Historique des vulnérabilités de sécurité WordPress et leurs implications

Vaste expérience de la collaboration avec d’autres chefs de file de l’industrie pour combler les lacunes communes et engagement à l’égard des politiques d’ouverture. Types de menaces courants: le document donne également un aperçu utile des menaces les plus courantes à la sécurité définies par les projets de sécurité des applications Web ouvertes. Cela comprend des vecteurs d’attaque communs tels que l’injection SQL et les scripts inter – sites. Le rôle des plugins et des thèmes: plus de 30 000 plugins et plus de 2000 thèmes sont disponibles uniquement sur WordPress. De toute évidence, ils représentent les voies d’accès les plus courantes et les plus vulnérables à ce jour. L’importance de l’hébergement: Si vous constatez que votre environnement hôte est menacé, les meilleures précautions de sécurité au niveau WordPress local n’ont aucun sens. L’accès rapide aux archives de sécurité WordPress est le moyen le plus rapide de connaître le nombre d’activités liées à la sécurité WordPress au fil des ans: Vous y trouverez des informations détaillées sur toutes les versions sécurisées qui ont été facilement assemblées jusqu’à présent en un seul endroit. Comme vous pouvez le voir dans le registre des entrées, des problèmes de sécurité surgissent souvent soudainement, et nous en détaillerons bientôt certains. Comme le souligne Matt Mullenweg, la plus grande amélioration de sécurité que vous pouvez apporter au site est de vous assurer qu’il est constamment mis à jour. Malheureusement, les attaques en cours sont un fait de la vie en ligne, mais la communauté a une excellente expérience pour réagir rapidement et de manière transparente à ces attaques.
Continuons à regarder des périodes remarquables où les niveaux de menace étaient particulièrement élevés et forcés de le faire. 2007 \/ 2008 – premiers ajouts À l’approche du cinquième anniversaire de WordPress, WordPress devient de plus en plus populaire en tant que CMS et les attaques augmentent considérablement. Les hackers sont nés
En 2007 et 2008, des fruits de basse altitude et une vague d’attaques contre le référencement et les blogs adsense sont apparus: Techcrunch conduit sous ce titre assez choquant. Pire encore, les serveurs WordPress ont été corrompus pendant cette période, ce qui a conduit à l’inclusion d’une porte dérobée potentielle dans WordPress 2.1.1 en 2007.
Ce problème a été rapidement résolu dans la version sécurisée 2.1.2, mais a eu peu d’impact sur la réputation initiale du logiciel. À la mi – 2007, les questions de sécurité étaient de plus en plus au Centre des préoccupations des dirigeants communautaires, et l’un des principaux effets à long terme de ce regain d’intérêt était la possibilité d’introduire une mise à jour en un seul clic dans WordPress 2.7 (Coltrane). Le processus précédent de mise à jour manuelle a été considéré comme l’un des principaux obstacles pour convaincre les utilisateurs de mettre à jour régulièrement, ce qui a considérablement augmenté le nombre de sites en temps réel vulnérables.
En 2009, avec la sortie d’une série de correctifs de sécurité, l’accent a de nouveau été mis sur la sécurité entre juillet et octobre 2009, et l’activité s’est encore intensifiée, couvrant les versions WordPress de 2.8.1 à 2.8.6. Cela a commencé lorsque corelabs a découvert une vulnérabilité critique affectant la version 2.8 et les versions antérieures. Ce problème a été corrigé dans la version 2.8.1, mais il marque également le début d’une série de versions qui résolvent des problèmes de correction pour des améliorations générales de WordPress ou d’autres vulnérabilités graves. La séquence se termine par Thanksgiving 2009 version 2.8.6.
Bien que les effets à long terme du renforcement de la sécurité globale de WordPress soient incroyablement positifs, beaucoup dans la communauté se souviendront que c’est la période sombre de la plateforme et qu’il semble nécessaire de la mettre à jour toutes les deux semaines. Il y a une bonne solution
Ceci est principalement dû à la découverte récente d’une vulnérabilité xss qui affecte certains des plug – ins les plus installés dans l’écosystème WordPress. La liste des plug – ins concernés est le véritable catalogue de célébrités WordPress, y compris yoast, Gravity forms et même jetpack. Même le plus grand plugin wordpress au monde peut être attaqué, mais les mises à jour de sécurité seront publiées presque immédiatement. Comme d’habitude, la version 4.1.2 corrige rapidement les principales vulnérabilités, mais cela indique que même en 2015, après plus d’une décennie de surveillance active et d’amélioration de la plate – forme, les principaux problèmes de sécurité peuvent encore survenir instantanément. Plus d’informations sur le développement de wpmu en plus de vous tenir au courant, vous pouvez utiliser wordpress pour prendre des mesures plus larges pour rendre votre site aussi sûr que possible. Au fil des ans, nous avons discuté des questions de sécurité à plusieurs reprises au wpmu Dev et vous avons fourni des lignes directrices complètes pour vous aider à fermer ces portes numériques en toute sécurité. Consultez en particulier ces trois articles pour obtenir des informations complètes sur les étapes à suivre pour protéger votre site: sécurité WordPress: conseils validés pour protéger WordPress. Plus tôt cette année, Jennie McKinnon a donné un aperçu à jour du thème global de sécurité de WordPress. Si vous venez de commencer à étudier ce sujet, c’est un bon point de départ. Les bases de la sécurité WordPress. Raylyn Wilson présente notre série vidéo en cinq Parties sur tout ce que vous devez savoir pour protéger votre site. Surveillance importante des propriétaires de sites Web. Sécurité WordPress: le Guide ultime. Le travail de Kevin Muldoon 2014 est un guide très complet sur les mesures qu’il a prises après que le site ait été piraté. Une étude sérieuse et informative sur le sujet. Thèmes de ressources plus éloignés
La cybersécurité est évidemment énorme, donc nous nous limiterons à deux points de départ solides pour en savoir plus: renforcer WordPress. WordPress Codex lui – même est un bon point de départ pour creuser profondément, et il n’y a pas de meilleur point de départ que la section protection de WordPress. Jus de fruits. Réseau En plus d’aider à lancer les problèmes de plugin de cette année, les bonnes personnes de sucuri ont suivi les questions de sécurité de WordPress pendant longtemps. Leur blog est une ressource importante sur la cybersécurité, en particulier WordPress. Conclusion comme vous pouvez le voir dans les événements historiques que nous soulignons ici et dans la série actuelle de bogues qui ont fait sensation en 2015, la sécurité est un sujet de préoccupation constante pour les propriétaires de WordPress. Au fil des ans, la plate – forme elle – même a pris des mesures importantes pour constituer une équipe de sécurité de classe mondiale qui réagit rarement de façon ponctuelle aux vulnérabilités individuelles. Si vous utilisez votre site, des mises à jour régulières et une attention particulière aux types de ressources de sécurité que nous avons mentionnés à la fin de l’article demeurent la meilleure façon d’assurer la sécurité. Nous aimerions savoir ce que vous pensez de la façon dont WordPress a géré ce sujet au fil des ans et si vous pensez que la dernière vague d’attaques de vulnérabilité a été un coup dur à la réputation de la plateforme. Partagez votre point de vue dans les commentaires ci – dessous. Étiquette: sécurité WordPress