Zero
Immagine: DerbyConWordPress security team più grande battaglia non è contro gli hacker, ma i suoi utenti, milioni di che continuare a eseguire i siti su vecchie versioni del CMS, e che, regolarmente, non riescono ad applicare aggiornamenti del CMS core, plugin o temi.
Parlando al DerbyCon cyber-security conference all’inizio di questo mese, WordPress Security Team lead Aaron Campbell hanno regalato al pubblico uno spaccato di come il team di WordPress ha affrontato questo problema negli ultimi anni.
Ha descritto questo processo come un cambiamento di prospettiva. Lui dice che il team di WordPress ha deciso un paio di anni fa che invece di mantenere il software di sicurezza con l’applicazione di patch di bug, dovrebbe concentrarsi su come mantenere sicuri gli utenti, sia tramite software e le loro azioni.
“La prima lezione che abbiamo imparato è che gli utenti sono più importanti di software,” ha detto Campbell davanti a un pubblico dal vivo.
“C’erano un paio di piccole cose che concentrandosi su utenti ci ha portato un po ‘di chiarezza, e semplificato un po'”, ha aggiunto.
Il problema principale è stato con milioni di utenti che ancora utilizzano versioni precedenti di WordPress per alimentare i loro siti. Le precedenti versioni erano tecnicamente sicuro, ma gli utenti l’esecuzione di tali siti di fronte a più rischi rispetto per gli utenti che eseguono versioni più recenti.
A seguito di lunghe discussioni interne, il team di WordPress ha deciso di sostenere queste versioni precedenti non su un fisso di fine vita pianificata, ma perché molti utenti avevano ancora il loro utilizzo.
Questa decisione è stata presa con i suoi svantaggi e la più grande è stata la necessità di backport recenti patch di sicurezza per le vecchie versioni di WordPress, alcuni dei quali sono ormai cinque anni.
A proteggere gli utenti è il modo più complesse della semplice protezione del software.
— Aaron Campbell
“Che schifo per noi come una squadra di sicurezza,” ha detto Campbell per quanto riguarda la patch che fanno il backport di processo. “E lo è davvero! Ma è assolutamente la cosa migliore per i nostri utenti. E perché è lì che abbiamo fissato la misura del successo, che è quello che facciamo.”
“Stiamo lavorando su possibili modi per cercare di accorciare, forse il supporto di un anno indietro, ma non vogliamo farlo cadere il supporto per le vecchie versioni che le persone sono ancora in uso,” ha aggiunto.
“Invece, stiamo lavorando per cercare di capire modi per rotolo di quelle versioni automaticamente in avanti, senza rompere i siti per le persone, e che, essenzialmente, stiamo lavorando per cercare di pulire le versioni dall’esistenza su internet, e portare la gente in avanti.
“Non è un problema facile da risolvere, ma stiamo lavorando su di esso,” ha detto Campbell.
Uno dei modi attraverso i quali il team di WordPress ha affrontato il problema delle vecchie versioni di WordPress è attraverso gli aggiornamenti automatici, un meccanismo introdotto con WordPress 3.7, pubblicato nel 2013.
Gli aggiornamenti automatici è attivata per impostazione predefinita per tutte le nuove installazioni e ha giocato il ruolo più importante nel mantenere la maggior parte delle WordPress sitebase sulle più recenti rami, anche se un po percentili di rimanere sul più 3.x e 2.x versioni.
Per il resto degli utenti, Campbell dice il team di WordPress è incentrato sull’educazione dell’utente e collaborazioni con l’industria di tecnologia come un intero.
Per esempio, WordPress security team ha lavorato con Google per visualizzare i materiali di formazione all’interno della Ricerca di Google dashboard della Console, per informare e aiutare gli utenti a migrare lontano da vecchie versioni dei loro siti.
Il team di WordPress ha creato anche un avviso che indica all’interno della dashboard di WordPress. Questo avviso viene visualizzato quando l’utente sta utilizzando una versione precedente di PHP per i loro siti. L’idea è quella che attirare gli utenti ad aggiornare i propri hosting PHP ambiente, gli utenti potranno anche prendere in considerazione l’aggiornamento di WordPress stesso.
Ma oltre a concentrarsi su rolling utenti di WordPress, di recente rami, il team di WordPress ha anche lavorato sul miglioramento della sicurezza dell’intero ecosistema nel suo complesso.
Campbell dice il team di WordPress ha collaborato con gli autori di uno dei più popolari plugin sul suo Plugin repository. E ‘ stato per aiutare questi plugin che seguono le migliori pratiche di codifica.
Questo ha dato grandi risultati, ha detto Campbell, piccoli plugin hanno iniziato a seguire (o rubare) le tecniche di codifica utilizzato da questi progetti di grandi dimensioni, e, indirettamente, hanno sollevato la sicurezza delle loro plugin.
Inoltre, WordPress security team ha inoltre lavorato con Google, XWP, e un paio di altre aziende in un progetto chiamato Marea che avrebbe mostrato un cinque stelle sotto ogni plugin.
Chiamato una “Marea di punteggio,” questa valutazione è pensato per offrire agli utenti un indicatore del plugin di codice di qualità e di sicurezza, e se il codice che rispetta moderne tecniche di codifica.
Campbell dice il nome del progetto, nasce dal concetto che “la raccolta di acque ovunque solleva tutte le navi.”
Immagine: XWP
Ma oltre spostando l’attenzione dal software per gli utenti, WordPress security lead ha anche ammesso che i miglioramenti sono stati, inoltre, necessario all’interno del team di sicurezza di sé, che negli ultimi anni ha attraversato un processo di modernizzazione.
Uno dei temi affrontati è stato dei loro strumenti interni. Campbell ha detto che l’uso di sistemi evidenziano come le mailing list e i canali IRC ha portato a molte situazioni in cui al di fuori ricercatori hanno segnalato problemi di sicurezza, ma come discussioni su come risolvere il bug di sicurezza progredito all’interno di una mailing list, al di fuori del ricercatore essere tenuti al di fuori del ciclo.
Questi incidenti ha portato i ricercatori di sicurezza di concludere che il team di WordPress non si cura del bug di sicurezza, un parere che a volte è finito in rapporti di notizie o arrabbiato social media sproloqui.
Campbell ha detto che il team di WordPress ha migliorato molto nel tempo, di gestire le segnalazioni di bug, passando a più strumenti moderni come Slack, Trac, o HackerOne, e portando nuove persone che, forse, non alla risoluzione dei problemi di sicurezza, ma erano meglio di comunicazione con l’esterno ricercatori.
WordPress è oggi il più grande sito web sistema di gestione dei contenuti, con una quota di mercato di quasi il 60 per cento tra tutti i Cms, e attualmente installato su oltre il 32 per cento di tutti i siti Internet, secondo W3Techs.
Campbell completo DerbyCon presentazione è disponibile di seguito. L’intero discorso è la pena di un ascolto.
RELATIVI COPERTURA:
Zero-day nel popolare plugin per jQuery sfruttata per almeno tre anniKaspersky dice che ha rilevato infezioni con DarkPulsar, presunto NSA malwareChrome, Edge, IE, Firefox e Safari, per disattivare TLS TLS 1.0 e 1.1 nel 2020Microsoft JET vulnerabilità ancora aperti agli attacchi, nonostante le recenti patchdi Microsoft Windows vulnerabilità zero-day diffusi attraverso Twitter TechRepublicQuesti popolari telefoni Android è venuto con vulnerabilità pre-installato CNETGitHub avvisi di sicurezza ora il supporto Java e .NET progettiOpen source di web hosting software compromesso con DDoS malware
Argomenti Correlati:
Di sicurezza, TV
La Gestione Dei Dati
CXO
Centri Dati
0