Безопасность WordPress только что повысилась

Приобретение коммерческого подразделения WordPress может стать ключом к улучшению безопасности WordPress

0

После стремительной популярности WordPress и открытого исходного кода экосистемы WordPress она стала объектом пристального внимания хакеров. Безопасность уже давно является основной проблемой WordPress. Возможно, ситуация изменилась, когда коммерческое подразделение WordPress недавно приобрело компанию по безопасности, что может помочь укрепить безопасность и уменьшить количество случаев взлома.

Уязвимости сторонних разработчиков плагинов и тем
Такие распространенные уязвимости, как межсайтовый скриптинг (XSS) и эксплуатация API WordPress, возникают из-за небрежной практики кодирования сторонних разработчиков в экосистеме WordPress.

Две наиболее распространенные точки отказа — это когда разработчики программного обеспечения не обеспечивают санитарную обработку того, что вводится или загружается в установку WordPress. Это означает, что, например, если контактная форма ожидает ввода текстового содержимого, то она не может позволить вводить скрипты или изображения, должен быть способ блокировать все, кроме того, что ожидается.

Другим недостатком кодирования является отсутствие адекватной проверки уровня привилегий человека, взаимодействующего с сайтом WordPress, что приводит к так называемому эксплойту повышения привилегий, когда злоумышленник с самым низким уровнем доступа может получить самые высокие уровни привилегий.

Теперь эта база данных принадлежит коммерческому подразделению WordPress.

Компания по обеспечению безопасности WordPress приобретена WordPress
Jetpack, подразделение коммерческого подразделения WordPress, Automattic, объявило о приобретении популярной компании WPScan, занимающейся разработкой средств безопасности WordPress. WPScan предоставляет ресурсы, которые позволяют экосистеме безопасности WordPress и WordPress быстро бороться с проблемами безопасности. Jetpack — это набор инструментов WordPress, который также включает компонент безопасности.

Безопасность WordPress является важной областью для WordPress, поскольку именно ее конкуренты называют слабым местом WordPress. Поэтому с этой точки зрения для Jetpack имеет смысл приобрести компанию, занимающую активную позицию в области безопасности WordPress.

Компания Jetpack пообещала оставить продукты бесплатными для некоммерческого использования, отметив при этом, что часть WPScan будет включена в предложение по безопасности в наборе инструментов Jetpack.

WPScan также предоставляет:
API для доступа к базе данных
WPScan Security Scanner, сканер с интерфейсом командной строки (CLI)
Плагин безопасности для WordPress
База данных WPScan
WPScan — это, прежде всего, открытая база данных, которая регистрирует уязвимости WordPress и предоставляет информацию через API.

Информация об уязвимостях WordPress вручную курируется WPScan и участниками.

WPScan также является официальным органом нумерации CVE (CNA), что означает, что он может присваивать номера, под которыми уязвимости упоминаются в сообществе безопасности.

Доступ к базе данных имеют частные лица, предприятия и исследователи безопасности.

В зависимости от количества обращений к базе данных через API информация доступна бесплатно через API, а также по относительно скромным ценам для большего доступа к базе данных и по индивидуальным ценам для требований корпоративного уровня.

Сканер безопасности WPScan WordPress
WPScan также предоставляет WPScan WordPress Security Scanner, который представляет собой сканер с интерфейсом командной строки, бесплатный для некоммерческого использования для сканирования веб-сайта на наличие уязвимостей, которые регистрируются в базе данных WPScan.

Разблокировка (не предоставляется) с помощью Keyword Hero
Просматривайте все свои органические ключевые слова в GA и их конкретные показатели эффективности. Бесплатная пробная версия. Отмена в любое время. Профессиональная поддержка. 4-минутная настройка.

«Установленная версия WordPress и любые связанные с ней уязвимости.
Какие плагины установлены и любые связанные с ними уязвимости
Какие темы установлены и любые связанные с ними уязвимости
Перечисление имен пользователей
Пользователи со слабыми паролями с помощью перебора паролей
Резервное копирование и общедоступные файлы wp-config.php
Дампы баз данных, которые могут быть в открытом доступе
Если журналы ошибок открыты плагинами».
Плагин WPScan WordPress
Наконец, WPScan предлагает бесплатный плагин, который сканирует сайт, чтобы определить, есть ли уязвимости в самой установке WordPress и/или установленных темах и плагинах. Плагин использует API базы данных WPScan для проверки на наличие уязвимостей. Считается, что ежедневное сканирование входит в бесплатный уровень использования API.

Плагин также сканирует на наличие общих слабых мест, которые могут сделать сайт уязвимым:

«Проверка наличия файлов debug.log
Проверка резервных файлов wp-config.php
Проверьте, включен ли XML-RPC
Проверьте наличие файлов репозитория кода
Проверьте, используются ли секретные ключи по умолчанию
Проверьте наличие экспортированных файлов базы данных
Слабые пароли
HTTPS включен»

Безопасность WordPress будет улучшена
Основатели WPScan переходят на работу в Automattic в рамках сделки, которая завершилась приобретением компании.

В электронном письме, направленном сообществу WPScan, содержалось краткое описание того, какие преимущества получит сообщество WordPress:

«Присоединение к такой компании, как Automattic, позволит нам быстрее улучшать наши услуги, внедрять новые функции и продукты, а также искать новые способы сделать наши данные об уязвимостях WordPress более открытыми и доступными для сообщества.

Мы также будем тесно сотрудничать с командой безопасности Jetpack Scan компании Automattic, используя их опыт, чтобы сделать экосистему WordPress еще более безопасной для пользователей».

Это приобретение ставит сообщество разработчиков WordPress на путь новых функций и улучшений, которые помогут всему сообществу WordPress.

Вам также могут понравиться Еще от автора

Оставьте ответ

Ваш электронный адрес не будет опубликован.