هل وردبريس برنامج موثوق؟

من قبل بلير Jersyer | وورد نيوز, مدونة ونصائح

مسألة ما إذا كان WordPress آمنًا معقدًا. بينما من الواضح أن هذا نظام أساسي آمن بما فيه الكفاية لنحو ربع جميع مواقع الويب التي تعمل بنظام WordPress حول العالم ، إلا أنه لا يخلو من عيوبه.
إذن من المسؤول عن أمان WordPress؟ بالطبع ، يقع جزء من هذه المسؤولية في النهاية VOS أكتاف. هذا هو السبب في أنه من الضروري أن تكون على دراية وتحترم أفضل الممارسات الأمنية في ووردبريس من أجل الحفاظ على جميع المواقع التي تبنيها آمنة قدر الإمكان.

ومع ذلك ، فإن الفريق الذي يقف وراء WordPress يتحمل أيضًا بعض المسؤولية في كل هذا. بعد كل شيء ، لا يوجد شيء يمكنك القيام به لحماية جوهر WordPress بنفسك.

إذا كانت مسألة أمان WordPress تزعجك بنفس قدر قلق أي شخص يحاول القيام بالأعمال التجارية عبر الإنترنت ، استمر في قراءة ما يلي.

سأتحدث عن جزء من القصة حول مشكلات أمان WordPress وما يفعله مشروع WordPress حيال ذلك.

تاريخ موجز لقضايا الأمن في ووردبريس

لا تكمن المشكلة بالضرورة في أن WordPress هو نظام إدارة محتوى ضعيف وعرضة لمحاولات القرصنة والثغرات الأمنية. من المرجح أن تكون مشكلة في الرؤية. يعد WordPress أكثر أنظمة إدارة المحتوى شيوعًا في جميع أنحاء العالم ، لذلك سيكون بالطبع هدفًا سهلاً للمتسللين.

ينتقد ووردبريس عادة على الإنترنت (في المدونات والمنتديات والبودكاست ، إلخ..). لذلك ، فإن نقاط ضعف النظام الأساسي معروفة جيدًا. سيكون من المنطقي إذن أن يستهدف المتسللون مواقع WordPress بشكل أساسي ، أليس كذلك؟

السلامة هي نقطة نقاش رئيسية للجميع بلوق وورد أو تطوير الويب. وفقًا لمشروع WordPress (الفريق المسؤول عن إدارة أمان النظام الأساسي) ، فإنهم يطلقون تصحيحات الأمان طوال الوقت. هل تعرف إشعارات التحديث التلقائي التي تحصل عليها عند تسجيل الدخول إلى لوحة القيادة؟ "تم تحديث WordPress إلى 4.7.2" أو شيء من هذا القبيل؟ حسنًا ، عادةً عندما ترى هذه الإصدارات الثانوية ، فذلك لأن الفريق اضطر إلى إصلاح مشكلة أمنية.

وغالبا ما يحدث هذا:

La انتهاك بيانات أوراق بنما إلى من 2016 كان ، في جزء منه ، يعزى إلى ثغرة أمنية في البرنامج المساعد Revolution Slider WordPress.

ومع ذلك ، فإنه من المطمئن أن نرى كيف تعامل WordPress مع خرق أمني حديث جدًا وشديد المستوى ناجم عن REST API.

إليك كيف سارت الأمور:

  • في يناير 2017 ، أصدر WordPress التحديث 4.7.2. لم يذكر تصحيح الأمان في أي مكان في قائمة التحديثات أو الإصلاحات.
  • بعد حوالي أسبوع ، أبلغ WordPress المستخدمين أنه كان هناك بالفعل ثغرة أمنية تم اكتشافها وتصحيحها في هذا التحديث.
  • ما السبب الذي قدموه للتأخير في إخطار المستخدمين؟ لأنهم أرادوا منحهم الوقت لتحديث النواة قبل أن يعرف المتسللون أن WordPress يعرفون عنها ويصلحوا المشكلة.

بالطبع ، لم يمنع ذلك المتسللين من تشويه 1,5 مليون موقع WordPress في هذه الأثناء. هناك أيضًا مستخدمو WordPress الذين لم يحدّثوا نظام إدارة المحتوى (أو فعلوا ذلك بعد فوات الأوان) الذين ظلوا عرضة للهجوم.

لذلك ، على الرغم من إصدار WordPress للتصحيح في النهاية وقاموا بالتعامل مع الإعلان بلباقة تمس الحاجة إليها ، فقد أصيب أكثر من مليون موقع في هذه العملية. والأسوأ من ذلك ، استمر العديد من مالكي مواقع الويب في تجاهل هذا التدهور حتى بعد حدوثه.

بقع الأمن يبدو أنه يظهر بشكل أكثر تكرارًا ، مع أعلى معدل للإساءة في عام 2015. مع حدوث المزيد والمزيد من هذه الأشياء ، من المهم بالنسبة لك أن تعرف المسؤول عن تأمين WordPress وما الذي يمكنك القيام به من جانبك للتأكد من أنك محمي.

الأمن وورد. بابوا نيو غينيا

ما تحتاج لمعرفته حول مشروع WordPress (وأمانه)

إليك ما تحتاج لمعرفته حول مشروع WordPress وما الذي يفعلونه من أجله الحفاظ على أمن النواة .

فريق أمان WordPress

أولاً ، لنتحدث عن مشروع WordPress. يتكون فريق الأمان هذا من حوالي 25 شخصًا ، جميعهم خبراء في تطوير أو أمان WordPress. حاليًا ، يعمل نصف الأشخاص في مشروع WordPress لصالح Automattic.

فريق الخبراء هذا مسؤول عن تحديد مخاطر الأمان في النواة. كما أنهم مسؤولون عن فحص المشكلات المحتملة مع السمات أو المكونات الإضافية المقدمة من جهات خارجية وتقديم توصيات حول كيفية تقوية أدواتهم أو تصحيح الانتهاكات المعروفة.

على الرغم من أنهم عادة ما يعملون بمفردهم لتحديد هذه المشكلات وحلها، إلا أنهم يتشاورون أحيانًا مع خبراء آخرين في هذا المجال، خاصة أولئك من شركات الأمن والإقامة.

كيف يحدد WordPress المخاطر الأمنية

كما قد تتوقع ، يعمل فريق مشروع WordPress مثل آلة جيدة التجهيز. إليك كيفية عمل عملية تحديد مخاطر الأمان وحلها:

  • يتم تحديد المشكلة بواسطة شخص من فريق الأمن أو من خارج الفريق. يمكن للأعضاء الذين ليسوا أعضاء في المشروع الإبلاغ عن هذه المشكلات المكتشفة عن طريق إرسال بريد إلكتروني إلى [البريد الإلكتروني محمي].
  • يتم تسجيل تقرير ويقر فريق الأمن بالاستلام.
  • ثم يعمل أعضاء الفريق معًا على خادم خاص بشكل خاص للتحقق من صحة التهديد.
  • هذا هو المكان الذي يتتبعون فيه ويختبرون ويصلحون الثغرات الأمنية المكتشفة.
  • ثم يتم إضافة تصحيح الأمان إلى الإصدار التالي من WordPress Minor.
  • للإصلاحات الأقل خطورة ، يقوم WordPress ببساطة بإعلام مستخدمي لوحة معلومات WordPress عند حدوث منشور تلقائي.
  • للمسائل الأكثر إلحاحًا ، سيتم نشر المنشور على الفور وسيعلن عنه WordPress.org على صفحة الأخبار بالموقع.

بالطبع ، كما رأينا في 4.7.2. ، لا يعلن WordPress دائمًا عن إصلاحات الأمان هذه (لأسباب وجيهة) ، على الرغم من أنهم يتخذون دائمًا إجراءات فورية لحلها.

ملاحظة على التحديثات التلقائية

منذ الإصدار 3.7 ، أصبح لدى WordPress القدرة على إرسال تحديثات طفيفة تلقائيًا إلى جميع مواقع الويب. هذا يضمن أن فريق أمان WordPress يمكنه الحصول على إصلاحات عاجلة في الوقت المناسب وعدم الاضطرار إلى انتظار موافقة المستخدمين والتحديث على كل موقع من مواقعهم الإلكترونية.

ومع ذلك ، يمكن لمستخدمي WordPress إيقاف تشغيل هذه التحديثات التلقائية. إذا كان هذا هو الحال بالنسبة لك ، فكن على دراية بأنه يمكن أن يعرض موقعك للخطر ، خاصة إذا لم يكن لديك الوقت الكافي لمراقبة جميع مواقعك بجدية للحصول على أحدث وأكبر تحديث.

أمان الإضافات والموضوعات

تمامًا كما تقع على عاتقك مسؤولية تزويد الزائرين بتجربة ويب أفضل ، ومطوري المكونات الإضافية و وورد المواضيع مسؤولة عن سلامة مستخدميها (أي أنت). على الرغم من أن WordPress لا يمكنه التعامل مع عشرات الآلاف من المكونات الإضافية والسمات ، إلا أنه يمكنهم على الأقل مراقبتها عن كثب للتأكد من عدم وجود أي شيء خطير قد يفلت من الشقوق.

مشروع WordPress هو الفريق المسؤول عن العمل مع المطورين عند اكتشاف مشكلة أمنية. قبل ذلك ، ومع ذلك ، كان هناك فريق من المتطوعين المعينين لمراجعة كل موضوع أو مكون إضافي يتم إرساله إلى WordPress. سيعمل هذا الفريق مع المطورين لضمان اتباع أفضل الممارسات.

ومع ذلك ، لا يزال من الممكن ظهور الثغرات الأمنية وهذا هو الوقت الذي يجب على فريق أمان WordPress التدخل فيه من أجل:

  • توفير الوثائق لمطوري WordPress حول تطوير المكونات الإضافية والسمات وكذلك عن أفضل الممارسات في مجال الأمن.
  • مراقبة الإضافات والمواضيع للثغرات الأمنية المحتملة. سيتم بعد ذلك توجيه انتباه المطور إلى أي مشكلة يتم اكتشافها.
  • أزل المكونات الإضافية أو السمات الضارة من الدليل في حالة عدم استجابة المطورين أو التعاون.

سيقوم WordPress بعد ذلك بإخطار مستخدميه من خلال مسؤول WordPress عند توفر هذه الإصلاحات الأمنية (أو إزالة المكونات الإضافية والسمات السيئة).

يتطلب أمان WordPress اليقظة

بعد المرور بكل هذا ، أشعر براحة أكبر عندما علمت أن هناك فريقًا متخصصًا يعمل على الحفاظ على أمان WordPress الأساسي في جميع الأوقات. ومع ذلك ، هذا لا يعني أنني (أو أنت) يجب أن أشعر بالرضا عن النفس.

كما رأينا ، حتى في شهر يناير الماضي ، مع تلف 1,5 مليون موقع ويب ، بغض النظر عن مدى جودة مشروع WordPress لمراقبة النظام الأساسي وتأمينه ، سيجد المتسللون حلاً.

لهذا السبب من المهم أن تلعب دورك في كل هذا وتحافظ على أمان مواقعك من جميع الزوايا.

إرسال مراجعة

لن يتم نشر عنوان بريدك الإلكتروني. الحقول الإلزامية مشار إليها ب *

هذا الموقع يستخدم Akismet للحد من غير المرغوب فيها. تعرف على المزيد حول كيفية استخدام بيانات التعليقات الخاصة بك.