但是,WordPress背后的团队在所有这些方面也负有责任。 毕竟,您无法采取任何措施自己保护WordPress的核心。
如果WordPress安全性问题像试图在网上开展业务的任何人一样困扰您,请继续阅读以下内容。
我将谈论有关WordPress安全问题以及WordPress项目正在做什么的部分故事。
WordPress安全问题的简要历史
问题并不一定是WordPress是一个功能薄弱的内容管理系统,容易遭受黑客攻击和安全漏洞。 这更可能是可见性问题。 WordPress是全球最受欢迎的CMS,因此,毫无疑问,它将成为黑客的目标。
WordPress通常在网上受到批评(在博客,论坛,播客等)。 因此,平台的弱点是众所周知的。 那么,将黑客主要瞄准WordPress网站就有意义了,不是吗?
安全是每个人的主要话题 WordPress博客 或网络开发。 根据 WordPress 项目(负责管理平台安全的团队),他们一直在发布安全补丁。 您知道登录仪表板时收到的那些自动更新通知吗? “WordPress 已更新至 4.7.2”之类的? 好吧,通常当您看到这些次要版本发布时,这是因为团队必须解决安全问题。
这些经常发生:
La 违反巴拿马文件的数据 来自2016的漏洞在某种程度上归因于Revolution Slider WordPress插件中的漏洞。
也就是说,可以放心地看到WordPress如何处理来自REST API的最近和备受瞩目的安全漏洞。
事情是这样的:
- 2017年4.7.2月,WordPress发布了更新XNUMX。 在更新或修补程序列表中没有提到安全补丁。
- 大约一周后,WordPress通知用户,确实在此更新中检测到并纠正了安全漏洞。
- 他们延迟通知用户的原因是什么? 因为他们想让他们有时间在黑客知道WordPress知道并解决此问题之前就更新内核。
当然,这并没有阻止黑客同时破坏1,5万个WordPress网站的形象。 还有一些从未更新过CMS(或更新得太晚)的WordPress用户仍然容易受到攻击。
因此,即使WordPress最终发布了一个补丁,并且他们以非常需要的技巧处理了该公告,但在此过程中,仍有超过一百万个站点受伤。 而且,更糟的是,即使降级发生了,许多网站所有者仍继续忽略这种降级。
安全补丁 似乎更常见,2015年滥用率最高。 随着越来越多的此类事件的发生,对您来说重要的是要知道谁负责保护WordPress,以及您可以采取什么措施来确保自己受到保护。
您需要了解的有关WordPress项目(及其安全性)的知识
这是您需要了解的WordPress项目及其所从事的工作 维护内核安全 .
WordPress安全团队
首先,让我们谈谈WordPress项目。 这个安全团队由大约25人组成,他们都是WordPress开发或安全方面的专家。 目前,WordPress项目的一半人都在为Automattic工作。
该专家团队负责确定内核中的安全风险。 他们还负责检查第三方提交的主题或插件的潜在问题,并就如何加强其工具或纠正已知的违规行为提出建议。
尽管他们通常单独工作来识别和解决这些问题,但他们偶尔也会咨询该领域的其他专家,特别是来自安全和软件公司的专家。住宿.
WordPress如何识别安全风险
如您所料,WordPress项目团队的运作就像一台运转良好的机器。 这是识别和解决安全风险的过程的工作方式:
- 来自安全团队或团队外部的人员发现了问题。 不是项目成员的成员可以通过将电子邮件发送到来传达这些检测到的问题。 [电子邮件保护].
- 记录报告,安全团队确认收到。
- 然后,团队成员将在私有服务器上私下合作以验证威胁是否有效。
- 他们在这里跟踪,测试和修复检测到的安全漏洞。
- 然后将该安全补丁添加到下一版的WordPress Minor。
- 对于不太严重的维修,WordPress会在发生自动发布时仅通知WordPress仪表板用户。
- 对于更紧急的问题,该帖子将立即消失,WordPress.org将在该网站的“新闻”页面上宣布该帖子。
当然,正如我们在4.7.2。中看到的那样,WordPress虽然总是会立即采取措施解决这些安全问题,但它们并不总是(出于正当的理由)宣布这些安全修复程序。
关于自动更新的注意事项
从3.7版开始,WordPress可以自动向所有网站发送次要更新。 这样可以确保WordPress安全团队可以及时获得紧急修复,而不必等待用户同意并更新他们的每个网站。
但是,WordPress用户可以关闭这些自动更新。 如果您是这种情况,请注意,这可能会使您的网站面临风险,尤其是如果您没有时间认真监视所有网站以获取最新和最佳更新时,尤其如此。
插件和主题的安全性
正如您有责任为访问者提供更好的网络体验一样,插件开发人员和 WordPress主题 对其用户(即您)的安全负责。 虽然 WordPress 无法处理数以万计的插件和主题,但他们至少可以密切关注它们,以确保不会出现任何严重问题。
WordPress项目是负责在检测到安全问题时与开发人员合作的团队。 但是,在此之前,有一组志愿者来审查提交给WordPress的每个主题或插件。 该团队将与开发人员合作,以确保遵循最佳实践。
但是,安全漏洞仍然可能出现,这是WordPress安全团队应介入的时间:
- 为WordPress开发人员提供有关插件和主题开发以及安全最佳实践的文档。
- 监视插件和主题是否存在安全漏洞。 检测到的任何问题都将引起开发人员的注意。
- 如果开发人员不响应或不合作,请从目录中删除有害的插件或主题。
然后,当这些安全修复程序(或删除错误的插件和主题)可用时,WordPress将通过WordPress管理员通知其用户。
WordPress安全需要您保持警惕
在经历了所有这些之后,让我感到有些欣慰的是,有一个专门的团队致力于始终保持WordPress核心的安全。 但是,这并不意味着我(或您)应该沉迷于这种自满的感觉。
正如我们所看到的,即使在今年1,5月,由于XNUMX万个网站被破坏,无论WordPress项目对平台的监视和保护有多好,黑客都将找到解决方案。
这就是为什么在所有这些方面都发挥作用并从各个角度保护站点很重要的原因。
