Perché WordPress Premium-Themes è un rischio per la sicurezza

Jan Hornung Ultimo aggiornamento il 23.01.2020
5 Min.
N02 Temi Premium

L'integrazione della pratica Plugins comune in Premium Themes può esporre il vostro WordPress sito a un rischio maggiore per la sicurezza. Ma al momento il problema non può essere evitato - l'utente è molto richiesto.

Nel 2014 e nel 2015 sono state scoperte enormi falle di sicurezza in due delle più popolari di Plugins sempre: entrambe Rivoluzione dei cursori [1] (quasi 75.000 volte su Envato venduto), così come il Visual Composer [2] (venduto quasi 100.000 volte su Envato) sono stati colpiti. Tuttavia, le vulnerabilità di sicurezza in sé non sono state il problema principale. Gli sviluppatori hanno reagito rapidamente e hanno fornito gli opportuni aggiornamenti. Ma per alcuni clienti di PremiumThemes, che li usano Plugins come parte dei cosiddetti Pluginbundle, cioè di default nelle costellazioni di plugin Themes integrati, questa misura è stata inutile. Alcuni di loro hanno passato molto tempo a girare in rete con queste falle di sicurezza. Perché non tutti Themes consentono un aggiornamento automatico in tutti i casi.

Doppia dipendenza degli utenti

Gli utenti Premium Themes dipendono da due parti per gli aggiornamenti dei plugin rilevanti per la sicurezza: i Plugin- e i produttori di temi. Quindi può succedere che il produttore del plugin reagisca rapidamente e chiuda il buco di sicurezza, ma non implementi Theme automaticamente queste modifiche. Questo perché gli aggiornamenti dei plugin non sono sempre facilmente Themes compatibili con il resto di un tema. L'interazione del Premium Themes con la nuova versione del plugin di solito deve essere prima testata. La velocità di reazione dei produttori di temi è quindi la componente critica nel processo di aggiornamento e determina per quanto tempo gli utenti devono convivere con le falle di sicurezza [3].

Ma: i pacchetti sono problematici anche per i fornitori stessi

In pratica, questa responsabilità è un onere anche per i produttori di temi. Da un lato, devono informare i loro clienti sulla lacuna di sicurezza e sul suo significato. Nel caso di Visual Composer, il venditore di mercato Envato e il venditore di plugin wpbackery ha reagito in modo esemplare: Tutti i clienti sono stati contattati via e-mail e l'aggiornamento è stato consigliato a proprio rischio e pericolo [4]. D'altra parte, il produttore deve testare spontaneamente la compatibilità del Premium Themes con la nuova versione del plugin, eventualmente crearlo prima o anche sviluppare una soluzione provvisoria e metterlo a disposizione dei clienti.

L'abbinamento di tali pacchetti di plugin causa quindi problemi ai fornitori e ai clienti. Tuttavia, poiché il principio del bundle presenta molti vantaggi, come la rapida integrazione di complicate funzioni aggiuntive e la comodità d'uso per il cliente, il problema continuerà probabilmente a sussistere a lungo. È quindi importante che gli operatori del sito siano consapevoli di questo pericolo e sappiano come affrontarlo.

Nonostante la reazione esemplare: l'approccio reattivo dei produttori non risolve il problema

Sebbene Envato e wpbakery abbiano reagito rapidamente nel caso del Visual Composer, il caso mostra i limiti della strategia reattiva e chiarisce che la pratica esistente accetta attivamente le vulnerabilità di sicurezza. Il comportamento reattivo dei venditori a tema e dei fornitori del mercato - non importa quanto ben coordinato - non fornisce necessariamente un elevato standard di sicurezza e funzionalità. Questo perché le e-mail possono finire nei filtri antispam, i post dei social media possono essere trascurati e i messaggi in-app possono andare persi. Pertanto, esiste un rischio inutile per gli operatori del sito di avere una persona insicura Plugin in funzione per un lungo periodo di tempo.

Tuttavia, l'approccio reattivo dei produttori rappresenta anche un secondo rischio. Questo avviene quando il gestore del sito non è il titolare della licenza del premioThemes . Si tratta di una costellazione abbastanza comune, ad esempio nel caso di lavori commissionati da web designer. Se i web designer e i proprietari dei siti non sono in contatto, può anche accadere che gli interessati non vengano a conoscenza della lacuna di sicurezza. Questa pratica produce masse di siti web i cui proprietari e amministratori non hanno accesso ad aggiornamenti themeinterni. Anche i siti sottoposti a manutenzione professionale possono quindi utilizzare siti obsoleti e vulnerabiliPlugins .

Un approccio reattivo dei produttori di temi e dei fornitori del mercato ignora quindi una parte importante della realtà del web design.

L'approccio proattivo è costoso

Ora ci si chiede perché i Pluginpacchetti non vengono sempre aggiornati automaticamente. La risposta sta nella complessità del Premium Themes. Gli sviluppatori progettano Themes con funzioni aggiuntive complete, come interfacce di editing visivo, cursori, campi dei moduli e e e. Fino a quando il Premium non sarà Theme assemblato e funzionante senza problemi, devono essere completate decine di serie di test. E' simile con gli aggiornamenti di quelli incorporatiPlugins: ogni nuova versione può mettere in Themes pericolo la funzionalità complessiva del Premium e nel peggiore dei casi rendere l'intero sito web inutilizzabile. Soprattutto per i fornitori di e-commerce un tale tempo di inattività può significare enormi perdite monetarie e un danno duraturo alla loro immagine.

I test di compatibilità richiedono quindi molto tempo e denaro, il che toglie l'incentivo agli sviluppatori di temi ad essere proattivi e spiega il loro comportamento a volte reattivo. Come la blogger scozzese Kevin Muldoon osserva che i mercati non promuovono nemmeno i test di aggiornamento regolari e non sollecitati. Secondo Muldoon, ad esempio, i fornitori potrebbero lavorare con programmi di fiducia. In definitiva, spetta a ciascun produttore di temi decidere quale strategia di aggiornamento utilizzare. E, naturalmente, non bisogna dimenticare che ci sono prodotti premium Themes il cui supporto è stato completamente interrotto.

Possibili soluzioni: Aggiornamenti Premium anche per gli utenti e nuovi standard di qualità

Muldoon suggerisce nel suo articolo sul blog un'opzione di aggiornamento opzionale per theme-interno Plugins in WordPress sé. L'utente può quindi aggiornare Plugin all'ultima versione immediatamente dopo il rilascio dell'aggiornamento, ma si assume anche la responsabilità per eventuali incompatibilità con la versione selezionataTheme. L'inserimento della chiave di licenza sarebbe necessario solo quando si attiva l'Plugins aggiornamento, gli aggiornamenti possono essere effettuati anche senza licenza. L'utente verrebbe inoltre informato dei nuovi e particolarmente importanti aggiornamenti direttamente in WordPress . In questo modo si eliminerebbe il passaggio intermedio di informare i clienti sui produttori o sui mercati a tema.

I programmi di incentivazione menzionati da Muldoon potrebbero essere una soluzione anche se stabiliscono la politica di aggiornamento proattivo dei produttori di temi come un nuovo aspetto di sicurezza di primo piano. Ad esempio, i regolari test di compatibilità potrebbero diventare un criterio di qualità completamente nuovo per chi li pagaThemes .

Conclusione: l'utente è richiesto

In ogni caso, però, l'utente è chiamato ad affrontare questo problema: bisogna essere consapevoli che i pacchettiPlugins possono rappresentare un problema di sicurezza e trovare una possibile soluzione. Ad esempio, il proprietario di un sito web può acquistare Themes personalmente le licenze per il software corrispondente o affidarsi a un hoster per effettuare i relativi aggiornamenti [5].

Anche nella scelta del Premium Themes stesso, si possono prendere in considerazione alcuni importanti aspetti di sicurezza. Se si conosce la politica di aggiornamento del produttore del tema e di quelli usatiPlugins, di solito si può già Themes dare una solida stima della vulnerabilità del tema.

Anche qui non esiste una certezza al 100%. Tuttavia, il rischio può essere notevolmente ridotto mediante una selezione consapevole.

Questo fatto mostra molto bene come i vantaggi e gli svantaggi della costruzione modulare di WordPress interrelazione. Poiché questa area problematica è ampia e diversificata, siamo in attesa del vostro contributo a questo punto: Avete mai avuto problemi con PremiumThemes, aggiornamenti dei plugin o simili? Fateci sapere e aiutate la comunità a prepararsi ancora meglio per il caso di emergenza.

Link

1]: Spiegazione dei buchi di sicurezza nella Plugin Slider Revolution: https://blog.sucuri.net/2014/09/slider-revolution-plugin-critical-vulnerability-being exploited.html

2]: Spiegazione delle lacune di sicurezza nel Plugin Visual Composer : https://forums.envato.com/t/visual-composer-security-vulnerability-fix/10494

3]: Questo è sottolineato anche da fornitori come Envato nelle loro informazioni ai clienti sulle lacune di sicurezza: https://forums.envato.com/t/visual-composer-security-vulnerability-fix/10494

[4]: Il blogger scozzese Kevin Muldoon ha scritto un articolo dettagliato su questo numero e ha commentato l'approccio di Envato, oltre a richiedere una funzione di aggiornamento automatico per i bundlePlugins : http://www.kevinmuldoon.com/packaged-wordpress- -aggiornamentipluginsautomatici/

5]: Soprattutto se i web designer lavorano a stretto contatto con i rispettivi hoster, ovvero dispongono delle informazioni necessarie per l'aggiornamento dei plugin, è possibile stabilire un processo di aggiornamento efficace e veloce.

RAIDBOXER della prima ora e responsabile del supporto. Al Bar- and WordCamps gli piace parlare di PageSpeed e delle prestazioni del sito web. Il modo migliore per corromperlo è con un espresso - o un pretzel bavarese.

Articoli correlati

Commenti su questo articolo

Scrivi un commento

Il tuo indirizzo mail non sarà pubblicato. I campi obbligatori sono contrassegnati con * marcato.