Computer >> คอมพิวเตอร์ >  >> การเขียนโปรแกรม >> HTML

จะเกิดอะไรขึ้นเมื่อนักพัฒนาไม่อัปเดตปลั๊กอิน

นักพัฒนาไม่อัปเดตปลั๊กอิน: เจ้าของไซต์ WordPress ได้รับการเตือนเสมอเพื่อให้ WordPress Core และส่วนเสริม (ธีมและปลั๊กอิน) อัปเดตอยู่เสมอ เมื่อเก็บไว้โดยไม่มีใครดูแล ส่วนเสริมจะพัฒนาช่องโหว่ที่แฮ็กเกอร์หาประโยชน์เพื่อเจาะเข้าไปในไซต์ แต่จะเกิดอะไรขึ้นหากมีการค้นพบช่องโหว่เมื่อไม่นานมานี้ และผู้พัฒนาปลั๊กอินยังไม่ได้เผยแพร่การอัปเดตเพื่อแก้ไขปัญหา เจ้าของเว็บไซต์อย่างคุณจะทำอย่างไร? เป้าหมายของโพสต์นี้คือเพื่อหารือเกี่ยวกับแนวทางปฏิบัติที่จะทำให้ไซต์ปลอดภัยจนกว่านักพัฒนาซอฟต์แวร์จะเผยแพร่การอัปเดต

ย้อนกลับไปในปี 2559 บล็อกความปลอดภัยได้รายงานช่องโหว่ของสคริปต์ข้ามไซต์ที่พบใน W3 Total Cache ซึ่งเป็นปลั๊กอินแคชยอดนิยม W3 Total Cache เป็นหนึ่งในปลั๊กอินแคชที่ได้รับความนิยมมากที่สุดโดยมีการติดตั้งที่ใช้งานอยู่มากกว่า 1 ล้านครั้ง และได้รับความไว้วางใจจากเว็บไซต์ต่างๆ เช่น pearsonified.com และ mashable.com และแม้แต่เว็บไซต์ของบริษัทของ AT&T นี่ไม่ใช่ครั้งแรกที่ปลั๊กอิน W3 Total Cache พัฒนาช่องโหว่ อันที่จริง ในอดีต Total Cache มีช่องโหว่จำนวนมากและบางส่วนก็ถูกเอาเปรียบ

ในช่วงเวลาของรายงาน มีการร้องเรียนเกี่ยวกับปัญหาที่เกี่ยวข้องกับการสนับสนุน ซึ่งผู้ใช้พยายามสื่อสารกับนักพัฒนาซอฟต์แวร์เป็นเวลาหลายเดือนแต่ไม่ประสบผลสำเร็จมากนัก ผู้ใช้ที่ไม่พอใจคนหนึ่งโพสต์ในกลุ่ม Facebook โดยบอกว่าปลั๊กอินไม่ได้รับการอัปเดตมานานกว่า 7 เดือน ณ จุดนี้ เราเข้าใจถึงความกังวลเกี่ยวกับความเสียหายที่อาจเกิดขึ้นจากช่องโหว่ของสคริปต์ข้ามไซต์บนเว็บไซต์ที่ใช้ W3 Total Cache

เกือบหนึ่งสัปดาห์นับตั้งแต่มีการเปิดเผยช่องโหว่ W3 Total Cache ได้เผยแพร่การอัปเดตและแก้ไขช่องโหว่ที่สามารถใช้ประโยชน์ได้ นอกจากนี้ พวกเขายังแนะนำคุณสมบัติใหม่ให้กับผลิตภัณฑ์อีกด้วย แต่หลังจากปล่อยแพตช์ เจ้าของเว็บไซต์จำนวนมากรายงานว่าการอัปเดตดังกล่าวทำให้ไซต์ของตนเสียหาย ไม่ใช่เรื่องแปลกที่การอัปเดตใหม่จะทำลายเว็บไซต์ ซึ่งเป็นสาเหตุที่แนะนำให้ใช้สภาพแวดล้อมการแสดงละคร เปิดโอกาสให้คุณทดสอบการอัปเดตบนไซต์การแสดงละครก่อนทำการเปลี่ยนแปลงไซต์จริง หากไซต์การแสดงละครหยุดทำงานเมื่อทำการอัปเดต คุณสามารถแจ้งปัญหากับนักพัฒนาปลั๊กอินโดยไม่ทำให้ไซต์ที่ใช้งานจริงของคุณเสียหาย และในขณะที่ผู้พัฒนา W3 Total Cache ต้องใช้เวลาพอสมควรในการเผยแพร่แพตช์ แต่สิ่งต่าง ๆ ไม่ได้นำไปสู่หายนะทั้งหมด

จะทำอย่างไรเมื่อนักพัฒนาไม่อัปเดตปลั๊กอิน

WordPress เป็นแพลตฟอร์มการสร้างเว็บไซต์ที่ได้รับความนิยมมากที่สุดในโลก และหนึ่งในเหตุผลที่ใหญ่ที่สุดที่อยู่เบื้องหลังความนิยมคือการใช้ปลั๊กอินที่ช่วยให้ผู้ใช้สามารถออกแบบเว็บไซต์และเพิ่มฟังก์ชันการทำงานได้อย่างง่ายดาย ปลั๊กอิน WordPress จำนวนมากถูกสร้างขึ้นโดยนักพัฒนาในฐานะ โครงการด้าน. เมื่อเกิดช่องโหว่ขึ้น ต้องใช้เวลาและความพยายามอย่างมากในการไม่เพียงระบุปัญหา แต่ยังต้องพัฒนาโปรแกรมแก้ไขด้วย บางครั้งพวกเขาไม่สามารถดูช่องโหว่ของปลั๊กอินได้ในทันทีเพราะมีงานประจำที่ต้องดูแล โครงการข้างเคียงไม่ใช่ลำดับความสำคัญ ส่งผลให้การออกแพตช์ล่าช้า

จะเกิดอะไรขึ้นเมื่อนักพัฒนาไม่อัปเดตปลั๊กอิน

WordPress เป็นชุมชนอินเทอร์เน็ตที่กระจายอยู่ทั่วโลกและมีข่าวเกี่ยวกับช่องโหว่ที่พบในแกนหลักหรือส่วนเสริม (เช่น ธีมและปลั๊กอิน) ที่แพร่กระจายอย่างรวดเร็ว ซึ่งหมายความว่าแฮ็กเกอร์ที่มองหาเว็บไซต์ที่มีช่องโหว่อยู่เสมอ จะพยายามแฮ็กข้อมูลจำนวนมากบนเว็บไซต์ภายในไม่กี่ชั่วโมง ดังนั้นเมื่อพบช่องโหว่ของปลั๊กอิน แต่นักพัฒนายังไม่ได้เผยแพร่การอัปเดต สิ่งสำคัญคือต้องดำเนินการบางอย่างเพื่อป้องกันไม่ให้เกิดอันตรายกับไซต์ สิ่งที่ต้องทำเมื่อพบว่าตัวเองอยู่ในสถานการณ์เช่นนี้:

  • ปิดใช้งานปลั๊กอิน จนกว่านักพัฒนาจะออกอัพเดตเพื่อแก้ไขช่องโหว่
  • หากไม่ใช่ปลั๊กอินพรีเมียมหรือปลั๊กอินรุ่นพรีเมียม ไปที่ฟอรัมการสนับสนุนบน wordpress.org แล้วส่งคำร้องเรียน ที่นั่น. หวังว่าการร้องเรียนที่เพียงพอจะผลักดันให้นักพัฒนาออกแพตช์อย่างรวดเร็ว
  • โดยปกติแล้ว การอัปเดตจะใช้เวลามากกว่า 48 ชั่วโมงในการดำเนินการหลังจากพบช่องโหว่ แต่ถ้าใช้เวลานานกว่านี้ ให้ติดต่อกับผู้พัฒนาและแจ้งปัญหาให้ทราบ อ้างแหล่งที่มาของคุณ นั่นคือ คุณเคยได้ยินเกี่ยวกับช่องโหว่นี้มาจากไหน ในเว็บไซต์อย่างเป็นทางการของปลั๊กอินจะต้องมีหน้า "ติดต่อเรา" หรือที่อยู่อีเมลที่ใดที่หนึ่งบนเว็บไซต์ ส่งจดหมายถึงพวกเขา
  • ในระหว่างนี้ ใช้ปลั๊กอินอื่น ที่จะช่วยให้เว็บไซต์ของคุณทำงานได้อย่างสมบูรณ์ ขอแนะนำให้วางแผนไว้เสมอเมื่อปลั๊กอินหยุดทำงาน

ดังที่เราได้กล่าวไว้ก่อนหน้านี้ มีปลั๊กอินจำนวนมากในที่เก็บปลั๊กอินของ WordPress ที่พัฒนาเป็นงานอดิเรกหรือโครงการด้าน Tหมายถึงนักพัฒนาที่กำลังทำงานเพื่อสร้างผลิตภัณฑ์ฟรีอาจละทิ้งผลิตภัณฑ์เมื่อใดก็ได้ และนั่นเป็นเหตุผลที่ผู้เชี่ยวชาญด้านความปลอดภัยหลายคนแนะนำให้ใช้ปลั๊กอินระดับพรีเมียมที่สร้างโดยนักพัฒนาที่เป็นที่รู้จักและเป็นที่ยอมรับในชุมชนเท่านั้น นักพัฒนาที่ไม่ได้รับเงินสำหรับปลั๊กอินหรือธีมที่พวกเขากำลังสร้างมักจะใช้เวลาน้อยลงในการปรับปรุงหรือบำรุงรักษาปลั๊กอิน/ธีม พวกเขาอาจมีงานเต็มเวลาที่ทำให้พวกเขายุ่งและจ่ายบิลซึ่งทำให้เวลาในการลงทุนในผลิตภัณฑ์ที่ไม่ก่อให้เกิดผลประโยชน์ทางการเงินไม่สามารถทำได้

ช่องโหว่จะพัฒนาในปลั๊กอิน WordPress ไม่ว่าพวกเขาจะทำโดยผู้เชี่ยวชาญหรือมือสมัครเล่น หากคุณยังคงใช้ธีม/ปลั๊กอินที่ถูกละทิ้ง จะไม่มีการบำรุงรักษา ดังนั้นจึงไม่มีการอัปเดต เมื่อเกิดข้อผิดพลาด คุณต้องการติดต่อนักพัฒนาปลั๊กอิน แต่เนื่องจากปลั๊กอินถูกละทิ้งโดยทีมนักพัฒนา คุณจะไม่ได้รับการสนับสนุนใดๆ นั่นทำให้คุณซึ่งเป็นผู้ใช้อยู่ในจุดที่แคบเนื่องจากการเปลี่ยนไปใช้ปลั๊กอินหรือธีมอื่นต้องใช้เวลาและความพยายามอีกครั้ง แต่นั่นเป็นตัวเลือกเดียวที่ทำงานได้ แนวทางปฏิบัติด้านความปลอดภัยเว็บไซต์ที่ดีจะกระตุ้นให้ผู้ใช้ปฏิบัติตามโปรโตคอลสองสามข้อในการเลือกปลั๊กอิน เราได้ระบุไว้ที่นี่:

  • เลือกปลั๊กอินที่ พัฒนาโดยนักพัฒนาที่มีชื่อเสียง เพื่อหลีกเลี่ยงสถานการณ์ที่คุณใช้ปลั๊กอินที่ผู้สร้างละทิ้ง
  • ตรวจสอบให้แน่ใจว่า มีการอัปเดตปลั๊กอินเป็นประจำ ซึ่งหมายความว่านักพัฒนาซอฟต์แวร์กำลังแก้ไขช่องโหว่ที่แฮ็กเกอร์อาจใช้เพื่อเจาะเข้าไปในไซต์ของคุณ ไปที่ที่เก็บ WordPress เพื่อดูว่ามีการอัพเดทครั้งล่าสุดเมื่อใด
จะเกิดอะไรขึ้นเมื่อนักพัฒนาไม่อัปเดตปลั๊กอิน
ในขณะที่เขียนสิ่งนี้ W3 Total Cache อัปเดตล่าสุดเมื่อ 3 เดือนที่แล้ว
  • ใช้ปลั๊กอินระดับพรีเมียม แทนที่จะเป็นของฟรี หากมีปลั๊กอินเวอร์ชันฟรี ให้ใช้เพื่อทดสอบฟังก์ชันพื้นฐาน แต่เราขอแนะนำให้คุณอัปเกรดเป็นเวอร์ชันพรีเมียม เช่นเดียวกับที่เราได้พูดคุยกันก่อนหน้านี้ ปลั๊กอินฟรีอาจถูกละทิ้ง หรือการอัปเดตที่สำคัญอาจใช้เวลามากเกินไปในการเปิดตัว

เราหวังว่าโพสต์นี้จะช่วยในการดำเนินการเมื่อนักพัฒนาซอฟต์แวร์ไม่ได้อัปเดตปลั๊กอินของเขา ขอขอบคุณที่อ่านและหากคุณมีคำถามใด ๆ โปรดเขียนถึงเรา