Verdens mest brugte system til administration og publicering af webindhold, Wordpress, omtales ofte som havende sikkerhedsproblemer, ikke mindst af dem, som administrerer softwaren selv.
Normalt skyldes dette ikke selve platformen, men temaer og plugins til Wordpress som websitesene bruger.
For det er ikke sjældent, at der opdages sårbarheder i plugins til Wordpress. Som oftest bliver disse fjernet hurtigt, men mange ejere af websites er ikke tilstrækkeligt påpasselige med at installere disse opdateringer, så snart de kommer.
Dette udnyttes selvfølgelig af it-kriminelle.
Automatisk opdatering
Nu skriver ZDNet, at teamet, som udvikler selve Wordpress, arbejder med en mekanisme, som kan sørge for, at temaer og plugins automatisk bliver opdateret.
Dette arbejde har efter sigende fundet sted i nogle måneder allerede.
Planen er, at mekanismen skal være inkluderet i Wordpress 5.5 og nyere.
Indtil da er det muligt at teste dette i en betatest. Autoopdateringen tilbydes nu som et plugin Wordpress, WP Auto-updates.
Dette giver administratorerne mulighed for at justere på autoopdateringen for hvert enkelt plugin og tema.
Derudover vil der med jævne mellemrum blive sendt en mail til administratorerne med en opsummering af autoopdateringen.
Forsigtig optimist
Ilia Kolochenko, CEO i websikkerhedsselskabet Immuniweb, mener, at autoopdateringen bør være aktiveret som standard.
»Det er en sikkerhedsforbedring, som Wordpress-økosystemet har ventet på længe, idet de fleste sikkerhedsproblemer knyttet til WP-websites stammer fra sårbar og uddateret tredjepartskode. Jeg er forsigtig optimist, medmindre denne funktion aktiveres som standard, eftersom et betydeligt antal ejere af websites ellers – uforvarende eller med vilje – vil ignorere den, fordi de er bekymrede for, at automatiske opdateringer kan føre til, at noget holder op med at fungere,« siger Kolochenko i en pressemeddelelse.
Lang tid fra opdagelse til sikkerhedsopdatering
Han minder også om, at mange af dem, som udvikler Wordpress-plugins, er små grupper, der ikke har deres egne sikkerhedsteams.
Der kan derfor gå relativt langt tid, fra en sårbarhed bliver opdaget og kendt, til en sikkerhedsopdatering er tilgængelig.
»På det tidspunkt er de fleste af de eksponerede WP-websites allerede blevet hacket og udstyret med bagdøre, som sælges videre på ‘the Dark Web’,« siger Kolochenko.
Han peger på, at man kan forhindre en del ved at tage Content Security Policy (CSP), Web Application Firewall (WAF) og forskellige sikkerhedsplugins til Wordpress i brug.
Uanset hvad er der stadig lidt tid, til Wordpress 5.5 bliver klar. Wordpress 5.4 er fortsat under udvikling og skal efter planen lanceres den 31. marts i år.
Artiklen er fra digi.no.
...men det er dyrt at lave god journalistik. Derfor beder vi dig overveje at tegne abonnement på Version2.
Digitaliseringen buldrer derudaf, og it-folkene tegner fremtidens Danmark. Derfor er det vigtigere end nogensinde med et kvalificeret bud på, hvordan it bedst kan være med til at udvikle det danske samfund og erhvervsliv.
Og der har aldrig været mere akut brug for en kritisk vagthund, der råber op, når der tages forkerte it-beslutninger.
Den rolle har Version2 indtaget siden 2006 - og det bliver vi ved med.
