iThemes Security Pro Feature Spotlight – Gestione delle versioni

Nei post Feature Spotlight, mettiamo in evidenza una funzione in iThemes Security Pro e condividiamo un po' del motivo per cui abbiamo sviluppato la funzione, per chi è la funzione e come utilizzarla.

Oggi tratteremo la gestione delle versioni, un ottimo strumento che semplifica la gestione degli aggiornamenti di WordPress o di temi e plug-in.

Perché abbiamo sviluppato la gestione delle versioni

Mantenere aggiornato il software è una parte essenziale di qualsiasi strategia di sicurezza. Gli aggiornamenti non sono solo per correzioni di bug e nuove funzionalità. Gli aggiornamenti possono includere anche patch di sicurezza critiche. Senza quella patch, lasci il tuo telefono, computer, server, router o sito web vulnerabile agli attacchi.

Patch martedì

Patch Tuesday è il termine non ufficiale per riferirsi ai bug regolari e alle correzioni di sicurezza che Microsoft rilascia il secondo martedì di ogni mese. È fantastico che Microsoft rilasci correzioni di sicurezza con una cadenza così affidabile. Il Patch Tuesday è anche il giorno in cui le vulnerabilità di sicurezza che le patch di Microsoft vengono divulgate pubblicamente.

Consulta la sezione Cosa aggiornare e come automatizzare gli aggiornamenti dell'ebook The Ultimate Guide to WordPress Security in 2020 per sapere come applicare automaticamente gli aggiornamenti del Patch Tuesday.

Sfrutta il mercoledì

Il mercoledì successivo al Patch Tuesday, è normale vedere molti aggressori sfruttare una vulnerabilità precedentemente nota su sistemi obsoleti e privi di patch. Quindi, il mercoledì successivo al Patch Tuesday è stato coniato ufficiosamente come Exploit Wednesday.

Perché gli hacker prendono di mira le vulnerabilità con patch?

Gli hacker prendono di mira le vulnerabilità con patch perché sanno che le persone non si aggiornano (inclusi plugin e temi sul tuo sito web). È uno standard del settore divulgare pubblicamente le vulnerabilità il giorno in cui vengono applicate le patch. Dopo che una vulnerabilità è stata divulgata pubblicamente, la vulnerabilità diventa una "vulnerabilità nota" per le versioni obsolete e prive di patch del software. Il software con vulnerabilità note è un facile bersaglio per gli hacker.

Agli hacker piacciono i bersagli facili e avere software con vulnerabilità note è come consegnare a un hacker le istruzioni passo passo per entrare nel tuo sito Web WordPress, server, computer o qualsiasi altro dispositivo connesso a Internet.

Divulgazione responsabile

Ci si potrebbe chiedere perché una vulnerabilità venga rivelata se offre agli hacker un exploit per attaccare. Bene, è molto comune per un ricercatore di sicurezza trovare e segnalare privatamente la vulnerabilità allo sviluppatore del software.

Con una divulgazione responsabile, il rapporto iniziale del ricercatore viene presentato privatamente agli sviluppatori dell'azienda proprietaria del software, ma con un accordo sul fatto che i dettagli completi saranno pubblicati una volta resa disponibile una patch. Per vulnerabilità di sicurezza significative, potrebbe esserci un leggero ritardo nella divulgazione della vulnerabilità per dare a più persone il tempo di applicare le patch.

Il ricercatore di sicurezza può fornire allo sviluppatore del software una scadenza per rispondere alla segnalazione o per fornire una patch. Se questa scadenza non viene rispettata, il ricercatore può rivelare pubblicamente la vulnerabilità per esercitare pressioni sullo sviluppatore affinché rilasci una patch.

La divulgazione pubblica di una vulnerabilità e l'apparente introduzione di uno Zero Day, un tipo di vulnerabilità che non ha patch e viene sfruttata in natura, può sembrare controproducente. Ma è l'unica leva che un ricercatore ha per fare pressione sullo sviluppatore per correggere la vulnerabilità.

Se un hacker dovesse scoprire la vulnerabilità, potrebbe tranquillamente utilizzare l'Exploit e causare danni all'utente finale (questo sei tu), mentre lo sviluppatore del software si accontenta di lasciare la vulnerabilità senza patch.

Project Zero di Google ha linee guida simili quando si tratta di rivelare le vulnerabilità. Pubblicano i dettagli completi della vulnerabilità dopo 90 giorni, indipendentemente dal fatto che la vulnerabilità sia stata corretta o meno.

Plugin e temi obsoleti sono la vulnerabilità numero 1 di WP

È difficile tenere traccia di ogni vulnerabilità di WordPress divulgata: teniamo traccia e le condividiamo nelle nostre raccolte di vulnerabilità di WordPress e confrontiamo tale elenco con le versioni di plugin e temi che hai installato sul tuo sito web. Tuttavia, questo non impedisce agli hacker di WordPress di prendere di mira plugin e temi con vulnerabilità note. Avere software con vulnerabilità note installato sul tuo sito offre agli hacker i progetti di cui hanno bisogno per prendere il controllo del tuo sito web.

IThemes Security Pro Site Scan controlla il tuo sito web per le vulnerabilità note di WordPress, plugin e temi e applica una patch quando è disponibile.

Alla fine del 2018, gli hacker stavano sfruttando attivamente un exploit nel plugin WP GDPR Compliance. L'exploit ha consentito agli utenti non autorizzati (persone che non hanno effettuato l'accesso a un sito Web) di modificare le impostazioni di registrazione dell'utente WP e modificare il nuovo ruolo utente predefinito da abbonato a amministratore. Per fortuna, gli sviluppatori del plug-in WP GDPR Compliance hanno agito rapidamente e hanno rilasciato una patch per la vulnerabilità il giorno dopo che è stata divulgata pubblicamente.

Ma, proprio come con Exploit Wednesday, gli hacker hanno preso di mira la vulnerabilità anche se era stata rilasciata una patch. Nei giorni e nelle settimane successivi alla divulgazione della vulnerabilità di WP GDPR Compliance, abbiamo ricevuto una raffica di segnalazioni secondo cui i siti Web WordPress sono stati violati da aggressori che sfruttavano la vulnerabilità.

Avere un plugin o un tema vulnerabile per il quale è disponibile una patch ma non applicata è il colpevole numero uno dei siti Web WordPress compromessi. QUESTO È COS FRUSTRANTE!!!!! Ciò significa che la maggior parte degli hack di WP avrebbe potuto essere prevenuta.

È sconvolgente pensare a tutte le persone che hanno speso tonnellate di denaro per pulire il proprio sito Web, alle entrate che hanno perso mentre i loro siti erano inattivi e alle entrate future che hanno perso per aver perso la fiducia dei loro clienti. Lo rende ancora più sconvolgente quando sai che tutta quell'angoscia avrebbe potuto essere prevenuta con un semplice aggiornamento.

Con Gestione versioni, volevamo rendere più semplice per le persone gestire gli aggiornamenti e impedire loro di utilizzare versioni di software con vulnerabilità note.

Che cos'è la gestione delle versioni?

Oltre a ciò, Gestione versioni ha anche opzioni per rafforzare il tuo sito Web quando esegui software obsoleto e scansiona vecchi siti Web.

Aggiornamenti automatici di WP e gestione delle versioni

So cosa stai pensando: "Wordpress non ha un'opzione per l'aggiornamento automatico?" Sì, grazie all'aggiunta degli aggiornamenti automatici in WordPress 5.5, ora è vero, ma le funzionalità di aggiornamento automatico in iThemes Security Pro sono molto più robuste. Prendiamoci un minuto per confrontare gli aggiornamenti automatici di WP e iThemes Security Pro.

Vorrei iniziare dicendo che penso che WordPress aggiungere aggiornamenti automatici sia ottimo per il futuro di WordPress. La comunità di WordPress che adotta gli aggiornamenti automatici significa che verranno violati meno siti Web. Un minor numero di siti Web violati porterà a un minor numero di persone che hanno la falsa percezione che WordPress sia una piattaforma insicura.

Gli aggiornamenti automatici porteranno anche gli sviluppatori di plugin e temi a promuovere versioni migliori. Se sappiamo che i nostri clienti si affidano agli aggiornamenti automatici, ci assicureremo che le nostre versioni non necessitino di una serie di versioni successive per correggere i bug introdotti con la versione iniziale. Ciò contribuirà a cambiare la percezione che WordPress richieda più manutenzione manuale rispetto ad altre piattaforme.

Ecco i tre modi in cui iThemes Security Pro Version Management offre maggiore flessibilità rispetto agli aggiornamenti automatici di WordPress predefiniti.

• Gestione semplificata di plug-in e temi : gestisci tutti gli aggiornamenti di plug-in e temi dalle impostazioni di gestione della versione.
• Aggiungi periodi di ritardo personalizzati per gli aggiornamenti di plugin e temi: gli aggiornamenti automatici di WordPress offrono solo la possibilità di applicare gli aggiornamenti immediatamente. L'utilità di pianificazione degli aggiornamenti ti consente di creare un ritardo personalizzato. Il ritardo può essere una buona opzione per plug-in o temi che tendono a richiedere alcune versioni successive per risolvere i problemi dopo una versione principale.
• Applica solo aggiornamenti che risolvono vulnerabilità note: applica solo aggiornamenti che risolvono vulnerabilità note. Questa opzione è perfetta se ti piace eseguire manualmente tutti i tuoi aggiornamenti ma vuoi ricevere immediatamente le patch di sicurezza.

Aggiornamenti automatici di WordPress

WordPress offre due opzioni per gli aggiornamenti automatici di plugin e temi, On o Off. Abiliterai gli aggiornamenti automatici dei plugin nella pagina Plugin di WordPress.

L'opzione di aggiornamento automatico del tema è un po' nascosta nella pagina dei dettagli del tema.

Aggiornamenti automatici della gestione delle versioni

Il pianificatore di aggiornamento di Gestione versione ha opzioni per disabilitare gli aggiornamenti automatici, aggiornare immediatamente o ritardare gli aggiornamenti per tutto il tempo che desideri. Inoltre, puoi configurare le pianificazioni di aggiornamento sia del plug-in che del tema nelle impostazioni di gestione della versione.

Bene, saltiamo nelle impostazioni e diamo un'occhiata più da vicino alle diverse opzioni di gestione delle versioni.

Come utilizzare la gestione delle versioni in iThemes Security Pro

Per iniziare a utilizzare Gestione versioni, abilita il modulo nella pagina principale delle impostazioni di sicurezza.

Ora fai clic sul pulsante Configura impostazioni per dare un'occhiata più da vicino alle impostazioni.

• Aggiornamenti WordPress : installa automaticamente l'ultima versione di WordPress.
• Aggiornamenti plug-in : installa automaticamente gli ultimi aggiornamenti plug-in. L'abilitazione di questa impostazione disabiliterà la funzione dei plugin di aggiornamento automatico di WordPress per evitare conflitti.
• Aggiornamenti del tema : installa automaticamente gli ultimi aggiornamenti del tema. L'abilitazione di questa impostazione disabiliterà la funzione di aggiornamento automatico del tema di WordPress per evitare conflitti.
• Rafforza il sito durante l'esecuzione di software obsoleto : aggiungi automaticamente protezioni extra al sito quando un aggiornamento disponibile non è stato installato per un mese.
  • Forza tutti gli utenti che non hanno abilitato il doppio fattore a fornire un codice di accesso inviato al proprio indirizzo e-mail prima di accedere nuovamente.
  • Disabilita l'editor di file WP (che impedisce alle persone di modificare il plug-in o il codice del tema).
  • Disabilita i pingback XML-RPC e blocca più tentativi di autenticazione per richiesta XML-RPC (entrambi renderanno XML-RPC più forte contro gli attacchi senza doverlo disattivare completamente).

• Scansione di vecchi siti WordPress : esegui una scansione giornaliera dell'account di hosting per i vecchi siti WordPress che potrebbero consentire a un utente malintenzionato di compromettere il server. Un singolo sito WordPress obsoleto con una vulnerabilità potrebbe consentire agli aggressori di compromettere tutti gli altri siti sullo stesso account di hosting.
• Aggiornamento automatico se corregge la vulnerabilità : questa opzione funziona in tandem con iThemes Security Pro Site Scan per controllare il tuo sito Web per le vulnerabilità note di WordPress, plugin e temi e applicare una patch quando è disponibile.

Plugin e aggiornamenti dei temi

Ora diamo un'occhiata più da vicino alla configurazione di plugin e aggiornamenti dei temi. Prima di iniziare, volevo ricordare che l'abilitazione del plug-in e delle impostazioni di aggiornamento del tema disabiliterà la funzione di aggiornamento automatico di WordPress per evitare conflitti.

Sia il plugin che le impostazioni di aggiornamento del tema hanno tre scelte.

1. Vuoto/Nessuno : lasciando vuota l'impostazione, WordPress potrà gestire gli aggiornamenti del plugin e del tema.
2. Personalizzato : l'opzione Personalizzato ti consente di personalizzare gli aggiornamenti in modo preciso a tuo piacimento. Ne parleremo di più tra poco.
3. Tutto – Tutto aggiornerà tutti i tuoi plugin o temi non appena sarà disponibile un aggiornamento.

Ora diamo un'occhiata più da vicino all'opzione Personalizzata .

La selezione dell'opzione Personalizza fornisce tre diverse scelte per il plugin e gli aggiornamenti del tema.

1. Abilita : scegli quali plugin vuoi aggiornare subito dopo una nuova versione.
2. Disabilita : utilizzare questa opzione per i plug-in che si desidera aggiornare manualmente.
3. Ritardo : l'opzione Ritardo consente di impostare il numero di giorni in cui si desidera ritardare l'aggiornamento di una versione. Questa può essere una buona opzione per gli sviluppatori che tendono ad aver bisogno di alcune versioni successive per risolvere i problemi dopo una versione principale.

Come possiamo vedere, l'impostazione degli aggiornamenti automatici personalizzati offre molta più flessibilità rispetto all'opzione di attivazione o disattivazione dell'aggiornamento automatico di WordPress.

Avvolgendo

Avere un plugin o un tema vulnerabile per il quale è disponibile una patch ma non applicata è il colpevole numero uno dei siti Web WordPress compromessi. Ciò significa che la maggior parte degli hack di WordPress può essere prevenuta semplicemente aggiornando.

La funzione di gestione della versione di iThemes Security Pro ti consente di gestire gli aggiornamenti automatici in base alla tua pianificazione. iThemes Security Pro ti copre se desideri installare tutti i nuovi aggiornamenti non appena vengono rilasciati o solo se l'aggiornamento risolve una vulnerabilità.

Michael Moore

Ogni settimana, Michael mette insieme il Rapporto sulla vulnerabilità di WordPress per aiutare a mantenere i tuoi siti al sicuro. In qualità di Product Manager di iThemes, ci aiuta a continuare a migliorare la gamma di prodotti iThemes. È un nerd gigante e ama imparare tutto ciò che è tecnologico, vecchio e nuovo. Puoi trovare Michael che esce con sua moglie e sua figlia, leggendo o ascoltando musica quando non lavora.