Nul
Billede: DerbyConWordPress sikkerhed holdets største kamp er ikke mod hackere, men sine egne brugere, millioner af som fortsætter med at køre steder på ældre versioner af CMS, og som regelmæssigt undlader at anvende opdateringer til CMS-core, plugins eller temaer.
Tale ved DerbyCon cyber-sikkerhed-konferencen tidligere i denne måned, WordPress Sikkerhed Team lead Aron Campbell gav offentligheden et indblik i, hvordan WordPress team, der har beskæftiget sig med dette emne i de forgangne år.
Han beskrev denne proces som en forskydning af fokus. Han siger, at WordPress teamet besluttede for et par år tilbage, at i stedet for at holde softwaren i sikker ved at lappe fejl, at de ville fokusere på at holde brugerne sikkerhed, både ved hjælp af software og deres handlinger.
“Den første lektie, vi lærte, var, at brugerne er mere vigtigt end software,” Campbell sagde, foran et live publikum.
“Der var et par små ting, der med fokus på brugere, der har bragt os nogle klarhed på, og forenklet en smule,” tilføjede han.
Det primære problem var med millioner af brugere stadig benytter ældre versioner af WordPress til at drive deres websteder. De ældre versioner teknisk var sikker, men de brugere, der kører disse sites står over for flere risici end brugere, der kører nyere versioner.
Efter lange interne drøftelser, WordPress teamet besluttet at støtte disse ældre versioner ikke på en fast ” end-of-life planlagt, men fordi så mange brugere var der stadig bruger dem.
Denne beslutning kom med sine ulemper, og den største var nødt til at tilbageføre de seneste sikkerhedsopdateringer til ældre WordPress-versioner, nogle af dem er nu fem år gamle.
Sikre at brugere er langt mere kompleks end blot at sikre software.
— Aron Campbell
“Der suger til os som en sikkerhed team,” Campbell sagde om patch at tilbageføre processen. “Det gør det virkelig! Men det er absolut det bedste til vores brugere. Og fordi det er her, vi sætter mål for succes, det er, hvad vi gør.”
“Vi arbejder på mulige måder at forsøge at forkorte det op, måske støtte et år tilbage, men vi ønsker ikke at gøre det ved at droppe støtte til ældre versioner, at folk stadig bruger,” tilføjede han.
“I stedet for, vi arbejder på at finde ud af måder at rulle disse versioner frem automatisk, uden at bryde sites for folk, og i det væsentlige vi arbejder på at prøve at tørre dem versioner fra eksistens på internettet, og bringe folk frem.
“Det er ikke et let problem at løse, men vi arbejder på det,” Campbell sagde.
En af de måder, gennem hvilket WordPress teamet har taget fat på problemet med ældre WordPress-versioner er gennem auto-updates, en mekanisme, der indføres med WordPress 3.7, udgivet i 2013.
Automatiske opdateringer er som standard slået til for alle nye installationer og har spillet den største rolle i at holde hovedparten af WordPress sitebase på den seneste grene, omend et par fraktilerne forblive på den ældre 3.x og 2.x udgivelser.
For resten af brugerne, Campbell siger, at WordPress teamet er fokus på uddannelse af brugere og samarbejde med tech-branchen som helhed.
For eksempel WordPress security team har arbejdet med Google om at vise undervisningsmaterialer inde i Google-Søgning Konsol dashboard, for at advare og hjælpe brugere med at migrere væk fra ældre versioner af deres sites.
WordPress teamet har også skabt en alarm, der viser, inde i WordPress dashboard selv. Denne advarsel vises, når brugerne bruger en ældre version af PHP til deres websteder. Tankegangen er, at ved at lokke brugere til at opdatere deres PHP hosting miljø, vil brugerne også se i opdatering af WordPress selv.
Men udover at fokusere på rullende WordPress brugere, at de seneste grene, WordPress teamet har også arbejdet på at øge sikkerheden i hele økosystemet som helhed.
Campbell siger, at WordPress teamet har været samarbejde med forfatterne af de mest populære plugins på sin Plugins repository. Det er blevet at hjælpe disse plugins følge den bedste kodning praksis.
Dette har givet store resultater, Campbell sagde, da mindre plugins er nu begyndt at følge (eller stjæle) kodning teknikker, der anvendes af disse større projekter, og indirekte har stillet sikkerhed for deres egne plugins.
Hertil kommer, at WordPress sikkerhed-holdet har også arbejdet med Google, XWP, og et par andre selskaber på et projekt kaldet Bølge, der ville vise en fem-stjernet rating under hver plugin.
Kaldes en “Bølge score,” denne rating er beregnet til at give brugere en indikator for plugin ‘ s kode, kvalitet og sikkerhed, og hvis denne kode henseender moderne kodningsteknikker.
Campbell siger, at projektets navn kommer fra det koncept, at “hæve vand overalt løfter alle skibe.”
Billede: XWP
Men udover et skift i fokus fra software til brugere, WordPress sikkerhed føre også har indrømmet, at forbedringer blev der også behov for inde i sikkerhed holdet selv, som i de seneste år har været igennem en moderniseringsproces.
Et af de spørgsmål, de var rettet deres interne værktøjer. Campbell siger, at brugen af forældede systemer, såsom mailing-lister, og IRC-kanaler har ført til mange situationer, hvor eksterne forskere rapporteret sikkerhedshuller, men som diskussionen om, hvordan man løse de sikkerheds fejl skred frem inde i den interne postliste, uden forsker var holdes ud af løkken.
Disse hændelser resulterede i sikkerhed forskere, der konkluderer, at WordPress teamet ikke bekymrer sig om sikkerhed bugs, en opfattelse, som nogle gange endte i nyhedsindslag eller vred sociale medier rants.
Campbell sagde WordPress teamet har fået en meget bedre over tid ved håndtering af fejlrapporter ved at flytte til mere moderne værktøjer som Slap, Trac, eller HackerOne, og ved at bringe nye folk, der var måske ikke så god til fastsættelse sikkerhed fejl, men var bedre til at kommunikere med forskere udefra.
WordPress er i dag største website content management system, med en markedsandel på næsten 60 procent blandt alle CMSes, og i øjeblikket er installeret på over 32 procent af alle websteder på Internettet, ifølge W3Techs.
Campbell ‘ s fulde DerbyCon præsentation er tilgængelig nedenfor. Den hele snak er værd at lytte til.
RELATEREDE DÆKNING:
Nul-dag i populære jQuery plugin aktivt udnyttes i mindst tre årKaspersky siger, at det detekterede infektioner med DarkPulsar, påståede NSA malwareChrome, Edge, IE, Firefox og Safari for at deaktivere TLS 1.0 og TLS 1.1 i 2020Microsoft JET sårbarhed stadig åben for angreb, på trods af de seneste patchtil Microsoft Windows nul-dags sårbarhed offentliggøres via Twitter TechRepublicDisse populære Android telefoner der kom med sårbarheder pre-installeret CNETGitHub sikkerhedsadvarsler nu understøtter Java .NET-projekterOpen source web-hosting software på kompromis med DDoS-malware
Relaterede Emner:
Sikkerhed-TV
Data Management
CXO
Datacentre
0