Dlaczego WordPress Premium-Themes stanowi zagrożenie dla bezpieczeństwa

Jan Hornung Ostatnia aktualizacja 23.01.2020
5 Min.
N02 PremiumThemes

Powszechna praktyka integrowania Plugins z Premium Themes może narazić Twoją witrynę WordPress na poważne zagrożenie bezpieczeństwa. Problemu tego nie da się jednak obecnie uniknąć - wszystko zależy od użytkownika.

W 2014 i 2015 roku odkryto potężne luki bezpieczeństwa w dwóch najpopularniejszych Plugins w historii: zarówno Slider Revolution [1] (sprzedany prawie 75 000 razy na Envato ), jak i Visual Composer [2] (sprzedane prawie 100.000 razy na Envato) zostały dotknięte. Jednak to nie same podatności były głównym problemem. Twórcy szybko zareagowali i zapewnili odpowiednie aktualizacje. Jednak dla niektórych klientów Premium Themes, którzy używają obu Plugins jako części tzw. pakietów Plugin, tj. konstelacji wtyczek domyślnie zintegrowanych z Themes , środek ten był bezużyteczny. Przez długi czas borykali się z tymi lukami w zabezpieczeniach. Ponieważ nie wszystkie Themes pozwalają na automatyczną aktualizację we wszystkich przypadkach.

Podwójna zależność użytkowników

Użytkownicy Premium Themes są uzależnieni od dwóch stron w zakresie aktualizacji wtyczek istotnych dla bezpieczeństwa: Plugin- i producentów motywów. Może się więc zdarzyć, że producent wtyczki szybko zareaguje i usunie lukę w zabezpieczeniach, ale strona Theme nie zaimplementuje tych zmian automatycznie. Dzieje się tak dlatego, że aktualizacje wtyczek nie zawsze są łatwo kompatybilne z resztą Themes . Współdziałanie premium Themes z nową wersją wtyczki zazwyczaj musi być najpierw przetestowane. Szybkość reakcji producentów tematów jest zatem krytycznym elementem w procesie aktualizacji i decyduje o tym, jak długo użytkownicy będą musieli żyć z lukami w zabezpieczeniach[3].

Ale: pakiety są również problematyczne dla samych usługodawców

W praktyce odpowiedzialność ta jest również obciążeniem dla producentów tematów. Z jednej strony, muszą informować swoich klientów o luce w zabezpieczeniach i jej znaczeniu. W przypadku Visual Composer, dostawca marketplace Envato i producent wtyczek wpbackery zareagowali w sposób wzorcowy: Z wszystkimi klientami skontaktowano się drogą mailową i zalecono aktualizację na własne ryzyko[4]. Z drugiej strony, producent musi spontanicznie przetestować kompatybilność Premium Themes z nową wersją wtyczki, ewentualnie najpierw ją ustalić lub nawet opracować tymczasowe rozwiązanie i udostępnić je klientom.

Wiązanie takich pakietów wtyczek powoduje więc problemy dla dostawców i klientów. Ponieważ jednak zasada wiązki ma wiele zalet, takich jak szybka integracja skomplikowanych funkcji dodatkowych i wygodna obsługa dla klienta, problem ten będzie zapewne istniał jeszcze przez jakiś czas. Dlatego ważne jest, aby operatorzy byli świadomi tego zagrożenia i wiedzieli, jak sobie z nim radzić.

Pomimo wzorcowej reakcji: reaktywne działania producentów nie rozwiązują problemu

Nawet jeśli Envato i wpbakery szybko zareagowały w przypadku Visual Composer, przypadek ten nadal pokazuje ograniczenia strategii reaktywnej i uświadamia, że istniejąca praktyka aktywnie akceptuje luki w bezpieczeństwie. Reaktywne zachowanie producentów motywów i dostawców usług rynkowych - bez względu na to, jak dobrze jest skoordynowane - niekoniecznie zapewnia wysoki standard bezpieczeństwa i funkcjonalności. Dzieje się tak, ponieważ wiadomości e-mail mogą trafić do filtrów spamu, posty w mediach społecznościowych mogą zostać przeoczone, a wiadomości w aplikacji mogą zostać utracone. W związku z tym operatorzy obiektów ponoszą niepotrzebne ryzyko związane z dłuższym funkcjonowaniem niepewnej strony Plugin .

Jednakże reaktywne podejście producentów kryje w sobie drugie niebezpieczeństwo. Mianowicie, jeżeli operator strony nie jest licencjobiorcą premii Themes . Jest to dość częsta konstelacja, na przykład w przypadku prac zleconych przez projektantów stron internetowych. Jeśli projektant i właściciel strony nie mają ze sobą kontaktu, może się nawet zdarzyć, że osoby dotknięte problemem nie dowiedzą się o luce w zabezpieczeniach. Praktyka ta powoduje powstawanie mas witryn, których właściciele i administratorzy nie mają dostępu do theme- wewnętrznych aktualizacji. Nawet profesjonalnie utrzymywane strony mogą więc korzystać z przestarzałej i podatnej na ataki witryny Plugins .

Tak więc reaktywne podejście producentów motywów i dostawców usług rynkowych ignoruje ważną część rzeczywistości projektowania stron internetowych.

Podejście proaktywne jest kosztowne

Teraz pojawia się pytanie, dlaczego pakiet Plugin nie jest po prostu zawsze automatycznie aktualizowany. Odpowiedź leży w złożoności składki Themes. Programiści projektują Themes z rozbudowanymi funkcjami dodatkowymi, takimi jak wizualne interfejsy edycji, suwaki, pola formularzy itp. Do czasu, gdy premium Theme zostanie skompletowany i będzie działał płynnie, należy wykonać dziesiątki serii testowych. Podobnie jest z aktualizacjami zainstalowanej strony Plugins: Każda nowa wersja może zagrozić ogólnej funkcjonalności strony Themes , a w najgorszym przypadku uniemożliwić korzystanie z całej witryny. W szczególności dla dostawców usług e-commerce, takie przestoje mogą oznaczać ogromne straty finansowe i trwałe uszczerbki na wizerunku.

Testy kompatybilności pochłaniają więc dużo czasu i pieniędzy, co pozbawia twórców motywacji do proaktywnego działania i tłumaczy ich czasami reaktywne zachowanie. Jak zauważa szkocki bloger Kevin Muldoon, rynki nie zachęcają również do regularnego, losowego testowania aktualizacji. Na przykład, sprzedawcy mogą współpracować z programami zaufania, mówi Muldoon. W końcu to od każdego sprzedawcy motywów zależy, jaką strategię aktualizacji wybierze. I oczywiście nie należy zapominać, że istnieje premium Themes , którego wsparcie zostało całkowicie wstrzymane.

Możliwe rozwiązania: Aktualizacje Premium również dla użytkowników i nowe standardy jakości

W swoim artykule na blogu Muldoon sugeruje opcjonalną opcję aktualizacji dla theme-internal Plugins w samym WordPress . Użytkownik może zaktualizować daną stronę Plugin do najnowszej wersji bezpośrednio po ukazaniu się aktualizacji, ale jednocześnie przejmuje odpowiedzialność za ewentualne niezgodności z wybraną stroną Theme. Wpisanie klucza licencyjnego byłoby konieczne tylko przy aktywacji Plugins , aktualizacje można by przeprowadzać również bez licencji. Użytkownik będzie również informowany o nowych, szczególnie ważnych aktualizacjach bezpośrednio w serwisie WordPress . W ten sposób wyeliminowany zostałby etap pośredni za pośrednictwem producentów tematycznych lub rynków, którzy najpierw muszą poinformować swoich klientów.

Programy motywacyjne wspomniane przez Muldoona mogą również stanowić rozwiązanie, jeśli ustanowią proaktywną politykę aktualizacji producentów tematów jako ważny, nowy aspekt bezpieczeństwa. W ten sposób regularne testy kompatybilności mogłyby stać się zupełnie nowym kryterium jakości płatnego serwisu Themes .

Wniosek: Użytkownik jest poszukiwany

W każdym razie, problem ten leży w gestii użytkownika: należy być świadomym, że bundlePlugins może stanowić problem bezpieczeństwa i znaleźć możliwe obejście. Przykładowo, właściciel strony internetowej może sam zakupić licencje na odpowiednią stronę Themes lub zdać się na hostingodawcę, który przeprowadza odpowiednie aktualizacje [5].

Już przy wyborze samej składki Themes można wziąć pod uwagę kilka ważnych aspektów bezpieczeństwa. Jeśli znasz politykę aktualizacji producenta motywu i używanej strony Plugins, możesz zazwyczaj już teraz solidnie oszacować podatność strony Themes na problemy.

Również w tym przypadku nie ma czegoś takiego jak 100% pewność. Ryzyko to można jednak znacznie ograniczyć poprzez świadomą selekcję.

Ta sytuacja bardzo dobrze pokazuje, jak łączą się zalety i wady modułowej struktury WordPress . Ponieważ ten obszar problemowy jest duży i zróżnicowany, czekamy na Twój wkład: Czy kiedykolwiek miałeś problemy z Premium Themes, aktualizacjami wtyczek lub podobnymi? Daj nam znać i pomóż społeczności być lepiej przygotowanym na wypadek sytuacji awaryjnej.

Linki

1]: Wyjaśnienie luk w zabezpieczeniach Plugin Slider Revolution: https://blog.sucuri.net/2014/09/slider-revolution-plugin-critical-vulnerability-being-exploited.html

[2]: Wyjaśnienie luk w zabezpieczeniach na stronie Plugin Visual Composer : https://forums.envato.com/t/visual-composer-security-vulnerability-fix/10494

[3]: Jest to również podkreślane przez dostawców takich jak Envato w ich uwagach dla klientów dotyczących odpowiednich luk w zabezpieczeniach: https://forums.envato.com/t/visual-composer-security-vulnerability-fix/10494.

[4]: Szkocki bloger Kevin Muldoon napisał szczegółowy artykuł na temat tego problemu i skomentował podejście Envato, jak również wezwał do funkcji automatycznej aktualizacji dla bundle-Plugins : http://www.kevinmuldoon.com/packaged-wordpress-plugins-automatic-updates/.

5]: Zwłaszcza jeśli projektanci stron internetowych ściśle współpracują z odpowiednimi hostingodawcami, tzn. posiadają niezbędne informacje do aktualizacji wtyczek, można stworzyć skuteczny i szybki proces aktualizacji.

RAIDBOXER od początku istnienia firmy i szef działu wsparcia. Na Bar- i WordCampach uwielbia rozmawiać o PageSpeed i wydajności stron internetowych. Najlepszym sposobem na przekupienie go jest espresso - lub bawarski precel.

Powiązane artykuły

Komentarze do tego artykułu

Napisz komentarz

Twój adres e-mail nie zostanie opublikowany. Pola obowiązkowe oznaczone są *.