento conveniente per il cliente, il problema probabilmente persisterà per qualche tempo. È quindi importante che gli operatori del sito siano consapevoli di questo pericolo e sappiano come affrontarlo.

Nonostante la reazione esemplare: l'azione reattiva dei produttori non risolve il problema

Anche se Envato e wpbakery hanno reagito rapidamente nel caso di Visual Composer, il caso mostra ancora i limiti della strategia reattiva e rende chiaro che la pratica esistente accetta attivamente le vulnerabilità di sicurezza. Il comportamento reattivo dei produttori di temi e dei fornitori di marketplace - per quanto ben coordinato - non fornisce necessariamente un alto standard di sicurezza e funzionalità. Questo perché le e-mail possono finire nei filtri antispam, i post sui social media possono essere trascurati e i messaggi in-app possono essere persi. Così, c'è un rischio inutile per gli operatori del sito di avere un Plugin insicuro in funzione per un periodo di tempo più lungo.

Tuttavia, l'approccio reattivo dei produttori nasconde un secondo pericolo. Vale a dire, se l'operatore del sito non è il licenziatario del premio Themes . Questa è una costellazione abbastanza comune, per esempio nel caso di lavori commissionati da web designer. Se il web designer e il proprietario del sito non sono in contatto, può anche succedere che gli interessati non scoprano la vulnerabilità della sicurezza. Questa pratica produce masse di siti web i cui proprietari e amministratori non hanno accesso a theme- aggiornamenti interni. Anche i siti mantenuti professionalmente possono quindi utilizzare Plugins obsoleti e vulnerabili.

Quindi un approccio reattivo da parte dei produttori di temi e dei fornitori di marketplace ignora una parte importante della realtà del web design.

L'approccio proattivo è costoso

Ora ci si chiede perché il bundle Plugin non sia semplicemente sempre aggiornato automaticamente. La risposta sta nella complessità del premio Themes. Gli sviluppatori progettano Themes con ampie funzioni aggiuntive, come interfacce di editing visuale, cursori, campi modulo e così via. Fino a quando il premium Theme è messo insieme e funziona senza problemi, decine di serie di test devono essere completati. È simile con gli aggiornamenti del Plugins installato: ogni nuova versione può mettere in pericolo la funzionalità generale del Themes e nel peggiore dei casi rendere l'intero sito web inutilizzabile. Per i fornitori di e-commerce in particolare, un tale downtime può significare enormi perdite monetarie e danni duraturi alla loro immagine.

I test di compatibilità consumano quindi molto tempo e denaro, il che priva gli sviluppatori di temi dell'incentivo ad essere proattivi e spiega il loro comportamento talvolta reattivo. Come nota il blogger scozzese Kevin Muldoon, i marketplace non incoraggiano nemmeno i test di aggiornamento regolari e casuali. Per esempio, i fornitori potrebbero lavorare con programmi di fiducia, dice Muldoon. Alla fine, spetta ad ogni venditore di temi decidere quale strategia di aggiornamento seguire. E, naturalmente, non bisogna dimenticare che esiste il premium Themes il cui supporto è stato completamente interrotto.

Soluzioni possibili: Aggiornamenti premium anche per gli utenti e nuovi standard di qualità

Nel suo articolo sul blog, Muldoon suggerisce un'opzione di aggiornamento opzionale per theme-internal Plugins in WordPress stesso. L'utente potrebbe quindi aggiornare il rispettivo Plugin all'ultima versione direttamente dopo il rilascio dell'aggiornamento, ma si assume anche la responsabilità di eventuali incompatibilità con il Theme selezionato. L'inserimento della chiave di licenza sarebbe necessario solo quando si attiva Plugins , gli aggiornamenti potrebbero anche essere fatti senza una licenza. L'utente verrebbe anche informato di nuovi aggiornamenti particolarmente importanti direttamente su WordPress . Il passo intermedio attraverso i produttori di temi o i mercati, che devono prima informare i loro clienti, sarebbe così eliminato.

I programmi d'incentivazione menzionati da Muldoon potrebbero anche essere una soluzione se stabiliscono la politica di aggiornamento proattivo dei produttori di temi come un importante, nuovo aspetto della sicurezza. In questo modo, i test di compatibilità regolari potrebbero diventare un criterio di qualità completamente nuovo del Themes a pagamento.

Conclusione: l'utente è richiesto

In ogni caso, comunque, questo problema è una questione per l'utente: bisogna essere consapevoli che il bundlePlugins può rappresentare un problema di sicurezza e trovare un possibile workaround. Per esempio, il proprietario di un sito web può acquistare lui stesso le licenze per il corrispondente Themes o affidarsi a un hoster che esegue gli aggiornamenti corrispondenti [5].

Anche quando si sceglie il premio Themes , si possono prendere in considerazione alcuni importanti aspetti di sicurezza. Se si conosce la politica di aggiornamento del produttore del tema e il Plugins usato, di solito si può già dare una stima solida della vulnerabilità del problema del Themes .

Anche qui, non esiste una certezza al 100%. Tuttavia, il rischio può essere significativamente ridotto con una selezione consapevole.

Questa situazione mostra molto bene come sono collegati i vantaggi e gli svantaggi della struttura modulare di WordPress . Dato che quest'area di problemi è vasta e diversificata, siamo in attesa del tuo contributo: hai mai avuto problemi con Premium Themes, aggiornamenti di plugin o simili? Facci sapere e aiuta la comunità ad essere meglio preparata in caso di emergenza.

Link

1]: spiegazione delle vulnerabilità di sicurezza del Plugin Slider Revolution: https://blog.sucuri.net/2014/09/slider-revolution-plugin-critical-vulnerability-being-exploited.html

[2]: Spiegazione delle vulnerabilità di sicurezza su Plugin Visual Composer : https://forums.envato.com/t/visual-composer-security-vulnerability-fix/10494

[3]: Questo è anche sottolineato da fornitori come Envato nelle loro note per i clienti sulle vulnerabilità di sicurezza corrispondenti: https://forums.envato.com/t/visual-composer-security-vulnerability-fix/10494.

[4]: Il blogger scozzese Kevin Muldoon ha scritto un articolo dettagliato su questo problema e ha commentato l'approccio di Envato, oltre a chiedere una funzione di aggiornamento automatico per bundle-Plugins : http://www.kevinmuldoon.com/packaged-wordpress-plugins-automatic-updates/.

5]: Soprattutto se i web designer lavorano a stretto contatto con i rispettivi hoster, cioè hanno le informazioni necessarie per gli aggiornamenti dei plugin, si può stabilire un processo di aggiornamento efficace e veloce.

RAIDBOXER dall'inizio e capo del supporto. Ai Bar e ai WordCamps ama parlare di PageSpeed e delle prestazioni dei siti web. Il modo migliore per corromperlo è un espresso - o un pretzel bavarese.

Articoli correlati

Commenti su questo articolo

Scrivi un commento

Il tuo indirizzo e-mail non sarà pubblicato. I campi obbligatori sono contrassegnati con *.