Verdens mest brukte system for administrasjon og publisering av webinnhold, Wordpress, er ofte knyttet til sikkerhetsproblemer, ikke minst hos dem som administrerer programvaren selv. Vanligvis skyldes ikke dette selve plattformen, men i stedet temaer og utvidelser/plugins til Wordpress som nettstedene tar i bruk.
Chilimobil og Phonero på topp når mobilkundene setter karakter
For det er ikke sjelden at det oppdages sårbarheter i slike tillegg til Wordpress. Som oftest blir disse fjernet ganske raskt, men mange nettstedeiere er ikke tilstrekkelig påpasselige med å installere disse oppdateringene straks de kommer. Dette utnyttes selvfølgelig av ondsinnede.
Autooppdatering
Nå skriver ZDNet at teamet som utvikler selve Wordpress, jobber med en mekanisme som kan sørge for at temaer og utvidelser automatisk blir oppdatert. Dette arbeidet skal ha pågått i noen måneder allerede. Planen er at mekanismen skal være inkludert i Wordpress 5.5 og nyere.
Inntil da er det mulig å prøve ut dette i en betatest. Autooppdateringen tilbys nå som en egen utvidelse til Wordpress, WP Auto-updates.
Dette gir administratorene muligheten til å skru på autooppdateringen for hver enkelt utvidelse og tema. I tillegg vil det med jevne mellomrom bli sendt ut en e-post til administratorene med oppsummering av autooppdateringen.
Forsiktig optimist
Ilia Kolochenko, CEO i websikkerhetsselskapet Immuniweb, mener at autooppdateringen bør være aktivert som standard.
NVE: En tredel av strømforbruket i norske datasentre går til utvinning av kryptovaluta
– Dette er en sikkerhetsforbedring som Wordpress-økosystemet har ventet lenge på, gitt at de fleste sikkerhetsproblemer knyttet til WP-nettsteder stammer fra sårbar og utdatert tredjepartskode. Jeg vil være forsiktig optimist med mindre denne funksjonen aktiveres som standard, ettersom et betydelig antall nettstedeiere ellers – uforvarende eller med hensikt – vil ignorere den fordi de er bekymret for at automatiske oppdateringer kan føre til at noe slutter å fungere, sier Kolochenko i en pressemelding.
Omsettes
Han minner også om at mange av dem som utvikler Wordpress-utvidelser, er små grupper som ikke har egne sikkerhetsteam. Det kan derfor ta betydelig tid fra en sårbarhet blir oppdaget og kjent, til en sikkerhetsoppdatering er tilgjengelig.
– På dette tidspunktet har de fleste av de offentlig eksponerte WP-nettstedene allerede blitt hacket og utstyrt med bakdører som selges videre i markedsplasser i «the Dark Web», sier Kolochenko.
Han viser til at mye kan forhindres ved å ta i bruk Content Security Policy (CSP), Web Application Firewall (WAF) og ulike sikkerhetsutvidelser til Wordpress.
Uansett er det fortsatt en stund til Wordpress 5.5 blir klar. Wordpress 5.4 er fortsatt under utvikling og skal etter planen lanseres den 31. mars i år.
– Historisk ender ikke dette godt: Veteran-analytiker mener KI er «ubrukelig»
