開発者がプラグインを更新しないとどうなる?

開発者はプラグインを更新しない: WordPress サイトの所有者は、WordPress コアとアドオン (テーマとプラグイン) を最新の状態に保つよう常に警告されています。無人のままにしておくと、ハッカーが悪用してサイトに侵入する脆弱性がアドオンに発生します。 しかし、しばらく前に脆弱性が発見され、プラグインの開発者がまだ問題に対処するアップデートをリリースしていない場合はどうでしょうか? その場合、あなたのようなウェブサイトの所有者は何をしますか?この投稿の目的は、開発者がアップデートをリリースするまでサイトを安全に保つための一連の行動について議論することです.

2016 年にセキュリティ ブログで、人気のあるキャッシュ プラグインである W3 Total Cache にクロスサイト スクリプティングの脆弱性が見つかったと報告されました。 W3 Total Cache は、100 万回以上のアクティブ インストールを持つ最も人気のあるキャッシュ プラグインの 1 つであり、pearsonified.com や mashable.com などの Web サイト、さらには AT&T の企業 Web サイトからも信頼されていました。 W3 Total Cache プラグインが脆弱性を開発したのはこれが初めてではありません。実際、Total Cache には過去に多くの脆弱性があり、そのうちのいくつかは悪用されていました。

レポートの時点で、ユーザーが開発者と何ヶ月も連絡を取ろうとしているが、あまり成功していないというサポート関連の問題について不満が浮かんでいました.不満を抱いた 1 人のユーザーが、プラグインが 7 か月以上更新されていないと Facebook グループに投稿しました。 この時点で、クロスサイト スクリプティングの脆弱性が W3 Total Cache を使用する Web サイトに与える潜在的な損害についての懸念は理解できます。

脆弱性が公開されてからほぼ 1 週間後、W3 Total Cache はアップデートをリリースし、悪用可能な抜け穴にパッチを当てました。さらに、彼らは製品に新しい機能を導入しました。しかし、パッチのリリース直後、多くの Web サイト所有者が、更新によってサイトが壊れたと報告しました。新しい更新によって Web サイトが壊れることは珍しくありません。そのため、ステージング環境を使用することをお勧めします。ライブ サイトに変更を加える前に、ステージング サイトで更新をテストする機会が得られます。更新時にステージング サイトが壊れた場合、ライブ サイトに損害を与えることなく、プラグイン開発者に問題を提起できます。また、W3 Total Cache の開発者がパッチをリリースするまでには時間がかかりましたが、全体的な大惨事には至りませんでした。

開発者がプラグインを更新しない場合の対処方法

WordPress は世界で最も人気のあるウェブサイト構築プラットフォームであり、その人気の背後にある最大の理由の 1 つは、ユーザーがサイトを簡単に設計して機能を追加できるようにするプラグインの使用です。多くの WordPress プラグインは、開発者がサイドプロジェクト。脆弱性が発生すると、問題の特定だけでなく、パッチの開発にも多くの時間と労力がかかります。 定期的な仕事があるため、プラグインの脆弱性にすぐに対処できない場合があります。サイドプロジェクトは優先事項ではありません。これにより、パッチのリリースが遅れます。

WordPress は世界中に広がるインターネット コミュニティであり、コアまたはそのアドオン (テーマやプラグインなど) で見つかった脆弱性に関するニュースは急速に広まりました。 これは、脆弱な Web サイトを常に監視しているハッカーが、数時間以内に Web サイトで大規模なハッキングの試みを開始することを意味します。 したがって、プラグインの脆弱性が見つかったが、開発者がまだアップデートをリリースしていない場合は、サイトに害を及ぼさないようにするための一連の措置を講じることが重要です.このような状況に陥った場合の対処法は次のとおりです:

• プラグインを無効にする 脆弱性を修正するアップデートが開発者によってリリースされるまで。
• それがプレミアム プラグインまたはプラグインのプレミアム バージョンでない場合は、wordpress.org のサポート フォーラムにアクセスして苦情を投稿してください そこの。うまくいけば、十分な数の苦情が開発者にパッチを迅速にリリースするよう促すでしょう.
• 通常、脆弱性の発見後、更新が完了するまでに 48 時間以上かかります。ただし、それ以上かかる場合は、開発者に連絡して問題について知らせてください。情報源、つまり、脆弱性についてどこから聞いたのかを引用してください。プラグインの公式 Web サイトには、「お問い合わせ」ページまたはサイトのどこかにメールアドレスが必要です。 彼らにメールを送ってください。
• それまでの間、別のプラグインを使用してください これにより、サイトを完全に機能させることができます。プラグインが機能しなくなったときの計画を立てておくことを常にお勧めします。

前述したように、WordPress プラグイン リポジトリには、趣味やサイド プロジェクトとして開発されたプラグインがたくさんあります。 これは、無料の製品を作成しようとしている開発者がいつでも製品を放棄できることを意味します。 そのため、多くのセキュリティ専門家は、コミュニティで有名で尊敬されている開発者によって作成されたプレミアム プラグインのみを使用することを推奨しています。開発中のプラグインやテーマに対して報酬を受け取っていない開発者は、プラグインやテーマの強化や維持に費やす時間が少なくなる可能性があります。フルタイムの仕事で忙しくして請求書を支払っている可能性があるため、金銭的利益をもたらさない製品に時間を投資することは非現実的です。

脆弱性は、専門家またはアマチュアによって作成されたかどうかにかかわらず、WordPress プラグインで発生します。放棄されたテーマ/プラグインを使い続けると、メンテナンスが行われなくなり、更新が行われなくなります。エラーが発生した場合、プラグインの開発者に連絡したいと思いますが、プラグインは開発者チームによって放棄されているため、サポートも得られません.別のプラグインまたはテーマに切り替えるには、時間と労力をもう一度投資する必要があるため、ユーザーであるあなたは窮地に立たされますが、それが唯一の実行可能なオプションです. 適切な Web サイト セキュリティ プラクティスでは、プラグインの選択方法についていくつかのプロトコルに従うようユーザーに促します。ここにそれらをリストしました:

• 有名な開発者によって開発されたプラグインを選択してください 作成者が放棄したプラグインを使用している状況を回避するため。
• プラグインが定期的に更新されていることを確認してください これは、ハッカーがサイトに侵入するために使用できた可能性のある脆弱性を開発者が修正していることを意味します。 WordPress リポジトリにアクセスして、最終更新日を確認してください。

• プレミアム プラグインを使用する 無料のものの代わりに。プラグインの無料バージョンがある場合は、それを使用して基本的な機能をテストしますが、プレミアム バージョンにアップグレードすることをお勧めします。前に説明したように、無料のプラグインが放棄されたり、重要な更新の展開に時間がかかりすぎたりする可能性があります.

開発者がプラグインを更新していないときに、この投稿が一連のアクションを実行するのに役立つことを願っています.お読みいただきありがとうございます。ご不明な点がございましたら、お気軽にお問い合わせください。