Nul
Afbeelding: DerbyConHet WordPress security team de grootste strijd is niet tegen hackers, maar haar eigen gebruikers, miljoenen die blijven sites op oudere versies van het CMS, en die regelmatig niet van toepassing updates aan het CMS core, plugins of thema ‘ s.
Spreken op de DerbyCon cyber-security conferentie eerder deze maand, WordPress Security Team leiden Aaron Campbell gaf het publiek een inzicht in hoe het WordPress team is de aanpak van dit probleem de afgelopen jaren.
Hij beschreef dit proces als een verschuiving van de aandacht. Hij zegt het WordPress team besloot een paar jaar terug dat in plaats van het bijhouden van de software veilig door het patchen van bugs, zouden ze zich richten op gebruikers veilig te houden, zowel door middel van software en hun acties.
“De eerste les die we geleerd hebben is dat gebruikers meer belangrijk dan de software,” zei Campbell in voor een live publiek.
“Er waren een paar kleine dingen die focussen op de gebruikers die bracht ons wat duidelijkheid over, en vereenvoudigde een beetje,” voegde hij eraan toe.
Het belangrijkste probleem was met miljoenen gebruikers nog steeds gebruik van oudere versies van WordPress aan de macht van hun sites. Die oudere versies waren technisch veilig, maar de gebruikers die deze sites geconfronteerd met meer risico ‘ s dan gebruikers met meer recente versies.
Na lange interne discussies, het WordPress team heeft besloten om de ondersteuning van deze oudere versies die niet op een vaste end-of-life gepland, maar omdat er zo veel gebruikers zijn nog steeds gebruik van maken.
Dit besluit kwam met de nadelen en de grootste was de behoefte aan backport recente beveiligingspatches voor oudere WordPress versies, sommige van die nu vijf jaar oud.
Het beveiligen van gebruikers is veel complexer dan alleen het beveiligen van software.
— Aaron Campbell
“Dat zuigt voor ons als een security team,” zei Campbell over de patch backporting proces. “Het gebeurt echt! Maar het is absoluut het beste voor onze gebruikers. En omdat dat is waar wij stellen de mate van succes, dat is wat we doen.”
“We werken aan de mogelijke manieren om te proberen te verkorten, misschien is het ondersteunen van een jaar terug, maar dat willen we niet doen door het laten vallen van ondersteuning voor oudere versies die mensen gebruiken nog steeds,” voegde hij eraan toe.
“In plaats daarvan werken we aan het uitzoeken manieren om de rol die versies automatisch doorsturen zonder te breken sites voor mensen, en in wezen zijn we bezig om te proberen te vegen die versies van bestaan op het internet, en om mensen vooruit.
“Het is geen eenvoudig probleem op te lossen, maar we werken er aan,” zei Campbell.
Een van de manieren waarop het WordPress team is het aanpakken van het probleem van de oudere WordPress versies is door middel van auto-updates, van een mechanisme geïntroduceerd met WordPress 3.7, uitgebracht in 2013.
Automatische updates is standaard ingeschakeld voor alle nieuwe installaties en speelde de grootste rol in het houden van de bulk van de WordPress sitebase op de meest recente takken, zij het een paar percentielen blijven op de oudere 3.x en 2.x-versies.
Voor de rest van de gebruikers, Campbell zegt het WordPress team is gericht op de gebruiker onderwijs en de samenwerking met de tech-industrie als geheel.
Bijvoorbeeld, het WordPress security team heeft gewerkt met Google training voor het weergeven van materialen binnen de Google Search Console dashboard, om te waarschuwen en helpen gebruikers weg migreren van oudere versies van hun websites.
Het WordPress team heeft ook een waarschuwing dat blijkt in de WordPress dashboard zelf. Deze waarschuwing wordt weergegeven wanneer gebruikers met een oudere versie van PHP voor hun sites. De gedachte is dat door het lokken gebruikers in het bijwerken van hun PHP hosting omgeving, zullen de gebruikers ook zoeken in het bijwerken van WordPress zelf.
Maar daarnaast gericht op het rollen WordPress gebruikers recente takken, het WordPress team heeft ook gewerkt aan het verhogen van de veiligheid van het gehele ecosysteem als geheel.
Campbell zegt het WordPress team heeft samen met de auteurs van de meest populaire plugins op haar Plugins archief. Het is het helpen van deze plugins volgen van best practices bij het programmeren.
Dit heeft goede resultaten opgeleverd, zei Campbell, omdat de kleinere plug-ins zijn nu begonnen met het volgen van (of stelen) het coderen van de technieken die worden gebruikt door deze grotere projecten, en indirect hebben verhoogd de veiligheid van hun eigen plug-ins.
Daarnaast is het WordPress security team heeft ook gewerkt met Google, XWP, en een paar andere bedrijven op een project genaamd Vloed die een vijf-sterren onder elke plugin.
Een zogenaamde “Tij score,” deze waardering is bedoeld om gebruikers een indicator van de plugin code kwaliteit en veiligheid, en als die code respecteert moderne coding technieken.
Campbell zegt de naam van het project komt van het idee dat “het verhogen van de wateren overal liften alle schepen.”
Afbeelding: XWP
Maar naast een verschuiving in de focus van software aan gebruikers, de WordPress-beveiliging leiden heeft ook toegegeven dat er verbeteringen zijn ook nodig in het security-team zelf, die in de afgelopen jaren is al een modernisering van het proces.
Een van de problemen die ze aangesproken werd van hun interne tools. Campbell zei dat het gebruik van verouderde systemen zoals mailinglists en IRC-kanalen heeft geleid tot vele situaties waar buiten onderzoekers gemelde beveiligingsfouten, maar als de discussies over hoe om te herstellen van de fout gevorderd in de interne mailing lijst, buiten de onderzoeker werd gehouden van de lus.
Deze incidenten resulteerde in de beveiliging onderzoekers concluderen dat het WordPress team niet de zorg over security bugs, een mening die soms belandde in de nieuwsberichten of boos sociale media rants.
Campbell zei het WordPress team heeft gekregen veel beter loop van de tijd bij de behandeling van bug reports te verhuizen naar een meer moderne tools zoals Speling, Trac, of HackerOne, en door het binnenhalen van nieuwe mensen, die waren misschien niet zo goed bij de vaststelling van beveiligingslekken, maar waren beter in het communiceren met externe onderzoekers.
WordPress is vandaag de dag de grootste website met content management systeem, met een marktaandeel van bijna 60 procent onder alle Cmsen, en momenteel is geïnstalleerd op meer dan 32 procent van alle Internet-sites, volgens W3Techs.
Campbell ‘ s volledige DerbyCon presentatie is hieronder beschikbaar. De gehele toespraak is de moeite waard om te luisteren.
VERWANTE DEKKING:
Zero-day in de populaire jQuery plugin actief misbruikt voor ten minste drie jaarKaspersky zegt dat het gedetecteerde infecties met DarkPulsar, beweerde de NSA malwareChrome Rand, IE, Firefox en Safari uit te schakelen TLS 1.0 en TLS 1.1 in 2020Microsoft JET kwetsbaarheid nog steeds open voor aanvallen ondanks een recente patch voorMicrosoft Windows zero-day kwetsbaarheid bekendgemaakt via Twitter TechRepublicDeze populaire Android-telefoons kwam met kwetsbaarheden pre-geïnstalleerd CNETGitHub veiligheidswaarschuwingen nu ondersteuning biedt voor Java-en .NETTO projectenOpen source web hosting software in het gedrang komt met DDoS-malware
Verwante Onderwerpen:
Beveiliging TV
Data Management
CXO
Datacenters
0