Prezentacja funkcji iThemes Security Pro — zarządzanie wersjami

W postach Feature Spotlight wyróżniamy funkcję w iThemes Security Pro i dzielimy się nieco o tym, dlaczego opracowaliśmy tę funkcję, dla kogo jest przeznaczona i jak z niej korzystać.

Dzisiaj zajmiemy się zarządzaniem wersjami, doskonałym narzędziem, które sprawia, że ​​zarządzanie aktualizacjami WordPressa lub motywami i wtyczkami jest dziecinnie proste.

Dlaczego opracowaliśmy zarządzanie wersjami

Aktualizowanie oprogramowania jest istotną częścią każdej strategii bezpieczeństwa. Aktualizacje to nie tylko poprawki błędów i nowe funkcje. Aktualizacje mogą również zawierać krytyczne poprawki bezpieczeństwa. Bez tej poprawki narażasz swój telefon, komputer, serwer, router lub stronę internetową na atak.

Patch wtorek

Patch Tuesday to nieoficjalny termin odnoszący się do regularnych poprawek błędów i zabezpieczeń, które Microsoft publikuje w drugi wtorek każdego miesiąca. To fantastyczne, że Microsoft wydaje poprawki bezpieczeństwa w tak niezawodnym rytmie. Wtorek z łatami to także dzień, w którym publicznie ujawniono luki w zabezpieczeniach, które łata Microsoft.

Sprawdź sekcję Co zaktualizować i jak zautomatyzować aktualizacje w e-booku The Ultimate Guide to WordPress Security in 2020, aby dowiedzieć się, jak automatycznie stosować aktualizacje wtorkowe poprawki.

Wykorzystaj środę

W środę po wtorkowej łatce często zdarza się, że wielu atakujących wykorzystuje znaną wcześniej lukę w przestarzałych i niezałatanych systemach. Tak więc środa po wtorku z łatami została nieoficjalnie nazwana środą na wykorzystanie.

Dlaczego hakerzy atakują załatane luki w zabezpieczeniach?

Hakerzy atakują załatane luki w zabezpieczeniach, ponieważ wiedzą, że ludzie nie aktualizują (w tym wtyczek i motywów w Twojej witrynie). Standardem branżowym jest publiczne ujawnianie luk w zabezpieczeniach w dniu, w którym zostaną one załatane. Po publicznym ujawnieniu luki staje się ona „znaną luką” dla przestarzałych i niezałatanych wersji oprogramowania. Oprogramowanie ze znanymi lukami w zabezpieczeniach jest łatwym celem dla hakerów.

Hakerzy lubią łatwe cele, a posiadanie oprogramowania ze znanymi podatnościami jest jak przekazanie hakerowi instrukcji krok po kroku, jak włamać się do witryny WordPress, serwera, komputera lub innego urządzenia podłączonego do Internetu.

Odpowiedzialne ujawnianie

Być może zastanawiasz się, dlaczego luka w zabezpieczeniach zostałaby ujawniona, skoro daje hakerom możliwość ataku. Cóż, bardzo często badacz bezpieczeństwa znajduje i prywatnie zgłasza tę lukę twórcy oprogramowania.

W przypadku odpowiedzialnego ujawnienia, wstępny raport badacza jest przekazywany prywatnie twórcom firmy będącej właścicielem oprogramowania, ale za zgodą, że pełne szczegóły zostaną opublikowane po udostępnieniu poprawki. W przypadku znaczących luk w zabezpieczeniach może wystąpić niewielkie opóźnienie w ujawnieniu luki, aby dać większej liczbie osób czas na poprawkę.

Badacz bezpieczeństwa może wyznaczyć producentowi oprogramowania termin odpowiedzi na zgłoszenie lub dostarczenia poprawki. Jeśli ten termin nie zostanie dotrzymany, badacz może publicznie ujawnić lukę, aby wywrzeć presję na dewelopera, aby wydał łatkę.

Publiczne ujawnienie luki w zabezpieczeniach i pozorne wprowadzenie Zero Day – rodzaju luki, która nie ma łaty i jest wykorzystywana na wolności – może wydawać się kontrproduktywne. Jest to jednak jedyna dźwignia, którą badacz musi wywrzeć na deweloperze, aby załatał tę lukę.

Jeśli haker odkryje lukę, może po cichu użyć exploita i wyrządzić szkody użytkownikowi końcowemu (to ty), podczas gdy programista pozostaje zadowolony z pozostawienia luki bez łaty.

Google Project Zero ma podobne wytyczne, jeśli chodzi o ujawnianie luk w zabezpieczeniach. Publikują pełne szczegóły dotyczące luki po 90 dniach, niezależnie od tego, czy luka została załatana, czy nie.

Przestarzałe wtyczki i motywy to luka nr 1 WP

Trudno jest śledzić każdą ujawnioną lukę w zabezpieczeniach WordPress — śledzimy je i udostępniamy w naszych podsumowaniach luk w zabezpieczeniach WordPress — i porównujemy tę listę z wersjami wtyczek i motywów, które zainstalowałeś w swojej witrynie. Nie powstrzymuje to jednak hakerów WordPress przed atakowaniem wtyczek i motywów ze znanymi lukami. Posiadanie w witrynie zainstalowanego oprogramowania ze znanymi lukami daje hakerom plany, których potrzebują, aby przejąć witrynę.

Skanowanie witryny iThemes Security Pro sprawdza Twoją witrynę pod kątem znanych luk w zabezpieczeniach WordPress, wtyczek i motywów oraz stosuje łatkę, gdy jest dostępna.

Pod koniec 2018 r. hakerzy aktywnie wykorzystywali exploita we wtyczce WP GDPR Compliance. Exploit umożliwiał nieautoryzowanym użytkownikom — osobom niezalogowanym do witryny — modyfikowanie ustawień rejestracji użytkownika WP i zmianę domyślnej roli nowego użytkownika z subskrybenta na administratora. Na szczęście twórcy wtyczek WP GDPR Compliance działali szybko i opublikowali łatkę na lukę dzień po jej publicznym ujawnieniu.

Ale, podobnie jak w przypadku Exploit Wednesday, hakerzy zaatakowali lukę, mimo że została wydana łatka. W ciągu kilku dni i tygodni po ujawnieniu luki w zabezpieczeniach WP GDPR Compliance otrzymaliśmy falę zgłoszeń, że witryny WordPress zostały zhakowane przez osoby atakujące wykorzystujące tę lukę.

Posiadanie podatnej wtyczki lub motywu, dla których dostępna jest poprawka, ale nie została zastosowana, jest głównym winowajcą zhakowanych witryn WordPress. TO JEST TAK FRUTUJĄCE!!!!! Oznacza to, że większości włamań WP można było zapobiec.

To denerwujące, gdy myślisz o wszystkich ludziach, którzy wydali mnóstwo pieniędzy na czyszczenie swojej witryny, o przychodach, które utracili, gdy ich witryny nie działały, oraz o przyszłych przychodach, które utracili z powodu utraty zaufania klientów. To sprawia, że ​​​​jest to jeszcze bardziej denerwujące, gdy wiesz, że całej tej udręce można było zapobiec dzięki prostej aktualizacji.

Dzięki zarządzaniu wersjami chcieliśmy ułatwić ludziom zarządzanie aktualizacjami i uniemożliwić im korzystanie z wersji oprogramowania ze znanymi lukami w zabezpieczeniach.

Co to jest zarządzanie wersjami?

Poza tym zarządzanie wersjami oferuje również opcje utwardzania witryny, gdy używasz przestarzałego oprogramowania i skanujesz w poszukiwaniu starych witryn.

Automatyczne aktualizacje WP a zarządzanie wersjami

Wiem, co myślisz: „Czy WordPress nie ma opcji automatycznej aktualizacji?” Tak, dzięki dodaniu automatycznych aktualizacji w WordPress 5.5 jest to teraz prawdą, ale funkcje automatycznej aktualizacji w iThemes Security Pro są znacznie bardziej niezawodne. Poświęćmy chwilę, aby porównać automatyczne aktualizacje WP i iThemes Security Pro.

Zacznę od stwierdzenia, że ​​moim zdaniem WordPress dodawanie automatycznych aktualizacji jest świetne dla przyszłości WordPressa. Społeczność WordPressa stosująca automatyczne aktualizacje oznacza, że ​​mniej stron zostanie zhakowanych. Mniej witryn, które zostaną zhakowane, spowoduje, że mniej osób będzie miało fałszywe przekonanie, że WordPress jest niezabezpieczoną platformą.

Automatyczne aktualizacje spowodują również, że twórcy wtyczek i motywów będą wypuszczać lepsze wersje. Jeśli wiemy, że nasi klienci polegają na automatycznych aktualizacjach, upewnimy się, że nasze wydania nie będą wymagały serii kolejnych wydań, aby naprawić błędy, które zostały wprowadzone w pierwszym wydaniu. Pomoże to zmienić przekonanie, że WordPress wymaga więcej ręcznej konserwacji w porównaniu z innymi platformami.

Oto trzy sposoby, w jakie iThemes Security Pro Version Management oferuje większą elastyczność w porównaniu z domyślnymi automatycznymi aktualizacjami WordPress.

• Usprawnione zarządzanie wtyczkami i motywami – zarządzaj wszystkimi aktualizacjami wtyczek i motywów z poziomu ustawień zarządzania wersjami.
• Dodaj niestandardowe okresy opóźnień dla aktualizacji wtyczek i motywów – automatyczne aktualizacje WordPress oferują tylko opcję natychmiastowego zastosowania aktualizacji. Harmonogram aktualizacji umożliwia utworzenie niestandardowego opóźnienia. Opóźnienie może być dobrą opcją w przypadku wtyczek lub motywów, które zwykle wymagają kolejnych wydań w celu rozwiązania problemów po wydaniu głównym.
• Zastosuj tylko aktualizacje, które naprawiają znane luki – stosuj tylko aktualizacje, które naprawiają znane luki. Ta opcja jest idealna, jeśli chcesz ręcznie uruchamiać wszystkie aktualizacje, ale chcesz natychmiast otrzymywać poprawki zabezpieczeń.

Automatyczne aktualizacje WordPress

WordPress oferuje dwie opcje automatycznych aktualizacji wtyczek i motywów, Włączone lub Wyłączone. Włączysz automatyczne aktualizacje wtyczek na stronie Wtyczki WordPress.

Opcja automatycznej aktualizacji motywu jest ukryta na stronie szczegółów motywu.

Automatyczne aktualizacje zarządzania wersjami

Harmonogram aktualizacji zarządzania wersjami ma opcje wyłączania automatycznych aktualizacji, natychmiastowej aktualizacji lub opóźniania aktualizacji tak długo, jak chcesz. Ponadto możesz skonfigurować harmonogramy aktualizacji zarówno wtyczek, jak i motywów w ustawieniach zarządzania wersjami.

W porządku, wskoczmy do ustawień i przyjrzyjmy się bliżej różnym opcjom zarządzania wersjami.

Jak korzystać z zarządzania wersjami w iThemes Security Pro

Aby rozpocząć korzystanie z zarządzania wersjami, włącz moduł na stronie głównej ustawień zabezpieczeń.

Teraz kliknij przycisk Konfiguruj ustawienia , aby przyjrzeć się bliżej ustawieniom.

• Aktualizacje WordPress — Automatycznie zainstaluj najnowszą wersję WordPress.
• Aktualizacje wtyczek — Automatycznie instaluj najnowsze aktualizacje wtyczek. Włączenie tego ustawienia spowoduje wyłączenie funkcji wtyczek automatycznej aktualizacji WordPress, aby zapobiec konfliktom.
• Aktualizacje motywów — Automatycznie instaluj najnowsze aktualizacje motywów. Włączenie tego ustawienia spowoduje wyłączenie funkcji automatycznej aktualizacji motywu WordPress, aby zapobiec konfliktom.
• Wzmocnij witrynę, gdy działa przestarzałe oprogramowanie — Automatycznie dodaj dodatkowe zabezpieczenia do witryny, gdy dostępna aktualizacja nie została zainstalowana przez miesiąc.
  • Zmuś wszystkich użytkowników, którzy nie mają włączonej funkcji dwuskładnikowej, do podania kodu logowania wysłanego na ich adres e-mail przed ponownym zalogowaniem.
  • Wyłącz edytor plików WP (który blokuje ludziom edytowanie kodu wtyczki lub motywu).
  • Wyłącz pingbacki XML-RPC i zablokuj wiele prób uwierzytelnienia na żądanie XML-RPC (obie te działania wzmocnią XML-RPC przed atakami bez konieczności całkowitego wyłączenia).

• Skanuj w poszukiwaniu starych witryn WordPress – Uruchom codzienne skanowanie konta hostingowego w poszukiwaniu starych witryn WordPress, które mogą umożliwić atakującemu złamanie zabezpieczeń serwera. Pojedyncza nieaktualna witryna WordPress z luką może umożliwić atakującym złamanie zabezpieczeń wszystkich innych witryn na tym samym koncie hostingowym.
• Automatyczna aktualizacja, jeśli naprawi usterkę — ta opcja działa w połączeniu z skanowaniem witryny iThemes Security Pro, aby sprawdzić witrynę pod kątem znanych luk w zabezpieczeniach WordPress, wtyczek i motywów oraz zastosować łatkę, gdy jest dostępna.

Aktualizacje wtyczek i motywów

Teraz przyjrzyjmy się bliżej konfigurowaniu aktualizacji wtyczek i motywów. Zanim zaczniemy, chciałem szybko przypomnieć, że włączenie ustawień aktualizacji wtyczki i motywu spowoduje wyłączenie funkcji automatycznej aktualizacji WordPressa, aby zapobiec konfliktom.

Zarówno ustawienia aktualizacji wtyczki, jak i motywu mają trzy możliwości.

1. Puste/Brak — pozostawienie pustego ustawienia pozwoli WordPressowi zarządzać aktualizacjami wtyczek i motywów.
2. Niestandardowe — opcja Niestandardowa umożliwia dokładne dostosowanie aktualizacji do własnych upodobań. Omówimy to za chwilę.
3. Wszystkie – Wszystkie zaktualizują wszystkie wtyczki lub motywy, gdy tylko aktualizacja będzie dostępna.

Przyjrzyjmy się teraz bliżej opcji niestandardowej .

Wybranie opcji Niestandardowe zapewnia trzy różne opcje aktualizacji wtyczek i motywów.

1. Włącz — wybierz wtyczki, które chcesz zaktualizować natychmiast po nowej wersji.
2. Wyłącz — użyj tej opcji w przypadku wtyczek, które chcesz aktualizować ręcznie.
3. Opóźnienie — opcja opóźnienia umożliwia ustawienie liczby dni, o które chcesz opóźnić aktualizację wydania. Może to być dobra opcja dla programistów, którzy zwykle potrzebują kolejnych wersji, aby naprawić problemy po wydaniu głównym.

Jak widzimy, ustawienie Niestandardowe aktualizacje automatyczne oferuje znacznie większą elastyczność niż opcja włączania i wyłączania automatycznej aktualizacji WordPressa.

Zawijanie

Posiadanie podatnej wtyczki lub motywu, dla których dostępna jest poprawka, ale nie została zastosowana, jest głównym winowajcą zhakowanych witryn WordPress. Oznacza to, że większości włamań do WordPressa można zapobiec po prostu aktualizując.

Funkcja zarządzania wersją iThemes Security Pro pozwala zarządzać automatycznymi aktualizacjami zgodnie z harmonogramem. iThemes Security Pro zapewnia Ci, czy chcesz zainstalować wszystkie nowe aktualizacje, gdy tylko zostaną wydane, czy tylko wtedy, gdy aktualizacja naprawi lukę.

Michael Moore

Co tydzień Michael opracowuje raport na temat luk w zabezpieczeniach WordPressa, aby pomóc chronić Twoje witryny. Jako Product Manager w iThemes pomaga nam w dalszym ulepszaniu linii produktów iThemes. Jest wielkim kujonem i uwielbia uczyć się wszystkich rzeczy technicznych, starych i nowych. Możesz znaleźć Michaela spędzającego czas z żoną i córką, czytającego lub słuchającego muzyki, gdy nie pracuje.