Tuy nhiên, nhóm đằng sau WordPress cũng có một số trách nhiệm trong tất cả những điều này. Rốt cuộc, bạn không thể làm gì để tự bảo vệ cốt lõi của WordPress.
Nếu câu hỏi về bảo mật WordPress đang làm phiền bạn nhiều như bất kỳ ai đang cố gắng kinh doanh trực tuyến, hãy tiếp tục đọc những điều sau đây.
Tôi sẽ nói về một phần của câu chuyện về các vấn đề bảo mật của WordPress và dự án WordPress đang làm gì về nó.
Sơ lược về các vấn đề bảo mật của WordPress
Vấn đề không nhất thiết là WordPress là một hệ thống quản lý nội dung yếu, dễ bị tấn công và lỗ hổng bảo mật. Nó có nhiều khả năng là một vấn đề về khả năng hiển thị. WordPress là CMS phổ biến nhất trên thế giới, vì vậy tất nhiên nó sẽ trở thành mục tiêu dễ dàng cho các hacker.
WordPress thường bị chỉ trích trực tuyến (trong blog, diễn đàn, podcast, v.v..). Do đó, những điểm yếu của nền tảng đã được biết rõ. Sẽ có lý khi tin tặc chủ yếu nhắm mục tiêu vào các trang web WordPress, phải không?
An toàn là một vấn đề quan trọng đối với tất cả mọi người blog WordPress hoặc phát triển web. Theo dự án WordPress (nhóm chịu trách nhiệm quản lý bảo mật của nền tảng), họ luôn phát hành các bản vá bảo mật. Bạn có biết những thông báo cập nhật tự động mà bạn nhận được khi đăng nhập vào trang tổng quan không? "WordPress đã được cập nhật lên 4.7.2" hoặc một cái gì đó tương tự? Chà, thông thường khi bạn thấy những bản phát hành nhỏ này ra mắt, đó là do nhóm đã phải khắc phục sự cố bảo mật.
Và điều này thường xảy ra:
La vi phạm dữ liệu Hồ sơ Panama để từ 2016, một phần, được quy cho một lỗ hổng trong plugin WordPress Slider WordPress.
Điều đó nói rằng, thật yên tâm khi thấy cách WordPress xử lý một vụ vi phạm bảo mật rất cao và gần đây bắt nguồn từ API REST.
Đây là cách mọi thứ đã diễn ra:
- Vào tháng 2017 năm 4.7.2, WordPress đã phát hành bản cập nhật XNUMX. Không nơi nào trong danh sách các bản cập nhật hoặc bản sửa lỗi được đề cập đến bản vá bảo mật.
- Khoảng một tuần sau, WordPress đã thông báo cho người dùng rằng thực sự có một lỗ hổng bảo mật được phát hiện và sửa chữa trong bản cập nhật này.
- Lý do họ đưa ra cho sự chậm trễ trong việc thông báo cho người dùng? Bởi vì họ muốn cho họ thời gian để cập nhật kernel trước khi tin tặc biết rằng WordPress biết về nó và khắc phục sự cố.
Tất nhiên, điều đó không ngăn được tin tặc làm biến dạng 1,5 triệu trang web WordPress trong thời gian chờ đợi. Cũng có những người dùng WordPress không bao giờ cập nhật CMS (hoặc làm quá muộn) vẫn dễ bị tấn công.
Vì vậy, mặc dù một bản vá cuối cùng đã được WordPress phát hành và họ đã xử lý thông báo một cách khéo léo cần thiết, hơn một triệu trang web đã bị thương trong quá trình này. Và tệ hơn, nhiều chủ sở hữu trang web tiếp tục bỏ qua sự xuống cấp này ngay cả khi nó đã xảy ra.
Bản vá bảo mật dường như xảy ra thường xuyên hơn, với tỷ lệ lạm dụng cao nhất vào năm 2015. Khi những điều này xảy ra ngày càng nhiều, điều quan trọng là bạn phải biết ai chịu trách nhiệm bảo mật WordPress và những gì bạn có thể làm về phía mình, để đảm bảo rằng bạn được bảo vệ.
Những gì bạn cần biết về dự án WordPress (và bảo mật của nó)
Đây là những gì bạn cần biết về dự án WordPress và những gì họ đang làm để duy trì bảo mật kernel .
Nhóm bảo mật WordPress
Đầu tiên, hãy nói về dự án WordPress. Nhóm bảo mật này bao gồm khoảng 25 người, tất cả đều là chuyên gia về phát triển hoặc bảo mật WordPress. Hiện tại, một nửa số người trong dự án WordPress làm việc cho Automattic.
Nhóm chuyên gia này chịu trách nhiệm xác định các rủi ro bảo mật trong nhân. Họ cũng chịu trách nhiệm kiểm tra các vấn đề tiềm ẩn với các chủ đề hoặc plugin do bên thứ ba gửi và đưa ra các đề xuất về cách họ có thể tăng cường công cụ của mình hoặc sửa các vi phạm đã biết.
Mặc dù họ thường làm việc một mình để xác định và giải quyết những vấn đề này, nhưng đôi khi họ cũng tham khảo ý kiến của các chuyên gia khác trong lĩnh vực này, đặc biệt là các chuyên gia từ các công ty phần mềm và bảo mật.chỗ ở.
Cách WordPress xác định rủi ro bảo mật
Như bạn có thể mong đợi, nhóm dự án WordPress đang hoạt động như một cỗ máy được bôi dầu tốt. Dưới đây là cách thức hoạt động của quá trình xác định và giải quyết các rủi ro bảo mật:
- Một vấn đề được xác định bởi một người nào đó trong nhóm bảo mật hoặc từ bên ngoài nhóm. Các thành viên không phải là thành viên của dự án có thể thông báo các vấn đề đã phát hiện này bằng cách gửi email tới [email được bảo vệ].
- Một báo cáo được ghi lại và đội an ninh xác nhận đã nhận.
- Các thành viên trong nhóm sau đó làm việc cùng nhau trên một máy chủ riêng tư riêng để xác minh rằng mối đe dọa là hợp lệ.
- Đây là nơi họ theo dõi, kiểm tra và sửa chữa các lỗ hổng bảo mật được phát hiện.
- Bản vá bảo mật sau đó được thêm vào phiên bản tiếp theo của Tiểu phần WordPress.
- Để sửa chữa ít nghiêm trọng hơn, WordPress chỉ cần thông báo cho người dùng bảng điều khiển WordPress khi một bài đăng tự động xảy ra.
- Đối với những vấn đề khẩn cấp hơn, bài đăng sẽ được đăng ngay lập tức và WordPress.org sẽ thông báo trên trang Tin tức của trang web.
Tất nhiên, như chúng ta đã thấy với 4.7.2., WordPress không phải lúc nào cũng thông báo các bản sửa lỗi bảo mật này (vì những lý do hợp lệ), mặc dù họ luôn thực hiện hành động ngay lập tức để giải quyết chúng.
Lưu ý về cập nhật tự động
Kể từ phiên bản 3.7, WordPress có khả năng tự động gửi các bản cập nhật nhỏ cho tất cả các trang web. Điều này đảm bảo rằng nhóm bảo mật WordPress có thể nhận được các bản sửa lỗi khẩn cấp kịp thời và không phải đợi người dùng đồng ý và cập nhật trên mỗi trang web của họ.
Tuy nhiên, người dùng WordPress có thể tắt các cập nhật tự động này. Nếu trường hợp này xảy ra với bạn, hãy lưu ý rằng nó có thể khiến trang web của bạn gặp rủi ro, đặc biệt nếu bạn không có thời gian để theo dõi tất cả các trang web của mình để có bản cập nhật mới nhất và tốt nhất.
Bảo mật các plugin và chủ đề
Cũng như trách nhiệm của bạn là cung cấp cho khách truy cập trải nghiệm web tốt hơn, các nhà phát triển plugin và Chủ đề WordPress chịu trách nhiệm về sự an toàn của người dùng của họ (tức là bạn). Mặc dù WordPress không thể xử lý hàng chục nghìn plugin và chủ đề, nhưng ít nhất họ có thể theo dõi chặt chẽ chúng để đảm bảo không có gì nghiêm trọng có thể lọt qua các lỗ hổng.
Dự án WordPress là nhóm chịu trách nhiệm làm việc với các nhà phát triển khi phát hiện ra vấn đề bảo mật. Tuy nhiên, trước đó, có một nhóm tình nguyện viên được chỉ định để xem xét từng chủ đề hoặc plugin được gửi cho WordPress. Nhóm này sẽ làm việc với các nhà phát triển để đảm bảo tuân thủ các phương pháp hay nhất.
Tuy nhiên, các lỗ hổng bảo mật vẫn có thể phát sinh và đây là lúc nhóm bảo mật WordPress nên thực hiện:
- Cung cấp tài liệu cho các nhà phát triển WordPress về việc phát triển các plugin và chủ đề cũng như về các thực tiễn tốt nhất trong bảo mật.
- Theo dõi các plugin và chủ đề để tìm các lỗ hổng bảo mật có thể có. Bất kỳ vấn đề nào được phát hiện sau đó sẽ được nhà phát triển chú ý.
- Xóa các plugin hoặc chủ đề có hại khỏi thư mục nếu nhà phát triển không phản hồi hoặc hợp tác.
Sau đó, WordPress sẽ thông báo cho người dùng của mình thông qua quản trị viên WordPress khi có các bản sửa lỗi bảo mật này (hoặc xóa các plugin và chủ đề xấu).
Bảo mật WordPress đòi hỏi sự cảnh giác của bạn
Sau khi trải qua tất cả những điều này, tôi cảm thấy thoải mái hơn một chút khi biết rằng có một nhóm chuyên dụng làm việc để giữ an toàn cho lõi WordPress mọi lúc. Tuy nhiên, điều đó không có nghĩa là tôi (hoặc bạn) nên bị ru ngủ trong cảm giác tự mãn đó.
Như chúng ta đã thấy, ngay cả tháng 1,5 vừa qua, với XNUMX triệu trang web bị hư hại, cho dù dự án WordPress có tốt đến đâu trong việc giám sát và bảo mật nền tảng, thì tin tặc cũng sẽ tìm ra giải pháp.
Đây là lý do tại sao điều quan trọng là đóng vai trò của bạn trong tất cả những điều này và bảo vệ các trang web của bạn từ mọi góc độ.
