Trình kiểm tra bảo mật plugin WordPress

Bài đăng trên blog này tập trung vào việc cung cấp cho bạn thông tin về cách kiểm tra bảo mật plugin WordPress bằng danh sách kiểm tra các tác vụ. Nó cũng giải thích liệu tất cả các plugin bạn tìm thấy từ kho plugin WordPress có an toàn hay không

Hiện tại, bạn có quyền truy cập vào hơn 58.000 plugin trên WordPress và mỗi plugin đều được nhóm đánh giá plugin tại WordPress phê duyệt khi được phê duyệt và thêm vào kho lưu trữ

Nhóm không chỉ đảm bảo rằng plugin hoạt động như ý muốn mà còn đảm bảo rằng plugin tuân theo các nguyên tắc bảo mật của WordPress.  

Tuy nhiên, ngay cả nhóm đánh giá hiệu quả nhất cũng không thể kiểm tra tính bảo mật của plugin WordPress và đảm bảo rằng tất cả các plugin trên nền tảng đều an toàn. Nó đúng với App Store của Apple. Điều đó cũng đúng với Cửa hàng Google Play. Và nó đúng với các plugin WordPress

Ngoài ra, WordPress—giống như Android—là một nền tảng mã nguồn mở. Điều này có nghĩa là sự thành công của WordPress với tư cách là một CMS phụ thuộc vào mức độ phổ biến của nó đối với từng nhà phát triển

Không có một nhóm nào tạo ra hàng nghìn chủ đề và plugin mà bạn thấy trên WordPress. Tất cả đều được xây dựng bởi các nhà phát triển vì họ thấy giá trị trong việc cung cấp dịch vụ cho người dùng WordPress

Đó là một hệ sinh thái hoạt động cực kỳ tốt. Cho đến nay, WordPress là hệ thống quản lý nội dung (CMS) phổ biến nhất trên thế giới

Người ta ước tính rằng 40 phần trăm tất cả các trang web trên thế giới chạy trên WordPress. Trên thực tế, CMS tốt đến mức gần 40 phần trăm trong số một triệu trang web hàng đầu trên thế giới sử dụng WordPress

Làm thế nào để các lỗ hổng kết thúc trong các plugin WordPress?

Một nền tảng nguồn mở đi kèm với một số vấn đề. Không phải tất cả các plugin và chủ đề đều được xây dựng an toàn như mong muốn. Nó phụ thuộc vào mức độ tốt của một nhà phát triển trong công việc

Thường không có mục đích xấu trong các lỗi bảo mật, nhưng tin tặc cũng được biết là sử dụng plugin cho các hoạt động của chúng

là một ví dụ về những gì có thể sai với các plugin WordPress. Đó là một giải pháp chống thư rác hợp pháp với hơn 300.000 lượt cài đặt khi nó bị cấm khỏi nền tảng

Một tin tặc đã mua ứng dụng từ nhà phát triển, sau đó thêm mã để đưa quảng cáo rác vào các trang web đã cài đặt SI CAPTCHA

Nhà phát triển đã xác nhận rằng đó là một phần của chiến dịch spam phối hợp với các plugin khác cũng được nhắm mục tiêu tương tự. Mặc dù plugin đã xóa các yêu cầu bảo mật như một dịch vụ hợp pháp trong một thời gian, nhưng một hacker đã có thể cập nhật nó để có lỗ hổng

Những sự cố như vậy cho thấy các plugin dễ bị tấn công có thể ảnh hưởng đến các trang web như thế nào và thậm chí bạn có thể không biết về chúng trong một thời gian dài. Các ước tính phổ biến đến mức 98% lỗ hổng WordPress có liên quan đến plugin

Làm cách nào để kiểm tra bảo mật plugin WordPress?

Không phải tất cả các trường hợp có plugin dễ bị tấn công đều như ví dụ trên. Các lỗ hổng thường kết thúc trong các plugin sau khi cập nhật. Với các bản cập nhật, các nhà phát triển có thể vô tình tạo ra các đoạn mã mới có lỗ hổng

Đây là điều mà nhóm đánh giá plugin WordPress không thể biết được vì các plugin chỉ được kiểm tra khi chúng được thêm lần đầu tiên vào kho lưu trữ plugin WordPress

Không có cách nào chắc chắn để biết liệu plugin hoặc chủ đề có bị xâm phạm hay không, nhưng nó không đáng ngại như người ta vẫn tưởng. Bạn có thể tránh những dấu hiệu rõ ràng bằng cách tìm kiếm một số dấu hiệu phổ biến hơn

Tái bút. Bạn không cần phải là nhà phát triển web chuyên nghiệp để xem qua danh sách kiểm tra này, nhưng nếu bạn có bất kỳ câu hỏi nào về lỗ hổng plugin và bảo vệ trang web của bạn khỏi lỗ hổng plugin để ngăn lây nhiễm phần mềm độc hại, v.v. – bạn có thể liên hệ với chúng tôi theo địa chỉ support@patchstack. com

1. Bạn không thể ghim nhà phát triển

Bạn có nhiều khả năng tìm kiếm kho lưu trữ plugin WordPress khi muốn có một plugin. Đó cũng là lựa chọn an toàn nhất. Thật không may, nó không phải là công cụ tìm kiếm thân thiện với người dùng nhất

Bây giờ, nếu bạn không tìm thấy nó ở đó, hãy tìm kiếm nhanh trên Google (hoặc một công cụ tìm kiếm khác mà bạn chọn) thường sẽ tiết lộ một plugin phục vụ mục đích bạn muốn

Tuy nhiên, Google cũng sẽ hiển thị cho bạn các plugin bên ngoài kho lưu trữ. Chúng có khả năng được liệt kê bởi các nhà phát triển WordPress trên trang web của riêng họ

Các nhà phát triển WordPress giỏi có trang web và điều đó không sao cả. Nhưng nếu bạn bắt gặp một nhà phát triển hứa hẹn rất nhiều điều miễn phí hoặc rất rẻ, hãy thận trọng

Nếu bạn không thể tìm thấy nhà phát triển trong kho plugin, bạn có thể thử thị trường của bên thứ ba như CodeCanyon. Những thị trường này có phần mềm cho nhiều CMS. Xem liệu nhà phát triển có các sản phẩm khác được liệt kê không

Ảnh chụp màn hình từ codecanyon. mạng lưới

Các nhà phát triển giỏi luôn nhất quán và cố gắng xây dựng giá trị thương hiệu trên các nền tảng. Họ có thể chỉ có một plugin được liệt kê trong kho lưu trữ WordPress khi đang hoạt động ở các thị trường khác

Nếu bạn tìm thấy bất kỳ sản phẩm nào, để kiểm tra tính bảo mật của plugin WordPress, bạn nên kiểm tra xếp hạng và đánh giá. Kiểm tra xem những người đánh giá mới nhất nói gì về sản phẩm

Tốt nhất là tránh xa các nhà phát triển mới không có thành tích. Tiến thêm một bước và nghiên cứu một chút về nhà phát triển nếu bạn thực sự quan tâm đến sản phẩm. Hãy thử liên lạc và xem nó đi đâu

Cộng đồng nhà phát triển WordPress khá tích cực và một nhà phát triển đáng ngờ có thể đã bị gắn cờ vào một thời điểm nào đó

2. Plugin không phổ biến lắm

Nếu tính năng bạn muốn là duy nhất theo một cách nào đó, thì có thể plugin sẽ không có quá nhiều người dùng trên thị trường. Điều này sẽ không xảy ra nhiều mặc dù. Với hơn 27 triệu trang web WordPress đang hoạt động, bạn sẽ không thấy mình đơn độc khi cần một ứng dụng hoặc giải pháp cụ thể

Nếu một plugin cho một tính năng phổ biến không có đủ lượt tải xuống, thì tốt nhất bạn nên tránh nó. Điều này nghe có vẻ phản trực giác vì tất cả các plugin tuyệt vời đều bắt đầu với một số ít người đăng ký. Chà, một plugin đã tồn tại hàng tháng hoặc hàng năm với ít lượt cài đặt luôn khó bán

Nếu đó là một danh sách mới, bạn nên cân nhắc chờ một chút để quan sát phản ứng của những người chấp nhận sớm hoặc các nhà nghiên cứu bảo mật với nó. Nó có thể là một plugin tuyệt vời, nhưng hãy đợi cho đến khi nó có ít nhất 1 000 lượt cài đặt đang hoạt động

Trong WordPress, bạn có thể thấy chính xác số lượng trang web đang chạy plugin ngay bây giờ. Nếu con số đó vẫn ổn định hoặc tăng nhanh thì có khả năng là sản phẩm tốt và không có hoạt động đáng ngờ nào được tìm thấy

3. Nó không hoạt động với phiên bản WordPress mới nhất

WordPress đặt giá trị lớn vào khả năng tương thích với các bản cập nhật phiên bản. Tất cả plugin phải tương thích với phiên bản mới nhất, nếu không thị trường sẽ “hạ giá” nó

Điều này có nghĩa là người dùng không thể tìm thấy nó khi tìm kiếm nó. Giá trị “đã kiểm tra đến” cho bạn biết phiên bản cuối cùng mà plugin hoạt động tốt. WordPress yêu cầu giá trị này ít nhất phải là phiên bản ổn định cuối cùng hiện có

Bạn cũng nên cập nhật trang web của mình. Các phiên bản cũ hơn của WordPress có thể khiến bạn dễ bị tấn công. Các phiên bản mới thường sửa các lỗ hổng đồng thời thêm các tính năng mới

Theo WordPress, chỉ 37. 5 phần trăm người dùng đã cập nhật lên phiên bản 5. 5, mới nhất của họ. Ít nhất 79. 2 phần trăm đã cập nhật lên phiên bản 5 hoặc mới hơn. Điều đó vẫn khiến hàng triệu trang web chạy các phiên bản cũ hơn

Nếu bạn tìm thấy một plugin bên ngoài thị trường và nó không tương thích với phiên bản CMS hiện tại, đừng chọn nó. Bạn có thể yên tâm rằng sẽ có một plugin tương tự được cập nhật để hoạt động với phiên bản mới nhất

Cả hai nghe có vẻ giống nhau nhưng là hai thứ riêng biệt. Cũng giống như lõi WordPress, bạn phải luôn cập nhật plugin và chủ đề của mình lên phiên bản mới nhất

Nó có thể thay đổi cách bạn thiết lập trang web của mình, nhưng phiên bản lỗi thời của plugin có thể có vấn đề về bảo mật vì các bản cập nhật đôi khi có các bản sửa lỗi bảo mật quan trọng

WordPress cho bạn biết khi plugin được cập nhật lần cuối. Nếu đã hơn sáu tháng trước, đó là một dấu hiệu xấu. Điều đó có thể có nghĩa là nhà phát triển đã mất hứng thú với ứng dụng và sẽ không tiếp tục cải thiện plugin nữa

Những plugin mồ côi này có thể có lỗ hổng mà nhà phát triển không còn làm việc nữa

Thứ hai, hỗ trợ, cho biết mức độ tích cực của nhà phát triển trong việc phản hồi mọi vấn đề bạn gặp phải khi sử dụng plugin. Mọi người sử dụng một bộ plugin và chủ đề khác nhau và các ứng dụng có thể can thiệp lẫn nhau

Một nhà phát triển giỏi sẵn sàng tương tác với người dùng và tìm giải pháp, đặc biệt nếu đó là vấn đề bảo mật

Mỗi plugin sẽ có một tab “hỗ trợ” mở cho mọi người đọc qua. Xem qua các chủ đề và xem cách nhà phát triển đã phản hồi và giải quyết các vấn đề. Tránh plugin nếu nhà phát triển không phản hồi hoặc không thể giải quyết vấn đề. Trong mọi trường hợp, xếp hạng thường kém nếu nhà phát triển không làm việc với người dùng

5. Cập nhật tin tức và cập nhật bảo mật

Trong thế giới mã nguồn mở của WordPress, tin tức về lỗ hổng trong plugin trở thành kiến ​​thức phổ biến khá nhanh. Thỉnh thoảng nên kiểm tra các bản cập nhật bảo mật plugin WordPress

Các công ty bảo mật như Patchstack theo dõi những gì đang diễn ra và xuất bản các bản cập nhật hầu như mỗi ngày

Nếu tin tặc có thể khai thác lỗ hổng trước khi bản vá được phát hành, thì bất kỳ ai đã cài đặt plugin đều gặp rủi ro. Có lẽ bạn nên gỡ cài đặt plugin cho đến khi nhà phát triển xác nhận rằng sự cố đã được giải quyết

Ngoài các báo cáo như vậy, máy chủ lưu trữ web cũng có thể có danh sách các plugin bị cấm. Một số trong số này sẽ là vì lý do kỹ thuật vì chúng đã cung cấp các tính năng tương tự hoặc tiện ích mở rộng không được hỗ trợ trên nền tảng. Không phải lúc nào cũng vậy

Ví dụ: danh sách của GoDaddy có các plugin được đưa vào danh sách đen vì cả bảo mật và không hoạt động. Danh sách mới nhất có hai plugin, 'Tìm và thay thế trong thời gian thực' và 'Thư viện NextGEN', được đưa vào danh sách đen vì lý do bảo mật. Danh sách này thậm chí có một vài plugin bị chặn vì vấn đề hiệu suất

Ít nhất, bạn cần thực hiện tìm kiếm cơ bản—tên plugin + bị tấn công hoặc lỗ hổng—trước khi cài đặt. Nếu bạn nhận được bất kỳ kết quả đáng tin cậy nào, hãy kiểm tra kỹ lưỡng hơn và đảm bảo rằng plugin an toàn để cài đặt ngay bây giờ

Không có trang web nào đang và sẽ luôn bất khả xâm phạm. Bạn có thể chọn giữ cho nó đơn giản và chỉ sử dụng một số plugin cần thiết không có khả năng bị hack. Nhưng nếu bị hack, hãy chọn một dịch vụ tập trung vào việc ngăn chặn lây nhiễm phần mềm độc hại ngay từ đầu

Sau đó làm theo kế hoạch vì bảo mật WordPress không có giải pháp một lần

Khi bạn đã sẵn sàng mở rộng phạm vi trang web của mình, điều này thường có nghĩa là thêm nhiều tính năng hơn, bạn cần trợ giúp chuyên nghiệp. Patchstack là một dịch vụ được quản lý giúp theo dõi và đánh giá rủi ro

Bạn cũng nên chọn một nền tảng cung cấp nhiều giải pháp thay vì tải trang web của mình bằng một số plugin bảo mật một giải pháp

Patchstack có thể giúp bảo vệ các trang web WordPress của bạn như thế nào?

Patchstack sẽ giúp bạn với các bản vá bảo mật WordPress tự động và giám sát lỗ hổng. Điều đó có nghĩa là với Patchstack, bạn có thể ngay lập tức phát hiện các lỗ hổng trong plugin, chủ đề và lõi của WordPress

Chỉ thiếu một lỗ hổng duy nhất có thể nhanh chóng dẫn đến một trang web bị tấn công khi nói đến plugin. Cố gắng cập nhật thủ công cũng có thể là một công việc bất khả thi. Với Patchstack, bạn có thể luôn cập nhật và an toàn vì Patchstack sẽ cho bạn biết nếu bạn có bất kỳ plugin dễ bị tấn công nào trên trang web của mình

Điều thứ hai bạn cần là phản hồi nhanh khi một lỗ hổng trong plugin bạn sử dụng không có bản sửa lỗi hoặc cập nhật bảo mật từ nhà phát triển plugin. Thường chỉ mất vài giờ trước khi các bot cố gắng lạm dụng các lỗ hổng mới

Patchsack Red Team kiểm tra các lỗ hổng trong plugin và chủ đề hàng ngày và khi tìm thấy lỗ hổng, nhóm Patchstack sẽ gửi các bản vá ảo đến công cụ tường lửa Patchstack để đảm bảo các trang web an toàn ngay cả trước khi nhà phát triển plugin có thể bắt đầu làm việc với một bản vá

Với Patchstack, bạn sẽ nhận được các bản vá ảo tự động cho các lỗ hổng WordPress mới, các mô-đun bảo mật bổ sung để lọc lưu lượng truy cập không mong muốn và có thể áp dụng các quy tắc bảo mật tùy chỉnh. Quan trọng nhất là bạn có thể ngăn ngừa lây nhiễm phần mềm độc hại và tiết kiệm chi phí loại bỏ phần mềm độc hại

Plugin bảo mật tốt nhất cho WordPress là gì?

Các plugin WordPress có an toàn không?

Plugin Sucuri có miễn phí không?

Làm cách nào để thiết lập plugin Sucuri?