WordPress Day: a kiberbiztonságban senki sem nyer, de lehetsz te a “költségesebb” célpont…

Írta: NetMasters

2023.03.21.

Mennyire stabil a WordPress? Ki a legveszélyesebb ügyfél, ha biztonságról van szó? Hány sebezhetőséget javítanak évente – és hányat nem? Néhány rövid kérdés, amire a Cloudfest első napján választ kaptunk,és amiről most először egy rövid összefoglalót olvashatsz, mielőtt nekiállnánk részletesen kibontani a tudásanyagot.

A napot Jonathan Wold, a Guildenberg ügyvezetője nyitotta, aki az idén 20 éves WordPressről osztott meg néhány gondolatot , a platform előnyei mellett a kockázatait is érintve.

Az előnyöket nem nehéz meglátni. 

Először is világszerte valahol 38 és 82 millió közötti aktív weboldalt alapoznak rá.  Az  elnagyolt becslés miértjére még visszatérünk, de spolier: azért nem tudjuk pontosan, mert még a Google se tudja a komplett netet beindexelni, a technológiaelemzők meg pláne.

Az open source azt is jelenti, hogy, ahogy Wold fogalmazott, “…a WordPresst nagyon nehéz lenne kinyírni”. Mégpedig azért, mert több mint tízezer cég gyárt a platformnak termékeket (bővítményeket, analitikai eszközöket, SaaS szolgáltatásokat és így tovább), nem beszélve a WordPress iránt elkötelezett infrastruktúra-szolgáltatók és tárhelyszolgáltatók tíz- és százezreiről.

Az open source azt is jelenti, hogy, ahogy Wold fogalmazott, “…a WordPresst nagyon nehéz lenne kinyírni”. Mégpedig azért, mert több mint tízezer cég gyárt a platformnak termékeket (bővítményeket, analitikai eszközöket, SaaS szolgáltatásokat és így tovább), nem beszélve a WordPress iránt elkötelezett infrastruktúra-szolgáltatók és tárhelyszolgáltatók tíz- és százezreiről.

A fő kihívás, amivel a WordPress-szolgáltatók (mellesleg több szinten mi is ide tartozunk) kénytelenek megbirkózni, az szó szerint a túl nagy szabadság. Akinek ugyanis WP oldala van, a maga ura, mégpedig teljesen. Ez több szinten okozhat gondot.

  • Melyik bővítményt, témát, szolgáltatást válassza? Több tízezer lehetőség közül nehéz jó döntést hozni,és ez sokszor döntésképtelenséget, stagnálást eredményez. Sok oldal ott hal el, hogy a tulajdonosuk nem tudja, merre induljon a végtelen ösvények között.
  • Hogyan garantáljuk a biztonságot? Ha a felhasználó azt telepít, módosít, töröl, amit csak akar, akkor szolgáltatóként nem mondhatjuk azt, hogy biztonságban lesz, mert nem rajtunk múlik…

Jan Löffler a Webprostól számokkal árnyalta a képet, egyelőre csak a legérdekesebb adatok:

  • Azért nem tudjuk, hány WP weboldal van, valahol 38,5 és 82 millió között, mert egyrészt nem tudunk minden weboldalt indexelni, amit igen, annak egy része is rejtve marad, vagy épp csak aldomainen, alkönyvtárban, mondjuk csak a bloghoz használ WordPresst.  Azt is nehéz megmondani, hogy pontosan mi aktív vagy halott.
  • Háromból egy WordPress weboldal cPanelt vagy Plesket használ.
  • A WP weboldalak 60%-át ügynökségek hozzák létre, vagyis a maguknak “barkácsolók” a kisebbséget alkotják. (Ami nem meglepő.)
  • A WordPress weboldalak 21%-a valójában WooCommerce oldal, vagyis webáruház.

Oliver Sild, a Patchstack vezére ezután arról beszélt, hogy miért nehéz a WordPresst és az adatbiztonságot köszönőviszonyba hozni.

Először is néhány adat: míg 2020-ban összesen 541 sebezhetőséget jelentettek be és javítottak ki, addig 2022-ben már 4528-at. Ez nem romlás, hanem javulás: több hibát találunk, többet javítunk.

Ámde.

A bugok egy igen jelentős részét sohasem patchelik a fejlesztők, és erre nyilván nem is kötelezheti őket senki. Az egész buli lényege az open source, a nyíltság, hogy azt csinálsz, amit akarsz.

A sebezhetőségek egy igen nagy hányada pedig olyan, máig megtalálható, telepíthető, aktívan telepített plugineket használ ki, amelyeket évek óta nem frissítenek, fejlesztenek…

Ha már biztonság, volt egy érdekes panelbeszélgetés a témában, melyet többek között Egri Zsolt, a Bitninja alapítója, Rob Seger, a Monarx technológiai vezetője, és Igor Szeletszkij, a CloudLinux ügyvezetője bonyolítottak.

A legjobb egysorosok:

  • 2 éve még problémát jelentettek a kriptobányászok – ma már nem, gyakorlatilag teljesen eltűntek.
  • A kiberbiztonságban sohasem nyersz. Lehetsz támadó vagy védő, nyertes nincs, viszont a támadók nem fognak szomorúan ott ülni azzal, hogy “ó jaj, legyőztek”. Hanem megpróbálja másfelől.
  • A biztonságban nem kell végtelenül jobbnak lenni a behatolónál. Épp csak annyira, hogy a támadónak ne érje meg veled foglalkozni, és keressen egy könnyebb célpontot.
  • A támadásokat nem tudod megakadályozni: csak annyit tehetsz, hogy felkészülsz rájuk.

A fennmaradó előadások inkább nekünk szóltak, mint szolgáltatónak – de a további boncolgatásban azért majd ezek megállapításait is előszedjük. Egyelőre nem olyan izgalmasak, hogy e tudósításban kitérjünk rájuk.

Amit a mai napról hazaviszünk (a körülbelül 10 kiló repianyag mellett, amit a kiállítóktól kaptunk):

  • A WordPress már csak a tehetetlenségi erejénél fogva is a világ egyik legmaradandóbb platformja.
  • Ezzel együtt megvannak a biztonsági kihívásai – de ha aktívan figyelsz rá (vagy tudod, valaki figyel helyetted) akkor nem kell aggódnod.
  • Igen, meg fognak próbálni meghekkelni. Többször. Sokszor. De fel tudsz rá készülni, és lehetsz te a kevésbé vonzó célpont.
  • A WordPress nem azért jó, mert sokan használják. Azért használják sokan, mert egyszerű és rengeteg választási lehetőséget ad, de ezt akkor tudod igazán kihasználni, ha beleteszel legalább minimális erőfeszítést a tanulásba, vagy szakival felügyelteted magadnak.

A következő nap még izgalmasabb lesz – találkozni fogunk egy kiborggal (igen, tényleg, antenna van az agyába építve és látja az ultraibolyát), beszélgetünk majd az MI-ről, az adatközpontok fenntartható/tatlanságáról, GIGACOMPUTINGról, így csupa nagy betűvel, és nagyjából mindenről, amire a modern életmódunk épülni fog a következő néhány évben.

Olvasd el ezeket is:

Kommenteld meg jól:

0 hozzászólás

Egy hozzászólás elküldése

Az e-mail címet nem tesszük közzé. A kötelező mezőket * karakterrel jelöltük

Ez az oldal az Akismet szolgáltatást használja a spam csökkentésére. Ismerje meg a hozzászólás adatainak feldolgozását .