La questione se WordPress sia sicuro è complicata. Sebbene questa sia ovviamente una piattaforma sufficientemente sicura per circa un quarto di tutti i siti Web basati su WordPress in tutto il mondo, non è priva di difetti.
Quindi chi è responsabile della sicurezza di WordPress? Naturalmente, parte di quella responsabilità ricade in ultima analisi il tuo le spalle. Ecco perché è essenziale essere consapevoli e rispettati Best practice sulla sicurezza di WordPress al fine di mantenere tutti i siti che costruisci nel modo più sicuro possibile.

Tuttavia, il team dietro WordPress ha anche una certa responsabilità in tutto questo. Dopotutto, non c'è niente che tu possa fare per proteggere te stesso il nucleo di WordPress.

Se la domanda sulla sicurezza di WordPress ti dà fastidio tanto quanto chiunque cerchi di fare affari online, continua a leggere quanto segue.

Parlerò di una parte della storia sui problemi di sicurezza di WordPress e su cosa sta facendo il progetto WordPress al riguardo.

Una breve storia dei problemi di sicurezza di WordPress

Il problema non è necessariamente che WordPress sia un sistema di gestione dei contenuti debole, soggetto a tentativi di hacking e falle di sicurezza. È più probabile che sia un problema di visibilità. WordPress è il CMS più popolare in tutto il mondo, quindi ovviamente sarà un facile bersaglio per gli hacker.

WordPress è comunemente criticato online (in blog, forum, podcast, ecc..). Pertanto, i punti deboli della piattaforma sono ben noti. Allora avrebbe senso che gli hacker prendessero di mira principalmente i siti Web di WordPress, no?

La sicurezza è un argomento di discussione importante per tutti blog WordPress o sviluppo web. Secondo il progetto WordPress (il team responsabile della gestione della sicurezza della piattaforma), rilasciano continuamente patch di sicurezza. Hai presente quelle notifiche di aggiornamento automatico che ricevi quando accedi alla dashboard? "WordPress è stato aggiornato alla 4.7.2" o qualcosa del genere? Bene, di solito quando vedi queste versioni minori in uscita, è perché il team ha dovuto risolvere un problema di sicurezza.

E spesso accadono:

La violazione dei dati di Panama Papers a da 2016 è stato, in parte, attribuito a una vulnerabilità in un plugin WordPress di Revolution Slider.

Detto questo, è rassicurante vedere come WordPress ha gestito una violazione della sicurezza molto recente e di alto profilo derivante dall'API REST.

Ecco come sono andate le cose:

  • Nel gennaio 2017, WordPress ha rilasciato l'aggiornamento 4.7.2. In nessun punto nell'elenco degli aggiornamenti o delle correzioni è stata menzionata la patch di sicurezza.
  • Circa una settimana dopo, WordPress ha informato gli utenti che in questo aggiornamento è stato effettivamente rilevato e corretto un difetto di sicurezza.
  • Il motivo che hanno fornito per il ritardo nella notifica agli utenti? Perché volevano dare loro il tempo di aggiornare il kernel prima che gli hacker sapessero che WordPress ne fosse a conoscenza e risolvessero il problema.

Ovviamente, ciò non ha impedito agli hacker di sfigurare nel frattempo 1,5 milioni di siti WordPress. Ci sono anche quegli utenti di WordPress che non hanno mai aggiornato il CMS (o lo hanno fatto troppo tardi) che sono rimasti vulnerabili all'attacco.

Quindi, anche se alla fine è stata rilasciata una patch da WordPress e hanno gestito l'annuncio con il tatto necessario, oltre un milione di siti sono stati danneggiati nel processo. E, peggio ancora, molti proprietari di siti Web hanno continuato a ignorare questo degrado anche dopo che era accaduto.

Patch di sicurezza sembrano uscire più frequentemente, con il più alto tasso di abusi nel 2015. Man mano che si verificano sempre di più, è importante che tu sappia chi è responsabile della protezione di WordPress e cosa puoi fare da parte tua, per assicurarti di essere protetto.

sicurezza wordpress.png

Cosa devi sapere sul progetto WordPress (e sulla sua sicurezza)

Ecco cosa devi sapere sul progetto WordPress e per cosa stanno facendo mantenere la sicurezza del kernel .

Il team di sicurezza di WordPress

Innanzitutto, parliamo del progetto WordPress. Questo team di sicurezza è composto da circa 25 persone, tutti esperti nello sviluppo o nella sicurezza di WordPress. Attualmente, metà delle persone nel progetto WordPress lavora per Automattic.

Questo team di esperti è responsabile dell'identificazione dei rischi per la sicurezza nel kernel. Sono inoltre responsabili dell'esame di potenziali problemi con temi o plug-in inviati da terze parti e della formulazione di raccomandazioni su come rafforzare i propri strumenti o correggere violazioni note.

Sebbene di solito lavorino da soli per identificare e risolvere questi problemi, occasionalmente consultano altri esperti del settore, in particolare quelli di aziende di sicurezza e software.sistemazione.

Come WordPress identifica i rischi per la sicurezza

Come ci si potrebbe aspettare, il team del progetto WordPress funziona come una macchina ben oliata. Ecco come funziona il processo di identificazione e risoluzione dei rischi per la sicurezza:

  • Un problema viene identificato da qualcuno del team di sicurezza o dall'esterno del team. I membri che non sono membri del progetto possono comunicare questi problemi rilevati inviando un'e-mail a [email protected].
  • Viene registrata una segnalazione e il team di sicurezza conferma la ricezione.
  • I membri del team collaborano quindi in privato su un server privato per verificare che la minaccia sia valida.
  • È qui che monitorano, testano e riparano le vulnerabilità di sicurezza rilevate.
  • La patch di sicurezza viene quindi aggiunta alla versione successiva di WordPress Minor.
  • Per riparazioni meno gravi, WordPress avvisa semplicemente gli utenti del dashboard di WordPress quando si verifica un post automatico.
  • Per questioni più urgenti, il post uscirà immediatamente e WordPress.org lo annuncerà nella pagina delle notizie del sito.

Ovviamente, come abbiamo visto con 4.7.2., WordPress non annuncia sempre queste correzioni di sicurezza (per validi motivi), sebbene intraprendano sempre azioni immediate per risolverle.

Nota sugli aggiornamenti automatici

Dalla versione 3.7, WordPress ha la capacità di inviare automaticamente aggiornamenti minori a tutti i siti web. Ciò garantisce che il team di sicurezza di WordPress possa ottenere correzioni urgenti in modo tempestivo e non debba aspettare che gli utenti concordino e aggiornino su ciascuno dei loro siti web.

Tuttavia, è possibile per gli utenti di WordPress disattivare questi aggiornamenti automatici. Se questo è il tuo caso, tieni presente che può mettere a rischio il tuo sito, specialmente se non hai il tempo di monitorare diligentemente tutti i tuoi siti per l'ultimo e più grande aggiornamento.

Sicurezza di plugin e temi

Così come è tua responsabilità fornire ai visitatori una migliore esperienza web, gli sviluppatori di plugin e Temi WordPress sono responsabili della sicurezza dei loro utenti (cioè voi). Sebbene WordPress non sia in grado di gestire le decine di migliaia di plugin e temi, possono almeno tenerli d'occhio per assicurarsi che nulla di serio possa sfuggire alle crepe.

Il progetto WordPress è il team responsabile della collaborazione con gli sviluppatori quando viene rilevato un problema di sicurezza. Prima di ciò, tuttavia, esiste un team di volontari incaricato di esaminare ogni tema o plug-in inviato a WordPress. Questo team lavorerà con gli sviluppatori per garantire che vengano seguite le migliori pratiche.

Tuttavia, possono ancora sorgere vulnerabilità di sicurezza ed è qui che il team di sicurezza di WordPress dovrebbe intervenire per:

  • Fornire documentazione per gli sviluppatori di WordPress sullo sviluppo di plugin e temi, nonché sulle migliori pratiche in materia di sicurezza.
  • Monitora plugin e temi per possibili falle di sicurezza. Qualsiasi problema rilevato verrà quindi portato all'attenzione dello sviluppatore.
  • Rimuovi plug-in o temi dannosi dalla directory se gli sviluppatori non rispondono o collaborano.

WordPress notificherà quindi ai suoi utenti tramite l'amministratore di WordPress quando queste correzioni di sicurezza (o la rimozione di plugin e temi non validi) saranno disponibili.

La sicurezza di WordPress richiede la tua vigilanza

Dopo aver esaminato tutto questo, mi fa sentire un po 'più a mio agio sapere che c'è un team dedicato che lavora per mantenere il core di WordPress al sicuro in ogni momento. Tuttavia, ciò non significa che io (o tu) dovremmo essere cullati da quella sensazione di compiacimento.

Come abbiamo visto, anche lo scorso gennaio, con 1,5 milioni di siti Web danneggiati, non importa quanto sia buono il progetto WordPress per monitorare e proteggere la piattaforma, gli hacker troveranno una soluzione.

Ecco perché è importante fare la tua parte in tutto questo e mantenere i tuoi siti protetti da tutte le angolazioni.