Plugin, ma olen su isa…

Tavapärane soovitus on uuendada kohe ja kõike mis seda vähegi nõuab – sest kui mõni uuendus peaks lappima turva-augu, leiab lähipäevil logidest märke katsetest seda ära kasutada.

Vahel läheb aga teisiti – eelmine nädal jäi Sucuri’le silma WordPressi plugin Custom Content Type Manager uuendus, mis tundus sisaldavat turva-probleemi – lähemal uurimisel polnud tegu aga näpukaga, vaid sihilikult paigaldatud taga-uksega: When a WordPress Plugin Goes Bad.

Zone virtuaalserverites on selle plugina kataloog olemas 15 saidil – kuna probleemne kood on pluginakataloogist eemaldatud siis ei ole need aga enam ohustatud.

Lühidalt – keegi kasutajanime wooranker kasutav (või selle üle võtnud) isik sai õiguse teha muudatusi WordPressi plugi-kataloogis avaldatud ja ca 10-tuhande installiga pluginale ning asus kohe ka eksperimenteerima. Ehk siis uuenduse (või uue installi) teinud saite üle võtma.

Tänaseks on WordPressi tiim talt õigused ära võtnud (lisaks ülalmainitule oli puudutatud Postie), algse plugina-versiooni koodi taastanud (ja versiooninumbrit suurendanud) ehk reaktsioon kiire ja korralik. “Tumedale poolele” ülemineku risk aga jääb – ja kui levinud plugina puhul hakkab see loodetavasti peagi mõnele turvafriigile silma, siis vähemkasutatu puhul võib selleks tükk aega kuluda.

Mida siis soovitada?

• küsi enne uue plugina paigaldamist “on mul seda ikka tegelikult vaja? paneb see mu veebi paremini müüma?”
• kasuta ainult https://wordpress.org/plugins/ pealt paigaldatut (või väga tuntud autori loodut)
• eelista suurema installide arvuga pluginaid – nende puhul on loota, et koodi-probleemid on silutud ning jamasid märkab keegi, kes suudab kiiresti reageerida
• uuenda, uuenda, uuenda (mitte-uuendamise risk on oluliselt suurem)
• uue veebitarkvara paigaldamisel tee seda Zone+ abil – see tagab, et nii WordPres kui kasutusel olevad pluginad on igapäevaselt uuendatud (kui mingi uuendus peaks tulevikus ka veebi veidi katki tegema, on see oluliselt väiksem jama kui sissehäkitud saada)
• … ja Nimbusec skännima!