it-swarm.com.de

Wie können wir mit nicht verwalteten Plugins mit Sicherheitslücken umgehen?

Ich sehe, dass dies ein großes Problem ist, nicht nur im Zusammenhang mit Wordpress, sondern auch mit jeder anderen Software, bei der Add-Ons und Plug-Ins von Drittanbietern die Unterstützung des ursprünglichen Autors verlieren.

Aber konzentrieren wir uns auf Wordpress ... Laut WordFence gibt es:

17.383 dieser Plugins wurden in den letzten 2 Jahren nicht aktualisiert.

3.990 Plugins wurden seit 2010, also vor über 7 Jahren, nicht aktualisiert.

Laut Isabels Beitrag gibt es mehrere Plugins mit einer großen Installationsbasis, die einige Zeit nicht aktualisiert wurden:

“Das Exec-PHP-Plugin von Sören Weber verfügt über mehr als 100.000 aktive Installationen, obwohl es seit Juni 2009 nicht aktualisiert wurde. Category Order von Wessley Roche verfügt über mehr als 90.000 aktive Installationen, obwohl es zuletzt im Mai 2008 aktualisiert wurde Ultimate Google Analytics von Wilfred van der Deijl hat über 80.000 Installationen, obwohl es zuletzt vor mehr als neun Jahren aktualisiert wurde. “

Abgesehen von der schlechten Codierung, die oft zu neu entdeckten Sicherheitslücken führt, verlassen viele Autoren ihr Projekt ohne Unterstützung, einige reagieren, die anderen sind komplett verschwunden.

Es gab auch ein Problem mit der abgelaufenen Domain. Hier ist ein Artikel: Abgelaufene Domain führt zu WordPress-Plugin-Weiterleitungen

Was können Benutzer tun, um dieses Problem zu vermeiden? Gibt es eine Option, die Benutzer benachrichtigt, wenn das Add-On anfällig ist, es jedoch kein Update dafür gibt?

1
mirsad

Einer der Faktoren, der zur Verwendung alter, veralteter und defekter Plugins beiträgt, sind die Eigentümer der Website. Viele Websites werden verlassen, die Eigentümer sind nicht informiert oder interessiert genug, um nach alternativen Plugins zu suchen, oder halten Sie einfach WordPress (oder ein anderes CMS) auf dem neuesten Stand und sichern Sie es. Viele Websites bleiben also auf dem Laufenden: Sie verwenden altes WordPress, da einige Plugins, die 5 oder 6 Jahre lang nicht aktualisiert wurden, nicht mit neuem WordPress funktionieren. Die Verwendung von altem WordPress und diesen nicht mehr gepflegten Plugins ist eine Tür für alle Arten von Angriffen.

Ich weiß, dass das Ersetzen eines Plugins durch ein anderes nicht einfach ist, aber das Verlassen der Website für 5 oder 6 Jahre (oder 9 Jahre, wie beim Ultimate Google Analytics-Plugin) ist ein offensichtlich verantwortungsloses Verhalten des Website-Betreibers, und das in all dieser Zeit Ich bin sicher, es war genug Zeit, ein bisschen nachzuforschen, um ein Plugin durch ein anderes zu ersetzen und WordPress auf dem neuesten Stand und gesichert zu halten.

  1. WordPress.org sollte alle Plugins und Themes entfernen, die in mehr als 5 Jahren nicht aktualisiert wurden (oder 3 oder 6, was auch immer vereinbart wurde) und die nicht mit den letzten 7 oder 8 Hauptversionen von WordPress getestet wurden. Derzeit besteht kein Konsens darüber, was mit diesem Problem zu tun ist, und wir hören immer, wie WordPress.org über 20.000 Plugins verfügt (oder wie auch immer die aktuelle Anzahl lautet), und niemand sagt die Wahrheit, dass nur 10% davon aktiv sind Plugins.

  2. WordPress.org benötigt einen speziellen Bereich, in dem die Liste aller Plug-In-Schwachstellen verfügbar ist, damit Website-Eigentümer einen einzelnen Ort durchsuchen können, um festzustellen, ob die von ihnen verwendeten Plug-Ins anfällig sind. Es ist nicht einfach, eine solche Liste zu pflegen, aber es muss getan werden, um die Benutzer über die Sicherheitsprobleme bei der Verwendung alter und veralteter Plugins zu informieren.

  3. Websitebesitzer müssen bei der Pflege der Websites aktiv sein. Jede Website erfordert einen proaktiven Ansatz, um die Website aktuell, schnell und sicher zu halten. Viele Websitebesitzer halten das für selbstverständlich und beklagen sich später darüber, dass sie gehackt wurden und vergessen haben, dass sie nichts getan haben, um dies zu verhindern.

  4. Forschung ist der Schlüssel bei der Auswahl der Plugins, und für jede Aufgabe gibt es Hunderte von Plugins, sowohl kostenlos als auch kommerziell. In vielen Fällen sind kommerzielle Plugins sicherer, da die Plugin-Autoren dafür bezahlt werden und einen finanziellen Anreiz haben, Plugins weiterhin zu aktualisieren und sicher zu halten. Ich sage nicht, immer kommerzielle Plugins zu verwenden, und dass sie immer besser sind, sind sie nicht, aber hier setzt die Forschung an. Erstellen Sie eine Liste der benötigten Funktionen, suchen Sie nach kostenlosen und kommerziellen Plug-ins und vergleichen Sie die Veröffentlichungszyklen, Funktionen und den Support der Autoren. Verwenden Sie keine kostenlosen oder kommerziellen Plugins, die nicht von den Autoren unterstützt werden und die nicht regelmäßig aktualisiert werden.

Ich kann weitermachen, aber das Wesentliche ist: Machen Sie Ihre Recherchen, bevor Sie ein Plugin verwenden, bereiten Sie sich auf den Fall vor, dass Sie von einem Plugin zu einem anderen wechseln müssen, und nehmen Sie sich dafür Zeit.

2
Milan Petrovic

Es gibt auch ein Gegenproblem: Wie gehe ich mit Plugins um, die seit einiger Zeit nicht mehr aktualisiert wurden, aber nicht anfällig sind? Ein einfaches Plug-In, das nur einen Shortcode zum Einfügen, beispielsweise eines einfachen Taschenrechners, in eine Seite enthält, muss kaum gewartet werden. Die Regeln der Arithmetik werden sich mit WordPress 4.8.2 nicht ändern. Sie mögen sich fragen, wie viele Plug-Ins dieser Art es gibt, insbesondere im Vergleich zu der großen Anzahl an gefährdeten, und ich weiß es nicht, aber sie existieren und sollten nicht unter die unerkennbare Sense der blinden Sicherheit fallen.

Das soll nicht heißen, dass Ihre Frage falsch ist, aber ich befürchte, dass es keine einfache Lösung gibt und geben kann. Das Datum der letzten Aktualisierung ist ein guter Indikator für Sicherheitsanfälligkeiten, aber kein harter Beweis. WordPress selbst - sei es das Paket oder wordpress.org - kann nicht einfach alle Plug-Ins töten, die älter als ein bestimmtes Datum sind. Das wäre nicht fair. Andererseits ist Ihr Problem real.

Also meine Antwort? Ich fürchte, es ist keine leichte Aufgabe: Die Sicherheit einer WordPress-Site, insbesondere die Überwachung der verwendeten Plug-Ins auf Sicherheitslücken, muss vom Eigentümer der Site übernommen werden. WordPress ist flexibel, aber mit großer Kraft kommt die Fähigkeit, Web zu erschießen, sorry, große Verantwortung. WordPress selbst kann Ihnen höchstens die Daten geben, mit denen Sie arbeiten können, aber es kann nicht sagen, ob ein Plug-In benötigt wird , das nur seitdem gepflegt wird ob es war.

2
Richard Bos