Безопасность плагинов. | WordPress.org Русский

Решено Леонид
(@generalissimus)

7 лет, 4 месяца назад

Ещё 6 лет назад участник форума sibqwerty задал вопрос: «Насколько безопасно скачивать плагины из админки, точнее из официального репозитария WordPress? Проверяет ли их там кто-то (кроме автора плагина) на наличие скрытых элементов или ещё чео-нибудь нехорошего?», на который модератор форума sergeybiryukov ответил ему

Насколько мне известно, с момента создания каталога плагины проверяет Mark Jaquith, один из ведущих разработчиков WordPress. Плагины, которые не соответствуют требованиям, удаляются из каталога. В позапрошлом и прошлом году он выступал на конференциях WordCamp с презентациями «Secure Coding with WordPress» и «Writing Secure Plugins».

Однако в 2016 году исследователи из компании RIPS Technologies изучили безопасность 47 959 плагинов для WordPress (именно столько представлено на официальном сайте WordPress.org, так что исследователи проверили большую их часть). Для проведения тестов, специалисты загрузили все плагины с сайта, а затем воспользовались статическим анализатором кода, чтобы выявить плагины, которые имеют хотя бы один PHP-файл. Таких оказалось 44 705, именно их изучали далее.

Как выяснилось, около 14 000 плагинов (32%) содержат всего 2-5 файлов, тогда как крупных плагинов, содержащих более 500 строк кода, насчитывается 10 523 штуки. 4559 из них (то есть 43%) содержат по меньшей мере одну XSS-уязвимость.

Критические уязвимости были найдены лишь в 41 плагине, а вот серьёзные и умеренные проблемы содержат 7411 плагинов. Малоопасные проблемы были найдены в 1426 плагинах. Таким образом, суммарно исследователи выявили 67 486 различных проблем с безопасностью и установили, что более 8800 плагинов так или иначе уязвимы.

Самым распространенным типом уязвимостей являются XSS-баги (68%). Широкое распространение также имеют и SQL-инъекции (20%).

В связи с чем опять возник тот же вопрос шестилетней давности, а именно, проверяет ли кто на безопасность плагины для WordPress, размещённые на официальном сайте WordPress.org?!

Результаты своего исследования специалисты компании RIPS Technologies опубликовали на своём сайте 14 декабря 2016 года.

Информация об этом в русском переводе опубликована журналом Xaker.ru 16.12.2016 года.

Просмотр 14 ответов — с 1 по 14 (всего 14)

Модератор Sergey Biryukov
(@sergeybiryukov)

Live and Learn

7 лет, 4 месяца назад

проверяет ли кто на безопасность плагины для WordPress, размещённые на официальном сайте WordPress.org?!

Теперь этим занимается не один человек, а отдельная команда.

Каждый новый плагин перед публикацией в каталоге проходит ручную проверку. Последующие версии уже невозможно проверять вручную (хотя есть ряд автоматических тестов), поэтому нельзя сказать, что нахождение плагина в каталоге гарантирует его полную безопасность.

Однако команда проверки оперативно реагирует на сообщения пользователей, и при обнаружении уязвимости плагин блокируется (перестаёт отображаться в каталоге) до её устранения.

Если уязвимость серьёзна и плагин достаточно популярен, команда безопасности WordPress выпускает для него автоматическое фоновое обновление, как это было с Yoast SEO и Jetpack.

Разработчикам доступна подробная документация по написанию безопасного кода. Пользователям настоятельно рекомендуется своевременно обновлять плагины и темы, как и сам движок.

На мой взгляд, проблема безопасности гораздо более актуальна для платных плагинов, которых в репозитории нет, и остаётся только надеяться, что авторы проверяют их сами. В них также встречаются уязвимости, поэтому предпочтение стоит отдавать авторам, оперативно выпускащим исправления.

Подробнее о безопасности WordPress (включая ядро, плагины и темы) можно прочитать на официальном сайте: https://wordpress.org/about/security/.

Для проведения тестов специалисты загрузили все плагины с сайта, а затем воспользовались статическим анализатором кода

Здесь стоит учитывать, что статические анализаторы часто дают ложную картину и показывают уязвимости там, где их нет.

Подобные отчёты появляются регулярно, но на практике обычно оказывается, что указанных уязвимостей либо нет, либо воспользоваться ими может только администратор сайта.

Модератор Yuri
(@yube)

7 лет, 4 месяца назад

выявить плагины, которые имеют хотя бы один PHP-файл. Таких оказалось 44 705

Было бы интересней, если бы они выявили плагины, которые не имеют ни одного php-файла.
Автор Леонид
(@generalissimus)

7 лет, 4 месяца назад
Теперь этим занимается не один человек, а отдельная команда.

Если проверкой плагинов WordPress на безопасность занимались и занимаются, почему же тогда один из известных разработчиков WordPress в своей статье «Основы безопасности WordPress» от 18.03.2013 г. в разделе » Уязвимый плагин WordPress» сообщил, что в директории WordPress.org «есть и уязвимые плагины, которые могут обеспечить злоумышленнику полный доступ к вашему сайту. Заранее знать безопасен ли тот или иной плагин невозможно, а проверка на уязвимость может занять от нескольких часов, до нескольких недель.»? То есть он публично признал, что они там есть!
И Вы это же признаёте, что нахождение плагина в каталоге не гарантирует его полную безопасность.

На мой взгляд, проблема безопасности гораздо более актуальна для платных плагинов, которых в репозитории нет…

Исследователи проверяли плагины именно и только из официальной директории WordPress!
- Ответ изменён 7 лет, 4 месяца назад пользователем Леонид. Причина: Корректировка форматирования
- Ответ изменён 7 лет, 4 месяца назад пользователем Леонид. Причина: Корректировка форматирования
Автор Леонид
(@generalissimus)

7 лет, 4 месяца назад

Подробнее о безопасности WordPress (включая ядро, плагины и темы) можно прочитать на официальном сайте: https://wordpress.org/about/security/.

Не удивительно, что именно этот раздел о безопасности WordPress до сих пор не переведён на русский язык!

SeVlad
(@sevlad)

7 лет, 4 месяца назад

То есть он публично признал, что они там есть!

Не удивительно, что именно этот раздел о безопасности WordPress до сих пор не переведён на русский язык!

Не используйте Вордпресс. Пишите свой безопасный движок. За 2 месяца без знаний html.

Модератор Yuri
(@yube)

7 лет, 4 месяца назад

И Вы это же признаёте, что нахождение плагина в каталоге не гарантирует его полную безопасность.

«Полное спокойствие может дать человеку только страховой полис» (Остап-Сулейман-Берта-Мария-Бендер-бей)
Автор Леонид
(@generalissimus)

7 лет, 4 месяца назад
Не используйте Вордпресс. Пишите свой безопасный движок. За 2 месяца без знаний html.

SeVlad, спасибо за Ваш хотя и не конструктивный, тем не менее ответ!
Нельзя обижаться на объективную критику!
Если уж сам Джон Мюллер положительно отозвался о WordPress, и многие западные вебмастера считают, что Google наделяет некоторыми «преференциями» сайты, работающие на WordPress, то ничего не остаётся, как создавать сайт именно на WordPress!
Возможно, что Вы также поможете мне в этом!
- Ответ изменён 7 лет, 4 месяца назад пользователем Леонид. Причина: Дополнение ответа
Автор Леонид
(@generalissimus)

7 лет, 4 месяца назад
«Полное спокойствие может дать человеку только страховой полис»

Юрий, к РФ это не относится потому, чтобы в РФ получить крупную страховку, надо пройти множество судебных инстанций, чтобы доказать своё законное на неё право!
- Ответ изменён 7 лет, 4 месяца назад пользователем Леонид. Причина: Корректировка форматирования
SeVlad
(@sevlad)

7 лет, 4 месяца назад
Нельзя обижаться на объективную критику!

Это не обида, не критика и не ничего объективного в Вашем троллинге нет.
Критиковать может человек, более-менее владеющий предметом.
А тот, кто разносит обрывки чужих старых знаний по принципу испорченного телефона — обычный тролль.

Я же Вам дал совет, который позволит Вам не портить ни свои нервы, ни другим.
«Нельзя обижаться на объективную критику!»
- Ответ изменён 7 лет, 4 месяца назад пользователем SeVlad.
Автор Леонид
(@generalissimus)

7 лет, 4 месяца назад

Это не обида, не критика и не ничего объективного в Вашем троллинге нет.

Это уже Ваши нервы, к сожалению! Судя по всему, Вас раздражает мои внимательность, дотошность и скрупулёзность в разборчивом отношении к выбору CMS для будущего сайта, что присуще далеко не всем, а для Вас лично это не привычно.

Если я по-Вашему «троллю», тогда удалите все мои вопросы и сюда я больше никогда не приду! С настоящими «троллями» так и поступают! У Вас, как у модератора есть же такое право!

Не используйте Вордпресс. Пишите свой безопасный движок. За 2 месяца без знаний html.

Базовыми знаниями HTML и CSS я уже овладел, поэтому в опровержение Ваших «объективных» доводов привожу компетентное мнение Джона Мюллера о том, что валидность HTML-кода не является фактором ранжирования Google!

Модератор Sergey Biryukov
(@sergeybiryukov)

Live and Learn

7 лет, 4 месяца назад

То есть он публично признал, что они там есть!

Всё верно, уязвимости можно найти в любом активно развивающемся проекте. Вопрос в том, насколько оперативно они устраняются.

SeVlad
(@sevlad)

7 лет, 4 месяца назад

мои внимательность, дотошность и скрупулёзность в разборчивом отношении

Ну хоть смешно писать можете 🙂

тогда удалите все мои вопросы и сюда я больше никогда не приду!

Только это Вас останавливает от ускорения таких героических действий? 🙂

Можно подумать Вы первый такой 🙂

Автор Леонид
(@generalissimus)

7 лет, 4 месяца назад

Ну хоть смешно писать можете

Жаль, что на этом «гостеприимном» форуме у участника форума нет возможности нажать кнопку «Удалить созданную тему»!

Модератор Yuri
(@yube)

7 лет, 4 месяца назад

«Полное спокойствие может дать человеку только страховой полис» (Остап-Сулейман-Берта-Мария-Бендер-бей)

Юрий, к РФ это не относится потому, чтобы в РФ получить крупную страховку, надо пройти множество судебных инстанций, чтобы доказать своё законное на неё право!

При первой же возможности я передам Ваше замечание Остапу Ибрагимовичу.