Wordpress får længe ventet sikkerheds­funktion

Illustration: wordpress
Ny funktionalitet skal åbne for automatisk opdatering af plugins og temaer.
Der findes massevis af plugins og temaer til Wordpress. Og de kan have sårbarheder, som ondsindede aktører kan udnytte. Derfor er det vigtigt at installere opdateringer til dem så hurtigt som muligt. Illustration: Screendump: Wordpress

Verdens mest brugte system til administration og publicering af webindhold, Wordpress, omtales ofte som havende sikkerhedsproblemer, ikke mindst af dem, som administrerer softwaren selv.

Normalt skyldes dette ikke selve platformen, men temaer og plugins til Wordpress som websitesene bruger.

For det er ikke sjældent, at der opdages sårbarheder i plugins til Wordpress. Som oftest bliver disse fjernet hurtigt, men mange ejere af websites er ikke tilstrækkeligt påpasselige med at installere disse opdateringer, så snart de kommer.

Dette udnyttes selvfølgelig af it-kriminelle.

Automatisk opdatering

Nu skriver ZDNet, at teamet, som udvikler selve Wordpress, arbejder med en mekanisme, som kan sørge for, at temaer og plugins automatisk bliver opdateret.

Dette arbejde har efter sigende fundet sted i nogle måneder allerede.

Planen er, at mekanismen skal være inkluderet i Wordpress 5.5 og nyere.

Indtil da er det muligt at teste dette i en betatest. Autoopdateringen tilbydes nu som et plugin Wordpress, WP Auto-updates.

Dette giver administratorerne mulighed for at justere på autoopdateringen for hvert enkelt plugin og tema.

Derudover vil der med jævne mellemrum blive sendt en mail til administratorerne med en opsummering af autoopdateringen.

Skitse over, hvordan autoopdateringen af Wordpress-plugins vil kunne aktiveres og deaktiveres. Illustration: Wordpress

Forsigtig optimist

Ilia Kolochenko, CEO i websikkerhedsselskabet Immuniweb, mener, at autoopdateringen bør være aktiveret som standard.

»Det er en sikkerhedsforbedring, som Wordpress-økosystemet har ventet på længe, idet de fleste sikkerhedsproblemer knyttet til WP-websites stammer fra sårbar og uddateret tredjepartskode. Jeg er forsigtig optimist, medmindre denne funktion aktiveres som standard, eftersom et betydeligt antal ejere af websites ellers – uforvarende eller med vilje – vil ignorere den, fordi de er bekymrede for, at automatiske opdateringer kan føre til, at noget holder op med at fungere,« siger Kolochenko i en pressemeddelelse.

Lang tid fra opdagelse til sikkerhedsopdatering

Han minder også om, at mange af dem, som udvikler Wordpress-plugins, er små grupper, der ikke har deres egne sikkerhedsteams.

Der kan derfor gå relativt langt tid, fra en sårbarhed bliver opdaget og kendt, til en sikkerhedsopdatering er tilgængelig.

»På det tidspunkt er de fleste af de eksponerede WP-websites allerede blevet hacket og udstyret med bagdøre, som sælges videre på ‘the Dark Web’,« siger Kolochenko.

Han peger på, at man kan forhindre en del ved at tage Content Security Policy (CSP), Web Application Firewall (WAF) og forskellige sikkerhedsplugins til Wordpress i brug.

Uanset hvad er der stadig lidt tid, til Wordpress 5.5 bliver klar. Wordpress 5.4 er fortsat under udvikling og skal efter planen lanceres den 31. marts i år.

Artiklen er fra digi.no.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Følg forløbet
Kommentarer (2)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
Kim Domino Evers

Funktionen bliver måske mere brugervenlig, men selv funktionen har faktisk været muligt i laaaaang tid!

Man kan bare tilføje følgende til ens functions.php

addfilter( 'autoupdateplugin', 'returntrue' );

Eller er det ens temaer man ønsker opdateret:

addfilter( 'autoupdatetheme', 'returntrue' );

  • 0
  • 0
Log ind eller Opret konto for at kommentere