Plugin, ma olen su isa…

Peeter Marvet
Jaga:

Antud blogipostitus on 82 kuud vana ning ei pruugi olla enam ajakohane.

Tavapärane soovitus on uuendada kohe ja kõike mis seda vähegi nõuab – sest kui mõni uuendus peaks lappima turva-augu, leiab lähipäevil logidest märke katsetest seda ära kasutada.

Vahel läheb aga teisiti – eelmine nädal jäi Sucuri’le silma WordPressi plugin Custom Content Type Manager uuendus, mis tundus sisaldavat turva-probleemi – lähemal uurimisel polnud tegu aga näpukaga, vaid sihilikult paigaldatud taga-uksega: When a WordPress Plugin Goes Bad.

Zone virtuaalserverites on selle plugina kataloog olemas 15 saidil – kuna probleemne kood on pluginakataloogist eemaldatud siis ei ole need aga enam ohustatud.

bad-plugin-no-donutLühidalt – keegi kasutajanime wooranker kasutav (või selle üle võtnud) isik sai õiguse teha muudatusi WordPressi plugi-kataloogis avaldatud ja ca 10-tuhande installiga pluginale ning asus kohe ka eksperimenteerima. Ehk siis uuenduse (või uue installi) teinud saite üle võtma.

Tänaseks on WordPressi tiim talt õigused ära võtnud (lisaks ülalmainitule oli puudutatud Postie), algse plugina-versiooni koodi taastanud (ja versiooninumbrit suurendanud) ehk reaktsioon kiire ja korralik. “Tumedale poolele” ülemineku risk aga jääb – ja kui levinud plugina puhul hakkab see loodetavasti peagi mõnele turvafriigile silma, siis vähemkasutatu puhul võib selleks tükk aega kuluda.

Mida siis soovitada?

  • küsi enne uue plugina paigaldamist “on mul seda ikka tegelikult vaja? paneb see mu veebi paremini müüma?”
  • kasuta ainult https://wordpress.org/plugins/ pealt paigaldatut (või väga tuntud autori loodut)
  • eelista suurema installide arvuga pluginaid – nende puhul on loota, et koodi-probleemid on silutud ning jamasid märkab keegi, kes suudab kiiresti reageerida
  • uuenda, uuenda, uuenda (mitte-uuendamise risk on oluliselt suurem)
  • uue veebitarkvara paigaldamisel tee seda Zone+ abil – see tagab, et nii WordPres kui kasutusel olevad pluginad on igapäevaselt uuendatud (kui mingi uuendus peaks tulevikus ka veebi veidi katki tegema, on see oluliselt väiksem jama kui sissehäkitud saada)
  • … ja Nimbusec skännima!

Populaarsed postitused

Partner soovitab:
Veebilehe optimeerimine paneb tulud kasvama

Digielu
Tänapäevase veebilehe optimeerimine mõjutab otseselt seda, kui hästi nii otsingumootorid kui ka kasutajad sinu veebilehte tajuvad.

Teeme andmebaasiühendused turvalisemaks

Ingmar Aasoja
Teatavasti on SQL andmebaaside kasutajatel vaikeseadistustes lubatud ühenduda ainult lokaalselt, mis tagab selle, et andmed ei liigu üle võõraste võrkude....

Partner soovitab:
Kuidas tõsta e-poe müüki disaini abil?

blogi
Kas oled märganud, et veebilehed on justkui uued vaateaknad? Inimesed toimetavad üha enam veebis, mis tähendab, et ka suur osa oste tehakse seal. See...