Nhà phát triển không cập nhật plugin: Chủ sở hữu trang web WordPress luôn được cảnh báo để cập nhật WordPress Core và các tiện ích bổ sung (chủ đề và plugin). Khi không được giám sát, các addon sẽ phát triển lỗ hổng mà hacker khai thác để xâm nhập vào một trang web. Nhưng điều gì sẽ xảy ra nếu một lỗ hổng bảo mật được phát hiện cách đây một thời gian và nhà phát triển của plugin vẫn chưa phát hành bản cập nhật để giải quyết vấn đề? Những chủ sở hữu trang web như bạn sau đó làm gì? Mục tiêu của bài đăng này là thảo luận về một quá trình hành động sẽ giữ cho trang web an toàn cho đến khi các nhà phát triển phát hành bản cập nhật.
Trở lại năm 2016, một blog bảo mật đã báo cáo lỗ hổng tập lệnh trên nhiều trang web được tìm thấy trong W3 Total Cache, một plugin bộ nhớ đệm phổ biến. W3 Total Cache là một trong những plugin bộ nhớ đệm phổ biến nhất với hơn 1 triệu lượt cài đặt đang hoạt động và được các trang web như pearsonified.com, mashable.com và thậm chí là trang web của công ty AT&T tin cậy. Đây không phải là lần đầu tiên plugin W3 Total Cache phát triển lỗ hổng bảo mật. Trên thực tế, trong quá khứ Total Cache đã có rất nhiều lỗ hổng bảo mật và một số lỗ hổng trong số đó thậm chí còn bị khai thác.
Vào thời điểm báo cáo, đã có nhiều phàn nàn về các vấn đề liên quan đến hỗ trợ trong đó người dùng đã cố gắng liên lạc với các nhà phát triển trong nhiều tháng nhưng không thành công. Một người dùng bất bình đã đăng trên một nhóm Facebook nói rằng plugin đã không được cập nhật trong hơn 7 tháng. Tại thời điểm này, lo ngại về thiệt hại tiềm ẩn mà lỗ hổng tập lệnh chéo trang web có thể có trên các trang web sử dụng W3 Total Cache là điều dễ hiểu.
Gần một tuần kể từ khi lỗ hổng được tiết lộ, W3 Total Cache đã phát hành bản cập nhật và vá các lỗ hổng có thể khai thác. Hơn nữa, họ đã giới thiệu các tính năng mới cho sản phẩm. Nhưng ngay sau khi phát hành bản vá, nhiều chủ sở hữu trang web đã báo cáo rằng bản cập nhật đã phá vỡ trang web của họ. Không có gì lạ khi các bản cập nhật mới phá vỡ các trang web, đó là lý do tại sao bạn nên sử dụng môi trường dàn dựng. Nó cung cấp cho bạn cơ hội để kiểm tra các bản cập nhật trên một trang web dàn dựng trước khi thực hiện các thay đổi đối với trang web đang hoạt động. Nếu trang web dàn dựng bị hỏng khi thực hiện cập nhật, bạn có thể nêu vấn đề với các nhà phát triển plugin mà không làm hỏng trang web trực tiếp của bạn. Và mặc dù phải mất một thời gian để các nhà phát triển của W3 Total Cache phát hành một bản vá nhưng mọi thứ không dẫn đến thảm họa toàn diện.
Phải làm gì khi nhà phát triển không cập nhật plugin?
WordPress là nền tảng xây dựng trang web phổ biến nhất thế giới và một trong những lý do lớn nhất đằng sau sự phổ biến của nó là việc sử dụng các plugin cho phép người dùng thiết kế trang web của họ và thêm chức năng vào nó một cách dễ dàng. Nhiều plugin WordPress được các nhà phát triển tạo ra như một dự án phụ. Khi lỗ hổng bảo mật xuất hiện, cần rất nhiều thời gian và nỗ lực để không chỉ xác định vấn đề mà còn phát triển một bản vá. Đôi khi, họ không thể ngay lập tức chú ý đến lỗ hổng plugin bởi vì họ có công việc thường xuyên phải giải quyết. Một dự án phụ không phải là ưu tiên. Điều này dẫn đến sự chậm trễ trong việc phát hành bản vá.
WordPress là một cộng đồng internet trải dài trên toàn cầu và tin tức về bất kỳ lỗ hổng nào được tìm thấy trong lõi hoặc bất kỳ tiện ích bổ sung nào của nó (tức là chủ đề và plugin) lan truyền nhanh chóng. Điều đó có nghĩa là những tin tặc luôn theo dõi các trang web dễ bị tấn công sẽ thực hiện các nỗ lực tấn công hàng loạt trên các trang web trong vòng vài giờ. Do đó, khi tìm thấy lỗ hổng plugin nhưng nhà phát triển chưa phát hành bản cập nhật, điều quan trọng là phải thực hiện một số hành động để giữ cho trang web khỏi bị tổn hại. Dưới đây là những việc cần làm khi bạn rơi vào tình huống như thế này:
- Tắt plugin cho đến khi một bản cập nhật được phát hành bởi các nhà phát triển để sửa chữa lỗ hổng.
- Nếu đó không phải là plugin cao cấp hoặc phiên bản cao cấp của plugin thì hãy truy cập diễn đàn hỗ trợ trên wordpress.org và để lại khiếu nại ở đó. Hy vọng rằng, đủ các khiếu nại sẽ thúc đẩy các nhà phát triển phát hành một bản vá lỗi nhanh chóng.
- Thông thường, bản cập nhật sẽ mất hơn 48 giờ sau khi phát hiện ra lỗ hổng bảo mật. Nhưng nếu mất nhiều thời gian hơn, hãy liên hệ với các nhà phát triển và thông báo cho họ về vấn đề này. Trích dẫn nguồn của bạn, tức là bạn đã nghe về lỗ hổng bảo mật từ đâu. Trong trang web chính thức của plugin phải có trang "liên hệ với chúng tôi" hoặc địa chỉ email ở đâu đó trên trang web. Gửi thư cho họ.
- Trong thời gian chờ đợi, hãy sử dụng một plugin thay thế điều đó sẽ giúp bạn giữ cho trang web của mình hoạt động đầy đủ. Bạn luôn nên chuẩn bị sẵn kế hoạch khi plugin ngừng hoạt động.
Như chúng tôi đã đề cập trước đây, có rất nhiều plugin trong kho plugin WordPress được phát triển theo sở thích hoặc dự án phụ. T hính là một nhà phát triển đang làm việc để tạo ra một sản phẩm miễn phí có thể từ bỏ sản phẩm đó bất cứ lúc nào. Và đó là lý do tại sao nhiều chuyên gia bảo mật chỉ khuyên bạn nên sử dụng plugin cao cấp được tạo bởi các nhà phát triển nổi tiếng và được tôn trọng trong cộng đồng. Các nhà phát triển không được trả tiền cho một plugin hoặc chủ đề mà họ đang xây dựng có khả năng dành ít thời gian hơn để nâng cao hoặc duy trì plugin / chủ đề. Họ có thể có một công việc toàn thời gian khiến họ bận rộn và thanh toán các hóa đơn, điều này khiến việc đầu tư thời gian vào một sản phẩm không mang lại lợi ích tiền tệ là không thực tế.
Các lỗ hổng sẽ phát triển trong các plugin WordPress cho dù chúng được tạo ra bởi một chuyên gia hay một người nghiệp dư. Nếu bạn tiếp tục sử dụng chủ đề / plugin bị bỏ rơi, sẽ không có bảo trì, do đó không có bản cập nhật. Khi xảy ra lỗi, bạn muốn liên hệ với các nhà phát triển plugin, nhưng vì plugin đã bị nhóm các nhà phát triển của họ bỏ qua nên bạn cũng sẽ không nhận được bất kỳ hỗ trợ nào. Điều đó khiến bạn, người dùng, rơi vào tình thế khó khăn vì chuyển sang một plugin hoặc chủ đề thay thế đòi hỏi đầu tư thời gian và công sức lại nhưng đó là lựa chọn khả thi duy nhất. Các phương pháp bảo mật trang web tốt khuyến khích người dùng tuân theo một số giao thức về cách chọn plugin. Chúng tôi đã liệt kê chúng ở đây:
- Chọn một plugin được phát triển bởi một nhà phát triển nổi tiếng để tránh trường hợp bạn đang sử dụng plugin đã bị người tạo bỏ qua.
- Đảm bảo rằng plugin được cập nhật thường xuyên điều này có nghĩa là các nhà phát triển đang sửa các lỗ hổng có thể bị tin tặc sử dụng để xâm nhập vào trang web của bạn. Truy cập kho lưu trữ WordPress để xem bản cập nhật cuối cùng được thực hiện khi nào.
- Sử dụng plugin cao cấp thay vì một cái miễn phí. Nếu có phiên bản plugin miễn phí, hãy sử dụng plugin đó để kiểm tra chức năng cơ bản, nhưng chúng tôi khuyên bạn nên nâng cấp lên phiên bản cao cấp. Giống như chúng ta đã thảo luận trước đó, các plugin miễn phí có thể bị bỏ qua hoặc các bản cập nhật quan trọng có thể mất quá nhiều thời gian để triển khai.
Chúng tôi hy vọng rằng bài đăng này sẽ giúp thực hiện các bước hành động khi nhà phát triển không cập nhật plugin của mình. Cảm ơn bạn đã đọc và nếu bạn có bất kỳ câu hỏi nào, vui lòng viết thư cho chúng tôi.