Plugin, ma olen su isa…

Peeter Marvet
Jaga:

Antud blogipostitus on 105 kuud vana ning ei pruugi olla enam ajakohane.

Tavapärane soovitus on uuendada kohe ja kõike mis seda vähegi nõuab – sest kui mõni uuendus peaks lappima turva-augu, leiab lähipäevil logidest märke katsetest seda ära kasutada.

Vahel läheb aga teisiti – eelmine nädal jäi Sucuri’le silma WordPressi plugin Custom Content Type Manager uuendus, mis tundus sisaldavat turva-probleemi – lähemal uurimisel polnud tegu aga näpukaga, vaid sihilikult paigaldatud taga-uksega: When a WordPress Plugin Goes Bad.

Zone virtuaalserverites on selle plugina kataloog olemas 15 saidil – kuna probleemne kood on pluginakataloogist eemaldatud siis ei ole need aga enam ohustatud.

bad-plugin-no-donutLühidalt – keegi kasutajanime wooranker kasutav (või selle üle võtnud) isik sai õiguse teha muudatusi WordPressi plugi-kataloogis avaldatud ja ca 10-tuhande installiga pluginale ning asus kohe ka eksperimenteerima. Ehk siis uuenduse (või uue installi) teinud saite üle võtma.

Tänaseks on WordPressi tiim talt õigused ära võtnud (lisaks ülalmainitule oli puudutatud Postie), algse plugina-versiooni koodi taastanud (ja versiooninumbrit suurendanud) ehk reaktsioon kiire ja korralik. “Tumedale poolele” ülemineku risk aga jääb – ja kui levinud plugina puhul hakkab see loodetavasti peagi mõnele turvafriigile silma, siis vähemkasutatu puhul võib selleks tükk aega kuluda.

Mida siis soovitada?

  • küsi enne uue plugina paigaldamist “on mul seda ikka tegelikult vaja? paneb see mu veebi paremini müüma?”
  • kasuta ainult https://wordpress.org/plugins/ pealt paigaldatut (või väga tuntud autori loodut)
  • eelista suurema installide arvuga pluginaid – nende puhul on loota, et koodi-probleemid on silutud ning jamasid märkab keegi, kes suudab kiiresti reageerida
  • uuenda, uuenda, uuenda (mitte-uuendamise risk on oluliselt suurem)
  • uue veebitarkvara paigaldamisel tee seda Zone+ abil – see tagab, et nii WordPres kui kasutusel olevad pluginad on igapäevaselt uuendatud (kui mingi uuendus peaks tulevikus ka veebi veidi katki tegema, on see oluliselt väiksem jama kui sissehäkitud saada)
  • … ja Nimbusec skännima!

Populaarsed postitused

Zone+ AI Assistent nüüd veelgi targem

Ingmar Aasoja
Zone+ AI Assistent WordPressile on leidnud kasutust juba lugematute kodulehtede ehitamisel. Hiljuti saabus uuendus, mis annab rohkem valikuid nii uue lehe...

Täpitähtedega domeen sinu brändi teenistuses

Ants
Kaasaegses digimaailmas on domeeninimed brändi identiteedi olulised nurgakivid. Sinu domeeninimi on esimene asi, millega potentsiaalne klient veebis kokku...

Eesti õpilased puhuvad vanadesse serveritesse uut elu

Sten
Igal aastal jääb meil peale riistvarauuendusi seisma tornide viisi täiesti töökorras servereid. Oleme otsustanud toetada haridust ja innovatsiooni,...

Lokaliseerimine ja kvaliteetne tõlge: sild globaalsete turgude vahel

Lemme Suve
Digiajastul, kus piirid on muutunud virtuaalseks ja ettevõtted võivad jõuda klientideni üle kogu maailma, on kvaliteetne ja hästi läbimõeldud suhtlus...