Por que WordPress Premium-Themes é um risco de segurança

Jan Hornung Última atualização em 23.01.2020
5 min.
Temas Premium N02

Integrar a prática comum Pluginsno Premium Themespode expor o seu WordPress site a um grande risco de segurança. Mas no momento o problema dificilmente pode ser evitado - o usuário é procurado.

Em 2014 e 2015, foram descobertos enormes buracos de segurança em dois dos mais populares de Pluginssempre: ambos Revolução dos cursores [1] (quase 75.000 vezes em Envato vendido), bem como o Visual Composer [2] (vendido quase 100.000 vezes no Envato) foram afectados. As falhas de segurança em si não foram o problema principal. Os desenvolvedores reagiram rapidamente e forneceram as atualizações apropriadas. Mas para alguns clientes da Premium Themesque inclui os dois Pluginscomo parte dos chamados Pluginpacotes, ou seja, por padrão no Themes constelações integradas plug-in, esta medida foi inútil. Alguns deles andaram a balançar à volta da rede durante muito tempo com estes buracos de segurança. Porque nem todos Themes permitir uma actualização automática em todos os casos.

Dupla dependência dos usuários

Usuário do Premium Themes estão dependentes de duas partes para atualizações de plugins relacionados à segurança: os Plugin- e os fabricantes do tema. Assim, pode acontecer que o fabricante do plugin reaja rapidamente e feche o buraco de segurança, mas não implemente automaticamente Themeestas alterações. Isto porque as atualizações de plugins nem sempre são facilmente integradas com o resto de um Themes compatível. A interação do Prêmio Themes com a nova versão plugin normalmente tem de ser testada primeiro. A velocidade de reacção dos produtores do tema é, portanto, o componente crítico no processo de actualização e determina quanto tempo os utilizadores têm de viver com falhas de segurança [3].

Mas: Os pacotes também são problemáticos para os próprios fornecedores.

Na prática, esta responsabilidade é também um fardo para os fabricantes do tema. Por um lado, eles devem informar seus clientes sobre a lacuna de segurança e seu significado. No caso do Visual Composer, o fornecedor do mercado Envato e o fornecedor de plugins wpbackery reagiu de uma forma exemplar: Todos os clientes foram contactados por e-mail e a actualização foi recomendada por sua própria conta e risco [4]. Por outro lado, o fabricante deve testar espontaneamente a compatibilidade do Premium Themescom a nova versão plugin, possivelmente criá-lo primeiro ou mesmo desenvolver uma solução provisória e disponibilizá-la aos clientes.

A amarração de tais pacotes de plugins causa assim problemas para fornecedores e clientes. No entanto, como o princípio do pacote tem muitas vantagens, como a rápida integração de funções adicionais complicadas e a operação conveniente para o cliente, o problema provavelmente permanecerá por muito tempo. É, portanto, importante que os operadores do site estejam conscientes deste perigo e saibam como lidar com ele.

Apesar da reacção exemplar: a abordagem reactiva dos fabricantes não resolve o problema

Embora Envato e wpbakery tenham reagido rapidamente no caso do Visual Composer, o caso mostra os limites da estratégia reativa e deixa claro que a prática existente aceita ativamente as vulnerabilidades de segurança. O comportamento reativo dos fornecedores de temas e provedores de mercado - não importa o quão bem coordenado - não proporciona necessariamente um alto padrão de segurança e funcionalidade. Isto porque os e-mails podem acabar em filtros de spam, as mensagens nas redes sociais podem ser negligenciadas e as mensagens noapp podem se perder. Portanto, há um risco desnecessário para os operadores do local de ter um inseguro Pluginem operação por um longo período de tempo.

No entanto, a abordagem reactiva dos fabricantes também representa um segundo risco. Isto é quando o operador do site não é o titular da licença do prêmioThemes. Esta é uma constelação bastante comum, por exemplo, no caso de trabalhos encomendados por web designers. Se os web designers e proprietários de sites não estiverem em contato, pode até acontecer que os afetados não aprendam sobre a lacuna de segurança. Esta prática produz uma grande quantidade de sites cujos proprietários e administradores não têm acesso a atualizações Themeinternas. Mesmo sites mantidos profissionalmente podem, portanto, usar sites desatualizados e vulneráveisPlugins.

Uma abordagem reactiva dos fabricantes de temas e fornecedores de mercado ignora, portanto, uma parte importante da realidade do web design.

A abordagem pró-activa é cara

Agora surge a questão porque é que os Pluginpacotes nem sempre são actualizados automaticamente. A resposta está na complexidade do prémio Themes. Os desenvolvedores projetam Themes com funções adicionais completas, tais como interfaces de edição visual, controles deslizantes, campos de formulário e e. Dezenas de séries de teste devem ser completadas antes que o Premium Themeseja montado e funcione sem problemas. O mesmo se aplica às atualizações das funções incorporadasPlugins: cada nova versão pode estender a funcionalidade geral do Themes pôr em perigo e, na pior das hipóteses, tornar o site inteiro inutilizável. Especialmente para os fornecedores de comércio electrónico, um tal tempo de inactividade pode significar enormes perdas monetárias e um dano duradouro para a sua imagem.

Os testes de compatibilidade, portanto, consomem muito tempo e dinheiro, o que tira o incentivo para os desenvolvedores de temas serem proativos e explica seu comportamento às vezes reativo. Como o blogueiro escocês Kevin Muldoon observa que os mercados também não promovem testes de atualização regulares e nãorompidos. De acordo com Muldoon, por exemplo, os provedores poderiam trabalhar com programas de confiança. Em última análise, cabe a cada fabricante de temas decidir qual a estratégia de atualização a ser usada. E, claro, não se deve esquecer que existem produtos premium Themescujo suporte foi completamente descontinuado.

Possíveis soluções: Atualizações Premium também para usuários e novos padrões de qualidade

Em seu artigo no blog Muldoon sugere uma opção opcional de atualização para Theme-internal Plugins em WordPress você mesmo. O usuário poderá então atualizar Pluginpara a última versão imediatamente após o lançamento da atualização, mas também assume a responsabilidade por possíveis incompatibilidades com a versão selecionada Theme. A entrada da chave de licença só seria necessária quando se ativasse o Plugins necessárias, as atualizações também poderiam ser feitas sem uma licença. O usuário também seria informado sobre novas e particularmente importantes atualizações diretamente em WordPress informado. Isto eliminaria o passo intermédio através dos fabricantes de temas ou mercados que têm de informar primeiro os seus clientes.

Os programas de incentivo mencionados por Muldoon também poderiam ser uma solução se eles estabelecessem a política de atualização proativa dos fabricantes do tema como um novo e proeminente aspecto de segurança. Por exemplo, os testes de compatibilidade regulares podem tornar-se um critério de qualidade completamente novo para aqueles que pagam Themespor eles.

Conclusão: O usuário é procurado

Em qualquer caso, porém, o usuário é chamado a lidar com este problema: é preciso estar ciente de que os pacotesPlugins podem representar um problema de segurança e encontrar uma possível solução. Por exemplo, o proprietário de um website pode adquirir ele Themespróprio licenças para o software correspondente ou confiar em um hoster para realizar as atualizações correspondentes [5].

Também na seleção do Prêmio Themes alguns aspectos de segurança importantes já podem ser considerados. Se você conhece a política de atualização do fabricante do tema e dos usadosPlugins, normalmente você já pode fazer uma estimativa sólida da vulnerabilidade do Themes ...para dar.

Aqui, também, não existe 100% de certeza. No entanto, o risco pode ser significativamente reduzido através de uma selecção consciente.

Este fato mostra muito bem como as vantagens e desvantagens da construção modular de WordPress inter-relacionados. Como esta área problemática é grande e diversificada, estamos ansiosos pela sua opinião neste momento: Já teve problemas com PremiumThemes, atualizações de plugins ou similares? Deixe-nos saber e ajude a comunidade a se preparar ainda melhor para o caso de emergência.

Ligações

1]: Explicação dos buracos de segurança na Revolução dos PluginDeslizadores: https://blog.sucuri.net/2014/09/slider-revolution-Plugin-critical-vulnerability-being-exploited.html

2]: Explicação das lacunas de segurança no Plugin Visual Composer : https://forums.envato.com/t/visual-composer-security-vulnerability-fix/10494

3]: Isto também é enfatizado por fornecedores como o Envato nas informações dos seus clientes sobre falhas de segurança: https://forums.envato.com/t/visual-composer-security-vulnerability-fix/10494

[4]: O blogueiro escocês Kevin Muldoon escreveu um artigo detalhado sobre este assunto e comentou a abordagem do Envato, bem como a necessidade de uma função de atualização automática para pacotesPlugins: http://www.kevinmuldoon.com/packaged-wordpress-Plugins-automatic-updates/

5]: Especialmente se os web designers trabalharem de perto com os respectivos hosters, ou seja, tiverem as informações necessárias para atualizações de plugins, um processo de atualização eficaz e rápido pode ser estabelecido.

Membro da equipa RAIDBOXES desde o primeiro momento e chefe de suporte. Ele prefere falar sobre o PageSpeed ​​ e desempenho do site em BarCamps e em WordCamps. A melhor maneira de o subornar é com um café expresso - ou um pretzel da Baviera.

Artigos relacionados

Comentários sobre este artigo

Escreve um comentário

O teu endereço de e-mail não será publicado. Os campos obrigatórios estão marcados com * .