Waarom WordPress Premium-Themes is een veiligheidsrisico

Jan Hornung Bijgewerkt op 23.01.2020
5 Min.
N02 Premium Thema's

De integratie van de gangbare praktijk Plugins in Premium Themes kan uw WordPress site blootstellen aan een groot veiligheidsrisico. Maar op dit moment kan het probleem nauwelijks worden vermeden - de gebruiker is in trek.

In 2014 en 2015 werden massale veiligheidsgaten ontdekt in twee van de populairste Plugins ooit: Beide Schuifrevolutie [1] (bijna 75.000 keer op Envato verkocht), evenals de Visual Composer [2] (bijna 100.000 keer verkocht op Envato) werden getroffen. De beveiligingslekken zelf waren echter niet het grootste probleem. De ontwikkelaars reageerden snel en zorgden voor de juiste updates. Maar voor sommige klanten van PremiumThemes, die ze Plugins gebruiken als onderdeel van zogenaamde Pluginbundels, d.w.z. standaard in de Themes geïntegreerde plugin-constellaties, was deze maatregel nutteloos. Sommigen van hen hebben lang rondgedobberd in het net met deze veiligheidsgaten. Omdat ze niet allemaal een automatische update Themes toelaten in alle gevallen.

Dubbele afhankelijkheid van gebruikers

Premium Themes gebruikers zijn voor veiligheidsrelevante plugin-updates afhankelijk van twee partijen: de Plugin- en de themafabrikanten. Het kan dus gebeuren dat de fabrikant van de plugin snel reageert en het beveiligingsgat sluit, maar deze veranderingen niet automatisch doorvoertTheme . Dit komt omdat plugin-updates niet altijd gemakkelijk Themes compatibel zijn met de rest van een thema. De interactie van de Premium Themes met de nieuwe plugin-versie moet meestal eerst worden getest. De reactiesnelheid van de themaproducenten is daarom de kritische component in het updateproces en bepaalt hoe lang gebruikers moeten leven met veiligheidslekken [3].

Maar: Bundels zijn ook problematisch voor de aanbieders zelf.

In de praktijk is deze verantwoordelijkheid ook een last voor de themafabrikanten. Enerzijds moeten zij hun klanten informeren over de veiligheidskloof en de betekenis ervan. In het geval van Visual Composer, de marktplaatsleverancier Envato en de pluginleverancier wpbackery reageerde op een voorbeeldige manier: Alle klanten werden gecontacteerd via e-mail en de update werd aanbevolen op eigen risico [4]. Aan de andere kant moet de fabrikant spontaan de compatibiliteit van de Premium Themes met de nieuwe plugin-versie testen, deze eventueel eerst creëren of zelfs een voorlopige oplossing ontwikkelen en aan de klanten ter beschikking stellen.

De koppeling van dergelijke plug-in bundels veroorzaakt dus problemen voor aanbieders en klanten. Aangezien het bundelprincipe echter veel voordelen heeft, zoals een snelle integratie van gecompliceerde extra functies en een comfortabele bediening voor de klant, zal het probleem waarschijnlijk nog lang blijven bestaan. Het is daarom belangrijk dat de beheerders van de locatie zich bewust zijn van dit gevaar en weten hoe ze ermee om moeten gaan.

Ondanks de voorbeeldige reactie: de reactieve aanpak van de fabrikanten lost het probleem niet op.

Hoewel Envato en wpbakery in het geval van de Visual Composer snel hebben gereageerd, toont de case de grenzen van de reactieve strategie en maakt het duidelijk dat de bestaande praktijk actief beveiligingslekken accepteert. Reactief gedrag van themaverkopers en marktplaatsleveranciers - hoe goed gecoördineerd ook - biedt niet noodzakelijkerwijs een hoge standaard van beveiliging en functionaliteit. Dit komt omdat e-mails in spamfilters kunnen terechtkomen, social media berichten over het hoofd kunnen worden gezien en in-app berichten verloren kunnen gaan. Daarom is er een onnodig risico voor de beheerders van de locatie om een onveilig Plugin exemplaar voor lange tijd in bedrijf te hebben.

De reactieve aanpak van de fabrikanten vormt echter ook een tweede risico. Dit is wanneer de exploitant van de site niet de licentiehouder van de premie Themes is. Dit is een veel voorkomende constellatie, bijvoorbeeld in het geval van werk in opdracht van webdesigners. Als webdesigners en website-eigenaren niet met elkaar in contact komen, kan het zelfs gebeuren dat de betrokkenen niet op de hoogte zijn van het veiligheidsgat. Deze praktijk levert massa's websites op waarvan de eigenaars en beheerders geen toegang hebben tot theme-interne updates. Zelfs professioneel onderhouden sites kunnen dus gebruik maken van verouderde en kwetsbare Plugins sites.

Een reactieve aanpak van themafabrikanten en marktplaatsleveranciers negeert daarom een belangrijk deel van de realiteit van webdesign.

Proactieve aanpak is duur

Nu rijst de vraag waarom de Pluginbundels niet altijd automatisch worden bijgewerkt. Het antwoord ligt in de complexiteit van de PremiumThemes. De ontwikkelaars ontwerpen Themes met uitgebreide extra functies, zoals visuele bewerkingsinterfaces, schuifregelaars, formuliervelden en en. Totdat de Premium is Theme geassembleerd en soepel loopt, moeten er tientallen testseries worden uitgevoerd. Het is vergelijkbaar met updates van de ingebouwdePlugins: Elke nieuwe versie kan de algehele functionaliteit van de Premium in Themes gevaar brengen en in het ergste geval de hele website onbruikbaar maken. Vooral voor e-commerceaanbieders kan een dergelijke downtime enorme geldverliezen en een blijvende schade aan hun imago betekenen.

Compatibiliteitstesten kosten daarom veel tijd en geld, wat de prikkel wegneemt voor thema-ontwikkelaars om proactief te zijn en hun soms reactief gedrag verklaart. Zoals de Schotse blogger Kevin Muldoon merkt op dat de marktplaatsen ook geen regelmatige, ongeoorloofde actualiseringstests bevorderen. Volgens Muldoon zouden aanbieders bijvoorbeeld kunnen werken met trustprogramma's. Uiteindelijk is het aan elke themafabrikant om te beslissen welke update-strategie hij gebruikt. En natuurlijk mag men niet vergeten dat er premiumproducten Themes zijn waarvan de steun volledig is stopgezet.

Mogelijke oplossingen: Premium Updates ook voor gebruikers en nieuwe kwaliteitsnormen

Muldoon stelt in zijn blogartikel een optionele update-optie voor theme-intern Plugins op WordPress zich. De gebruiker kan dan direct na het uitbrengen van de update updaten Plugin naar de laatste versie, maar is ook aansprakelijk voor eventuele incompatibiliteit met de geselecteerde Theme. Het invoeren van de licentiesleutel zou alleen nodig zijn bij het activeren van de Plugins update, updates kunnen ook zonder licentie worden uitgevoerd. De gebruiker zou ook direct op de hoogte worden gebracht van nieuwe en bijzonder belangrijke updates in WordPress . Dit zou de tussenstap elimineren van het informeren van klanten over themaproducenten of marktplaatsen.

De door Muldoon genoemde stimuleringsprogramma's zouden ook een oplossing kunnen zijn als zij het proactieve updatebeleid van de themafabrikanten als een prominent nieuw veiligheidsaspect vastleggen. Regelmatige compatibiliteitstests zouden bijvoorbeeld een volledig nieuw kwaliteitscriterium kunnen worden voor degenen die ervoor betalenThemes .

Conclusie: De gebruiker is gevraagd

In ieder geval wordt de gebruiker opgeroepen om dit probleem aan te pakken: men moet zich ervan bewust zijn dat bundelsPlugins een veiligheidsprobleem kunnen vormen en een mogelijke workaround kunnen vinden. Zo kan de eigenaar van een website bijvoorbeeld zelf licenties voor de bijbehorende software Themes aanschaffen of een beroep doen op een hoster om de bijbehorende updates uit te voeren [5].

Zelfs bij de keuze van de Premium Themes zelf kan rekening worden gehouden met enkele belangrijke veiligheidsaspecten. Als u het updatebeleid van de themafabrikant en de gebruikte Pluginskent, kunt u meestal al Themes een goede inschatting maken van de kwetsbaarheid van het thema.

Ook hier bestaat er niet zoiets als 100% zekerheid. Het risico kan echter aanzienlijk worden verminderd door een bewuste keuze.

Dit feit toont zeer goed aan hoe de voor- en nadelen van de modulaire opbouw van WordPress onderling verbonden zijn. Aangezien dit probleemgebied groot en divers is, kijken we uit naar uw input op dit punt: Heeft u ooit problemen gehad met PremiumThemes, plugin-updates of iets dergelijks? Laat het ons weten en help de gemeenschap om zich nog beter voor te bereiden op het geval van nood.

Links

1]: Verklaring van de veiligheidsgaten in de Plugin Slider Revolution: https://blog.sucuri.net/2014/09/slider-revolution-plugin-kritisch-kwetsbaar-zijn-exploiteren.html

2]: Verklaring van de veiligheidslacunes in het Plugin Visual Composer : https://forums.envato.com/t/visual-composer-security-vulnerability-fix/10494

3]: Dit wordt ook benadrukt door aanbieders zoals Envato in hun klantinformatie over beveiligingslekken: https://forums.envato.com/t/visual-composer-security-vulnerability-fix/10494

[4]: De Schotse blogger Kevin Muldoon heeft een gedetailleerd artikel over dit onderwerp geschreven en commentaar gegeven op de aanpak van Envato en opgeroepen tot een automatische updatefunctie voor bundelsPlugins : http://www.kevinmuldoon.com/packaged-wordpress- -automatischepluginsupdates/

5]: Vooral als webdesigners nauw samenwerken met de respectievelijke hosters, d.w.z. de nodige informatie hebben voor plugin-updates, kan een effectief en snel updateproces worden opgezet.

RAIDBOXER van het eerste uur en Head of Support. Bij Bar- en WordCamps praat hij het liefst over PageSpeed en website-performance. De beste manier om hem om te kopen is met een espresso - of Beierse Brezel.

Gerelateerde artikelen

Commentaar op dit artikel

Schrijf een opmerking

Je e-mail adres wordt niet gepubliceerd. Verplichte velden zijn met * gemarkeerd.