Neden WordPress Premium Themes bir güvenlik riski vardır

Jan Hornung Son güncelleme 23 Ocak 2020
5 Dk.
N02 PremiumTemalar

Yaygın uygulama Plugins in Premium Themes entegre etmek için WordPress büyük bir güvenlik riski tarafı. Ama sorun zor şu anda önlenebilir - kullanıcı talep olduğunu.

2014 ve 2015'te, en popüler iki güvenlik açığı Plugins hiç keşfedildi: Her ikisi de Kaydırıcı Devrimi [1] (neredeyse 75.000 kez Envato satılan), yanı sıra Visual Composer [2] (Envato'da neredeyse 100.000 kez satıldı) etkilendi. Ancak, güvenlik açıkları kendilerini ana sorun değildi. Geliştiriciler hızlı bir şekilde tepki verdi ve ilgili güncelleştirmeler sağladı. Ancak, bazı Premium müşteriler için, Themes , hangi iki Plugins sözde bir bileşeni olarak Plugin demetleri, yani varsayılan olarak Themes entegre eklenti takımyıldızları, bu tedbir işe yaramaz oldu. Bazıları bu güvenlik açıkları ile uzun bir süre net üzerinden tökezledi. Çünkü tüm Themes tüm durumlarda otomatik güncelleştirmeye izin verin.

Çift kullanıcı bağımlılığı

Premium Kullanıcıları Themes  güvenlikle ilgili eklenti güncelleştirmeleri için iki tarafa bağlıdır: Plugin - ve meme üreticileri. Örneğin, eklenti üreticisi hızlı bir şekilde tepki ve reagelince güvenlik açığını kapatır, Theme değişiklikler otomatik olarak uygulanmıyor. Eklenti güncellemeleri her zaman bir geri kalanı ile kolay olmadığından Themes Uyumlu. Premium'un etkileşimi Themes yeni eklenti sürümü ile genellikle ilk test edilmelidir. Bu nedenle meme üreticilerinin tepki hızı güncelleştirme işleminde kritik bileşendir ve kullanıcıların güvenlik açıklarıyla ne kadar yaşamaları gerektiğini belirler [3].

Ama: Demetler de sağlayıcılar kendileri için sorunlu

Uygulamada, bu sorumluluk aynı zamanda tema üreticileri için bir yüktür. Bir yandan, güvenlik açığı ve önemi hakkında müşterilerine bildirmek gerekir. Visual Composer, pazar yeri sağlayıcısı Envato ve eklenti üreticisi söz konusu olduğunda wpbackery örnek bir şekilde yanıt verdi: Tüm müşterilere e-posta yoluyla ulaşıldı ve güncelleme kendi riskleri altında tavsiye edildi [4]. Öte yandan, üretici kendiliğinden Premium uyumluluğunu kontrol etmelidir Themes yeni eklenti sürümü ile, muhtemelen ilk üretmek ya da hatta geçici bir çözüm geliştirmek ve müşteri için kullanılabilir hale.

Bu tür eklenti demetlerinin bağlanması böylece sağlayıcılar ve müşteriler için sorunlara neden olur. Ancak, paket prensibi karmaşık ek işlevlerin hızlı entegrasyonu ve müşteri için uygun çalışma gibi birçok avantajı olduğundan, sorun muhtemelen uzun bir süre sona devam edecektir. Bu nedenle, site operatörlerinin bu tehlikenin farkında olması ve bununla nasıl başa çıkılabildiklerini bilmeleri önemlidir.

Örnek bir yanıt rağmen: Üreticilerin reaktif yaklaşım sorunu çözmez

Envato ve wpbakery Görsel Besteci durumunda hızlı bir şekilde tepki vermesine rağmen, durum reaktif stratejinin sınırlarını gösterir ve mevcut uygulamanın güvenlik açıklarını etkin olarak kabul ettiğini açıkça ortaya koymuştur. Tema üreticilerinin ve pazar yeri sağlayıcılarının reaktif davranışları -ne kadar iyi koordine edilmiştirsa edin- yüksek bir güvenlik ve işlevsellik standardı sunması gerekmez. E-postalar spam filtresinde son kullanabileceğinden, sosyal medya gönderileri gözden kaçırılabilir ve uygulama içi mesajlar kaybedilebilir. Sonuç olarak, uzun bir süre için site operatörleri için gereksiz bir risk güvensiz Plugin faaliyette olmak.

Ancak, üreticilerin reaktif yaklaşım ikinci bir tehlike oluşturmaktadır. O zaman site operatörü Premium lisans sahibi değildir Themes Öyle mi? Oldukça yaygın bir takımyıldızı, örneğin web tasarımcıları tarafından yaptırılan çalışma durumunda. Web tasarımcıları ve sayfa sahipleri iletişim kurmuyorsa, etkilenen kişilerin güvenlik açığı hakkında bilgi sahibi olmadığı bile gerçekleşebilir. Bu uygulama, sahipleri ve yöneticileri erişimi olmayan web sitelerinin büyük miktarda üretir theme dahili güncelleştirmeleri var. Profesyonel olarak korunan siteler de modası geçmiş ve savunmasız olabilir Plugins Kullanın.

Tema üreticileri ve pazar yeri sağlayıcıları tarafından reaktif bir yaklaşım böylece web tasarım gerçekliğinin önemli bir bölümünü göz ardı eder.

Proaktif eylem pahalıdır

Soru şimdi neden olarak ortaya çıkar Plugin paket her zaman otomatik olarak güncelleştirilemeyebilir. Cevap prim karmaşıklığı yatıyor Themes . Geliştiriciler tasarım Themes görsel düzenleme arabirimleri, kaydırıcılar, form alanları ve gibi kapsamlı ek işlevler ile Premium kadar Theme Düzinelerce test serisinin tamamlanması ve sorunsuz bir şekilde çalıştırılması gerekir. Aynı durum, yüklenen güncelleştirmelerin Plugins : Her yeni sürüm için kullanılabilir Themes en kötü durumda, tüm web sitesi kullanılamaz hale. Özellikle e-ticaret sağlayıcıları için, böyle bir kesinti büyük parasal kayıplar ve görüntü kalıcı bir zarar anlamına gelebilir.

Uyumluluk testi böylece proaktif eylem için teşvik tema geliştiricileri mahrum ve kısmen reaktif davranışlarını açıklar zaman ve para, çok tüketir. İskoç blogger gibi Kevin Muldoon pazar yerleri de düzenli, rasgele güncelleştirme testleri teşvik etmez. Örneğin, sağlayıcılar güven programları ile çalışabilir, Muldoon söyledi. Sonunda, hangi güncelleştirme stratejisinin kullanılacağına karar vermek her tema üreticisine kalır. Ve, tabii ki, aynı zamanda unutulmamalıdır ki Premium Themes olan destek tamamen kesildi.

Olası çözümler: Kullanıcılar için premium güncellemeler ve yeni kalite standartları

Onun blog makalesinde, Muldoon için isteğe bağlı bir güncelleme seçeneği önerir theme -dahili Plugins Inç WordPress Kendisi. Güncelleştirmenin yayımlanmasından hemen sonra, kullanıcı ilgili Plugin en son sürüme, ama aynı zamanda seçilen olası uyumsuzluklar için sorumluluk varsayar Theme . Lisans anahtarının girilmesi, yalnızca Plugins gerekli, güncellemeler de bir lisans olmadan yapılabilir. Buna ek olarak, yeni ve özellikle önemli güncellemeler yoluyla, kullanıcı mümkün olacak WordPress Bilgili. Teman üreticileri veya pazar yerleri ile ilgili ara adım, ilk önce müşterilerini bilgilendirmek zorunda, ortadan kaldırılacak.

Muldoon tarafından bahsedilen teşvik programları, tema üreticilerinin proaktif güncelleme politikasını önemli bir yeni güvenlik yönü olarak belirlerse de bir çözüm olabilir. Örneğin, düzenli uyumluluk testleri ücretli için tamamen yeni bir kalite kriteri olabilir Themes Ol, ol.

Sonuç: Kullanıcı talep

Her durumda, ancak, kullanıcı bu sorun için istenir: bir paketlenmiş farkında olmalıdır Plugins bir güvenlik sorunu ve olası bir geçici çözüm bulmak. Örneğin, bir web sitesinin sahibi uygun lisanslar alabilir Themes veya uygun güncelleştirmeleri yapmak için bir hoster güveniyor [5].

Ayrıca Premium seçerken Themes bazı önemli güvenlik yönleri zaten dikkate alınabilir. Tema üreticisinin güncelleme ilkesini biliyorsanız ve Plugins , genellikle güvenlik açığı sağlam bir tahmin sağlamak mümkündür Themes vazgeçmek.

Yine, hiçbir% 100 güvenlik yoktur. Ancak, risk önemli ölçüde bilinçli seçimi ile azaltılabilir.

Bu durum çok güzel gösterir nasıl avantajları ve modüler tasarım dezavantajları WordPress Ilgili. Bu sorun alanı geniş ve çeşitli olduğundan, biz giriş için sabırsızlanıyoruz: Hiç Premium ile ilgili sorunlar vardı Themes , eklenti güncellemeleri veya benzeri? Bize bildirin ve toplumun acil durum için daha iyi hazırlamak için yardımcı olur.

Bağlantı

[1]: Güvenlik açıklarının açıklanması Plugin Kaydırıcı Devrimi: https://blog.sucuri.net/2014/09/slider-revolution plugin -kritik-güvenlik açığı-istismar ediliyor.html

[2]: Güvenlik açıklarının açıklanması Plugin Visual Composer : https://forums.envato.com/t/visual-composer-security-vulnerability-fix/10494

[3]: Bu durum, Envato gibi sağlayıcılar tarafından ilgili güvenlik açıklarına ilişkin müşteri notlarında da vurgulanmıştır: https://forums.envato.com/t/visual-composer-security-vulnerability-fix/10494

[4]: İskoç blogcu Kevin Muldoon, Envato'nun yaklaşımının yanı sıra paketler için otomatik güncelleme özelliği hakkında yorum layarak konuyla ilgili ayrıntılı bir makale yazdı. Plugins Gerekli: http://www.kevinmuldoon.com/packaged-wordpress plugins -otomatik güncellemeler/

[5]: Özellikle web tasarımcıları ilgili ev sahipleriyle yakın işbirliği içinde çalışıyorsa, yani eklenti güncellemeleri için gerekli bilgilere sahipse, etkili ve hızlı bir güncelleme işlemi oluşturulabilir.

RAIDBOXER ilk saat ve Destek Başkanı. Bar ve WordCamps anda, o PageSpeed ve web sitesi performansı hakkında konuşmak için tercih ediyor. Ona rüşvet vermenin en iyi yolu espresso ya da Bavyera Brezn'idir.

Benzer makaleler

Bu makaledeki yorumlar

Yorum yaz

E-posta adresiniz yayınlanmayacaktır. Gerekli alanlar * Işaretlenmiş.