Varför WordPress Premium Themes är en säkerhetsrisk

Jan Hornung Senast uppdaterad den 23 jan 2020
5 Min.
N02 PremiumThemes

Allmän praxis Plugins i Premium Themes för att integrera din WordPress sidan av en stor säkerhetsrisk. Men problemet kan knappast undvikas för tillfället - användaren är efterfrågad.

Under 2014 och 2015 identifierades massiva säkerhetsproblem i två av de mest populära Plugins upptäckt alls: Både Slider Revolution [1] (säljs nästan 75 000 gånger på Envato) och Visual Composer [2] (sålt nästan 100.000 tider på Envato) påverkades. Sårbarheterna i sig var dock inte det största problemet. Utvecklarna reagerade snabbt och tillhandahöll motsvarande uppdateringar. För vissa Premium-kunder Themes , som de två Plugins som en del av så kallade Plugin buntar, dvs. som standard i Themes integrerade plugin-konstellationer var denna åtgärd värdelös. Några av dem genomsökte nätverket under lång tid med dessa säkerhetsproblem. För inte alla Themes tillåta en automatisk uppdatering i alla fall.

Dubbelt användarberoende

Användare av Premium Themes  är beroende av två parter för säkerhetsrelevanta plugin-uppdateringar: Plugin - och meme-tillverkarna. Till exempel, även om plugin-tillverkaren reagerar snabbt och stänger sårbarheten, Theme ändringar inte automatiskt verkställs. Eftersom plugin-uppdateringar inte alltid är lätta med resten av en Themes Kompatibel. Samspelet mellan premien Themes med den nya plugin-versionen måste vanligtvis testas först. Tematillverkarnas reaktionshastighet är således den kritiska komponenten i uppdateringsprocessen och avgör hur länge användarna måste leva med säkerhetsproblem [3].

Men: Buntar är också problematiska för leverantörerna själva

I praktiken är detta ansvar också en börda för tematillverkarna. Å ena sidan måste de informera sina kunder om sårbarheten och dess betydelse. När det gäller Visual Composer reagerade marknadsleverantören Envato och plugintillverkaren wpbackery på ett exemplariskt sätt: Alla kunder kontaktades via post och uppdateringen rekommenderades på egen risk [4]. Å andra sidan måste tillverkaren spontant kontrollera kompatibiliteten hos Themes med den nya plugin-versionen, eventuellt producera den först eller till och med utveckla en tillfällig lösning och göra den tillgänglig för kunden.

Snörningen av sådana plug-in-paket orsakar därmed problem för leverantörer och kunder. Men eftersom buntprincipen har många fördelar, till exempel snabb integrering av komplicerade ytterligare funktioner och bekväm drift för kunden, kommer problemet förmodligen att kvarstå under lång tid till slutet. Det är därför viktigt att platsoperatörerna är medvetna om denna fara och vet hur de ska hantera den.

Trots ett föredömligt svar: Tillverkarnas reaktiva tillvägagångssätt löser inte problemet

Även om Envato och wpbakery reagerade snabbt när det gäller Visual Composer, visar fallet begränsningarna i den reaktiva strategin och gör det tydligt att den befintliga metoden aktivt accepterar säkerhetsproblem. Reaktivt beteende hos tematillverkare och marknadsleverantörer – hur väl samordnade de än är – erbjuder inte nödvändigtvis en hög standard på säkerhet och funktionalitet. Eftersom e-postmeddelanden kan hamna i skräppostfiltret kan inlägg på sociala medier förbises och meddelanden i appen kan gå förlorade. Till följd av detta finns det en onödig risk för att platsoperatörer under lång tid Plugin ska vara i drift.

Tillverkarnas reaktiva tillvägagångssätt utgör dock en andra fara. Det är då platsoperatören inte är tillståndshavare för premien Themes Är. En ganska vanlig konstellation, till exempel när det gäller beställt arbete av webbdesigners. Om webbdesigners och sidägare inte är i kontakt kan det till och med hända att de drabbade personerna inte lär sig om sårbarheten. Denna praxis ger enorma mängder webbplatser vars ägare och administratörer inte har tillgång till theme har interna uppdateringar. Professionellt underhållna webbplatser kan därför också vara föråldrade och sårbara Plugins Använda.

Ett reaktivt tillvägagångssätt av tematillverkare och marknadsleverantörer ignorerar därmed en viktig del av verkligheten för webbdesign.

Proaktiva åtgärder är dyra

Frågan är nu varför Plugin paketet kanske inte alltid uppdateras automatiskt. Svaret ligger i premien Themes . Utvecklarnas design Themes med omfattande ytterligare funktioner, till exempel visuella redigeringsgränssnitt, skjutreglage, formulärfält och och. Fram till premien Theme Dussintals testserier måste slutföras och köras smidigt. Detsamma gäller uppdateringar av de installerade Plugins : Varje ny version kan användas för att Themes i värsta fall, gör hela webbplatsen oanvändbar. Särskilt för e-handelsleverantörer kan en sådan stilleståndstid innebära enorma monetära förluster och en bestående skada på bilden.

Kompatibilitetstestning förbrukar således mycket tid och pengar, vilket berövar temautvecklarna incitamentet för proaktiva åtgärder och förklarar deras delvis reaktiva beteende. Som den skotska bloggaren Kevin Muldoon påpekar marknadsför marknadsplatser inte regelbundna, slumpmässiga uppdateringstester. Leverantörer kan till exempel arbeta med förtroendeprogram, säger Muldoon. I slutändan är det upp till varje tematillverkare att bestämma vilken uppdateringsstrategi som ska användas. Och naturligtvis är det inte heller att glömma att Premium Themes vars stöd helt har upphört.

Möjliga lösningar: Premiumuppdateringar även för användare och nya kvalitetsstandarder

I sin bloggartikel föreslår Muldoon ett valfritt uppdateringsalternativ för theme -intern Plugins I WordPress Sig. Omedelbart efter att uppdateringen har släppts kan användaren använda respektive Plugin den senaste versionen, men tar också ansvar för eventuella oförenligheter med den valda Theme . Det är bara möjligt att ange licensnyckeln när du aktiverar Plugins nödvändiga kan uppdateringar också göras utan licens. Dessutom skulle användaren via nya och särskilt viktiga uppdateringar kunna WordPress Informerade. Det mellanliggande steget om tematillverkare eller marknadsplatser, som först måste informera sina kunder, skulle elimineras.

De incitamentsprogram som Muldoon nämndar kan också vara en lösning om de fastställer tematillverkarnas proaktiva uppdateringspolicy som en framträdande ny säkerhetsaspekt. Regelbundna kompatibilitetstester kan till exempel vara ett helt nytt kvalitetskriterium för betalda Themes Bve.

Slutsats: Användaren är efterfrågad

I vilket fall som helst ombeds användaren att ta itu med detta problem: man måste vara medveten om att buntade Plugins ett säkerhetsproblem och hitta en möjlig lösning. Ägaren till en webbplats kan till exempel få licenser för lämpliga Themes eller förlita sig på att en värd gör lämpliga uppdateringar [5].

Även när du väljer Premium Themes Vissa viktiga säkerhetsaspekter kan redan beaktas. Om du känner till uppdateringsprincipen för tematillverkaren och Plugins är det vanligtvis möjligt att ge en solid uppskattning av sårbarheten hos Themes Ge upp.

Återigen finns det ingen säkerhet på 100 procent. Risken kan dock minskas avsevärt med medvetet urval.

Denna situation visar mycket fint hur fördelarna och nackdelarna med den modulära designen av WordPress Relaterat. Eftersom detta problemområde är stort och mångsidigt ser vi fram emot din input: Har du någonsin haft problem med Premium Themes , plugin-uppdateringar eller liknande? Låt oss veta och hjälpa samhället att förbereda sig ännu bättre för nödsituationen.

Länkar

[1]: Förklaring av säkerhetsproblemen i Plugin Skjutreglagerevolution:https://blog.sucuri.net/2014/09/slider-revolution plugin -kritisk sårbarhet som utnyttjas.html

[2]: Förklaring av säkerhetsproblemen i Plugin Visual Composer : https://forums.envato.com/t/visual-composer-security-vulnerability-fix/10494

[3]: Detta betonas också av leverantörer som Envato i sina kundanteckningar om motsvarande säkerhetsproblem: https://forums.envato.com/t/visual-composer-security-vulnerability-fix/10494

[4]: Den skotska bloggaren Kevin Muldoon har skrivit en detaljerad artikel om frågan och kommenterar Envatos tillvägagångssätt samt en automatisk uppdateringsfunktion för paket. Plugins Krävs: http://www.kevinmuldoon.com/packaged-wordpress plugins -automatiska uppdateringar/

[5]: Speciellt om webbdesigners arbetar nära respektive värd, dvs. har nödvändig information för plugin-uppdateringar, kan en effektiv och snabb uppdateringsprocess upprättas.

RAIDBOXER av den första timmen och Supportchef. På Bar och WordCamps, föredrar han att prata om PageSpeed och webbplats prestanda. Det bästa sättet att muta honom är med en espresso – eller bayerska Brezn.

Liknande artiklar

Kommentarer om den här artikeln

Skriva en kommentar

Din e-postadress kommer inte att publiceras. Obligatoriska fält är markerade med *.