Основатель ManageWP публикует открытое письмо о безопасности для сообщества WordPress

Основатель ManageWP Владимир Преловац опубликовал открытое письмо, адресованное сообществу WordPress , на тему безопасности. В письме он ссылается на то, что сторонняя экосистема, окружающая WordPress, является не только его самой сильной стороной, но и самой большой слабостью.

Он предлагает план из трех пунктов, который поможет смягчить проблемы безопасности в темах и плагинах.

1. Отсейте плагины с потенциальными проблемами безопасности.
2. Улучшите процесс проверки плагинов в репозитории WordPress, чтобы сканировались все новые плагины/коммиты.
3. Обучайте сообщество разработчиков WordPress, выходящее за рамки того, что делается на данный момент.

Хотя Преловац призывает сообщество начать решать эти проблемы уже сегодня, большая часть того, что он предлагает, уже происходит и происходит уже много лет.

Отсеивание плагинов

Это процесс, который происходит 24 часа в сутки, 7 дней в неделю. Это в значительной степени побочный продукт того, что многие люди используют WordPress, а код для плагинов является открытым исходным кодом. Это дает любому возможность просмотреть исходный код на наличие уязвимостей. Я предполагаю, что большинство уязвимостей в плагинах обнаруживаются из-за того, что заинтересованный в безопасности пользователь или исследователь просматривает плагин, потому что они хотят использовать его на своем сайте.

Сэмюэл «Отто» Вуд объясняет, что происходит, когда у подключаемого модуля в каталоге обнаруживается проблема с безопасностью.

1. Плагин удален из репозитория, чтобы предотвратить дальнейшую загрузку небезопасного плагина.
2. Если эксплойт является случайным или не явно вредоносным, разработчик уведомляется об этом по электронной почте. Электронное письмо приходит с действительного адреса (plugins @ wp.org), и на него можно ответить.
3. Разработчик плагина предположительно исправляет эксплойт или сообщает нам, что это недопустимый эксплойт, обновляет плагин в SVN и сообщает об этом по электронной почте.
4. Мы проверяем его и либо даем совет, либо повторно включаем плагин.

Улучшение процесса проверки плагина

Это одна из областей каталога плагинов WordPress, которую я считаю слабым местом. После проверки и утверждения плагина автор вредоносного плагина может загрузить код, отличный от того, который был проверен изначально. Это считается методом приманки и подмены . Единственный способ предотвратить это — больше людей, так как коммитов плагинов в несколько раз больше, чем обзоров плагинов.

В интервью, опубликованном в Tavern ранее в этом году , Мика Эпштейн, член группы проверки плагинов, рассказал, как они пытаются бороться с проблемой.

Кто-то отправляет плагин А, мы его одобряем, а он загружает в репозиторий плагин Б. Это то, что любят делать многие спамеры. Иногда люди случайно загружают неправильную версию кода, в других случаях они намеренно возвращаются и добавляют код, который мы сказали им удалить. Мы пытаемся смягчить это, фильтруя электронные письма (на самом деле я получаю электронное письмо для каждой проверки плагина) и сканируем известные проблемы, но это никогда не заканчивается.

Группа проверки постоянно совершенствует свои проверки, которые помогают им выявлять самые основные и непреднамеренные нарушения. К сожалению, нет возможности сканировать методы «приманки и подмены», которые требуют, чтобы кто-то вернулся и вручную проверил наличие нарушений после того, как плагин уже отправлен в репозиторий.

Расширение образовательных ресурсов для сообщества разработчиков WordPress

Преловац предлагает объединить информацию о безопасности и передовой опыт в единый ресурс. Он также предлагает, чтобы 2015 год стал годом безопасности WordPress. Это включает в себя WordCamps по всему миру, где безопасность будет главной темой.

Проект руководства по разработке плагинов WordPress все еще продолжается, но, по сути, это то, что предлагает Преловац. Уже есть глава, посвященная безопасности плагинов , охватывающая проверку данных, одноразовые номера и проверку возможностей пользователя.

Что касается WordCamps, то на большинстве из них уже есть одна-две сессии по безопасности. Я не думаю, что WordCamp или конференция, посвященная безопасности в WordPress, сработают. Это может быть сухой темой и быстро пройти через головы пользователей. Я присутствовал на нескольких сессиях по безопасности на различных WordCamps, и некоторые люди покидали комнату в состоянии паники.

Нет недостатка в ресурсах и инструментах, помогающих разработчикам писать чистый код. Есть такие книги, как WordPress Plugin Development и Professional WordPress Design and Development, 2nd Edition . Кроме того, есть WordPress.TV с такими сессиями, как Kurt Payne и Josh Hansen: do_action(‘hack_me’) Advanced Security for Plugins или Mark Jaquith: Theme & Plugin Security . Знания есть, разработчики плагинов должны их найти.

Большая часть того, что предложил Преловац, уже существует

Почти все, что Преловац предложил в своем открытом письме, либо уже существует, либо находится в стадии реализации. Я согласен с тем, что самой большой угрозой для WordPress и его репутации являются плагины и темы, созданные для него.

Гейткиперы каталога плагинов и команда проверки тем проделали большую работу по защите пользователей от проблем безопасности при их обнаружении. С другой стороны, разработчики плагинов и тем по большей части проделали хорошую работу, выпустив исправление после сообщения об уязвимости в системе безопасности.

Новости об уязвимостях безопасности в плагинах станут более распространенными

Никакое программное обеспечение не идеально, поскольку оно написано людьми, но инструменты, размещенные на WordPress.org, позволяют быстро залатать дыры. Обновления отправляются каждому пользователю затронутого плагина, и в большинстве случаев обновление так же просто, как нажатие кнопки.

С тысячами плагинов, доступных для WordPress как в официальном каталоге, так и за его пределами, я думаю, отчеты, раскрытия информации и немедленные обновления для проблем безопасности будут более распространенными. Я думаю, что они уже есть, но поскольку никто не сообщал о них постоянно, особенно о второстепенных, не похоже, что они распространены. То, как разработчик или компания реагируют и уведомляют пользователей/клиентов о проблеме безопасности, так же важно, как и ее устранение.

Ответственность конечного пользователя и автоматические обновления безопасности для подключаемых модулей

Обучение является ключевым компонентом, помогающим пользователям обеспечивать безопасность своих сайтов, а разработчикам — писать чистый код. В конце концов, пользователь обязан убедиться, что его веб-сайт, темы и плагины обновлены. Если пользователи не могут поддерживать свои сайты в актуальном состоянии, все остальное становится спорным вопросом.

В то время как WordPress автоматически обновляется до точечных выпусков, можем ли мы в конечном итоге увидеть автоматические обновления для серьезных проблем с безопасностью в плагинах? Это произошло с Jetpack 2.9.3 , в котором была исправлена ​​критическая ошибка безопасности, а обновления были выпущены через систему автоматического обновления ядер WordPress.

Лично я не хочу, чтобы это произошло, поскольку мне нравится контролировать и держать себя в курсе. Я редко оставляю уведомление об обновлении более чем на час. Является ли идея автоматического обновления плагинов от критических ошибок безопасности ради обеспечения безопасности Интернета и пользователей оправданной?