Dlaczego WordPress Premium-Themes jest zagrożeniem dla bezpieczeństwa

Jan Hornung Aktualizacja w dniu 23.01.2020 r.
5 Min.
N02 Tematy premium

Integracja powszechnej praktyki Plugins z usługą Premium Themes może narazić Twoją WordPress stronę na poważne ryzyko związane z bezpieczeństwem. Ale w tej chwili trudno jest uniknąć tego problemu - użytkownik jest poszukiwany.

W 2014 r. i 2015 r. odkryto ogromne luki w zabezpieczeniach w dwóch z najpopularniejszych w Plugins historii: obu Rewolucja Suwakowa [1] (prawie 75,000 razy na Envato sprzedane), jak również Visual Composer [2] (sprzedane prawie 100.000 razy na Envato) zostały dotknięte. Jednak same luki w zabezpieczeniach nie były głównym problemem. Deweloperzy szybko zareagowali i dostarczyli odpowiednie aktualizacje. Jednak dla niektórych klientów PremiumThemes, którzy używają ich Plugins w ramach tzwPlugin. pakietów, czyli domyślnie w Themes zintegrowanych konstelacjach wtyczek, środek ten był bezużyteczny. Niektórzy z nich przez długi czas bawili się wokół sieci z tymi dziurami w zabezpieczeniach. Ponieważ nie wszystkie z nich Themes pozwalają na automatyczną aktualizację we wszystkich przypadkach.

Podwójna zależność użytkowników

Użytkownicy Premium Themes są zależni od dwóch stron w zakresie aktualizacji wtyczek istotnych z punktu widzenia bezpieczeństwa: Plugin- oraz producentów motywów. Może się więc zdarzyć, że producent wtyczek zareaguje szybko i zamknie dziurę w zabezpieczeniach, ale nie wprowadzi Theme tych zmian automatycznie. Dzieje się tak, ponieważ aktualizacje wtyczek nie zawsze są łatwo Themes kompatybilne z resztą tematu. Interakcja Premium Themes z nową wersją pluginu zwykle musi być najpierw przetestowana. Szybkość reakcji producentów tematu jest zatem krytycznym elementem procesu aktualizacji i decyduje o tym, jak długo użytkownicy muszą żyć z lukami bezpieczeństwa [3].

Ale: Pakiety są również problematyczne dla samych usługodawców.

W praktyce ta odpowiedzialność jest również obciążeniem dla producentów tematu. Z jednej strony, muszą oni informować swoich klientów o luce bezpieczeństwa i jej znaczeniu. W przypadku Kompozytora Wizualnego, sprzedawca rynkowy Envato i sprzedawca wtyczek wpbackery zareagował w sposób wzorowy: Ze wszystkimi klientami skontaktowano się za pośrednictwem poczty elektronicznej, a aktualizacja została zalecona na ich własne ryzyko [4]. Z drugiej strony, producent musi spontanicznie przetestować kompatybilność Premium Themes z nową wersją wtyczki, ewentualnie najpierw ją stworzyć lub nawet opracować tymczasowe rozwiązanie i udostępnić je klientom.

Wiązanie takich pakietów pluginów powoduje więc problemy dla dostawców i klientów. Ponieważ jednak zasada działania pakietu ma wiele zalet, takich jak szybka integracja skomplikowanych funkcji dodatkowych i wygodna obsługa dla klienta, problem ten prawdopodobnie będzie istniał jeszcze długo. Dlatego ważne jest, aby operatorzy obiektów byli świadomi tego zagrożenia i wiedzieli, jak sobie z nim poradzić.

Pomimo wzorcowej reakcji: reaktywne podejście producentów nie rozwiązuje problemu

Chociaż Envato i wpbakery zareagowały szybko w przypadku Visual Composer, przypadek ten pokazuje granice strategii reaktywnej i wyraźnie pokazuje, że istniejąca praktyka aktywnie akceptuje luki w zabezpieczeniach. Reaktywne zachowanie sprzedawców motywów i dostawców rynkowych - niezależnie od tego, jak dobrze skoordynowane - niekoniecznie zapewnia wysoki standard bezpieczeństwa i funkcjonalności. Dzieje się tak, ponieważ wiadomości e-mail mogą skończyć się w filtrach antyspamowych, posty w mediach społecznościowych mogą zostać przeoczone, a wiadomości w aplikacji mogą zostać zgubione. W związku z tym istnieje niepotrzebne ryzyko, że operatorzy obiektów przez długi czas nie będą mieli zapewnionego Plugin bezpieczeństwa eksploatacji.

Jednak reaktywne podejście producentów stanowi również drugie zagrożenie. Jest to sytuacja, w której operator strony nie jest posiadaczem licencji premiumThemes . Jest to dość powszechna konstelacja, na przykład w przypadku prac zleconych przez projektantów stron internetowych. Jeśli projektanci stron internetowych i właściciele witryn nie mają ze sobą kontaktu, może się nawet zdarzyć, że osoby, których to dotyczy, nie dowiedzą się o luce w zabezpieczeniach. Praktyka ta powoduje powstawanie mas stron internetowych, których właściciele i administratorzy nie mają dostępu do theme-internalnej aktualizacji. Dlatego nawet profesjonalnie utrzymywane obiekty mogą wykorzystywać przestarzałe i podatne Plugins na zagrożenia.

Dlatego też reaktywne podejście producentów tematycznych i dostawców rynkowych ignoruje ważną część rzeczywistości projektowania stron internetowych.

Proaktywne podejście jest kosztowne

Teraz pojawia się pytanie, dlaczego Pluginpakiety nie zawsze są aktualizowane automatycznie. Odpowiedź leży w złożoności premii Themes. Deweloperzy projektują Themes z obszernymi funkcjami dodatkowymi, takimi jak wizualne interfejsy edycyjne, suwaki, pola formularzy oraz i. Dopóki Premium nie zostanie Theme zmontowana i nie będzie pracować bez zarzutu, trzeba będzie wykonać kilkadziesiąt serii testowych. Podobnie jest z aktualizacjami tych wbudowanychPlugins: każda nowa wersja może Themes zagrozić ogólnej funkcjonalności Premium i w najgorszym przypadku sprawić, że cała strona będzie bezużyteczna. Zwłaszcza dla dostawców usług e-commerce taki przestój może oznaczać ogromne straty pieniężne i trwałą utratę wizerunku.

Testowanie kompatybilności pochłania więc dużo czasu i pieniędzy, co odbiera twórcom tematów motywację do bycia proaktywnymi i wyjaśnia ich czasami reaktywne zachowanie. Jak szkocki bloger Kevin Muldoon Zauważa, że rynki nie promują również regularnych i bezproblemowych testów aktualizacyjnych. Według Muldoon, na przykład, dostawcy mogliby pracować z programami zaufania. Ostatecznie, to do każdego producenta tematu należy decyzja, którą strategię aktualizacji zastosować. I oczywiście nie należy zapominać, że istnieją Themes produkty premium, których wsparcie zostało całkowicie wstrzymane.

Możliwe rozwiązania: Aktualizacje Premium również dla użytkowników i nowe standardy jakościowe

Muldoon sugeruje w swoim artykule na blogu opcjonalną opcję aktualizacji dla theme-internal Plugins w WordPress sobie. Użytkownik może wówczas dokonać aktualizacji Plugin do najnowszej wersji natychmiast po jej wydaniu, ale ponosi również odpowiedzialność za ewentualne niezgodności z wybraną wersją Theme. Wpisanie klucza licencyjnego byłoby konieczne tylko przy aktywowaniu Plugins aktualizacji, aktualizacje mogłyby być również dokonywane bez licencji. Użytkownik byłby również informowany o nowych i szczególnie ważnych aktualizacjach bezpośrednio w WordPress . Wyeliminowałoby to etap pośredni polegający na informowaniu klientów o producentach lub rynkach tematycznych.

Wspomniane przez Muldoon programy motywacyjne mogą być również rozwiązaniem, jeśli ustanowią one proaktywną politykę aktualizacji producentów tematu jako istotny nowy aspekt bezpieczeństwa. Na przykład regularne testy zgodności mogłyby stać się zupełnie nowym kryterium jakości dla tych, którzy Themes za nie płacą.

Wniosek: Użytkownik jest poszukiwany

W każdym przypadku jednak, użytkownik jest wzywany do zajęcia się tym problemem: Należy mieć świadomość, że pakietyPlugins mogą stanowić problem bezpieczeństwa i znaleźć możliwe obejście. Na przykład, właściciel strony internetowej może sam zakupić licencje na odpowiednie oprogramowanie Themes lub polegać na hosterze w celu przeprowadzenia odpowiednich aktualizacji [5].

Nawet przy wyborze samego Premium Themes można wziąć pod uwagę pewne ważne aspekty bezpieczeństwa. Jeśli znasz politykę aktualizacji producenta motywu i stosowane Pluginsprzez niego zasady, zazwyczaj możesz już Themes teraz solidnie oszacować słabość motywu.

Tutaj też nie ma czegoś takiego jak 100% pewności. Ryzyko można jednak znacznie ograniczyć poprzez świadomą selekcję.

Fakt ten bardzo dobrze pokazuje, jak bardzo zalety i wady modułowej konstrukcji są ze sobą WordPress powiązane. Ponieważ ten obszar problemowy jest duży i różnorodny, czekamy na Państwa uwagi w tym miejscu: Czy kiedykolwiek mieliście Państwo problemy z aktualizacją PremiumThemes, wtyczek lub podobne? Daj nam znać i pomóż społeczności w jeszcze lepszym przygotowaniu się na wypadek sytuacji kryzysowej.

Linki

1]: Wyjaśnienie dziur w zabezpieczeniach w Rewolucji Plugin Suwakowej: https://blog.sucuri.net/2014/09/slider-revolution-plugin-critical-vulnerability-being-exploited.html

2]: Wyjaśnienie luk w zabezpieczeniach w Plugin Visual Composer : https://forums.envato.com/t/visual-composer-security-vulnerability-fix/10494

3]: Podkreślają to również dostawcy, tacy jak Envato, w swoich informacjach dla klientów na temat luk bezpieczeństwa: https://forums.envato.com/t/visual-composer-security-vulnerability-fix/10494

[4]: Szkocki bloger Kevin Muldoon napisał szczegółowy artykuł na ten temat i skomentował podejście Envato, a także wezwał do wprowadzenia funkcji automatycznej aktualizacji pakietówPlugins : http://www.kevinmuldoon.com/packaged-wordpress- - automatycznapluginsaktualizacja/

5]: Zwłaszcza jeśli projektanci stron internetowych ściśle współpracują z odpowiednimi hosterami, tzn. posiadają niezbędne informacje do aktualizacji wtyczek, można ustanowić skuteczny i szybki proces aktualizacji.

RAIDBOXER z pierwszej godziny i kierownik działu wsparcia. W Bar- i WordCamps lubi rozmawiać o PageSpeed i wydajności strony internetowej. Najlepszym sposobem na przekupienie go jest espresso - lub bawarski precel.

Artykuły pokrewne

Komentarze do tego artykułu

Napisz komentarz

Twój adres e-mail nie zostanie opublikowany. Wymagane pola oznaczone są * Zaznaczone.