Is WordPress een betrouwbare software?

par Blair Jersyer | WordPress Nieuws, Blog en tips

De vraag of WordPress veilig is, is ingewikkeld. Hoewel dit duidelijk een voldoende veilig platform is voor ongeveer een kwart van alle door WordPress aangedreven websites over de hele wereld, is het niet zonder gebreken.
Dus wie is er verantwoordelijk voor de beveiliging van WordPress? Een deel van die verantwoordelijkheid valt natuurlijk uiteindelijk op vos schouders. Daarom is het essentieel om bewust te zijn van en respect te hebben Praktische tips voor WordPress-beveiliging om alle sites die u bouwt zo veilig mogelijk te houden.

Het team achter WordPress heeft hierin echter ook enige verantwoordelijkheid. U kunt tenslotte niets doen om de kern van WordPress zelf te beschermen.

Als u net zoveel last hebt van de kwestie van WordPress-beveiliging als iedereen die online zaken probeert te doen, lees dan het volgende.

Ik ga het hebben over een deel van het verhaal over WordPress-beveiligingsproblemen en wat het WordPress-project eraan doet.

Een korte geschiedenis van beveiligingsproblemen met WordPress

Het probleem is niet noodzakelijk dat WordPress een zwak contentmanagementsysteem is, vatbaar voor hackpogingen en beveiligingslekken. Het is waarschijnlijker een zichtbaarheidsprobleem. WordPress is het populairste CMS ter wereld, dus het wordt natuurlijk een gemakkelijk doelwit voor hackers.

WordPress wordt vaak online bekritiseerd (in blogs, forums, podcasts, etc..). Daarom zijn de zwakke punten van het platform bekend. Het zou dan logisch zijn dat hackers zich primair richten op WordPress-websites, nietwaar?

Veiligheid is een belangrijk gespreksonderwerp voor iedereen WordPress blog of webontwikkeling. Volgens het WordPress-project (het team dat verantwoordelijk is voor het beheer van de beveiliging van het platform), brengen ze voortdurend beveiligingspatches uit. Kent u die automatische updatemeldingen die u krijgt wanneer u zich aanmeldt bij het dashboard? "WordPress is bijgewerkt naar 4.7.2" of iets dergelijks? Als je deze kleine releases ziet verschijnen, is dat meestal omdat het team een ​​beveiligingsprobleem moest oplossen.

En deze gebeuren vaak:

La schending van Panama Papers-gegevens aan van 2016 werd gedeeltelijk toegeschreven aan een kwetsbaarheid in een WordPress-plug-in Revolution Slider.

Dat gezegd hebbende, is het geruststellend om te zien hoe WordPress een zeer recente en spraakmakende inbreuk op de beveiliging als gevolg van de REST API heeft afgehandeld.

Dit is hoe het ging:

  • In januari 2017 heeft WordPress update 4.7.2 uitgebracht. Nergens in de lijst met updates of fixes werd de beveiligingspatch genoemd.
  • Ongeveer een week later liet WordPress gebruikers weten dat er inderdaad een beveiligingsfout was gedetecteerd en gecorrigeerd in deze update.
  • De reden die ze gaven voor de vertraging bij het op de hoogte stellen van gebruikers? Omdat ze hen de tijd wilden geven om de kernel bij te werken voordat de hackers wisten dat WordPress hiervan op de hoogte was en het probleem verhelpten.

Dat weerhield hackers er natuurlijk niet van om in de tussentijd 1,5 miljoen WordPress-sites te ontsieren. Er zijn ook WordPress-gebruikers die het CMS nooit hebben bijgewerkt (of te laat) die kwetsbaar bleven voor de aanval.

Dus hoewel er uiteindelijk een patch werd uitgebracht door WordPress en ze de aankondiging met de broodnodige tact behandelden, raakten meer dan een miljoen sites gewond tijdens het proces. En erger nog, veel website-eigenaren bleven deze achteruitgang negeren, zelfs nadat het was gebeurd.

Beveiligingspatches lijken vaker voor te komen, met het hoogste percentage misbruik in 2015. Aangezien er steeds meer van deze problemen voorkomen, is het belangrijk dat u weet wie verantwoordelijk is voor het beveiligen van WordPress en wat u aan uw kant kunt doen om ervoor te zorgen dat u beschermd bent.

beveiliging wordpress.png

Wat u moet weten over het WordPress-project (en de beveiliging ervan)

Dit is wat u moet weten over het WordPress-project en waar ze voor doen kernelbeveiliging handhaven .

Het WordPress-beveiligingsteam

Laten we eerst eens praten over het WordPress-project. Dit beveiligingsteam bestaat uit ongeveer 25 mensen, allemaal experts in WordPress-ontwikkeling of beveiliging. Momenteel werkt de helft van de mensen op het WordPress-project voor Automattic.

Dit team van experts is verantwoordelijk voor het identificeren van beveiligingsrisico's in de kernel. Ze zijn ook verantwoordelijk voor het onderzoeken van mogelijke problemen met thema's of plug-ins die door derden zijn ingediend en het doen van aanbevelingen over hoe ze hun tools kunnen versterken of bekende overtredingen kunnen corrigeren.

Hoewel ze meestal alleen werken om deze problemen te identificeren en op te lossen, raadplegen ze af en toe andere experts in het veld, vooral die van beveiligings- en softwarebedrijven.accommodatie.

Hoe WordPress beveiligingsrisico's identificeert

Zoals je zou verwachten, draait het WordPress-projectteam als een geoliede machine. Dit is hoe het proces van het identificeren en oplossen van beveiligingsrisico's werkt:

  • Een probleem wordt geïdentificeerd door iemand van het beveiligingsteam of van buiten het team. Leden die geen lid zijn van het project kunnen deze gedetecteerde problemen communiceren door een e-mail te sturen naar [e-mail beveiligd].
  • Er wordt een melding gemaakt en het beveiligingsteam bevestigt de ontvangst.
  • Teamleden werken vervolgens privé samen op een privéserver om te verifiëren dat de dreiging geldig is.
  • Hier volgen, testen en repareren ze gedetecteerde beveiligingsproblemen.
  • De beveiligingspatch wordt vervolgens toegevoegd aan de volgende versie van WordPress Minor.
  • Voor minder serieuze reparaties stelt WordPress gebruikers van WordPress-dashboard eenvoudig op de hoogte wanneer een automatische post plaatsvindt.
  • Voor meer urgente zaken zal het bericht onmiddellijk verschijnen en zal WordPress.org het aankondigen op de nieuwspagina van de site.

Zoals we bij 4.7.2 hebben gezien, kondigt WordPress deze beveiligingsreparaties natuurlijk niet altijd aan (om geldige redenen), hoewel ze altijd onmiddellijk actie ondernemen om ze te repareren.

Opmerking over automatische updates

Sinds versie 3.7 heeft WordPress de mogelijkheid om automatisch kleine updates naar alle websites te sturen. Dit zorgt ervoor dat het WordPress-beveiligingsteam snel urgente oplossingen kan krijgen en niet hoeft te wachten tot gebruikers akkoord gaan en updaten op elk van hun websites.

Het is echter mogelijk voor WordPress-gebruikers om deze automatische updates uit te schakelen. Als dit voor u het geval is, houd er dan rekening mee dat dit uw site in gevaar kan brengen, vooral als u niet de tijd heeft om al uw sites nauwgezet te controleren op de nieuwste en beste update.

Beveiliging van plug-ins en thema's

Net zoals het jouw verantwoordelijkheid is om bezoekers een betere webervaring te bieden, zijn ontwikkelaars van plug-ins en WordPress-thema's zijn verantwoordelijk voor de veiligheid van hun gebruikers (d.w.z. u). Hoewel WordPress de tienduizenden plug-ins en thema's niet aankan, kunnen ze ze in ieder geval goed in de gaten houden om ervoor te zorgen dat er niets ernstigs tussen de oren glipt.

Het WordPress-project is het team dat verantwoordelijk is voor het werken met ontwikkelaars wanneer een beveiligingsprobleem wordt gedetecteerd. Daarvoor is er echter een team van vrijwilligers toegewezen om elk thema of elke plug-in die naar WordPress wordt verzonden, te beoordelen. Dit team werkt samen met ontwikkelaars om ervoor te zorgen dat de beste praktijken worden gevolgd.

Er kunnen echter nog steeds beveiligingsproblemen optreden en dit is wanneer het WordPress-beveiligingsteam moet ingrijpen om:

  • Lever documentatie voor WordPress-ontwikkelaars over de ontwikkeling van plug-ins en thema's en over beste praktijken op het gebied van beveiliging.
  • Monitor plug-ins en thema's voor mogelijke beveiligingslekken. Elk geconstateerd probleem wordt vervolgens onder de aandacht van de ontwikkelaar gebracht.
  • Verwijder schadelijke plug-ins of thema's uit de map als ontwikkelaars niet reageren of niet samenwerken.

WordPress zal zijn gebruikers vervolgens via de WordPress-beheerder op de hoogte stellen wanneer deze beveiligingsreparaties (of verwijdering van slechte plug-ins en thema's) beschikbaar zijn.

WordPress beveiliging vereist uw waakzaamheid

Nadat ik dit allemaal heb doorgenomen, voel ik me een beetje op mijn gemak in de wetenschap dat er een toegewijd team is dat werkt om de WordPress-kern te allen tijde veilig te houden. Dat betekent echter niet dat ik (of jij) in dat gevoel van zelfgenoegzaamheid moet worden gesust.

Zoals we hebben gezien, zelfs afgelopen januari, met de 1,5 miljoen beschadigde websites, hoe goed het WordPress-project ook is om het platform te bewaken en te beveiligen, hackers zullen een oplossing vinden.

Daarom is het belangrijk om hierin uw rol te spelen en uw sites vanuit alle hoeken te beveiligen.

Plaats de reactie

Uw e-mailadres wordt niet gepubliceerd. Verplichte velden zijn gemarkeerd *

Deze site gebruikt Akismet om ongewenst te verminderen. Meer informatie over hoe uw opmerkingen worden gebruikt.