Varför WordPress Premium Themes är en säkerhetsrisk

Jan Hornung Senast uppdaterad den 23 jan 2020
5 Min.
N02 PremiumDet

Allmän praxis Plugins i Premium Themes för att integrera din WordPress en stor säkerhetsrisk. Men problemet kan knappast undvikas just nu - användaren är efterfrågad.

Under 2014 och 2015 identifierades massiva säkerhetsproblem i två av de mest populära Plugins upptäckt alls: Både Skjutreglaget Revolution [1] (nästan 75 000 gånger på Envato säljs), liksom Visual Composer [2] (säljs nästan 100.000 gånger på Envato) påverkades. Sårbarheterna i sig var dock inte det största problemet. Utvecklarna reagerade snabbt och tillhandahöll motsvarande uppdateringar. För vissa Premium-kunder Themes , som de två Plugins som en del av den så kallade Plugin buntar, dvs som standard i Themes integrerad plugin konstellationer, var denna åtgärd värdelös. Några av dem snubblade genom nätet under en lång tid med dessa säkerhetsproblem. Eftersom inte alla Themes tillåta en automatisk uppdatering i alla fall.

Dubbelt användarberoende

Användare av Premium Themes  är beroende av två parter för säkerhetsrelevanta plugin-uppdateringar: Plugin - och meme-tillverkarna. Till exempel, även om plugin-tillverkaren reagerar snabbt och stänger sårbarheten, Theme ändringar inte verkställs automatiskt. Eftersom plugin uppdateringar är inte alltid lätt med resten av en Themes Kompatibel. Samspelet mellan Premium Themes med den nya plugin-versionen vanligtvis måste testas först. Reaktionshastigheten hos meme-tillverkarna är alltså den kritiska komponenten i uppdateringsprocessen och avgör hur länge användarna måste leva med säkerhetsproblem [3].

Men: Buntar är också problematiska för leverantörerna själva

I praktiken är detta ansvar också en börda för tematillverkarna. Å ena sidan måste de informera sina kunder om sårbarheten och dess betydelse. När det gäller Visual Composer, marknadsplatsleverantören Envato och plugin-tillverkaren wpbackery (svenska) svarade på ett föredömligt sätt: Alla kunder kontaktades via e-post och uppdateringen rekommenderades på egen risk [4]. Å andra sidan måste tillverkaren spontant kontrollera premiens kompatibilitet med Themes med den nya plugin-versionen, eventuellt producera den först eller till och med utveckla en tillfällig lösning och göra den tillgänglig för kunden.

Snörning av sådana plug-in buntar orsakar således problem för leverantörer och kunder. Men eftersom buntprincipen har många fördelar, såsom snabb integrering av komplicerade ytterligare funktioner och bekväm drift för kunden, kommer problemet förmodligen att kvarstå under lång tid till ett. Det är därför viktigt att platsoperatörerna är medvetna om denna fara och vet hur de ska hantera den.

Trots ett föredömligt svar: Tillverkarnas reaktiva tillvägagångssätt löser inte problemet

Även om Envato och wpbakery reagerade snabbt när det gäller Visual Composer, visar fallet begränsningarna i den reaktiva strategin och klargör att den befintliga praxisen aktivt accepterar säkerhetsproblem. Reaktivt beteende hos tematillverkare och marknadsleverantörer – hur väl samordnade de än är – erbjuder inte nödvändigtvis en hög standard på säkerhet och funktionalitet. Eftersom e-postmeddelanden kan hamna i skräppostfiltret kan inlägg i sociala medier förbises och meddelanden i appen kan gå förlorade. Till följd av detta finns det en onödig risk för platsoperatörer under lång tid en osäker Plugin att vara i drift.

Tillverkarnas reaktiva tillvägagångssätt utgör dock en andra fara. Det är då anläggningsoperatören inte är licensinnehavare av Premium Themes Är. En ganska vanlig konstellation, till exempel när det gäller beställningsarbeten av webbdesigners. Om webbdesigners och sidägare inte är i kontakt kan det till och med hända att de berörda personerna inte lär sig om sårbarheten. Denna praxis ger upphov till enorma mängder webbplatser vars ägare och administratörer inte har tillgång till theme har interna uppdateringar. Professionellt underhållna platser kan därför också vara föråldrade och sårbara Plugins Använda.

En reaktiv strategi av tematillverkare och marknadsleverantörer ignorerar därmed en viktig del av verkligheten i webbdesign.

Proaktiva åtgärder är dyra

Frågan är nu varför Plugin kanske inte alltid uppdateras automatiskt. Svaret ligger i komplexiteten i premien Themes . Utvecklarna designar Themes med omfattande tillägg fungerar, liksom visuellt hjälpmedel som redigerar, reglagen, bildar sätter in och och. Fram till premien Theme Dussintals testserier måste slutföras och fungera smidigt. Detsamma gäller uppdateringar av den installerade Plugins : Varje ny version kan användas för att Themes i värsta fall, gör hela webbplatsen ouppnörbar. Särskilt för e-handelsleverantörer, ett sådant driftstopp kan innebära enorma monetära förluster och en varaktig skada på bilden.

Kompatibilitetstestning förbrukar alltså mycket tid och pengar, vilket berövar temautvecklarna incitamentet för proaktiva åtgärder och förklarar deras delvis reaktiva beteende. Liksom den skotska bloggare Kevin Muldoon marknadsplatserna inte heller främjar regelbundna, slumpmässiga uppdateringstester. Till exempel kan leverantörer arbeta med förtroende program, muldoon sa. I slutändan är det upp till varje tema tillverkare att bestämma vilken uppdatering strategi att använda. Och naturligtvis är det inte heller att glömma att Premium Themes vars stöd har upphört helt.

Möjliga lösningar: Premiumuppdateringar även för användare och nya kvalitetsstandarder

I sin blogg artikel föreslår Muldoon en valfri uppdatering alternativ för theme -interna Plugins I WordPress Sig. Omedelbart efter lanseringen av uppdateringen kan användaren använda respektive Plugin den senaste versionen, men tar också på sig ansvaret för eventuella oförenligheter med den valda Theme . Det är bara möjligt att ange licensnyckeln när du aktiverar Plugins nödvändigt kan uppdateringar också göras utan licens. Genom nya och särskilt viktiga uppdateringar skulle användaren dessutom kunna WordPress Informerade. Det mellanliggande steget om tematillverkare eller marknadsplatser, som först måste informera sina kunder, skulle elimineras.

De incitamentsprogram som nämns av Muldoon kan också vara en lösning om de upprättar proaktiv uppdatering politik tematillverkare som en framstående ny säkerhetsaspekt. Regelbundna kompatibilitetstester kan till exempel vara ett helt nytt kvalitetskriterium för Themes Bve.

Slutsats: Användaren är efterfrågad

I vilket fall som helst uppmanas användaren om detta problem: man måste vara medveten om att Plugins ett säkerhetsproblem och hitta en möjlig lösning. Ägaren till en webbplats kan till exempel erhålla licenser för lämpliga Themes eller förlita sig på en värdvärd för att göra lämpliga uppdateringar [5].

Även när du väljer Premium Themes vissa viktiga säkerhetsaspekter kan redan beaktas. Om du känner till uppdateringsprincipen för tematillverkaren och Plugins är det vanligtvis möjligt att ge en solid uppskattning av sårbarheten hos Themes ge upp.

Återigen finns det ingen 100% säkerhet. Risken kan dock minskas avsevärt med medvetet urval.

Denna situation visar mycket fint hur fördelarna och nackdelarna med den modulära utformningen av WordPress Relaterade. Eftersom detta problemområde är stort och varierat ser vi fram emot dina synpunkter: Har du någonsin haft problem med Premium Themes , plugin uppdateringar eller liknande? Låt oss veta och hjälpa samhället att förbereda sig ännu bättre för nödsituationen.

Länkar

[1]: Förklaring av säkerhetsproblemen i Plugin Skjutreglaget Revolution: https://blog.sucuri.net/2014/09/slider-revolution plugin -kritisk sårbarhet-utnyttjas.html

[2]: Förklaring av säkerhetsproblemen i Plugin Visual Composer : https://forums.envato.com/t/visual-composer-security-vulnerability-fix/10494

[3]: Detta betonas också av leverantörer som Envato i sina kundanteckningar om motsvarande säkerhetsproblem: https://forums.envato.com/t/visual-composer-security-vulnerability-fix/10494

[4]: Den skotske bloggaren Kevin Muldoon har skrivit en detaljerad artikel i frågan, som kommenterar Envatos tillvägagångssätt samt en automatisk uppdateringsfunktion för paket. Plugins Krävs: http://www.kevinmuldoon.com/packaged-wordpress plugins -automatisk-uppdateringar/

[5]: Speciellt om webbdesigners arbetar nära med respektive värdar, dvs har nödvändig information för plugin uppdateringar, en effektiv och snabb uppdatering kan upprättas.

RAIDBOXER för den första timmen och supportchef. På Bar och WordCamps föredrar han att prata om PageSpeed och webbplatsprestanda. Det bästa sättet att muta honom är med en espresso - eller bayerska Brezn.

Liknande artiklar

Kommentarer om den här artikeln

Skriv en kommentar

Din e-postadress kommer inte att publiceras. Obligatoriska fält är * Markerade.