Обзор функций iThemes Security Pro - Управление версиями

В сообщениях Feature Spotlight мы выделяем функцию iThemes Security Pro и немного рассказываем, почему мы разработали эту функцию, для кого она предназначена и как ее использовать.

Сегодня мы поговорим об управлении версиями, отличном инструменте, который упрощает управление обновлениями WordPress или темами и плагинами.

Почему мы разработали управление версиями

Постоянное обновление программного обеспечения - важная часть любой стратегии безопасности. Обновления предназначены не только для исправления ошибок и новых функций. Обновления также могут включать критические исправления безопасности. Без этого патча вы оставляете свой телефон, компьютер, сервер, маршрутизатор или веб-сайт уязвимыми для атак.

Патч вторник

Вторник исправлений - это неофициальный термин, обозначающий регулярные исправления ошибок и исправления безопасности, которые Microsoft выпускает во второй вторник каждого месяца. Замечательно, что Microsoft выпускает исправления безопасности с такой надежной частотой. Вторник исправлений также является днем ​​публичного раскрытия уязвимостей системы безопасности, исправленных Microsoft.

Ознакомьтесь с разделом Что обновлять и как автоматизировать обновления электронной книги The Ultimate Guide to WordPress Security in 2020, чтобы узнать, как автоматически применять обновления Patch Tuesday.

Использовать среду

В среду после вторника исправлений часто можно увидеть, как многие злоумышленники используют ранее известную уязвимость в устаревших и не исправленных системах. Итак, среда, следующая за вторником патчей, неофициально была названа Exploit Environment.

Почему хакеры нацелены на исправленные уязвимости?

Хакеры нацелены на исправленные уязвимости, потому что знают, что люди не обновляются (включая плагины и темы на вашем сайте). Публичное раскрытие уязвимостей в день их исправления является отраслевым стандартом. После публичного раскрытия уязвимости она становится «известной уязвимостью» для устаревших и непропатченных версий программного обеспечения. Программное обеспечение с известными уязвимостями - легкая цель для хакеров.

Хакерам нравятся легкие цели, а наличие программного обеспечения с известными уязвимостями похоже на передачу хакеру пошаговых инструкций по взлому вашего веб-сайта WordPress, сервера, компьютера или любого другого устройства, подключенного к Интернету.

Ответственное раскрытие информации

Вам может быть интересно, почему уязвимость раскрывается, если она дает хакерам возможность атаковать. Что ж, очень часто исследователь безопасности находит уязвимость и в частном порядке сообщает о ней разработчику программного обеспечения.

При ответственном раскрытии информации первоначальный отчет исследователя направляется в частном порядке разработчикам компании, владеющей программным обеспечением, но с соглашением о том, что полная информация будет опубликована после того, как исправление станет доступным. Для значительных уязвимостей безопасности может быть небольшая задержка в раскрытии уязвимости, чтобы дать большему количеству людей время для исправления.

Исследователь безопасности может указать крайний срок для разработчика программного обеспечения, чтобы ответить на отчет или предоставить исправление. Если этот срок не соблюден, исследователь может публично раскрыть уязвимость, чтобы заставить разработчика выпустить исправление.

Публичное раскрытие уязвимости и кажущееся введение нулевого дня - типа уязвимости, для которой нет исправления и которая эксплуатируется в дикой природе - может показаться контрпродуктивным. Но это единственное средство, с помощью которого исследователь может оказать давление на разработчика, чтобы исправить уязвимость.

Если бы хакер обнаружил уязвимость, он мог бы незаметно использовать эксплойт и нанести ущерб конечному пользователю (это вы), в то время как разработчик программного обеспечения остается довольным, оставив уязвимость не исправленной.

У Google Project Zero есть аналогичные рекомендации, когда дело доходит до раскрытия уязвимостей. Они публикуют полную информацию об уязвимости через 90 дней, независимо от того, была ли уязвимость исправлена.

Устаревшие плагины и темы - уязвимость WP №1

Трудно отслеживать каждую обнаруженную уязвимость WordPress - мы отслеживаем и публикуем их в наших обзорах уязвимостей WordPress - и сравниваем этот список с версиями плагинов и тем, которые вы установили на своем веб-сайте. Однако это не мешает хакерам WordPress использовать плагины и темы с известными уязвимостями. Установленное на вашем сайте программное обеспечение с известными уязвимостями дает хакерам необходимые им схемы, чтобы захватить ваш сайт.

Программа iThemes Security Pro Site Scan проверяет ваш сайт на наличие известных уязвимостей WordPress, плагинов и тем и применяет исправление, если оно доступно.

В конце 2018 года хакеры активно использовали эксплойт в плагине WP GDPR Compliance. Эксплойт позволял неавторизованным пользователям - людям, не вошедшим на веб-сайт - изменять параметры регистрации пользователей WP и изменять новую роль пользователя по умолчанию с подписчика на администратора. К счастью, разработчики плагина WP GDPR Compliance быстро отреагировали и выпустили исправление для уязвимости на следующий день после ее публичного раскрытия.

Но, как и в случае с Exploit Environment, хакеры нацелились на уязвимость, несмотря на то, что был выпущен патч. В течение нескольких дней и недель после раскрытия уязвимости WP GDPR Compliance мы получили шквал сообщений о том, что веб-сайты WordPress были взломаны злоумышленниками, использовавшими эту уязвимость.

Наличие уязвимого плагина или темы, для которой есть исправление, но не применено, является виновником номер один взломанных веб-сайтов WordPress. ЭТО ТАКОЕ РАЗДРАЖЕНИЕ !!!!! Это означает, что большинство взломов WP можно было предотвратить.

Прискорбно думать обо всех людях, которые потратили кучу денег на очистку своего веб-сайта, о доходах, которые они потеряли, когда их сайты были недоступны, и о будущих доходах, которые они потеряли из-за потери доверия своих клиентов. Это еще больше расстраивает, когда вы знаете, что все эти мучения можно было предотвратить с помощью простого обновления.

С помощью управления версиями мы хотели упростить людям управление обновлениями и помочь предотвратить использование версий программного обеспечения с известными уязвимостями.

Что такое управление версиями?

Помимо этого, в системе управления версиями также есть возможности для повышения безопасности вашего веб-сайта, когда вы используете устаревшее программное обеспечение и сканируете старые веб-сайты.

Автообновления WP против управления версиями

Я знаю, что вы думаете: «Разве WordPress не поддерживает автоматическое обновление?» Да, благодаря добавлению автоматических обновлений в WordPress 5.5, теперь это правда, но функции автоматического обновления в iThemes Security Pro намного надежнее. Давайте на минутку сравним автообновления WP и iThemes Security Pro.

Позвольте мне начать с того, что я думаю, что добавление автоматических обновлений WordPress - это отличное решение для будущего WordPress. Сообщество WordPress, использующее автоматические обновления, означает, что меньше веб-сайтов будет взломано. Меньшее количество взломанных веб-сайтов приведет к тому, что у меньшего числа людей возникнет ложное представление о том, что WordPress является небезопасной платформой.

Автоматические обновления также приведут к тому, что разработчики плагинов и тем будут выдвигать лучшие версии. Если мы знаем, что наши клиенты полагаются на автоматические обновления, мы позаботимся о том, чтобы наши выпуски не нуждались в серии последующих выпусков для исправления ошибок, которые были внесены в первоначальный выпуск. Это поможет изменить представление о том, что WordPress требует большего ручного обслуживания по сравнению с другими платформами.

Вот три способа, которыми iThemes Security Pro Version Management предлагает большую гибкость по сравнению с автоматическими обновлениями WordPress по умолчанию.

• Оптимизированное управление плагинами и темами - управляйте всеми обновлениями плагинов и тем из настроек управления версиями.
• Добавляйте настраиваемые периоды задержки для обновлений плагинов и тем - автоматические обновления WordPress предлагают только возможность немедленного применения обновлений. Планировщик обновлений позволяет создавать настраиваемую задержку. Отсрочка может быть хорошим вариантом для плагинов или тем, которым, как правило, требуются дополнительные выпуски для исправления проблем после основного выпуска.
• Применяйте только обновления, исправляющие известные уязвимости - применяйте только обновления, исправляющие известные уязвимости. Этот вариант идеально подходит, если вы хотите вручную запускать все свои обновления, но хотите немедленно получать исправления безопасности.

Автообновления WordPress

WordPress предлагает два варианта автоматического обновления плагинов и тем: Вкл или Выкл. Вы включите автоматическое обновление плагинов на странице плагинов WordPress.

Параметр автообновления темы как бы скрыт на странице сведений о теме.

Автоматические обновления управления версиями

Планировщик обновлений управления версиями имеет параметры, позволяющие отключить автоматические обновления, немедленно обновить или отложить обновления на любое время. Кроме того, вы можете настроить графики обновления плагинов и тем в настройках управления версиями.

Хорошо, давайте перейдем к настройкам и подробнее рассмотрим различные параметры управления версиями.

Как использовать управление версиями в iThemes Security Pro

Чтобы начать использовать Управление версиями, включите модуль на главной странице настроек безопасности.

Теперь нажмите кнопку « Настроить параметры» , чтобы подробнее ознакомиться с настройками.

• Обновления WordPress - автоматическая установка последней версии WordPress.
• Обновления плагинов - автоматическая установка последних обновлений плагинов. Включение этого параметра отключит функцию автоматического обновления плагинов WordPress для предотвращения конфликтов.
• Обновления тем - автоматическая установка последних обновлений тем. Включение этого параметра отключит функцию автоматического обновления темы WordPress для предотвращения конфликтов.
• Усиление сайта при использовании устаревшего программного обеспечения - автоматическое добавление дополнительных средств защиты для сайта, если доступное обновление не было установлено в течение месяца.
  • Заставьте всех пользователей, у которых не включен двухфакторный режим, предоставить код входа, отправленный на их адрес электронной почты, перед повторным входом в систему.
  • Отключите редактор файлов WP (который запрещает пользователям редактировать код плагина или темы).
  • Отключите пингбэки XML-RPC и заблокируйте несколько попыток аутентификации для каждого запроса XML-RPC (оба из которых сделают XML-RPC более устойчивым к атакам, не отключая его полностью).

• Сканирование старых сайтов WordPress - запускайте ежедневное сканирование учетной записи хостинга на наличие старых сайтов WordPress, которые могут позволить злоумышленнику скомпрометировать сервер. Один устаревший сайт WordPress с уязвимостью может позволить злоумышленникам взломать все другие сайты в той же учетной записи хостинга.
• Автоматическое обновление, если устраняет уязвимость - этот параметр работает в тандеме со сканированием сайта iThemes Security Pro, чтобы проверить ваш сайт на наличие известных уязвимостей WordPress, плагинов и тем и применить исправление, если оно доступно.

Обновления плагинов и тем

Теперь давайте подробнее рассмотрим настройку обновлений плагинов и тем. Прежде чем мы начнем, я хотел бы напомнить, что включение настроек обновления плагина и темы отключит функцию автоматического обновления WordPress для предотвращения конфликтов.

У параметров обновления плагина и темы есть три варианта.

1. Пусто / Нет - оставив поле пустым, WordPress сможет управлять обновлениями плагинов и тем.
2. Пользовательский - параметр Пользовательский позволяет настроить обновления точно по своему вкусу. Мы поговорим об этом подробнее чуть позже.
3. Все - Все будут обновлять все ваши плагины или темы, как только будет доступно обновление.

Теперь давайте подробнее рассмотрим параметр Custom .

Выбор параметра «Пользовательский» предоставляет три различных варианта обновлений плагина и темы.

1. Включить - выберите плагины, которые вы хотите обновить сразу после выхода новой версии.
2. Отключить - используйте эту опцию для плагинов, которые вы хотите обновить вручную.
3. Задержка - опция задержки позволяет вам установить количество дней, на которое вы хотите отложить обновление выпуска. Это может быть хорошим вариантом для разработчиков, которым, как правило, требуются дополнительные выпуски для исправления проблем после основного выпуска.

Как мы видим, настройка пользовательского автообновления предлагает гораздо большую гибкость, чем включение или отключение автоматического обновления WordPress.

Заключение

Наличие уязвимого плагина или темы, для которой есть исправление, но не применено, является виновником номер один взломанных веб-сайтов WordPress. Это означает, что большинство взломов WordPress можно предотвратить простым обновлением.

Функция управления версиями iThemes Security Pro позволяет вам управлять автоматическими обновлениями по вашему расписанию. iThemes Security Pro поможет вам установить все новые обновления сразу после их выпуска или только в том случае, если обновление устраняет уязвимость.

Майкл Мур

Каждую неделю Майкл составляет отчет об уязвимостях WordPress, чтобы обеспечить безопасность ваших сайтов. Как менеджер по продукту в iThemes, он помогает нам продолжать улучшать линейку продуктов iThemes. Он большой ботаник и любит узнавать обо всем, что есть в технологиях, старом и новом. Вы можете увидеть, как Майкл гуляет с женой и дочерью, читает или слушает музыку, когда не работает.