Wordpress

Wordpress får etter­lengtet sikkerhets­funksjon

Ny funksjonalitet skal åpne for automatisk oppdatering av utvidelser og temaer.

Det finnes massevis av utvidelser og temaer til Wordpress. Også disse kan ha sårbarheter som ondsinnede kan utnytte. Derfor er det viktig å installere oppdateringer til disse så rakst som mulig.
Det finnes massevis av utvidelser og temaer til Wordpress. Også disse kan ha sårbarheter som ondsinnede kan utnytte. Derfor er det viktig å installere oppdateringer til disse så rakst som mulig. (Skjermbilde: Wordpress)

Ny funksjonalitet skal åpne for automatisk oppdatering av utvidelser og temaer.

Verdens mest brukte system for administrasjon og publisering av webinnhold, Wordpress, er ofte knyttet til sikkerhetsproblemer, ikke minst hos dem som administrerer programvaren selv. Vanligvis skyldes ikke dette selve plattformen, men i stedet temaer og utvidelser/plugins til Wordpress som nettstedene tar i bruk.

Les også

For det er ikke sjelden at det oppdages sårbarheter i slike tillegg til Wordpress. Som oftest blir disse fjernet ganske raskt, men mange nettstedeiere er ikke tilstrekkelig påpasselige med å installere disse oppdateringene straks de kommer. Dette utnyttes selvfølgelig av ondsinnede.

Autooppdatering

Nå skriver ZDNet at teamet som utvikler selve Wordpress, jobber med en mekanisme som kan sørge for at temaer og utvidelser automatisk blir oppdatert. Dette arbeidet skal ha pågått i noen måneder allerede. Planen er at mekanismen skal være inkludert i Wordpress 5.5 og nyere. 

Inntil da er det mulig å prøve ut dette i en betatest. Autooppdateringen tilbys nå som en egen utvidelse til Wordpress, WP Auto-updates.

Dette gir administratorene muligheten til å skru på autooppdateringen for hver enkelt utvidelse og tema. I tillegg vil det med jevne mellomrom bli sendt ut en e-post til administratorene med oppsummering av autooppdateringen.

Skisse over hvordan autooppdatering av Wordpress-utvidelser vil kunne aktiveres og deaktiveres.
Skisse over hvordan autooppdatering av Wordpress-utvidelser vil kunne aktiveres og deaktiveres. Illustrasjon: Wordpress

Forsiktig optimist

Ilia Kolochenko, CEO i websikkerhetsselskapet Immuniweb, mener at autooppdateringen bør være aktivert som standard.

Les også

– Dette er en sikkerhetsforbedring som Wordpress-økosystemet har ventet lenge på, gitt at de fleste sikkerhetsproblemer knyttet til WP-nettsteder stammer fra sårbar og utdatert tredjepartskode. Jeg vil være forsiktig optimist med mindre denne funksjonen aktiveres som standard, ettersom et betydelig antall nettstedeiere ellers – uforvarende eller med hensikt – vil ignorere den fordi de er bekymret for at automatiske oppdateringer kan føre til at noe slutter å fungere, sier Kolochenko i en pressemelding.

Omsettes

Han minner også om at mange av dem som utvikler Wordpress-utvidelser, er små grupper som ikke har egne sikkerhetsteam. Det kan derfor ta betydelig tid fra en sårbarhet blir oppdaget og kjent, til en sikkerhetsoppdatering er tilgjengelig.

– På dette tidspunktet har de fleste av de offentlig eksponerte WP-nettstedene allerede blitt hacket og utstyrt med bakdører som selges videre i markedsplasser i «the Dark Web», sier Kolochenko.

Han viser til at mye kan forhindres ved å ta i bruk Content Security Policy (CSP), Web Application Firewall (WAF) og ulike sikkerhetsutvidelser til Wordpress.

Uansett er det fortsatt en stund til Wordpress 5.5 blir klar. Wordpress 5.4 er fortsatt under utvikling og skal etter planen lanseres den 31. mars i år. 

Les også

Kommentarer (1)

Kommentarer (1)
Til toppen