Noll
Bild: DerbyConWordPress säkerhet lagets största strid är inte mot hackare, men sina egna användare, miljontals som fortsätter att köra platser för äldre versioner av CMS, och som regelbundet misslyckas med att installera uppdateringar till CMS core, plugins eller teman.
Tal vid DerbyCon cyber-security conference tidigare denna månad, WordPress Säkerhet Team lead Aaron Campbell gav allmänheten en inblick i hur WordPress-teamet har arbetat med denna fråga under de senaste åren.
Han beskrev denna process som en förskjutning av fokus. Han säger WordPress teamet bestämde sig för några år sedan att i stället för att hålla programvaran i säkert förvar genom korrigerar fel, de skulle fokusera på att hålla användare säkra, både genom mjukvara och i sitt agerande.
“Den första lektionen som vi lärde oss var att användarna är viktigare än program,” Campbell sade framför en levande publik.
“Det fanns ett par små saker att fokusera på användarna har gett oss lite klarhet om, och förenklat lite”, tillade han.
Det främsta problemet var med miljontals användare som fortfarande använder äldre versioner av WordPress för att driva sina webbplatser. De äldre versionerna var tekniskt säker, men användare som kör dessa platser inför mer risker än de användare som kör nyare versioner.
Efter långa interna diskussioner, WordPress team bestämde sig för att stödja dessa äldre versioner inte på en fast end-of-life planerad, men eftersom så många användare som fortfarande använder dem.
Detta beslut kom med sina nackdelar, och den största var behovet av att bakåtanpassa de senaste säkerhetsuppdateringarna för äldre WordPress versioner, av vilka vissa är nu fem år gamla.
Säkra användare är mycket mer komplicerat än att bara säkra mjukvara.
— Aaron Campbell
“Det suger för oss som en säkerhetsgrupp” Campbell sade om plåstret att bakåtanpassa processen. “Det gör det verkligen! Men det är absolut det bästa för våra användare. Och eftersom det är där vi satt ett mått på framgång, det är vad vi gör.”
“Vi arbetar på möjliga sätt att försöka förkorta upp, kanske stödja ett år tillbaka, men vi vill inte göra det genom att släppa stöd för äldre versioner att människor fortfarande använder,” tillade han.
“I stället, vi jobbar på att räkna ut olika sätt att lyfta dessa versioner fram automatiskt utan att bryta webbplatser för människor, och i huvudsak arbetar vi för att försöka att torka dem versioner från existens på internet, och föra människor framåt.
“Det är inte ett lätt problem att lösa, men vi jobbar på det”, Campbell sade.
Ett av de sätt genom vilka WordPress-teamet har tagit upp problemet för äldre WordPress-versioner är genom automatiska uppdateringar, en mekanism som infördes med WordPress 3.7, släppas under 2013.
Auto-uppdateringar är aktiverat som standard för alla nya installationer och har spelat den största rollen i att hålla huvuddelen av WordPress sitebase på den senaste grenar, om än några percentiler kvar på den äldre 3.x och 2.x utgåvor.
För de övriga användarna, Campbell säger WordPress team med fokus på användaren utbildning och samarbeten med den tekniska branschen som helhet.
Till exempel WordPress säkerhets team har arbetat med Google för att visa utbildningsmaterial inuti Sök på Google-Konsolen instrumentpanelen, för att varna och hjälpa användare att migrera bort från äldre versioner av sina webbplatser.
WordPress-teamet har också skapat en varning som visar inne i WordPress instrumentbrädan själv. Detta meddelande visas när användaren använder en äldre version av PHP för sina webbplatser. Tanken är att genom att locka användare till att uppdatera sina PHP-hosting-miljö, användare kommer också att se till att uppdatera WordPress i sig.
Men förutom att fokusera på rullande WordPress-användare färska grenar, WordPress-teamet har också arbetat med att höja säkerheten för hela ekosystemet som helhet.
Campbell säger WordPress team har samarbetat med författare av de mest populära plugins på dess Plugins arkiv. Det har hjälpt dessa plugins följa bästa kodning metoder.
Detta har gett bra resultat, Campbell sade, som mindre plugins har nu börjat följa (eller stjäla) kodning tekniker som används av dessa större projekt, och indirekt har höjt säkerheten i sina egna plugins.
Dessutom WordPress säkerhets team har också varit att arbeta med Google, XWP, och några andra företag på ett projekt som heter Tide som skulle visa en fem-stjärniga betyg under varje plugin.
Kallas en “Våg betyg,” detta betyg är tänkt att ge användare en indikator på plugin-koden kvalitet och säkerhet, och om att koden avseenden modern kodning metoder.
Campbell säger projektets namn kommer från begreppet att “höja vatten överallt lyfter alla fartyg.”
Bild: XWP
Men förutom ett skift i fokus från programvaran till användare, WordPress säkerhet bly har också erkänt att förbättringar behövs också inne säkerhetsgruppen själv, som under de senaste åren har genomgått en moderniseringsprocess.
En av de frågor som de tog upp var att deras interna verktyg. Campbell sade att användningen av föråldrade system som e-postlistor och IRC-kanaler har lett till många situationer där externa forskare rapporterade säkerhetsbrister, men diskussioner om hur man löser säkerhet bugg kommit innanför det interna e-postlista, utanför forskaren hålls av slingan.
Dessa händelser resulterade i säkerhet forskare slutsatsen att WordPress laget inte bryr sig om säkerhet buggar, en åsikt som ibland slutade i nyhetsinslag eller arg sociala medier rants.
Campbell sade WordPress-teamet har fått en hel del bättre med tiden på att hantera felrapporter och flytta till den mer moderna verktyg som Slack, Trac, eller HackerOne, och genom att föra in nya människor som kanske inte är så bra på att fastställa säkerhet brister men var bättre på att kommunicera med externa forskare.
WordPress är dagens största webbplats för content management system, med en marknadsandel på nästan 60 procent bland alla CMSes, och för närvarande är installerad på över 32 procent av alla Internet-webbplatser, enligt W3Techs.
Campbell ‘ s full DerbyCon presentation finns tillgänglig nedan. Hela talk är värt att lyssna.
RELATERADE TÄCKNING:
Zero-day i populära jQuery plugin aktivt utnyttjas för minst tre årKaspersky säger att det upptäcks infektioner med DarkPulsar, påstådda NSA malwareChrome, Edge, IE, Firefox och Safari för att inaktivera TLS 1.0 och TLS 1.1 år 2020Microsoft JET sårbarhet fortfarande öppen för angrepp, trots den senaste tidens patchMicrosoft Windows noll-dag sårbarhet lämnas ut via Twitter TechRepublicDessa populära Android-telefoner kom med sårbarheter förinstallerade CNETGitHub säkerhetsvarningar som nu har stöd för Java och .NET-projektmed Öppen källkod webbhotell programvara kompromissat med DDoS-malware
Relaterade Ämnen:
Säkerhet-TV
Hantering Av Data
CXO
Datacenter
0