Этим утром я получил три электронных письма и два сообщения в скайпе от людей, утверждавших, что мой сайт был взломан. Не самое лучшее утро, подумал я, и пошел смотреть, что же там случилось. К счастью, через CodeGuard я смог определить, что именно изменилось с момента моего прошлого посещения. А истина заключалась в следующем: я просто забыл обновить тему.
У меня запущено несколько экземпляров WordPress на одном сервере: сайт, который вы сейчас просматриваете, и мультисайт, установленный в каталог /bugs/ — на нем стоит тема FaultPress от WooThemes. Теперь, когда я получил предупреждение, я вспомнил, что месяц назад читал запись в блоге WooThemes, в которой было сказано, что необходимо обновить WooFramework для фиксирования уязвимостей. Я этого не сделал, и поплатился. Этим утром я понял, что поступил глупо, потому что для взлома моего сервера использовалась именно эта открытая уязвимость.
Проблема здесь состоит не только в моем отдельном, локальном случае; многие разработчики не проводят регулярное обновление. Теперь вы видите, какие могут произойти нарушения защиты. Я помог авторам плагинов устранить проблемы, связанные с безопасностью; не буду скрывать, мне и самому помогли устранить проблемы в моих плагинах такие люди как Jon Cave и Andrew Nacin. Редко кто обновляет плагины в течение недели с выхода нового патча. Лишь 20% пользователей выполняют это действие.
Я могу смотреть на проблему с двух сторон: и как разработчик, и как пользователь. В лице разработчика я размышляю о том, как заставить пользователей чаще обновляться. К примеру, Genesis предлагает удобную функцию в своем бэкенде:
Вы вводите электронный адрес и получаете письмо в тот момент, когда обновление доступно для установки. Я собираюсь добавить что-то подобное к своим плагинам, хотя мне еще предстоит подумать над тем, как это лучше всего будет осуществить…
Мораль этой истории проста: не повторяйте моих ошибок! Регулярно обновляйте ядро, темы и плагины!
http://yoast.com/update-core-themes-plugins
Связанные материалы:
Loading ...