Wie beweise ich technisch, dass WordPress sicher ist?

7

Einer meiner Kunden zwingt mich, sein Projekt ohne WordPress zu machen. Aber WordPress ist das Beste für seine Anforderungen.

Was er sagte ist, WordPress ist unsicher, weil WordPress Open Source ist und jeder den Code kennt. Die Hacking-Chance ist also höher als bei einer benutzerdefinierten Website. Das ist das einzige, was er an WordPress nicht mag.

Wie beweise ich, dass WordPress sicher ist, auch wenn Code für alle offen ist?

security Sandun
quelle
4
Fragen Sie ihn, wie oft er seine Fenster aufgrund von Sicherheitsupdates aktualisiert hat. Keine Software ist sicher, und selbst sehr sichere Software kann so installiert oder konfiguriert werden, dass sie leicht gehackt werden kann. Aus Sicherheitsgründen ist es von Vorteil, keine gängigen Stacks zu verwenden, aber 1. Sind Sie sicher, dass Ihr Code sicher genug ist? 2. Die Kosten für eine ordnungsgemäße Ausführung sind enorm und es ist billiger, eine WordPress-Installation zu sperren (sogar) Wenn dies nicht 100% sicher ist, können Sie alle Funktionen, die Sie kostenlos erhalten, neu entwickeln.
Mark Kaplun
Mit "technisch beweisen" meinen Sie, dass Sie Statistiken wollen?
38365
1
@fredsbend Er ist ein Techniker. Ich meine, er kann verstehen, wenn wir es mit Programmiertechniken sagen. Ich meine nicht sehr komplexe Techniken. Aber im Allgemeinen hat er gute Kenntnisse über die IT-Welt.
Sandun
Sie können den Verlauf der WordPress-Sicherheitsprobleme nachschlagen und feststellen, wie schnell sie behoben wurden.
Joecap5
Überprüfen Sie auf den Websites der Sicherheits-Plugins, was sie tun. Wordfence.com/learn - das gibt Ihnen mehr Einblick.
Jgraup

Antworten:

8

Bitten Sie Ihren Kunden, sich über Cybersicherheit zu informieren, da seine Prämisse Unsinn ist. Sicherheit durch Dunkelheit wurde seit 1851 diskreditiert (ja, das ist eineinhalb Jahrhunderte her). Das Gegenteil ist auch falsch. Open Source Software ist nicht sicherer als proprietäre Software.

Das Entscheidende bei der Codesicherheit ist nicht, ob sie offen ist oder nicht, sondern ob sie gut gepflegt ist. WordPress hat eine aktive Community, die ständig über Sicherheitsfragen informiert ist. Befolgen Sie die Richtlinien . Fragen Sie sich, wie aufmerksam die Autoren eines konkurrierenden CMS sind.

Sicherheit ist jedoch eine ständige Bedrohung. Es gibt keine Beweise oder Garantien.

cjbj
quelle
Vielleicht möchten Sie auch dies lesen: wordpress.stackexchange.com/questions/192550/…
cjbj
Wenn "Sicherheit durch Dunkelheit" Unsinn ist, warum wird uns dann immer gesagt, dass wir unser Passwort geheim halten sollen? Es ist unwahrscheinlich, dass
Mark Kaplun
Bei "Sicherheit durch Dunkelheit" geht es um die Methoden (Algorithmen), nicht um Kennwörter, Datenbankpräfixe usw. Letztere werden in der Tat besser geheim gehalten.
cjbj
Wenn ich weiß, dass Sie md5 verwenden, aber nicht sha, brauche ich die Hälfte der Mühe, um Ihre Passwörter brutal zu erzwingen (nehmen Sie an, dass beide "hart" sind). Wenn ich eine andere Hashing-Variante implementiere, müssen Sie diese zuerst verstehen und einen Angriff darauf planen. IMO-Dunkelheit ist normalerweise ein Problem, weil sie Programmierer fauler macht, da es einfacher ist, Fehler zu verbergen.
Mark Kaplun
4

"Ist Cassandra, die Engine, die Facebook betreibt, nicht Open Source?" Diese Frage sollte sie beruhigen.

Cassandra wird auch von Apple und Netflix verwendet und ist Open Source. Außerdem können Sie alle wichtigen Websites zitieren, die WordPress verwenden. "Wenn es gut genug für sie ist, ist es wahrscheinlich gut genug für dich."

Der Punkt ist, wie die andere Antwort feststellt, dass die Art und Weise, wie die Software erstellt und aktualisiert wird, für die Sicherheit völlig irrelevant ist. Wichtiger ist, wie häufig es aktualisiert wird und wie einfach es ist, Ihre spezifischen Websites zu aktualisieren. Meiner Meinung nach ist WordPress ziemlich gut darin.

38365
quelle
1

Da dies eine allgemeine Frage ist, ist es nicht klug, detaillierte Antworten zu geben. Es wäre besser, einige interessante Beispiele zu zeigen.

Die anderen Leute machen ernsthafte Tests. Nehmen Sie zum Beispiel die Docker WordPress-Einheit 1 2

Sie sagen, WordPress ist sicher, aber PHP ist noch nicht sicher. Selbst wenn Sie Perfect WordPress haben (Setup nach dem Buch), können die Probleme auf der anderen Seite liegen.

Prosti
quelle
1

Ich gehöre zu einem Land, in dem ich viele Male mit ähnlichen Situationen konfrontiert war. Aber ich habe sie mit meinen aktiven WP-Sites und ihren Sound-Historien konfrontiert. Das Gerücht war tatsächlich wahr, als jeder Entwickler wurde und die Dinge von WordPress entwickelte, ohne zu verstehen, wie WordPress die Dinge selbst handhabt. So entwickelten sich die Dinge und Hacker kamen durch ihren Buggy-Code. Das Gerücht verstärkte sich mit einem großen Zusammenbruch der Joomla-Standorte zu dieser Zeit. Manchmal geschah es wegen einiger billiger Server, bei denen die Serversicherheit schlecht war.

Wie auch immer, ich habe mich gefragt, ob ich die Antwort für dich kenne und ich finde mich leer. Also habe ich einige Artikel konsultiert, einige von ihnen zitiert und auch meine Punkte / Erkenntnisse hinzugefügt:

  • Fragen Sie, welche Sicherheitsgarantien Ihr [Client] von einer Software erwartet, und fragen Sie dann, ob die Software dies liefert. [Quelle]
  • Jede Software muss vor dem Kauf evaluiert werden - das ist völliger Unsinn. Nur sicherheitsdurchsetzende Funktionen benötigen eine Sicherheitsbewertung. [Quelle]
  • Die Lizenz bestimmt nicht die Codequalität. [Quelle]

Meine [lahmen] Punkte:

  • WordPress ist wie andere Open Source Open Source. Wenn es also anfällig für Sicherheitsbedrohungen ist, würde es vor langer Zeit zusammenbrechen. Es blüht immer noch seit 2003.
  • WordPress aktualisiert sich automatisch mit Sicherheitspatches nach Version 3.7. Wenn Ihr benutzerdefinierter Code nach den neuesten Sicherheitsbedrohungen sucht, Fehler in Ihrem Code auf [eine kleine Gruppe von Codierern] bekannte Methoden aufweist und ständig aktualisiert wird, stehen Sie immer noch hinter WordPress, da die WordPress-Sicherheit von einer großen Gruppe von Personen in der ganzen Welt aufrechterhalten wird Globus [und ist besser als eine kleine Gruppe].
  • Und @cjbj hat bereits darauf hingewiesen, dass Dunkelheit die Sache nicht sicher macht .
Mayeenul Islam
quelle
0

Mayeenul Islam - das ist kein lahmer Punkt, den Sie in Bezug auf Open Source machen. Wenn wir bedenken, dass Microsoft - einer der weltweit größten Software- und Systementwickler und -produzenten - auch eines der am stärksten eingedrungenen Systeme der Welt ist, ist das Herunterfahren von Code keineswegs sicherer, als wenn eine Codebasis von Hunderten überwacht wird, wenn nicht Tausende von Entwicklern und Benutzern.

Meines Erachtens sind die größten Sicherheitsmängel nicht auf Software, sondern auf die Implementierung zurückzuführen. Wordpress ist sofort so sicher wie es nur sein kann - aber die Leute wählen immer noch ein dummes, leicht zu erratendes Passwort - oder gar kein Passwort oder führen Dienste ohne HTTPS usw. aus. All dies können Sie auf einem selbstgebauten System tun und genauso sein unsicher.

Ein möglichst sicheres System beginnt weit vor der Auswahl von Software und Plattform. Es beginnt mit der Implementierung und den Richtlinien, um sicherzustellen, dass Sie wissen, wonach Sie suchen. Wählen Sie dann eine Plattform, die ihre Lecks und Löcher konsequent verstopft hat und vor allem offen ist, ihren Kunden und die Entwicklergemeinde über diese Probleme zu informieren. Wenn wir wissen, dass es ein Problem gibt - wir können entsprechend planen und patchen, wenn das Gegenteil der Fall ist - müssen wir am Ende abwischen und neu erstellen.

Ich erinnere mich an Lücken in Windows, von denen festgestellt wurde, dass sie weit zurück zu 3.1 gehen und über die bekannt und verlassen wurden, weil sie als "verdeckt" angesehen wurden.

Open Source-Lösungen sind nicht perfekt, aber per Definition ist es viel einfacher, Fehler zu finden, zu erkennen, zu melden und zu korrigieren.

Die ursprüngliche Frage - wie beweisen Sie, dass ein System sicher ist - können Sie nicht - kein System war jemals sicher oder wird jemals sicher sein. In dem Moment, in dem eine solche Behauptung aufgestellt wird, muss jeder Hacker auf der Welt beweisen, dass er sie beseitigt hat. Es ist weitaus vernünftiger und ehrlicher zu verstehen, dass wir die Dinge so sicher wie möglich machen und Vorgänge und Mittel für die Arbeit mit Systemen entwickeln, die ein Gefühl der sicheren Nutzung fördern.

Steve Nisbet
quelle