96% WordPress-сайтов используют актуальную версию движка

На прошедшей в США конференции DerbyCon разработчики WordPress рассказали о проделанной за последние годы работе по повышению безопасности платформы.



По словам специалистов, они сместили фокус внимания с ИБ-функций программного продукта на защиту пользователя CMS от кибератак. Это означает, что, кроме оперативного выпуска патчей и обновлений, авторы системы ставят своей целью изменение поведения владельцев веб-ресурсов в сторону использования свежих версий ПО и плагинов.

Несмотря на то, что несколько лет назад группа безопасности приняла решение о выпуске ключевых патчей для предыдущих версий CMS, основной задачей разработчиков является снижение количества сайтов, на которых используются устаревшие варианты системы. Одним из главных шагов в этом направлении стало внедрение службы автоматического обновления платформы, впервые появившейся в WordPress 3.7.

Специалистам удалось решить сложную задачу и перевести на актуальные варианты движка большинство веб-ресурсов. По данным разработчиков, на сегодняшний день почти 96% сайтов на WordPress используют четвертую версию платформы. Для того чтобы добиться такого результата, создателям CMS пришлось инвестировать много времени и сил в обучение пользователей. В частности, они договорились с Google о размещении в панели администратора сервиса Search Console информационных материалов, напоминающих о необходимости апдейта.

Кроме того, в панели управления самой платформы WordPress появляется предупреждение, если сайт размещен на хостинге, который использует устаревшую версию PHP. Разработчики CMS надеются, что, уделив внимание обновлению небезопасного скриптового языка, владелец веб-ресурса задумается и об апдейте движка.

Помимо работы с пользователями, важной частью новой стратегии WordPress стало сотрудничество с авторами наиболее популярных плагинов с целью повышения качества и безопасности их кода. Вместе с Google, XWP и рядом других компаний разработчики CMS создали рейтинг Tide, предназначенный для оценки расширений с точки зрения современных требований к программированию. По замыслу создателей, борьба за высокие баллы Tide подтолкнет разработчиков к использованию более защищенных алгоритмов в своих продуктах.

Команда безопасности также совершенствует методы коммуникации с внешними ИБ-специалистами. Ранее обсуждение выявленных уязвимостей происходило во внутреннем чате разработчиков с использованием устаревших технологий наподобие IRC-каналов. При этом эксперт, обнаруживший баг, часто оставался в неведении о ходе решения проблемы, что порождало волну негативных откликов в Сети.

Теперь все общение внутри группы разработчиков WordPress осуществляется при помощи инструментария Slack, Trac или HackerOne, а в команде появились сотрудники, отвечающие за коммуникацию с ИБ-специалистом.

Несмотря на это, по мнению некоторых экспертов, эффективность работы ИБ-подразделения WordPress все еще далека от идеальной. В августе этого года специалист Secarma Labs Сэм Томас (Sam Thomas) рассказал об уязвимости, которая позволяет провести атаки XSS и SSRF, загрузив через CMS изображение или другой файл, содержащий вредоносный код. По словам исследователя, он сообщил разработчикам движка о баге еще в 2017 году, однако в текущей версии 4.9.8 ошибка все еще не исправлена.

Источник: threatpost.ru



Комментарии:

Добавить комментарий