iThemes Security Pro 功能聚焦 – 版本管理

已发表: 2021-04-13

在 Feature Spotlight 帖子中，我们重点介绍了 iThemes Security Pro 中的一项功能，并分享了我们开发该功能的原因、该功能适用于谁以及如何使用该功能。

今天我们将介绍版本管理，这是一个很棒的工具，可以让管理 WordPress 或主题和插件的更新变得轻而易举。

为什么我们开发版本管理

保持软件更新是任何安全策略的重要组成部分。更新不仅用于错误修复和新功能。更新还可以包括关键的安全补丁。如果没有该补丁，您的手机、计算机、服务器、路由器或网站就会容易受到攻击。

星期二补丁

补丁星期二是非官方术语，指的是 Microsoft 在每个月的第二个星期二发布的常规错误和安全修复程序。微软以如此可靠的节奏发布安全修复程序真是太棒了。补丁星期二也是公开披露微软补丁的安全漏洞的日子。

查看 2020 年 WordPress 安全终极指南电子书中的更新内容和如何自动更新部分，了解如何自动应用补丁星期二更新。

利用星期三

在补丁星期二之后的星期三，经常会看到许多攻击者在过时和未打补丁的系统上利用先前已知的漏洞。因此，补丁星期二之后的星期三被非正式地称为利用星期三。

为什么黑客会针对已修补的漏洞？

黑客以修补漏洞为目标，因为他们知道人们不会更新（包括您网站上的插件和主题）。在修补漏洞之日公开披露漏洞是行业标准。漏洞被公开披露后，该漏洞将成为软件过时和未修补版本的“已知漏洞”。具有已知漏洞的软件很容易成为黑客的目标。

黑客喜欢简单的目标，并且拥有具有已知漏洞的软件就像向黑客提供分步说明以闯入您的 WordPress 网站、服务器、计算机或任何其他联网设备。

负责任的披露

您可能想知道为什么要披露一个漏洞，如果它为黑客提供了攻击的漏洞。好吧，安全研究人员发现漏洞并将其私下报告给软件开发人员是很常见的。

通过负责任的披露，研究人员的初始报告是私下向拥有该软件的公司的开发人员提交的，但同意在补丁发布后发布完整的详细信息。对于重大安全漏洞，可能会稍微延迟披露漏洞，让更多人有时间修补。

安全研究人员可以为软件开发人员提供一个截止日期以响应报告或提供补丁。如果没有达到这个期限，那么研究人员可能会公开披露该漏洞，迫使开发者发布补丁。

公开披露漏洞并看似引入零日漏洞（一种没有补丁且正在被广泛利用的漏洞）似乎适得其反。但是，这是研究人员必须向开发人员施压以修补漏洞的唯一手段。

如果黑客发现了该漏洞，他们可以悄悄地使用漏洞利用程序并对最终用户（也就是您）造成损害，而软件开发人员仍然满足于不修补漏洞。

在披露漏洞方面，Google 的 Project Zero 也有类似的指导方针。无论漏洞是否已修补，他们都会在 90 天后发布漏洞的完整详细信息。

过时的插件和主题是 #1 WP 漏洞

很难跟踪每个已披露的 WordPress 漏洞——我们会在我们的 WordPress 漏洞综述中跟踪并分享它们——并将该列表与您在网站上安装的插件和主题的版本进行比较。但是，这并不能阻止 WordPress 黑客针对具有已知漏洞的插件和主题。在您的网站上安装具有已知漏洞的软件可为黑客提供接管您网站所需的蓝图。

iThemes Security Pro 站点扫描会检查您的网站是否存在已知的 WordPress、插件和主题漏洞，并在可用时应用补丁。

2018 年底，黑客积极利用 WP GDPR 合规插件中的漏洞。该漏洞允许未经授权的用户（未登录网站的人）修改 WP 用户注册设置并将默认的新用户角色从订阅者更改为管理员。值得庆幸的是，WP GDPR 合规插件开发人员迅速采取行动，并在公开披露后的第二天发布了针对该漏洞的补丁。

但是，就像漏洞利用星期三一样，即使已经发布了补丁，黑客还是瞄准了该漏洞。在 WP GDPR 合规漏洞披露后的几天和几周内，我们收到了一系列报告，称 WordPress 网站被利用该漏洞的攻击者入侵。

拥有一个有补丁但未应用的易受攻击的插件或主题是被黑 WordPress 网站的罪魁祸首。 这太令人沮丧了！！！！！ 这意味着大多数 WP 黑客都可以被阻止。

想想所有花费大量资金清理网站的人，他们在网站关闭时损失的收入，以及由于失去客户的信任而损失的未来收入，这令人沮丧。当您知道通过简单的更新可以避免所有这些痛苦时，它会更加令人不安。

通过版本管理，我们希望让人们更轻松地管理更新并帮助防止他们使用具有已知漏洞的软件版本。

什么是版本管理？

iThemes Security Pro 中的版本管理功能允许您自动更新 WordPress、插件和主题。

除此之外，当您运行过时的软件并扫描旧网站时，版本管理还可以选择加强您的网站。

WP 自动更新与版本管理

我知道您在想什么：“WordPress 没有自动更新选项吗？” 是的，由于在 WordPress 5.5 中添加了自动更新，现在确实如此，但 iThemes Security Pro 中的自动更新功能要强大得多。让我们花一点时间来比较 WP 和 iThemes Security Pro 的自动更新。

首先让我说，我认为 WordPress 添加自动更新对 WordPress 的未来非常有用。 WordPress 社区采用自动更新意味着更少的网站将被黑客入侵。更少的网站被黑客入侵将导致更少的人错误地认为 WordPress 是一个不安全的平台。

自动更新还将导致插件和主题开发人员推出更好的版本。如果我们知道我们的客户依赖自动更新，我们将确保我们的版本不需要一系列后续版本来修复初始版本中引入的错误。这将有助于改变 WordPress 与其他平台相比需要更多手动维护的观念。

与默认的 WordPress 自动更新相比，以下是 iThemes Security Pro 版本管理提供更大灵活性的三种方式。

简化的插件和主题管理– 从版本管理设置管理所有插件和主题更新。
为插件和主题更新添加自定义延迟期– WordPress 自动更新仅提供立即应用更新的选项。更新计划程序允许您创建自定义延迟。对于在主要版本发布后往往需要一些后续版本来修复问题的插件或主题，延迟可能是一个不错的选择。
仅应用修复已知漏洞的更新 - 仅应用修复已知漏洞的更新。如果您想手动运行所有更新但希望立即收到安全补丁，则此选项是完美的选择。

WordPress 自动更新

WordPress 为插件和主题自动更新提供了两个选项，打开或关闭。您将在 WordPress 插件页面上启用插件自动更新。

主题自动更新选项隐藏在主题详细信息页面中。

版本管理自动更新

版本管理更新计划程序可以选择禁用自动更新、立即更新或根据需要延迟更新。此外，您可以在版本管理设置中配置插件和主题更新计划。

好的，让我们进入设置并仔细查看不同的版本管理选项。

如何在 iThemes Security Pro 中使用版本管理

要开始使用版本管理，请在安全设置的主页上启用该模块。

现在单击“配置设置”按钮以仔细查看设置。

WordPress 更新– 自动安装最新的 WordPress 版本。
插件更新- 自动安装最新的插件更新。启用此设置将禁用 WordPress 自动更新插件功能以防止冲突。
主题更新- 自动安装最新的主题更新。启用此设置将禁用 WordPress 自动更新主题功能以防止冲突。
运行过时软件时加强站点 - 当一个月未安装可用更新时，自动为站点添加额外保护。
- 强制所有未启用双因素的用户在重新登录之前提供发送到其电子邮件地址的登录代码。
- 禁用 WP 文件编辑器（阻止人们编辑插件或主题代码）。
- 禁用 XML-RPC pingback，并阻止每个 XML-RPC 请求的多次身份验证尝试（这两者都将使 XML-RPC 更强大地抵御攻击，而不必完全关闭它）。

扫描旧的 WordPress 站点– 每天对旧的 WordPress 站点的托管帐户进行扫描，这可能允许攻击者破坏服务器。 一个存在漏洞的过时 WordPress 站点可能允许攻击者破坏同一托管帐户上的所有其他站点。
修复漏洞时自动更新- 此选项与 iThemes Security Pro 站点扫描协同工作，以检查您的网站是否存在已知的 WordPress、插件和主题漏洞，并在可用时应用补丁。