iThemes Security Pro 功能聚焦 – 版本管理

已發表: 2021-04-13

在 Feature Spotlight 帖子中，我們重點介紹了 iThemes Security Pro 中的一項功能，並分享了我們開發該功能的原因、該功能適用於誰以及如何使用該功能。

今天我們將介紹版本管理，這是一個很棒的工具，可以讓管理 WordPress 或主題和插件的更新變得輕而易舉。

為什麼我們開發版本管理

保持軟件更新是任何安全策略的重要組成部分。更新不僅用於錯誤修復和新功能。更新還可以包括關鍵的安全補丁。如果沒有該補丁，您的手機、計算機、服務器、路由器或網站就會容易受到攻擊。

星期二補丁

補丁星期二是非官方術語，指的是 Microsoft 在每個月的第二個星期二發布的常規錯誤和安全修復程序。微軟以如此可靠的節奏發布安全修復程序真是太棒了。補丁星期二也是公開披露微軟補丁的安全漏洞的日子。

查看 2020 年 WordPress 安全終極指南電子書中的更新內容和如何自動更新部分，了解如何自動應用補丁星期二更新。

利用星期三

在補丁星期二之後的星期三，經常會看到許多攻擊者在過時和未打補丁的系統上利用先前已知的漏洞。因此，補丁星期二之後的星期三被非正式地稱為利用星期三。

為什麼黑客會針對已修補的漏洞？

黑客以修補漏洞為目標，因為他們知道人們不會更新（包括您網站上的插件和主題）。在修補漏洞之日公開披露漏洞是行業標準。公開披露漏洞後，該漏洞將成為軟件過時和未修補版本的“已知漏洞”。具有已知漏洞的軟件很容易成為黑客的目標。

黑客喜歡簡單的目標，並且擁有具有已知漏洞的軟件就像向黑客提供分步說明以闖入您的 WordPress 網站、服務器、計算機或任何其他聯網設備。

負責任的披露

您可能想知道為什麼要披露一個漏洞，如果它為黑客提供了攻擊的漏洞。好吧，安全研究人員發現漏洞並將其私下報告給軟件開發人員是很常見的。

在負責任的披露下，研究人員的初始報告是私下向擁有該軟件的公司的開發人員提交的，但同意在補丁發布後發布完整的詳細信息。對於重大安全漏洞，可能會稍微延遲披露漏洞，讓更多人有時間修補。

安全研究人員可以為軟件開發人員提供一個截止日期以響應報告或提供補丁。如果沒有達到這個期限，那麼研究人員可能會公開披露該漏洞，迫使開發者發布補丁。

公開披露漏洞並看似引入零日漏洞（一種沒有補丁且正在被廣泛利用的漏洞）似乎適得其反。但是，這是研究人員必須向開發人員施壓以修補漏洞的唯一手段。

如果黑客發現了該漏洞，他們可以悄悄地使用漏洞利用程序並對最終用戶（也就是您）造成損害，而軟件開發人員仍然滿足於不修補漏洞。

在披露漏洞方面，Google 的 Project Zero 也有類似的指導方針。無論漏洞是否已修補，他們都會在 90 天后發布漏洞的完整詳細信息。

過時的插件和主題是 #1 WP 漏洞

很難跟踪每個已披露的 WordPress 漏洞——我們會在我們的 WordPress 漏洞綜述中跟踪並分享它們——並將該列表與您在網站上安裝的插件和主題的版本進行比較。但是，這並不能阻止 WordPress 黑客針對具有已知漏洞的插件和主題。在您的網站上安裝具有已知漏洞的軟件可為黑客提供接管您網站所需的藍圖。

iThemes Security Pro 站點掃描會檢查您的網站是否存在已知的 WordPress、插件和主題漏洞，並在可用時應用補丁。

2018 年底，黑客積極利用 WP GDPR 合規插件中的漏洞。該漏洞允許未經授權的用戶（未登錄網站的人）修改 WP 用戶註冊設置並將默認的新用戶角色從訂閱者更改為管理員。值得慶幸的是，WP GDPR 合規插件開發人員迅速採取行動，並在公開披露後的第二天發布了針對該漏洞的補丁。

但是，就像漏洞利用星期三一樣，即使已經發布了補丁，黑客還是瞄準了該漏洞。在 WP GDPR 合規漏洞披露後的幾天和幾週內，我們收到了一系列報告，稱 WordPress 網站被利用該漏洞的攻擊者入侵。

擁有一個有補丁但未應用的易受攻擊的插件或主題是被黑 WordPress 網站的罪魁禍首。 這太令人沮喪了！！！！！ 這意味著大多數 WP 黑客都可以被阻止。

想想所有花費大量資金清理網站的人，他們在網站關閉時損失的收入，以及由於失去客戶的信任而損失的未來收入，這令人沮喪。當您知道通過簡單的更新可以避免所有這些痛苦時，它會更加令人不安。

通過版本管理，我們希望讓人們更輕鬆地管理更新並幫助防止他們使用具有已知漏洞的軟件版本。

什麼是版本管理？

iThemes Security Pro 中的版本管理功能允許您自動更新 WordPress、插件和主題。

除此之外，當您運行過時的軟件並掃描舊網站時，版本管理還可以選擇加強您的網站。

WP 自動更新與版本管理

我知道您在想什麼：“WordPress 沒有自動更新選項嗎？” 是的，由於在 WordPress 5.5 中添加了自動更新，現在確實如此，但 iThemes Security Pro 中的自動更新功能要強大得多。讓我們花一點時間來比較 WP 和 iThemes Security Pro 的自動更新。

首先讓我說，我認為 WordPress 添加自動更新對 WordPress 的未來非常有用。 WordPress 社區採用自動更新意味著更少的網站將被黑客入侵。更少的網站被黑客入侵將導致更少的人錯誤地認為 WordPress 是一個不安全的平台。

自動更新還將導致插件和主題開發人員推出更好的版本。如果我們知道我們的客戶依賴自動更新，我們將確保我們的版本不需要一系列後續版本來修復初始版本中引入的錯誤。這將有助於改變 WordPress 與其他平台相比需要更多手動維護的觀念。

與默認的 WordPress 自動更新相比，以下是 iThemes Security Pro 版本管理提供更大靈活性的三種方式。

簡化的插件和主題管理– 從版本管理設置管理所有插件和主題更新。
為插件和主題更新添加自定義延遲期– WordPress 自動更新僅提供立即應用更新的選項。更新計劃程序允許您創建自定義延遲。對於在主要版本發布後往往需要一些後續版本來修復問題的插件或主題，延遲可能是一個不錯的選擇。
僅應用修復已知漏洞的更新 - 僅應用修復已知漏洞的更新。如果您想手動運行所有更新但希望立即收到安全補丁，則此選項是完美的選擇。

WordPress 自動更新

WordPress 為插件和主題自動更新提供了兩個選項，打開或關閉。您將在 WordPress 插件頁面上啟用插件自動更新。

主題自動更新選項隱藏在主題詳細信息頁面中。

版本管理自動更新

版本管理更新計劃程序可以選擇禁用自動更新、立即更新或根據需要延遲更新。此外，您可以在版本管理設置中配置插件和主題更新計劃。

好的，讓我們進入設置並仔細查看不同的版本管理選項。

如何在 iThemes Security Pro 中使用版本管理

要開始使用版本管理，請在安全設置的主頁上啟用該模塊。

現在單擊“配置設置”按鈕以仔細查看設置。

WordPress 更新– 自動安裝最新的 WordPress 版本。
插件更新- 自動安裝最新的插件更新。啟用此設置將禁用 WordPress 自動更新插件功能以防止衝突。
主題更新- 自動安裝最新的主題更新。啟用此設置將禁用 WordPress 自動更新主題功能以防止衝突。
運行過時軟件時加強站點 - 當一個月未安裝可用更新時，自動為站點添加額外保護。
- 強制所有未啟用雙因素的用戶在重新登錄之前提供發送到其電子郵件地址的登錄代碼。
- 禁用 WP 文件編輯器（阻止人們編輯插件或主題代碼）。
- 禁用 XML-RPC pingbacks，並阻止每個 XML-RPC 請求的多次身份驗證嘗試（這兩者都將使 XML-RPC 更強大地抵禦攻擊，而不必完全關閉它）。

掃描舊的 WordPress 站點– 每天對舊的 WordPress 站點的託管帳戶進行掃描，這可能允許攻擊者破壞服務器。 一個存在漏洞的過時 WordPress 站點可能允許攻擊者破壞同一託管帳戶上的所有其他站點。
修復漏洞時自動更新- 此選項與 iThemes Security Pro 站點掃描協同工作，以檢查您的網站是否存在已知的 WordPress、插件和主題漏洞，並在可用時應用補丁。