iThemes Security Pro ฟีเจอร์สปอตไลท์ – การจัดการเวอร์ชัน

เผยแพร่แล้ว: 2021-04-13

ในโพสต์คุณสมบัติเด่น เราเน้นคุณลักษณะใน iThemes Security Pro และแชร์เล็กน้อยเกี่ยวกับสาเหตุที่เราพัฒนาคุณลักษณะนี้ คุณลักษณะนี้มีไว้เพื่อใคร และวิธีใช้คุณลักษณะนี้

วันนี้เราจะมาพูดถึงการจัดการเวอร์ชัน ซึ่งเป็นเครื่องมือที่ยอดเยี่ยมที่ช่วยให้การจัดการอัปเดตของ WordPress หรือธีมและปลั๊กอินเป็นเรื่องง่าย

เหตุใดเราจึงพัฒนาการจัดการเวอร์ชัน

การอัปเดตซอฟต์แวร์ให้ทันสมัยอยู่เสมอเป็นส่วนสำคัญของกลยุทธ์ด้านความปลอดภัย การอัปเดตไม่ได้มีไว้สำหรับการแก้ไขข้อบกพร่องและคุณลักษณะใหม่เท่านั้น การอัปเดตยังรวมถึงแพตช์ความปลอดภัยที่สำคัญอีกด้วย หากไม่มีโปรแกรมแก้ไขดังกล่าว คุณจะปล่อยให้โทรศัพท์ คอมพิวเตอร์ เซิร์ฟเวอร์ เราเตอร์ หรือเว็บไซต์เสี่ยงต่อการถูกโจมตี

แพทช์วันอังคาร

Patch Tuesday เป็นคำที่ไม่เป็นทางการซึ่งอ้างถึงการแก้ไขจุดบกพร่องและความปลอดภัยทั่วไปที่ Microsoft เผยแพร่ในวันอังคารที่สองของทุกเดือน เป็นเรื่องที่ยอดเยี่ยมที่ Microsoft เผยแพร่การแก้ไขด้านความปลอดภัยในจังหวะที่น่าเชื่อถือดังกล่าว Patch Tuesday เป็นวันที่ช่องโหว่ด้านความปลอดภัยที่โปรแกรมแก้ไขของ Microsoft ถูกเปิดเผยต่อสาธารณะ

ตรวจสอบส่วนสิ่งที่ต้องอัปเดต & วิธีทำให้การอัปเดตของคุณเป็นแบบอัตโนมัติใน The Ultimate Guide to WordPress Security ในปี 2020 ebook เพื่อเรียนรู้วิธีใช้การอัปเดต Patch Tuesday โดยอัตโนมัติ

ใช้ประโยชน์จากวันพุธ

ในวันพุธถัดจาก Patch Tuesday เป็นเรื่องปกติที่จะเห็นผู้โจมตีจำนวนมากใช้ประโยชน์จากช่องโหว่ที่รู้จักก่อนหน้านี้ในระบบที่ล้าสมัยและไม่ได้แก้ไข ดังนั้น วันพุธหลังจาก Patch Tuesday ได้รับการประกาศเกียรติคุณอย่างไม่เป็นทางการเป็น Exploit Wednesday

เหตุใดแฮกเกอร์จึงกำหนดเป้าหมายช่องโหว่ที่ได้รับการแก้ไข

แฮ็กเกอร์กำหนดเป้าหมายช่องโหว่ที่ได้รับการแก้ไขแล้ว เนื่องจากพวกเขารู้ว่าผู้คนไม่ได้อัปเดต (รวมถึงปลั๊กอินและธีมบนเว็บไซต์ของคุณ) เป็นมาตรฐานอุตสาหกรรมในการเปิดเผยช่องโหว่ต่อสาธารณะในวันที่ได้รับการแก้ไข หลังจากที่ช่องโหว่ถูกเปิดเผยต่อสาธารณะ ช่องโหว่ดังกล่าวจะกลายเป็น “ช่องโหว่ที่รู้จัก” สำหรับซอฟต์แวร์เวอร์ชันที่ล้าสมัยและไม่ได้แพตช์ ซอฟต์แวร์ที่มีช่องโหว่ที่รู้จักเป็นเป้าหมายที่ง่ายสำหรับแฮกเกอร์

แฮ็กเกอร์ชอบเป้าหมายที่ง่าย และการมีซอฟต์แวร์ที่มีช่องโหว่ที่ทราบก็เหมือนกับการให้คำแนะนำทีละขั้นตอนแก่แฮ็กเกอร์เพื่อเจาะเข้าไปในเว็บไซต์ WordPress เซิร์ฟเวอร์ คอมพิวเตอร์ หรืออุปกรณ์ที่เชื่อมต่ออินเทอร์เน็ตอื่นๆ

การเปิดเผยข้อมูลอย่างมีความรับผิดชอบ

คุณอาจสงสัยว่าเหตุใดช่องโหว่จึงถูกเปิดเผยหากช่องโหว่นั้นทำให้แฮ็กเกอร์สามารถโจมตีได้ เป็นเรื่องปกติมากที่นักวิจัยด้านความปลอดภัยจะค้นหาและรายงานช่องโหว่ไปยังผู้พัฒนาซอฟต์แวร์เป็นการส่วนตัว

ด้วยการเปิดเผยอย่างมีความรับผิดชอบ รายงานเบื้องต้นของผู้วิจัยจะจัดทำขึ้นเป็นการส่วนตัวต่อผู้พัฒนาของบริษัทที่เป็นเจ้าของซอฟต์แวร์ แต่ด้วยข้อตกลงว่ารายละเอียดทั้งหมดจะถูกเผยแพร่เมื่อมีการเผยแพร่แพตช์แล้ว สำหรับช่องโหว่ด้านความปลอดภัยที่สำคัญ อาจมีความล่าช้าเล็กน้อยในการเปิดเผยช่องโหว่เพื่อให้ผู้คนมีเวลามากขึ้นในการแก้ไข

นักวิจัยด้านความปลอดภัยอาจกำหนดเส้นตายให้ผู้พัฒนาซอฟต์แวร์ตอบกลับรายงานหรือจัดเตรียมโปรแกรมแก้ไข หากไม่เป็นไปตามกำหนดเวลา ผู้วิจัยอาจเปิดเผยช่องโหว่ต่อสาธารณะเพื่อกดดันผู้พัฒนาให้ออกโปรแกรมแก้ไข

การเปิดเผยช่องโหว่ในที่สาธารณะและดูเหมือนว่าจะแนะนำ Zero Day ซึ่งเป็นช่องโหว่ประเภทหนึ่งที่ไม่มีโปรแกรมแก้ไขและกำลังถูกเอารัดเอาเปรียบในป่า อาจดูเหมือนเป็นการต่อต้าน แต่เป็นการใช้ประโยชน์เพียงอย่างเดียวที่นักวิจัยต้องกดดันนักพัฒนาให้แก้ไขช่องโหว่

หากแฮ็กเกอร์ค้นพบช่องโหว่ พวกเขาสามารถใช้ Exploit อย่างเงียบ ๆ และสร้างความเสียหายให้กับผู้ใช้ปลายทาง (นี่คือคุณ) ในขณะที่ผู้พัฒนาซอฟต์แวร์ยังคงเนื้อหาเกี่ยวกับการไม่แก้ไขช่องโหว่ดังกล่าว

Project Zero ของ Google มีแนวทางที่คล้ายกันในการเปิดเผยช่องโหว่ พวกเขาเผยแพร่รายละเอียดทั้งหมดของช่องโหว่หลังจาก 90 วันว่าช่องโหว่นั้นได้รับการแก้ไขหรือไม่

ปลั๊กอินและธีมที่ล้าสมัยเป็นช่องโหว่อันดับ 1 ของ WP

เป็นการยากที่จะติดตามทุกช่องโหว่ของ WordPress ที่เปิดเผย—เราติดตามและแชร์ใน WordPress Vulnerability Roundups—และเปรียบเทียบรายการนั้นกับเวอร์ชันของปลั๊กอินและธีมที่คุณติดตั้งบนเว็บไซต์ของคุณ อย่างไรก็ตาม สิ่งนี้ไม่ได้หยุดแฮกเกอร์ WordPress จากการกำหนดเป้าหมายปลั๊กอินและธีมที่มีช่องโหว่ที่ทราบ การติดตั้งซอฟต์แวร์ที่มีช่องโหว่ที่ทราบบนไซต์ของคุณจะช่วยให้แฮ็กเกอร์มีพิมพ์เขียวที่จำเป็นในการเข้าถึงเว็บไซต์ของคุณ

การสแกนไซต์ iThemes Security Pro จะตรวจสอบเว็บไซต์ของคุณเพื่อหาช่องโหว่ของ WordPress ปลั๊กอินและธีมที่รู้จัก และใช้โปรแกรมแก้ไขเมื่อมีให้ใช้งาน

ณ สิ้นปี 2018 แฮกเกอร์ใช้ประโยชน์จากช่องโหว่ในปลั๊กอิน WP GDPR Compliance Exploit อนุญาตให้ผู้ใช้ที่ไม่ได้รับอนุญาต—ผู้ที่ไม่ได้ลงชื่อเข้าใช้เว็บไซต์—แก้ไขการตั้งค่าการลงทะเบียนผู้ใช้ WP และเปลี่ยนบทบาทผู้ใช้เริ่มต้นใหม่จากสมาชิกเป็นผู้ดูแลระบบ โชคดีที่ผู้พัฒนาปลั๊กอินการปฏิบัติตามข้อกำหนด WP GDPR ดำเนินการอย่างรวดเร็วและออกแพตช์สำหรับช่องโหว่ในวันรุ่งขึ้นหลังจากที่เปิดเผยต่อสาธารณะ

แต่เช่นเดียวกับ Exploit Wednesday แฮ็กเกอร์ตั้งเป้าไปที่ช่องโหว่แม้ว่าจะมีการเปิดตัวแพตช์แล้ว ในวันและสัปดาห์หลังจากผู้เปิดเผยช่องโหว่ในการปฏิบัติตามข้อกำหนด WP GDPR เราได้รับรายงานจำนวนมากว่าเว็บไซต์ WordPress ถูกแฮ็กโดยผู้โจมตีที่ใช้ประโยชน์จากช่องโหว่

การมีปลั๊กอินหรือธีมที่มีช่องโหว่ซึ่งมีแพตช์ให้บริการแต่ไม่ได้ใช้ถือเป็นสาเหตุอันดับหนึ่งของเว็บไซต์ WordPress ที่ถูกแฮ็ก นี่มันน่าหงุดหงิดชะมัด !!!!! ซึ่งหมายความว่าสามารถป้องกันการแฮ็ก WP ส่วนใหญ่ได้

เป็นเรื่องที่น่าหงุดหงิดที่ต้องคิดถึงทุกคนที่ใช้เงินจำนวนมากในการทำความสะอาดเว็บไซต์ รายได้ที่พวกเขาสูญเสียไปในขณะที่เว็บไซต์ล่ม และรายได้ในอนาคตที่พวกเขาสูญเสียไปกับการสูญเสียความไว้วางใจจากลูกค้า มันทำให้อารมณ์เสียมากขึ้นเมื่อคุณรู้ว่าความเจ็บปวดทั้งหมดนั้นสามารถป้องกันได้ด้วยการอัปเดตง่ายๆ

ด้วยการจัดการเวอร์ชัน เราต้องการทำให้ผู้คนสามารถจัดการการอัปเดตได้ง่ายขึ้น และช่วยป้องกันไม่ให้พวกเขาใช้ซอฟต์แวร์เวอร์ชันที่มีช่องโหว่ที่รู้จัก

การจัดการเวอร์ชันคืออะไร?

คุณลักษณะการจัดการเวอร์ชันใน iThemes Security Pro ช่วยให้คุณสามารถอัปเดต WordPress ปลั๊กอินและธีมได้โดยอัตโนมัติ

นอกจากนั้น การจัดการเวอร์ชันยังมีตัวเลือกในการทำให้เว็บไซต์ของคุณแข็งแกร่งขึ้นเมื่อคุณใช้งานซอฟต์แวร์ที่ล้าสมัยและสแกนหาเว็บไซต์เก่า

การอัปเดตอัตโนมัติของ WP กับการจัดการเวอร์ชัน

ฉันรู้ว่าคุณคิดอย่างไร: “ไม่มีตัวเลือกในการอัปเดตอัตโนมัติของ WordPress หรอกหรือ?” ใช่ ต้องขอบคุณการเพิ่มการอัปเดตอัตโนมัติใน WordPress 5.5 ซึ่งตอนนี้ก็เป็นจริงแล้ว แต่ฟีเจอร์การอัปเดตอัตโนมัติใน iThemes Security Pro นั้นแข็งแกร่งกว่ามาก สละเวลาสักครู่เพื่อเปรียบเทียบการอัปเดตอัตโนมัติของ WP และ iThemes Security Pro

ให้ฉันเริ่มต้นด้วยการบอกว่าฉันคิดว่าการเพิ่มการอัปเดตอัตโนมัติของ WordPress นั้นยอดเยี่ยมสำหรับอนาคตของ WordPress ชุมชน WordPress ที่ใช้การอัปเดตอัตโนมัติหมายความว่าเว็บไซต์จะถูกแฮ็กน้อยลง จำนวนเว็บไซต์ที่ถูกแฮ็กน้อยลงจะทำให้ผู้คนจำนวนน้อยลงเข้าใจผิดว่า WordPress เป็นแพลตฟอร์มที่ไม่ปลอดภัย

การอัปเดตอัตโนมัติจะนำไปสู่นักพัฒนาปลั๊กอินและธีมที่ผลักดันการเปิดตัวที่ดีขึ้น หากเราทราบว่าลูกค้าใช้การอัปเดตอัตโนมัติ เราจะทำให้แน่ใจว่ารุ่นของเราไม่จำเป็นต้องมีรุ่นต่อๆ ไปเพื่อแก้ไขจุดบกพร่องที่เปิดตัวในรุ่นแรก สิ่งนี้จะช่วยเปลี่ยนการรับรู้ว่า WordPress ต้องการการบำรุงรักษาด้วยตนเองมากกว่าเมื่อเทียบกับแพลตฟอร์มอื่นๆ

ต่อไปนี้คือวิธีจัดการเวอร์ชัน iThemes Security Pro สามวิธีให้ความยืดหยุ่นมากกว่าเมื่อเปรียบเทียบกับการอัปเดตอัตโนมัติของ WordPress ที่เป็นค่าเริ่มต้น

การจัดการปลั๊กอินและธีมที่คล่องตัว - จัดการการอัปเดตปลั๊กอินและธีมทั้งหมดจากการตั้งค่าการจัดการเวอร์ชัน
เพิ่มระยะเวลาหน่วงที่กำหนดเองสำหรับการอัปเดตปลั๊กอินและธีม – การอัปเดต อัตโนมัติของ WordPress เสนอตัวเลือกให้ใช้การอัปเดตทันทีเท่านั้น ตัวกำหนดเวลาการอัปเดตช่วยให้คุณสร้างการหน่วงเวลาที่กำหนดเองได้ การหน่วงเวลาอาจเป็นตัวเลือกที่ดีสำหรับปลั๊กอินหรือธีมที่มีแนวโน้มว่าจะต้องมีรุ่นต่อๆ ไปเพื่อแก้ไขปัญหาหลังจากการเปิดตัวครั้งใหญ่
ใช้เฉพาะการอัปเดตที่แก้ไขช่องโหว่ที่รู้จัก - ใช้เฉพาะการอัปเดตที่แก้ไขช่องโหว่ที่รู้จัก ตัวเลือกนี้เหมาะอย่างยิ่งหากคุณต้องการเรียกใช้การอัปเดตทั้งหมดด้วยตนเอง แต่ต้องการรับแพตช์ความปลอดภัยทันที

WordPress Auto-Updates

WordPress มีสองตัวเลือกสำหรับการอัปเดตปลั๊กอินและธีมอัตโนมัติ คือ เปิดหรือปิด คุณจะเปิดใช้งานการอัปเดตอัตโนมัติของปลั๊กอินในหน้าปลั๊กอินของ WordPress

ตัวเลือกการอัปเดตธีมอัตโนมัติถูกซ่อนอยู่ในหน้ารายละเอียดธีม

อัปเดตการจัดการเวอร์ชันอัตโนมัติ

ตัวกำหนดตารางเวลาการอัปเดตการจัดการเวอร์ชันมีตัวเลือกในการปิดใช้งานการอัปเดตอัตโนมัติ อัปเดตทันที หรือชะลอการอัปเดตได้นานเท่าที่คุณต้องการ นอกจากนี้ คุณยังสามารถกำหนดค่ากำหนดการอัพเดทปลั๊กอินและธีมได้ในการตั้งค่าการจัดการเวอร์ชัน

เอาล่ะ ไปที่การตั้งค่าและดูตัวเลือกการจัดการเวอร์ชันต่างๆ อย่างละเอียดยิ่งขึ้น

วิธีใช้การจัดการเวอร์ชันใน iThemes Security Pro

ในการเริ่มต้นใช้งานการจัดการเวอร์ชัน ให้เปิดใช้งานโมดูลในหน้าหลักของการตั้งค่าความปลอดภัย

ตอนนี้ให้คลิกปุ่ม กำหนดค่าการตั้งค่า เพื่อดูการตั้งค่าอย่างละเอียด

อัปเดต WordPress – ติดตั้ง WordPress รุ่นล่าสุดโดยอัตโนมัติ
การอัปเดตปลั๊กอิน – ติดตั้งการอัปเดตปลั๊กอินล่าสุดโดยอัตโนมัติ การเปิดใช้งานการตั้งค่านี้จะปิดใช้งานคุณลักษณะปลั๊กอินอัปเดตอัตโนมัติของ WordPress เพื่อป้องกันความขัดแย้ง
การอัปเดตธีม – ติดตั้งการอัปเดตธีมล่าสุดโดยอัตโนมัติ การเปิดใช้งานการตั้งค่านี้จะปิดใช้งานคุณลักษณะธีมอัปเดตอัตโนมัติของ WordPress เพื่อป้องกันความขัดแย้ง
เสริมความแข็งแกร่งให้กับไซต์เมื่อใช้งานซอฟต์แวร์ที่ล้าสมัย – เพิ่มการป้องกันเพิ่มเติมให้กับไซต์โดยอัตโนมัติเมื่อไม่ได้ติดตั้งการอัปเดตที่พร้อมใช้งานเป็นเวลาหนึ่งเดือน
- บังคับให้ผู้ใช้ทั้งหมดที่ไม่ได้เปิดใช้งานสองปัจจัยให้ระบุรหัสเข้าสู่ระบบที่ส่งไปยังที่อยู่อีเมลของตนก่อนที่จะเข้าสู่ระบบอีกครั้ง
- ปิดใช้งานตัวแก้ไขไฟล์ WP (ซึ่งบล็อกไม่ให้ผู้อื่นแก้ไขปลั๊กอินหรือโค้ดธีม)
- ปิดใช้งาน pingbacks ของ XML-RPC และบล็อกการพยายามตรวจสอบสิทธิ์หลายครั้งต่อคำขอ XML-RPC (ซึ่งทั้งสองอย่างนี้จะทำให้ XML-RPC แข็งแกร่งขึ้นจากการโจมตีโดยไม่ต้องปิดโดยสมบูรณ์)

สแกนหาไซต์ WordPress เก่า - เรียกใช้การสแกนบัญชีโฮสติ้งทุกวันสำหรับไซต์ WordPress เก่าที่อาจทำให้ผู้โจมตีบุกรุกเซิร์ฟเวอร์ได้ ไซต์ WordPress ที่ล้าสมัยเพียงไซต์เดียวที่มีช่องโหว่อาจทำให้ผู้โจมตีสามารถประนีประนอมกับไซต์อื่น ๆ ทั้งหมดในบัญชีโฮสติ้งเดียวกันได้
อัปเดตอัตโนมัติหากแก้ไขช่องโหว่ – ตัวเลือกนี้ทำงานควบคู่กับ iThemes Security Pro Site Scan เพื่อตรวจสอบเว็บไซต์ของคุณสำหรับช่องโหว่ WordPress ปลั๊กอินและธีมที่รู้จัก และใช้โปรแกรมแก้ไขเมื่อมีช่องโหว่

การอัปเดตปลั๊กอินและธีม

ตอนนี้ มาดูการกำหนดค่าปลั๊กอินและการอัปเดตธีมกันดีกว่า ก่อนที่เราจะเริ่มต้น ฉันต้องการเตือนสั้นๆ ว่าการเปิดใช้งานการตั้งค่าปลั๊กอินและการอัปเดตธีมจะปิดใช้งานคุณลักษณะการอัปเดตอัตโนมัติของ WordPress เพื่อป้องกันข้อขัดแย้ง

ทั้งการตั้งค่าปลั๊กอินและการอัปเดตธีมมีสามตัวเลือก

ว่าง/ไม่มี – การปล่อยให้การตั้งค่าว่างไว้จะทำให้ WordPress สามารถจัดการการอัปเดตปลั๊กอินและธีมได้
กำหนดเอง – ตัวเลือกกำหนดเองช่วยให้คุณปรับแต่งการอัปเดตได้อย่างแม่นยำตามที่คุณต้องการ เราจะอธิบายเพิ่มเติมในอีกสักครู่
ทั้งหมด – ทั้งหมดจะอัปเดตปลั๊กอินหรือธีมทั้งหมดของคุณทันทีที่มีการอัปเดต

ตอนนี้ มาดูตัวเลือก แบบกำหนดเอง กันดีกว่า

การเลือกตัวเลือกกำหนดเองจะมีตัวเลือกสามแบบสำหรับการอัปเดตปลั๊กอินและธีมของคุณ

เปิดใช้งาน – เลือกปลั๊กอินที่คุณต้องการอัปเดตทันทีหลังจากเปิดตัวใหม่
ปิดใช้งาน – ใช้ตัวเลือกนี้สำหรับปลั๊กอินที่คุณต้องการอัปเดตด้วยตนเอง
ความล่าช้า – ตัวเลือกการหน่วงเวลาช่วยให้คุณสามารถกำหนดจำนวนวันที่คุณต้องการชะลอการอัปเดตการเผยแพร่ นี่อาจเป็นตัวเลือกที่ดีสำหรับนักพัฒนาที่มักจะต้องการรุ่นต่อๆ ไปเพื่อแก้ไขปัญหาหลังจากการเปิดตัวครั้งใหญ่

อย่างที่เราเห็น การตั้งค่าการอัปเดตอัตโนมัติแบบกำหนดเองนั้นมีความยืดหยุ่นมากกว่าตัวเลือกเปิดหรือปิดการอัปเดตอัตโนมัติของ WordPress

ห่อ

การมีปลั๊กอินหรือธีมที่มีช่องโหว่ซึ่งมีแพตช์ให้บริการแต่ไม่ได้ใช้ถือเป็นสาเหตุอันดับหนึ่งของเว็บไซต์ WordPress ที่ถูกแฮ็ก นั่นหมายความว่าการแฮ็ก WordPress ส่วนใหญ่สามารถป้องกันได้ง่ายๆ โดยการอัพเดท

คุณลักษณะการจัดการเวอร์ชัน iThemes Security Pro ช่วยให้คุณจัดการการอัปเดตอัตโนมัติตามกำหนดเวลาของคุณ คุณครอบคลุม iThemes Security Pro ว่าต้องการติดตั้งการอัปเดตใหม่ทั้งหมดทันทีที่มีการเปิดตัวหรือเฉพาะในกรณีที่การอัปเดตแก้ไขช่องโหว่

ไมเคิล มัวร์

ในแต่ละสัปดาห์ Michael จะรวบรวมรายงานช่องโหว่ของ WordPress เพื่อช่วยให้เว็บไซต์ของคุณปลอดภัย ในฐานะผู้จัดการผลิตภัณฑ์ที่ iThemes เขาช่วยเราปรับปรุงรายการผลิตภัณฑ์ iThemes ต่อไป เขาเป็นคนเนิร์ดยักษ์และชอบเรียนรู้เกี่ยวกับเทคโนโลยีทุกอย่าง ทั้งเก่าและใหม่ คุณสามารถหาไมเคิลไปเที่ยวกับภรรยาและลูกสาว อ่านหนังสือหรือฟังเพลงเมื่อไม่ได้ทำงาน