WordPress 的安全性是变好还是变坏?

马虎的统计数据和粗略的激励措施正在损害 WordPress 的安全声誉,尽管核心软件不断变得更好。

提高 WordPress 安全声誉的挑战是长期存在的——本周,一份关于 WordPress 软件漏洞的新报告让事情变得更加混乱。该报告可能对安全公司 Patchstack 来说是一个巨大的磁石,但其草率的数据给整个 WordPress 社区造成了不必要的挫折。

WordPress 的安全性是变好还是变坏?
WordPress 的安全性是变好还是变坏?

在今天的帖子中,我将深入探讨我认为新报告的缺陷,我认为它突出了未来重要改进机会的领域,以及我对如何帮助提高 WordPress 安全声誉的想法。

邋遢的统计

Patchstack 报告中的领先统计数据是一个巨大的失败——不幸的是,当 WP Tavern 重复它时,它被放大了:“WordPress 生态系统记录到 2021 年安全漏洞增加了 150%。”虽然我很欣赏 Patchstack 的辛勤工作和 WP Tavern 的新闻报道,但这是一种草率的数据报告,让整个社区无缘无故地看起来很糟糕。一个慈善的解释是,每个人都在利用可用的数据尽力而为;不太积极的一点是,Patchstack 受益于安全风险增加的出现,因为它们销售的软件可以降低这些风险。

让我们深入研究这个 150% 的数字,看看它是从哪里来的。补丁堆栈 说:

“2021 年,Patchstack 向 Patchstack 数据库添加了近 1500 个新漏洞。这些漏洞存在于 WordPress 插件、主题和 WordPress 核心中。 [Rob 的笔记:只有一个 1,500 的漏洞在核心中,这是因为第三方依赖。]

如果将这些数字与 2020 年进行比较,我们看到了近 600 个新漏洞,很明显 2021 年对于 WordPress 生态系统的安全来说是不平凡的一年。” [Rob 的笔记:事实上,这并不清楚。]

这里的问题是他们似乎将每个漏洞都视为平等,而实际上这并不能反映 WordPress 安全的现实。 一些未解决的问题:

  • 易受攻击的插件有多少次安装?至少,这应该是我们的分母——也就是说,“我们在每次安装 Y 次时看到 X 个漏洞。”这将使我们更真实地了解这些漏洞的意义。
  • 这些漏洞有多严重,用户在更新发布之前暴露了多长时间?一个有用的统计数据是:“我们看到 X 天暴露于影响 Z 安装的 Y 个严重漏洞。”这样做的结果很可能是一小部分网站在很短的时间内暴露。事实上,Patchstack 自己的报告称,他们发现的 1,500 个漏洞中只有 35 个是“严重的”,并且在每个安装量超过 100 万的插件中只发现了两个严重的错误。所有这些加起来都不会使实际风险“增加 150%”。
  • 市场上的插件总数增加了吗?大概是的,因为在报告的早些时候,他们提到了 WordPress 在市场份额方面的增长。即使每次安装率没有变化,这自然会导致总漏洞报告的增加。
  • Patchstack 是否改变了他们的报告方法?与去年相比,他们只是在跟上数据库方面做得更好吗?据推测,随着时间的推移,它们正在增长并且在跟踪这些数据方面变得越来越好,因此我们有可能只是看到“中等”级漏洞(占其 1,500 个漏洞的 76%)的报告有所改善,而不是实际增加在安全漏洞普遍存在的情况下。

150% 这个数字是一个引人注目的标题,但实际上毫无意义。 它损害了整个社区,尤其是许多与“听说 WordPress 不安全”的非技术利益相关者作斗争的开发人员。 他们可能在哪里听说过这个? 来自发布草率统计数据的人。

被遗忘的故事:Core 比去年更安全

Patchstack 报告的大部分内容(包括可疑的标题编号)都是基于与 2020 年报告的比较。 Patchstack 选择强调插件漏洞报告的原始数量的“增长”,尽管有一些未解决的问题使该断言变得可疑。 他们在 2021 年的报告中根本没有提到的是,核心 WordPress 漏洞从 2020 年的 22 个减少到 2021 年的一个。

我建议换一个标题:“WordPress 核心的安全性提高了 95%!”

太多的信息

WordPress 令人钦佩地发布了大量有关其安全问题的信息 - Patchstack、Wordfence 和许多其他第三方在记录和提醒社区注意这些问题方面也做得很好。 不幸的是,这种透明度也使我们在公共关系方面处于劣势。

Shopify 和 Squarespace 去年有多少安全漏洞? 没人知道!

这是开源透明度的双刃剑。 WordPress 拥有巨大的市场份额,它在让世界及时了解其安全性方面做得很好,因此确实发生的少数安全问题得到了不成比例的关注(来自 WIRED 的示例标题:“数以百万计的 WordPress 网站 强制更新以修复严重错误“)。

显然,我们应该在安全问题上保持透明。也就是说,如果我们能够为这些公告找到更好的公共关系解决方案,那么每个人都会受益。当作者只使用原始数字(数百万!)或低上下文统计数据(150%!)时,它会无缘无故地贬低 WordPress 品牌。有 455,000,000 个 WordPress 站点,这使得 300 万个运行 Updraft(该 WIRED 标题中的插件)的事实不那么令人担忧。

可能的替代标题:“0.65% 的 WordPress 网站获得重要更新。”

WIRED 文章中的错误甚至不会影响所有安装了 Updraft 的站点,因为只有当您有非管理员成员注册您的站点时,它才会被利用。 (如果他们知道这个错误,他们可以在未经授权的情况下下载您网站的备份。)即使有漏洞利用,恶意人员实际上也无法以任何方式更改您的网站。换句话说,只有当您有非管理员成员并且只有在您的站点上存储未加密的敏感信息时,此漏洞才会存在。这意味着即使是“300 万次安装”这个数字也不是真正正确的——这些网站中只有一小部分曾经处于危险之中。

最重要的是,这个问题被负责任地报告并在不到 48 小时内得到解决。 对我来说,这似乎是一个成功的故事——它当然不值得在《连线》杂志上出现令人震惊的标题。

下一次更好的标题:“一夜成名:知名 WordPress 开发人员立即保护了 0.3% 受错误影响的网站。”

虽然我们不能完全阻止耸人听闻的新闻和浮华的头条新闻,但我们应该齐心协力,适当地制定安全修复措施。 安全版本意味着优秀的人正在构建优秀的软件——而不是相反。

把垃圾带出去

我将以我同意 Patchstack 的观点结束:WordPress 插件目录将受益于更好的垃圾清理。 Patchstack 引用了从 WordPress.org 目录中删除的 7 个插件,而这些插件从未获得安全补丁——这意味着任何安装了这些插件的人现在在他们的网站上都有一个孤立的、不安全的插件,并且永远不会收到有关该问题的通知。虽然这些插件看起来很晦涩,并且安装率可能很​​低,但这仍然不是一个好方法。至少,在未来,如果插件具有已知漏洞,WordPress 安全团队应该自己推送安全版本,只是为了将更新通知发送到最终用户的仪表板上。

幸运的是,这些问题很少见——Patchstack 表示,该目录中的 50,000 多个插件中只有 7 个被删除,因为开发人员在没有修复已知的严重安全漏洞的情况下放弃了它们。由于这些插件的使用率很低,因此它们影响到的实际 WordPress 网站的比例非常小。当然,您不会从 Patchstack 报告中知道这一点——这是他们不负责任的框架:“2021 年报告的具有严重漏洞的 WordPress 插件中,高达 29% 的开发人员没有收到任何补丁。”

不用说,我们需要不是来自销售 WordPress 安全软件的人的 WordPress 安全消息。许多主要的 WordPress 公司在 SEO 方面都做得很好(例如,搜索“WordPress 安全吗?”以响亮的“是”回应),但谷歌新闻仍然是关于安全性文章框架不佳的荒地补丁。我希望我们都可以更加协调一致地引用现实的安全统计数据,而不是鹦鹉学舌地模仿耸人听闻的新闻稿,好像它们是无可争辩的真实。

发表回复

您的电子邮箱地址不会被公开。