ただし、WordPressの背後にあるチームも、これらすべてにある程度の責任を負っています。 結局のところ、WordPressのコアを自分で保護するためにできることは何もありません。
WordPressのセキュリティの問題が、オンラインでビジネスをしようとする人と同じくらいあなたを悩ませている場合、以下を読んでください。
WordPressのセキュリティ問題についての話の一部と、WordPressプロジェクトがそれに対して何をしているのかについてお話します。
WordPressのセキュリティ問題の簡単な歴史
問題は、WordPressが弱いコンテンツ管理システムであり、ハッキングの試みやセキュリティホールが発生しやすいということではありません。 可視性の問題である可能性が高くなります。 WordPressは世界中で最も人気のあるCMSであるため、もちろんハッカーにとっては簡単な標的になるでしょう。
WordPressは一般的にオンラインで批判されています(ブログ、フォーラム、ポッドキャストなど。)。 したがって、プラットフォームの弱点はよく知られています。 それなら、ハッカーが主にWordPressのWebサイトをターゲットにするのは理にかなっていますね。
安全性は誰にとっても重要な話題です WordPressのブログ またはウェブ開発。 WordPress プロジェクト (プラットフォームのセキュリティ管理を担当するチーム) によると、彼らは常にセキュリティ パッチをリリースしています。 ダッシュボードにログインしたときに受け取る自動更新通知をご存知ですか? 「WordPress が 4.7.2 にアップデートされました」とかそういうこと? 通常、これらのマイナー リリースが出てくるのは、チームがセキュリティの問題を修正しなければならなかったからです。
そして、これらはしばしば起こります:
La パナマ文書データの違反 2016からの一部は、Revolution Slider WordPressプラグインの脆弱性に起因していました。
とは言うものの、WordPressがRESTAPIに起因するごく最近の注目を集めるセキュリティ違反をどのように処理したかを見るのは心強いことです。
状況は次のとおりです。
- 2017年4.7.2月、WordPressはアップデートXNUMXをリリースしました。 更新または修正のリストのどこにも、セキュリティパッチが記載されていませんでした。
- 約XNUMX週間後、WordPressは、このアップデートで実際にセキュリティ上の欠陥が検出され、修正されたことをユーザーに通知しました。
- ユーザーへの通知が遅れた理由は何ですか? ハッカーがWordPressがカーネルを知っていることを知り、問題を修正する前に、カーネルを更新する時間を与えたかったからです。
もちろん、それはハッカーがその間に1,5万のWordPressサイトを傷つけるのを止めませんでした。 また、CMSを更新したことがない(または更新が遅すぎた)WordPressユーザーが、攻撃に対して脆弱なままでした。
そのため、最終的にWordPressによってパッチがリリースされ、その発表を非常に必要なタクトで処理したにもかかわらず、その過程でXNUMX万を超えるサイトが負傷しました。 さらに悪いことに、多くのWebサイト所有者は、この劣化が発生した後も無視し続けました。
セキュリティパッチ 2015年に最も高い虐待率で、より頻繁に出てくるようです。 これらがますます発生するにつれて、WordPressのセキュリティ保護の責任者と、自分の側で何ができるかを知って、自分が保護されていることを確認することが重要です。
WordPressプロジェクト(およびそのセキュリティ)について知っておくべきこと
WordPressプロジェクトについて知っておくべきことと彼らが何をしているのかを以下に示します カーネルのセキュリティを維持する .
WordPressセキュリティチーム
まず、WordPressプロジェクトについて話しましょう。 このセキュリティチームは約25人で構成されており、すべてWordPressの開発またはセキュリティの専門家です。 現在、WordPressプロジェクトの半分の人がAutomatticで働いています。
この専門家チームは、カーネルのセキュリティリスクを特定する責任があります。 また、サードパーティから送信されたテーマやプラグインの潜在的な問題を調査し、ツールを強化したり、既知の違反を修正したりする方法について推奨する責任もあります。
彼らは通常、これらの問題を特定して解決するために単独で作業しますが、その分野の他の専門家、特にセキュリティ会社やソフトウェア会社の専門家に相談することもあります。宿泊施設.
WordPressがセキュリティリスクを識別する方法
ご想像のとおり、WordPressプロジェクトチームは十分に油を塗ったマシンのように稼働しています。 セキュリティリスクを特定して解決するプロセスの仕組みは次のとおりです。
- 問題は、セキュリティチームまたはチーム外の誰かによって識別されます。 プロジェクトのメンバーではないメンバーは、に電子メールを送信することにより、これらの検出された問題を伝えることができます [メール保護].
- レポートが記録され、セキュリティチームが受領を確認します。
- 次に、チームメンバーはプライベートサーバーでプライベートに協力して、脅威が有効であることを確認します。
- ここで、検出されたセキュリティの脆弱性を追跡、テスト、および修復します。
- その後、セキュリティパッチがWordPress Minorの次のバージョンに追加されます。
- それほど深刻ではない修理の場合、WordPressは、自動投稿が発生したときにWordPressダッシュボードユーザーに通知するだけです。
- さらに緊急の問題については、投稿はすぐに送信され、WordPress.orgはサイトのニュースページでそれを発表します。
もちろん、4.7.2。で見たように、WordPressは(正当な理由で)これらのセキュリティ修正を常に発表するとは限りませんが、修正するために常に即座にアクションを実行します。
自動更新に関する注意
バージョン3.7以降、WordPressにはすべてのWebサイトにマイナーアップデートを自動的に送信する機能があります。 これにより、WordPressセキュリティチームはタイムリーに緊急の修正を取得でき、ユーザーが各Webサイトで同意して更新するのを待つ必要がなくなります。
ただし、WordPressユーザーがこれらの自動更新をオフにすることは可能です。 これが当てはまる場合、特に最新かつ最高の更新についてすべてのサイトを注意深く監視する時間がない場合は、サイトが危険にさらされる可能性があることに注意してください。
プラグインとテーマのセキュリティ
訪問者により良い Web エクスペリエンスを提供することがあなたの責任であるのと同様に、プラグインの開発者と WordPressテーマ ユーザー(つまり、あなた)の安全に責任があります。 WordPress は何万ものプラグインやテーマを処理することはできませんが、少なくともそれらを注意深く監視して、深刻な問題が見過ごされないようにすることはできます.
WordPressプロジェクトは、セキュリティの問題が検出されたときに開発者と協力する責任があるチームです。 ただし、その前に、WordPressに送信された各テーマまたはプラグインを確認するために割り当てられたボランティアのチームがあります。 このチームは開発者と協力して、ベストプラクティスが確実に守られるようにします。
ただし、セキュリティの脆弱性は依然として発生する可能性があり、WordPressセキュリティチームが次のことに介入する必要があります。
- プラグインとテーマの開発、およびセキュリティのベストプラクティスに関するWordPress開発者向けのドキュメントを提供します。
- プラグインとテーマを監視して、セキュリティホールの可能性を確認します。 検出された問題はすべて、開発者に通知されます。
- 開発者が応答または協力しない場合、有害なプラグインまたはテーマをディレクトリから削除します。
WordPressは、これらのセキュリティ修正(または不正なプラグインやテーマの削除)が利用可能になると、WordPress管理者を通じてユーザーに通知します。
WordPressのセキュリティには注意が必要です
これらすべてを実行した後、WordPressコアを常に安全に保つために専任のチームが働いていることを知って少し安心しました。 しかし、それは私(またはあなた)がその自己満足の感覚に落ち着くべきだという意味ではありません。
これまで見てきたように、今年1,5月でも、XNUMX万のWebサイトが損傷し、WordPressプロジェクトがプラットフォームを監視および保護するのにどれほど優れていても、ハッカーは解決策を見つけるでしょう。
これが、これらすべてに自分の役割を果たし、あらゆる角度からサイトを保護することが重要である理由です。
