ISC был взломан посредством дефекта WordPress, но существует теперь автоматический способ защитить сайты WordPress и (в конечном счете) устранить риск неисправленных систем.Главный путь к эксплуатации во многих случаях является устаревшим и неисправленным программным обеспечением, которое позволяет хакерам использовать в своих интересах известные уязвимости. Никакой посторонний к неисправленному программному обеспечению, блоггингу WordPress и системе управления контентом (CMS) теперь не сделал большой шаг вперед, чтобы помочь снизить тот риск, обеспечив автоматическое обновление для плагинов.WordPress является проектом программного обеспечения с открытым исходным кодом, который предоставляет код приложения в свободном доступе пользователям для выполнения в саморазмещенной среде.
Существует также размещенный сайт WordPress.com, управляемый Automattic, ведущим коммерческим спонсором WordPress, которая обеспечивает управляемую среду WordPress и услуги. WordPress.com предлагает плагин Реактивного ранца для саморазмещенных пользователей WordPress, который предоставляет многократные услуги, включая новую инструментальную панель для управления многократные сайты WordPress.Реактивный ранец 3,3 обновления, которые были сначала официально выпущены 16 декабря, предоставляет пользователям главную особенность, которая могла помочь значительно сократить угрозы безопасности для саморазмещенных сайтов WordPress. С Реактивным ранцем 3.3, администраторы сайта могут теперь решить включить автоматические обновления для любого плагина, который работает на сайте WordPress, или даже через группу сайтов WordPress.
Реактивный ранец является плагином в свободном доступе, который саморазмещенные пользователи WordPress могут установить непосредственно из сайта WordPress или через адрес http://jetpack.me/install/.Включение автоматических сменных обновлений для WordPress следует за приобретением Automattic поставщика систем обеспечения безопасности BruteProtect в августе.
«Новейшая версия Реактивного ранца предоставляет пользователям возможность обновить плагины, оптом или автоматически, через связь WordPress.com», заявляет сайт BruteProtect. «Добавление этой функции, вместе с существующей функциональностью ‘Монитора’ Реактивного ранца (который обеспечивает предупреждения времени простоя), копирует большинство функций, предлагаемых Моим BruteProtect».Важность наличия механизма, который автоматически обновляет плагины WordPress, не может быть завышена.
23 декабря поставщик систем обеспечения безопасности Cyphort сообщил, что предупредил Интернет-системный консорциум (ISC), что сайт ISC.org поставился под угрозу и вручал вредоносное программное обеспечение. То, что особенно примечательно, – то, что ISC является ведущим спонсором и разработчиком сервера DNS BIND с открытым исходным кодом, который широко развертывается на интернет-инфраструктуре питания. ISC является также менеджером F-корневого сервера имен для корневого DNS.Сайт ISC.org, по словам Сифорта, выполнял WordPress.
Сифорт отметил, что это предупредило ISC к проблеме 22 декабря, и сайт был заменен новой статической страницей 23 декабря.Неделя до взлома ISC.org, eWEEK сообщила относительно вредоносного заражения SoakSoak, которое повлияло больше чем на 100 000 сайтов WordPress. Вредоносное программное обеспечение SoakSoak, как много других инцидентов безопасности WordPress в 2014, использовало в своих интересах устаревший плагин на сайтах WordPress.С новым Реактивным ранцем 3,3 обновления устаревшие плагины могли теперь стать вещью прошлого, и риск использования как SoakSoak мог бы хорошо быть значительно уменьшен.
Базовый проект WordPress с открытым исходным кодом обеспечивал автоматическую безопасность и критические обновления исправления ошибки с октября 2013, когда WordPress 3.7 был выпущен. Однако те автоматические обновления только что были для ядра кода WordPress, оставив плагины все еще представленными.
Реактивный ранец 3,3 завершения выпуска, что подверженность риску и, в сочетании с автоматическими базовыми обновлениями WordPress, обеспечивает платформу приложений, которая сохраняет себя обновленным против исправленных угроз безопасности.Однако даже при том, что WordPress теперь имеет технологию для автоматического базового приложения и сменных обновлений, существуют все еще риски платформы. WordPress должна быть установлена поверх штабеля инфраструктуры приложений, который обычно является операционной системой Linux; база данных MySQL или MariaDB; Apache или веб-сервер Nginx; и язык программирования PHP.
Уязвимость в любом из тех компонентов могла все еще потенциально подвергнуть сайты WordPress риску.Что теперь сделала WordPress, хотя, предоставляют существенное приложение, которое может постоянно обновляться с обновлениями системы защиты без вмешательства администратора. В то время как маловероятно, что каждый администратор сайта WordPress включит автоматический сайт и сменные обновления, многие будут и это служить для обеспечения широкого ряда Интернета от риска неисправленных уязвимостей WordPress.Шон Майкл Кернер является главным редактором eWEEK и InternetNews.com.
Следуйте за ним в Твиттере @TechJournalist.