web-dev-qa-db-ja.com

メンテナンスされていない脆弱性のあるプラグインをどのように扱うことができますか?

これは、Wordpressだけでなく、サードパーティ製アドオンやプラグインがオリジナルの作者からのサポートを失っている他のソフトウェアに関連する大きな問題であると私は思います。

しかし、Wordpressに焦点を当てましょう... WordFenceによると、

過去2年間で17,383のプラグインが更新されていません。

7年以上前の2010年以来、3,990のプラグインは更新されていません。

Isabelの投稿によると、しばらくの間更新されていない、大きなインストールベースを持つプラグインがいくつかあります。

“SörenWeberによるExec-PHPプラグインは、2009年6月以来更新されていないにもかかわらず、10万以上のアクティブインストールを持っています。 Wilfred van der DeijlによるUltimate Google Analyticsには、9年以上前に更新されたにもかかわらず、80,000以上のインストールがあります。」

何度も新しく発見された脆弱性につながる悪いコーディングの他に、そして多くの作者が何の支援もなしに彼らのプロジェクトを離れていて、それらのうちの何人かは応答しています。

期限切れドメインにも問題がありました、ここに記事があります:期限切れドメインはWordPressプラグインのリダイレクトにつながります

それでは、この問題を回避するためにユーザーができることは何ですか?アドオンが脆弱であるにもかかわらず更新がない場合にユーザーに警告するオプションはありますか?

1
mirsad

古い、時代遅れ、そして壊れたプラグインの使用に貢献している要因の1つはウェブサイトの所有者です。ウェブサイトの多くは放棄され、所有者は代替プラグインの調査にしばらく時間をかけるのに十分な情報を得たり、興味を持ったりすることができません。あるいはWordPress(または他のCMS)を最新の状態に保ちます。 5、6年間更新されていないプラグインが新しいWordPressでは動作しないため、多くのWebサイトがループしています。古いWordPressを使用しています。古いWordPressとこれらのメンテナンスされていないプラグインを使うことはあらゆる種類の攻撃への扉を開くものです。

あるプラグインを別のプラグインに置き換えるのは簡単ではないことを知っていますが、5年または6年(またはUltimate Google Analyticsプラグインのように9年)Webサイトを脆弱にすることは明らかに無責任な行動です。あるプラグインを別のプラグインに置き換えて、WordPressを最新の状態に保ち、セキュリティで保護するために少しの調査を行うのに十分な時間があったことを確認します。

  1. WordPress.orgは、5年以上(または3または6、合意されたものは何でも)更新されなかったすべてのプラグインとテーマを削除しなければなりません、そしてそれは最新の7または8の主要なWordPressバージョンでテストされません。現時点でこの問題をどう処理するかについてはコンセンサスがありません。また、WordPress.orgに20.000個のプラグインがあること(または現在その数がなんであるかにかかわらず)を聞いている人もいます。プラグイン.

  2. WordPress.orgは、Webサイトの所有者が1つの場所を検索して自分が使用しているプラ​​グインが脆弱かどうかを判断できるように、すべてのプラグインの脆弱性のリストを利用できる専用領域を必要としています。そのようなリストを維持することは容易ではありませんが、古いおよび古いプラグインを使用することからセキュリティ問題についてユーザに知らせるためにそれをしなければなりません。

  3. Webサイトの所有者はWebサイトの管理に積極的に取り組む必要があります。すべてのWebサイトでは、Webサイトを最新の状態に保ち、迅速かつ安全に保つための予防的なアプローチが必要です。多くのウェブサイトの所有者は当然のこととしてそれらすべてを取り、そして彼らは後で彼らがハッキングされたことを訴え、そして彼らがそれを防ぐために何もしなかったことを忘れています。

  4. 研究はプラグインを選ぶときの鍵です、そして、どんな仕事のためにでも、無料または商業の両方で何百ものプラグインがあります。多くの場合、商用プラグインはより安全な方法です。プラグインの作者には支払いが行われるため、プラグインを更新し続けて安全に保つための金銭的なインセンティブがあります。私はいつも商用プラグインを使うことを言っているのではなく、それらが常に優れている、そうではない、というのが研究が始まるところです。必要な機能のリストを作成し、無料および商用のプラグインを見つけて、リリースサイクル、機能、作成者からのサポートを比較してください。作者によってサポートされていない、定期的に更新されない無料または商用のプラグインを使用しないでください。

私は続けることができますが、その要旨は、プラグインを使用する前に調査を行い、あるプラグインから別のプラグインに切り替える必要がある可能性に備えて、そのために時間を取っておくことです。

2
Milan Petrovic

同様に反対の問題もあります:しばらく更新されていないがnotのような脆弱性のあるプラグインの扱い方。ページに簡単な計算機を挿入するための短いコードだけを提供する簡単なプラグインは、それほど維持する必要はないでしょう。算術の規則は、WordPress 4.8.2でも変わりません。あなたはこの種のプラグインが、特に多数の脆弱なプラグインと比較して何個存在するのかを尋ねるかもしれません。

これはあなたの質問が間違っていると言っているわけではありませんが、それが単一の単純な解決策が存在しないことを意味するのではないかと思います。最後の更新日は脆弱性の良い指標ですが、厳密な証拠ではありません。 WordPress自体 - それがパッケージであれwordpress.orgであろうと - ある日付より古いすべてのプラグインをただ殺すことはできない、それは公平ではないだろう。また、あなたの問題は現実のものです。

だから、私の答えは?簡単なことではない、私は恐れている:WordPressサイトのセキュリティ、特に脆弱性のためにそれが使用するプラグインの監視は、サイトの所有者の責任であるべきです。 WordPressは柔軟性がありますが、大きな力をもって、Webを撃墜する能力、すみません、大きな責任があります。 WordPress自体がせいぜい日付を教えてくれるだけですが、それ以降プラグインをメンテナンスする必要があるかどうかはわかりません。

2
Richard Bos