דף הבית » חדשות ועדכונים

אבטחה מוגברת בספריית התוספים של וורדפרס

18 באוגוסט 2011 | מאת רמי | 3 תגובות | תגיות: , ,

מאט מולנווג הודיעה על שינויים באופן הצגת התוספים וערכות העיצוב בספריות הרשמיות של וורדפרס, על מנת להגביר את האבטחה. השינוי יבוא לידי ביטוי ב"הסתרת" תוספים וערכות עיצוב שלא עודכנו מעל שנתיים כדי להקטין את התפוצה שלהם.

אבטחת וורדפרס

אבטחת וורדפרס

תוספים לא מאובטחים

ככל שמפתחי הליבה של וורדפרס הקדישו יותר תשומת לב לשיפור האבטחה של ליבת וורדפרס, הפורצים הבין שנקודות התורפה העיקריות במערכת הן התוספים המותקנים באתר. למפתח תוסף עצמאי אין את הידע הנדרש לספק פתרון אבטחה מתאים, ואין לו גם קהילה של אלפי תורמי כמו שיש לוורדפרס.

כיום ניתן לרכוש בפורומים של האקרים רשימה של תוספי וורדפרס לא מאובטחים עם הסברים המלווים בדוגמאות איך לפרוץ לאתר מבוסס וורדפרס (תוך שימוש בנקודות תורפה של התוספים). יש כל כך הרבה תוספים לא מאובטחים וכל כך הרבה אתרים נפלו בגללם שהוחלט להקים אתר www.WPsecure.net שיצביע על תוספים לא מאובטחים כדי שמשתמשים יזהרו מהם והמפתחים יוכלו לתקן אותם. האתר מציג את התוסף הבעייתי, סוג ליקוי האבטחה, באיזו גרסה מדובר, וסטטוס (אם ליקוי האבטחה תוקן או לא). מאוד שימושי.

וורדפרס כפלטפורמה הפכה לפגיעה בגלל גורמים חיצוניים שלא בשליטתה. כשאתר נופל, בדרך כלל יגידו שוורדפרס היא האשמה, אך בדיקה מעמיקה תגלה שברוב המקרים מדובר בתוסף בעייתי או בסוגיות שקשורות לשרת.

וורדפרס מתגוננת

סוגיית האבטחה הפכה לאקוטית יותר ככל שהמערכת הפכה לפופולארית יותר, והשבוע מאט מולנווג והחליט לטפל בנושא באופן אקטיבי.

בספריית התוספים של וורדפרס יש מעל 15,000 תוספים. הנגישים דרך האתר של וורדפרס ודרך ממשק הניהול של המערכת. רוב התוספים מותקנים אחרי שהמשתמש ביצע חיפוש, ולכן כדי למנוע מגולשים לעשות שימוש בתוספים לא מאובטחים, בשלב הראשון תוצאות החיפוש "יסתירו" תוספים ישנים שלא עודכנו מעל שנתיים. התוספים לא ימחקו, הם פשוט לא יוצגו בתוצאות החיפוש. אבל אם יש תוסף שלא עודכן במשך שנתיים אבל גולשים ממשיכים לדווח שהוא עדיין עובד, תוסף כזה לא יוסתר בחיפוש.

המטרה ברורה, לעודד מפתחים לבחון שוב את התוספים שלהם. כמו כן, הם ידרשו לעדכן את השדה "tested up to" והשדה "requires" שהמערכת תוכל לקבוע האם ניתן להתקין תוסף על אתר מסויים (השדה requires) וכדי להקל על המשתמשים בקבלת ההחלטה האם להתקין תוסף מסויים או לא (השדה tested up to).

לסיכום, מפתחי המערכת מודעים לעובדה שקיימים ליקויי אבטחה שלא בשליטתם והם מאמצים גישה אקטיבית לשיפור האבטחה בתוספים (ובערכות עיצוב). יקח זמן עד שנראה שיפור כלשהו באבטחת התוספים אבל הכיוון נכון.

מאת רמי

אחראי על אתר וורדפרס בעברית ועל תרגום ושחרור גרסאות וורדפרס בעברית. מפתח ליבה, בכל גרסה החל מגרסה 2.8, מפתח מוביל בגרסה 4.4 ובגרסה 4.6. מספק שירותי פיתוח אתרים, פיתוח תוספי וורדפרס לסטרטאפים ופיתוח כלים למפתחי וורדפרס - GenerateWP.com.

3 תגובות »

  • ארז כותב :

    חשוב לציין שלא רק בתוספים יש בעיות אבטחה אלא גם בתבניות, ראו ערך timthumb.

  • רמי כותב :

    אכן, השינוי חל גם על ערכות עיצוב.

  • ארז כותב :

    ו-5 דקות אחרי שכתבתי את התגובה האתר WebRTL נפרץ ע"י מוסלמים בגלל הtimthumb…

הוסף תגובה !

נא לא לשאול שאלות שלא קשורות לפוסט, זהו לא פורום תמיכה. לבעיות אישיות ונושאים מורכבים אפשר ליצור איתי קשר.

תגיות HTML מורשות לשימוש:
<a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong>