#20 – Oliver Sild über den Stand der WordPress-Sicherheit – WP Tavern

30. März 2022
#20 – Oliver Sild über den Stand der WordPress-Sicherheit – WP Tavern

[00:00:00] Nathan Wrigley: Willkommen zum Jukebox-Podcast von WP Tavern. Mein Name ist Nathan Wrigley. Jukebox ist ein Podcast, der sich allen Dingen von WordPress widmet. Die Leute, die Events, die Plugins, die Blöcke, die Themes und in diesem Fall die Sicherheit von WordPress. Wenn Sie den Podcast abonnieren möchten, können Sie dies tun, indem Sie in Ihrem Podcast-Player Ihrer Wahl nach WP Tavern suchen oder zu WP Tavern dot com Forward Slash Feed Forward Slash Podcast gehen. Und Sie können diese URL in die meisten Podcast-Player kopieren.

Wenn Sie ein Thema haben, von dem Sie möchten, dass wir es im Podcast vorstellen, bin ich sehr daran interessiert, von Ihnen zu hören und hoffentlich Sie oder Ihre Idee in die Show zu bringen. Gehen Sie zu WP Tavern dot com forward slash contact forward slash jukebox und verwenden Sie das Kontaktformular dort.

Im heutigen Podcast haben wir also Oliver Sild. Oliver arbeitet seit vielen Jahren im WordPress-Bereich, insbesondere mit WordPress-Sicherheit, als einer der Gründer von Patchstack, früher WebARX genannt. Patchstack ist ein Produkt, das Ihnen helfen soll, Plugin-Schwachstellen in Ihren WordPress-Sites zu identifizieren.

In den letzten Jahren hat Patchstack einen Jahresbericht über den Stand der WordPress-Sicherheit veröffentlicht. Der Bericht für 2021 wurde gerade veröffentlicht, und der heutige Podcast befasst sich mit dem, was sie herausgefunden haben. Wir sprechen darüber, warum sie diesen Bericht erstellen. Wer die Zielgruppe ist. Was sind die wichtigsten Erkenntnisse in Bezug auf die Gesamtsicherheit von WordPress Core-Plugins und -Themes?

Wir gehen dann genauer darauf ein, welche Arten von Schwachstellen und Angriffen im WordPress-Bereich vorherrschen. Gibt es Trends, über die man nachdenken sollte und wie die WordPress-Sicherheit von der Community als Ganzes verwaltet wird? Budgets und Zeit sind in der Regel für die Prävention und Wiederherstellung von Websites vorgesehen.

Gegen Ende sprechen wir darüber, wie einige Leute die Nützlichkeit des Berichts zurückgedrängt haben. Sie haben die Motivation von Sicherheitsunternehmen, solche Berichte zu schreiben, und die Verwendung der darin enthaltenen Sprache in Frage gestellt. Zeichnen sie ein negativeres Bild, um den Verkauf ihrer kommerziellen Lösungen zu steigern?

Wenn Sie mehr erfahren möchten, finden Sie alle Links und die Show-Notizen, indem Sie zu gehen. WP Tavern dot com Forward Slash Podcast, wo Sie alle anderen Episoden finden. Und so bringe ich euch allen ohne weitere Verzögerung Oliver Sild.

Ich werde heute im Podcast von Oliver Sild begleitet. Hallo Oliver.

[00:03:16] Oliver Sild: Hallo Nathan, wie geht es dir?

[00:03:17] Nathan Wrigley: Mir geht es sehr gut, danke, dass Sie heute bei uns sind. Oliver Sild wird sich sich sicherlich vorstellen können, aber ich werde nur einen sehr schnellen Job machen. Oliver ist, glaube ich, einer der Gründer, wenn nicht sogar der Gründer von Patchstack, ehemals WebARX, einer Sicherheitslösung unter anderem für WordPress-Websites.

Also meine erste Frage an Sie dreht sich alles darum, geben Sie uns nur ein wenig Hintergrund, sicherlich mehr als ich gerade zur Verfügung gestellt habe. Erzählen Sie uns von Ihrer Geschichte mit WordPress und wie Sie zu WordPress gekommen sind.

[00:03:47] Oliver Sild: ja. Also in 20, 20 13, 20 14, um diese Zeit herum leitete ich tatsächlich eine Webentwicklungsfirma, wir bauten damals hauptsächlich Websites in Joomla und dann erinnere ich mich nur an einen Punkt, die Nachfrage auf dem Markt änderte sich so ziemlich jeder wollte auf WordPress-Site. Das hat uns natürlich von Joomla zu WordPress gebracht, und weil unsere Firma es war, nannten wir unsere Dienste wie eine sichere Webentwicklung. Was wir also tun wollten, ist, dass, wenn wir Ihnen etwas bauen, wir auch sicherstellen werden, dass die Sicherheitsseite davon auch abgedeckt ist. Wir hatten also bereits ein gewisses Maß an internen Tools entwickelt, die uns halfen zu verfolgen, welche Art von Software wir auf den Websites unserer verschiedenen Kunden verwendeten. Und das hat sich schließlich, nun ja, inzwischen zu dem entwickelt, was Patchstack ist.

Okay.

[00:04:40] Nathan Wrigley: Vielen Dank. Sicherheit ist also Ihr Ding. Und vor kurzem gab es einen Artikel auf der WP Tavern Website, auf den ich etwas später verlinken werde, der die Tatsache hervorhob, dass Sie einen Ihrer Jahresberichte veröffentlicht hatten.

Ich glaube, wir befinden uns jetzt möglicherweise in der zweiten Iteration. Es wird der Zustand der WordPress-Sicherheit genannt. Und in diesem Fall war es 2021. Es ist also ein Rückblick auf das letzte Jahr in der WordPress-Sicherheit. Und wir werden darauf eingehen. Und das ist wirklich der Punkt des podcasts heute. Wir werden nur all die verschiedenen Teile bewerten, die Sie dort hervorgehoben haben, weil ich mir vorstelle, dass die meisten Leute, die diesen Podcast hören, tief in WordPress sind. Und das ist offensichtlich eine ernsthafte Bedeutung.t Seite jeder WordPress-Website, um sie aktuell und sicher zu halten.

Und dann gegen Ende des Podcasts werden wir ein wenig in einen Austausch gehen, der auf einer Website stattgefunden hat, wo jemand die Sprache, die Sie hier verwenden, in Frage gestellt hat, aber, okay, also das erste, was ich vorschlagen werde, ist, dass, wenn Sie sich das anhören, Sie vielleicht gerne zu Patchstack dot com Forward Slash White Paper Forward Slash den Stand der WordPress-Sicherheit im Jahr 2021 gehen möchten. Alle diese Wörter sind durch Bindestriche getrennt. Und Sie werden den Artikel finden, über den wir sprechen.

Es ist in viele verschiedene Abschnitte unterteilt. Aber die erste Frage ist, warum sie sich bemühen, diesen Bericht zu schreiben? Und wir wissen, dass Sie eine WordPress-Sicherheitsfirma haben. Das ist Ihre Aufgabe. Das ist es, was Sie tun, aber warum sollten Sie sich die Mühe machen, zu veranschaulichen, was im WordPress-Bereich vor sich geht, damit Leute wie ich, die breite Öffentlichkeit, es konsumieren können? Es muss ziemlich viele Ressourcen und Anstrengungen erfordern.

[00:06:14] Oliver Sild: In der Tat ja. Ich glaube, wir haben diesen Bericht drei Monate lang zusammengestellt. Es ist übrigens ziemlich tiefgründig. Wenn Sie das Whitepaper schnell öffnen möchten, können Sie einfach zu Patchstack dot com gehen, wir haben mit dem Banner auf unserer Startseite, das tatsächlich darauf verlinkt, aber das ist eine Randnotiz.

Das haben wir letztes Jahr tatsächlich zuerst gemacht. Also haben wir letztes Jahr eine über das Vorjahr veröffentlicht und wir haben damit begonnen, an dem Punkt, an dem wir als Unternehmen beschlossen haben, uns auf Sicherheitslücken zu konzentrieren, die in der Software zu finden sind, die für und um das WordPress-Ökosystem herum entwickelt wurde, nämlich den WordPress Core, die Plugins und Themes und das wordpress.org-Repository.

Aber auch die WordPress-Plugins und -Themes, die als Premium-Plugins erstellt wurden, die nicht im WordPress-Repository enthalten sind, oder diejenigen, die tatsächlich erstellt werden oder bereitgestellt werden, einige andere Marktplätze wie Envato und so weiter. Und indem wir das tun, wechseln wir die, wie wir ein SaaS-Produkt haben, das bietet, wir haben eine kostenlose Version eines SaaS-Produkts, wo Sie mögen können, einfach wie 99 Websites verbinden, zum Beispiel, und haben einen zentralen Überblick, wenn eines der Plugins auf einer Ihrer Websites anfällig wird. Und zur gleichen Zeit haben wir angefangen, uns mit diesen verschiedenen Arten von beliebten Plugins zu befassen, und ob sie anfällig sind oder nicht, dann bieten wir seit Jahren Code-Review- und Sicherheits-Auditing-Services für Plugins an.

Indem wir das im Laufe der Zeit tun, ist das, was wir zusammen gesammelt haben, wie eine ziemlich große Datenbank, also Sicherheitsprobleme rund um das WordPress-Ökosystem. Wenn Sie also zur Patchstack dot com Slash-Datenbank gehen, sehen Sie tatsächlich eine vollständige Liste aller Sicherheitslücken, die sich in den Plugins, Themes, WordPress Core usw. befinden.

Und letztes Jahr, was wir getan haben, ist, dass wir dachten, wir haben bereits durch Umfragen und so weiter verstanden, dass tatsächlich Plugin-Schwachstellen und Theme-Schwachstellen, und wie alles, was Sie auf Ihrer Website ausführen, das anfällig wird, so ziemlich die größte Sicherheitsbedrohung für die Website ist. Und dann haben wir eine Sache gestartet, die wir heute Patchstack Alliance nennen, wo wir gerade beschlossen haben, eine Gemeinschaft von ethischen Hackern aufzubauen, die dann Schwachstellen, die sie in allen WordPress-Plugins im Ökosystem finden, an uns übermitteln. Wir stellen sicher, dass wir dem Plugin-Entwickler helfen, diese Probleme zu beheben. Und dann bezahlen wir tatsächlich an diese ethischen Hacker für den Beitrag, den sie zur WordPress-Sicherheit leisten.

Und das generiert auf der anderen Seite eine Menge Daten für uns. Also viele Daten über neue Schwachstellen. Viele Daten darüber, was tatsächlich in diesem Ökosystem passiert. Und wir haben uns einfach entschieden, all die Informationen und Daten, die wir in dieser Zeit gesammelt haben, in eine Art Jahresbericht oder ein Whitepaper zu verwandeln.

[00:09:09] Nathan Wrigley: ja. Es lohnt sich auf jeden Fall, einen Blick darauf zu werfen, denn es zeigt, dass man jetzt, da man sich in der zweiten Iteration befindet, natürlich vergleichen kann, wie die Dinge letztes Jahr waren. Und in vielerlei Hinsicht ist dies ein Vergleichsstück, das auf dem letzten Jahr basiert. Und so hören wir oft die Phrasen, so und so etwas ist so und so etwas wie unten, sie suchen im Grunde nach Trends.

Der Hauptinhalt besteht aus drei Abschnitten. Wie Sie beschrieben haben, sprechen wir über WordPress Core, WordPress-Themes und schließlich WordPress-Plugins. Da ist offensichtlich ein bisschen Nuance drin. Möchten Sie uns veranschaulichen, was Sie als die großen Highlight-Bullet-Items gefunden haben, wenn Sie möchten, dass diese drei Bereiche?

Sollten wir also mit Core beginnen? Lassen Sie uns besprechen, was Sie im letzten Jahr in Bezug auf die Sicherheit oder Nichtsicherheit von WordPress Core gefunden haben. Um es zu paraphrasieren, es scheint ziemlich gut zu sein.

[00:10:02] Oliver Sild: ja. Wie WordPress hat einen recht ausgereiften Softwareentwicklungszyklus. WordPress der Kern, hat auch das Bug-Bounty-Programm.

Sie haben das Bounty-Programm auf Hacker eins. Und wer weiß nicht, was Backcountry-Programm ist? Es ist im Grunde, wie Sie Hackern sagen, hacken Sie meine Software. Wenn Sie etwas finden, melden Sie es direkt an mich, damit ich es reparieren kann, dann werden sie an Sie zahlen. Das ist also der Ansatz, der sehr populär wird.

Das ist dasselbe, was wir mit Plugins machen, aber WordPress hat seinen eigenen Kern. Also tun sie das, was schön ist, weil das tatsächlich viel mehr Sicherheitsaufmerksamkeit auf dem WordPress Core bekommt. Und gleichzeitig sehen wir, dass weniger große Sicherheitslücken im Core selbst entdeckt werden. Und etwas, das wir auch in diesem Jahr gesehen haben, was ein bisschen anders war, waren die Abhängigkeitsverwirrungsangriffe, bei denen ein hohes Risiko bestand, vielleicht wie ein benutzerdefiniertes Plugin zu sein, das von der falschen Quelle aktualisiert wurde. Ich denke, der Core hatte ein interessantes Jahr, aber was wir sehen, ist im Allgemeinen, dass der Core eine gereifte Art von Entwicklungsprozessen und -zyklen hat. Es wird also jedes Jahr besser.

[00:11:14] Nathan Wrigley: Ich denke, im Jahr 2017, glaube ich, begann das Bug-Bounty-Programm mit Hacker one und es scheint, dass es funktioniert zu haben scheint, denn in den Jahren danach gab es einen ziemlich steilen Rückgang der Besorgnis über WordPress Core. In der Tat von den vier Sicherheitsupdates, die im Jahr 2021 veröffentlicht wurden. Und wieder sprechen wir über Core, es scheint, dass nur einer von ihnen eine kritische Schwachstelle hatte, die nicht wirklich etwas betraf, das Core war. Es war eine unsichere Komponente. Es war PHP Mailer Bibliothek, wenn ich mich richtig erinnere.

Das deutet also auf die Idee hin, dass heutzutage jemand sagt, dass WordPress selbst eine unsichere Plattform ist, auf die wir sicher alle gestoßen sind, als wir Kunden-Websites erstellt haben und so weiter, die Leute haben diese Angst, dass WordPress selbst ziemlich unsicher ist und Ihr Dokument scheint genau das Gegenteil zu implizieren. Es ist sehr robust und sehr sicher.

[00:12:13] Oliver Sild: Ja, und wenn Sie unser Whitepaper lesen, sagen wir das tatsächlich, wir sagen, dass WordPress dabei sehr gute Arbeit geleistet hat. WordPress bekommt immer mehr Sicherheitsaufmerksamkeit, offensichtlich, da es läuft, bald, fast wie die Hälfte des Webs, im Grunde.

Es macht Sinn, dass es mehr Aufmerksamkeit bekommt. Mehr Aufmerksamkeit bedeutet, dass mehr Zeug gefunden wird, mehr Zeug gefunden wird bedeutet, dass mehr Zeug repariert wird. Und das ist auch gut so. Und in Bezug auf die ganze reife Art und Weise, wie es regelmäßige Sicherheitsupdates und regelmäßige Updates für den Kern selbst gibt. Es zeigt, dass es dem Kern wirklich gut geht.

[00:12:51] Nathan Wrigley: Möchten Sie für diejenigen, die vielleicht nicht vertraut sind, veranschaulichen, dass einer der Überschriften, die Sie ganz oben haben, die Abhängigkeitsverwirrung angreift. Nun, das kann etwas sein, mit dem die Leute sehr vertraut sind. Ich vermute, vielleicht nicht. Möchten Sie nur skizzieren, was das ist und warum Sie es in diesem Jahr im Bericht illustriert haben?

[00:13:09] Oliver Sild: Ja, wir nennen es die Angst vor Abhängigkeitsverwirrungsangriffen, weil wir nicht wirklich spezielle Abhängigkeitsverwirrungsangriffe gesehen haben. Wie ich bereits erwähnt habe, bestand die Gefahr, dass, wenn Sie ein benutzerdefiniertes Plugin haben, das sich nicht auf dem wordpress.org Repo befindet. Und wenn Sie dem Repo ein neues Plugin mit dem gleichen Slug hinzufügen, den dieses benutzerdefinierte Plugin verwendet hat, können Sie das benutzerdefinierte Plugin auf den Websites, auf denen es ausgeführt wurde, ziemlich überschreiben.

Das war also wie ein Risiko, bei dem, wenn es ein Plugin gibt, das von jemandem gemacht wurde, vielleicht auf sehr hochkarätigen Websites installiert ist. Dieses Plugin ist der WP dot org nicht bekannt, oder es ist nicht auf dem WordPress dot org Repo, aber jemand hat ein Plugin für, mit dem gleichen Slug gemacht und es ging daran vorbei. Und dann würde der Auto-Update-Mechanismus im WordPress Core im Grunde dieses Plugin aktualisieren, jetzt, was ein Kern war, der ein benutzerdefiniertes Plugin in das Plugin war, das sich jetzt im WordPress-Repository befindet.

Also im Grunde genommen das Plugin eines anderen durch ein Plugin eines anderen Autors ersetzen. Der Inhalt kann von der wordpress.org überprüft werden, z. B. was dieses neue Plugin tatsächlich tun würde. Aber zur gleichen Zeit, natürlich ein bisschen Angst, ich denke, viele Leute hatten Angst, dass dies alle betreffen wird, aber es war eher eine theoretische Sache, die ein Risiko war, aber wir sahen nicht wirklich, dass solche Effekte auftraten.

[00:14:37] Nathan Wrigley: Ja, in der Software, im Allgemeinen, nichts mit WordPress zu tun, diese Art von Supply-Chain-Angriff ist potenziell ein echtes Problem, nicht wahr? Denn wenn Sie irgendwie die offizielle kanonische Quelle der Software werden können, obwohl Sie nicht die offizielle kanonische Quelle der Software sind, man könnte theoretisch sehr, sehr schnell an viele, viele Orte kommen.

Und es ist schön zu sehen, dass Sie im letzten Jahr nicht wirklich viele Beweise dafür gefunden haben. Also WordPress-Kern selbst, ich denke, es ist fair zu sagen, Sie fühlen sich in sehr guter Verfassung. Das Problem ist wirklich für WordPress und ich bin mir sicher, dass dies etwas ist, mit dem sich viele Leute identifizieren können, wenn sie die Software für längere Zeit benutzt haben, wir werden in Themes und Plugins einsteigen. Hier beginnen wohl die Probleme zu entstehen. Lassen Sie uns sie der Reihe nach angehen. Gehen wir zuerst zu den Themen. Was waren die groben Umrisse, die Sie bei Der Erforschung von Themen in diesem Jahr entdeckt haben?

[00:15:32] Oliver Sild: Ich denke, das ist im Laufe der Zeit passiert, aber im Grunde sehen wir, dass die Grenze zwischen Themes und Plugins immer verschwommener wird Themes verwenden jetzt viel PHP-Code für, Site Builder sind auch, Leute werden in gewisser Weise als Themes betrachtet, aber dann zur gleichen Zeit tatsächlich ein Plugin. Ja, die Grenze wird also verschwommener und mehr PHP-Code wird in die Funktionalität der Themes eingeführt, was im Grunde die gleiche Art von Bedrohungen für die Themes mit sich bringt, die wir mit Plugins haben, wo es eine Art anfälligen PHP-Code geben kann, der ein Trick sein kann, der etwas tut, was nicht beabsichtigt war.

Und was Sie gesehen haben, ist, dass es Schwachstellen in Themes gibt, die so kritisch sind, wie Sie es von den Plugins erwarten können. Es stammt nicht aus diesem Bericht, aber ich denke, ein gutes Beispiel ist es. Es war erst kürzlich mit der Freemius-Bibliothek, die von vielen Themen verwendet wurde. Und das ist genau das Problem der Lieferkette, wo es Tausende von Websites gibt, die ein Thema verwenden, und wenn dieses eine Thema anfällig wird, dann sind all diese Tausenden von Websites anfällig. Aber jetzt sehen wir auch, wo es Tausende von Themen zu diesen Themen gibt, die eine Bibliothek verwenden, und wenn diese Bibliothek anfällig wird, dann werden all diese Tausenden von Themen anfällig. Und all diese, ich weiß nicht, Hunderttausende von Websites, die diese Tausenden von Themen verwenden, werden ebenfalls anfällig. Sie können also sehen, wie das kommt, wie von oben nach unten und schließlich viele Websites beeinflusst. Zum Beispiel, ich denke, vor zwei oder drei Wochen, als die Freemius-Sache passierte, denke ich, dass wir, ich glaube, wir haben 1.800 verschiedene Schwachstellen oder anfällige Komponenten an einem einzigen Tag zur Patchstack-Datenbank hinzugefügt.

Das nächste Jahr wird also definitiv mehr sein, wir haben mehr Daten, die definitiv aus diesem Jahr über thematische Schwachstellen stammen, als wir aus dem vergangenen Jahr haben.

[00:17:35] Nathan Wrigley: Es gab eine ganze Reihe von Schwachstellen, die sie als kritische Schwachstellen bezeichnen könnten. Es gibt eine Liste, die Sie beschrieben haben, je nachdem, wie interessiert Sie an Sicherheit sind.

Die Namen dieser Dinge können von Interesse sein oder nicht, aber Dinge wie nicht authentifizierter, willkürlicher Dateiupload und Optionslöschung, die zumindest in Ihrem Fall gefunden worden zu sein scheinen, 10 Mal in 10 verschiedenen Themen. Sicherheitsanfälligkeit durch nicht authentifiziertes Hochladen, die zur Remotecodeausführung führt, die Sie in einem Design gefunden haben.

Willkürliche Datei-Upload-Schwachstelle, 42 Themes waren betroffen. Es ist also ziemlich weit verbreitet. Und ich denke, wenn eines dieser Themen unglaublich beliebt ist, kann das schnell außer Kontrolle geraten.

[00:18:16] Oliver Sild: Absolut. Wenn ein einzelnes Plugin, das dies hat, insbesondere diese nicht authentifizierten Schwachstellen, die gruseligsten sind, da sie keinen Zugriff auf die Website erfordern, wie alle Berechtigungen für Ihre Websites, und jemand könnte dies im Grunde tun, könnte der böswillige Hacker möglicherweise Dateien auf Ihre Website hochladen, ohne Zugriff auf die Website zu erhalten. Diese Art von Schwachstellen ist also sehr beängstigend, da sie automatisch und in großem Maßstab missbraucht werden können. In der Tat, als ob ein einzelnes Plugin hunderttausend Installationen hätte und es nur eine hätte, diese eine Schwachstelle, besonders für nicht authentifizierte, dann sehen wir, dass Hacker sehr schnell benutzerdefinierte Tools entwickeln, um alle Websites im Internet zu finden, die dieses Thema verwenden, und dann automatisch ausnutzen, um Hintertüren einzuschleusen oder den Datenverkehr von der Website umzuleiten. Ändern Sie die Suchmaschinenergebnisse für Ihre Website. Wenn Sie also zuschauen, wenn Sie sich die Website ansehen, scheint alles in Ordnung zu sein. Aber wenn Sie zum Beispiel Ihre Website googeln, dann würde es völlig andere Ergebnisse geben und Ihre Website an einen anderen Ort umleiten.

[00:19:24] Nathan Wrigley: Also, ist der Trend in Bezug auf Themen, ist Ihre Erfahrung, dass es im letzten Jahr mehr Besorgnis gab als in den vorangegangenen 12 Monaten? Oder ist es im Wesentlichen die gleiche Menge an Schwachstellen?

[00:19:39] Oliver Sild: Ich denke, der Trend ist die Tatsache, dass die Schwachstellen nur ein bisschen kritischer werden. Ich würde nicht sagen, dass es einen großen Trend gibt, dass es einen massiven Anstieg der Schwachstellen in Themes gibt, aber ich denke, die Tatsache, dass so viel mehr Funktionalität mit den Themes in Bezug auf den PHP-Code im Allgemeinen ausgeliefert wird, als sie nur immer anfälliger dafür sind, eingeführt zu werden oder diese Art von kritischen Schwachstellen in den Code einzuführen.

[00:20:07] Nathan Wrigley: ja. Okay. Vielen Dank. Kommen wir zu den WordPress-Plugins und dies, wie zu erwarten, hat möglicherweise größere Zahlen damit verbunden. Es gibt mehr Plugins da draußen, und ich könnte mir vorstellen, dass die meisten Websites ein, möglicherweise zwei Themen haben, während sie 15, 18 20 haben könnten, was auch immer die durchschnittliche Anzahl jetzt Plugins ist. Es gibt also wahrscheinlich ein etwas größeres Ziel, das auf Plugins zurück gemalt wird, als auf Themen zurück. Geben Sie uns die übergreifenden Ergebnisse in Bezug auf WordPress-Plugins für 2021.

[00:20:40] Oliver Sild: ja. Plugins sind diejenigen, auf die wir uns am meisten konzentriert haben. Und das sind diejenigen, die unsere Allianzmitglieder oder die Gemeinschaft der ethischen Hacker mögen, die uns neue Schwachstellen melden. Die Mehrheit der Schwachstellen, die uns gemeldet werden, betreffen die Plugins. Wenn wir uns die Gesamtzahl der neuen Schwachstellen ansehen, die wir der Datenbank der Schwachstellen hinzugefügt haben, die den WordPress Core, die Plugins und die Themes betreffen, dann hat es einen ziemlich starken Anstieg gegeben, wenn wir es mit dem letzten Jahr vergleichen.

Aber das bedeutet, dass das eigentlich eine sehr gute Nachricht ist, denn das bedeutet, dass dies Schwachstellen sind, die der Entwickler beheben konnte, weil diese Schwachstellen in diesem Jahr nicht aufgetreten sind. Diese Schwachstellen wahrscheinlich in vielen Fällen zumindest saßen sie schon seit geraumer Zeit in diesen Plugins. Was gerade passiert ist, warum es eine Zunahme neu identifizierter Schwachstellen gibt, ist nur die Tatsache, dass es mehr Leute gibt, die sich diese ansehen und sie den Entwicklern melden.

[00:21:49] Nathan Wrigley: Es gab ein paar Plugins, und ich denke, das ist der Unterschied zu Plugins, dass wirklich der Himmel die Grenze in Bezug auf die Anzahl der Installationen ist. Ich weiß nicht, was die größte Installationsbasis eines bestimmten Themas ist, aber ich vermute, es ist bei weitem nicht in der Nähe der Installationsbasis der größten WordPress-Plugins. Und so gab es ein paar, die Sie in einem Fall erwähnt haben, eines der Plugins, die in diesem Jahr eine kritische Schwachstelle hatten, waren über 3 Millionen Website-Installationen.

Und dann gab es noch einen mit über einer Million. Die Ernsthaftigkeit davon ist ziemlich offensichtlich, da bin ich mir sicher. Die Anzahl der betroffenen Personen. Sie scheinen zu sagen, dass Sie in Bezug auf die Gewissenhaftigkeit der Entwickler damit ziemlich zufrieden zu sein scheinen, da viele Schwachstellen ziemlich schnell gepatcht und auf die entsprechende Weise offengelegt wurden.

Wir haben jedoch immer noch dieses Vermächtnis älterer Plugins. Tatsächlich haben Sie neun erwähnt, die aus dem Repository entfernt wurden, vollständig aus dem Repository verschwunden sind und dennoch Schwachstellen aufweisen, die im Wesentlichen für immer bestehen bleiben werden.

[00:22:56] Oliver Sild: Ja, das sind die gruseligsten. Wie in den meisten Fällen sehen wir, dass Entwickler, sobald ihnen ein Sicherheitsbericht zugestellt wird, sich diesen ansehen und einen Patch veröffentlichen. Also beheben sie es in den meisten Fällen, die Schwachstelle wird nicht öffentlich bekannt gegeben, bevor das passiert. Wir haben auch unsere eigene Offenlegungsrichtlinie, bei der wir es einfach nicht mögen, wir informieren den Entwickler über die Schwachstelle, die uns gemeldet wurde, sein oder ihr Plugin, aber gleichzeitig behalten wir es.

Wir veröffentlichen das nicht, bevor wir sichergestellt haben, dass der Entwickler genug Zeit hatte, das zu beheben. Und auch danach, dass sie Zeit haben, ihre eigenen Benutzer wissen zu lassen, dass es ein Sicherheitsupdate gibt und sie im Grunde die Websites so schnell wie möglich aktualisieren sollten. Nur um sicherzustellen, dass wir keinen unerwünschten Schaden anrichten, wenn diese Informationen vor die falsche Person gelangen könnten.

Und wir, was wir dieses Jahr tun wollten, ist, dass wir alle kritischen Schwachstellen gezählt haben, und mit kritisch meinen wir diejenigen, die tatsächlich sind, sind tatsächlich die Schwachstellen, die die Eigenschaften haben, die Hacker versuchen würden, Ausnutzungsversuche zu automatisieren. Das bedeutet also, dass es sich in der Regel um eine nicht authentifizierte Schwachstelle handelt, dass Sie im Grunde entweder etwas in die Website einfügen, eine Hintertür oder etwas hinzufügen können, und Sie können das vollständig automatisieren. Und es gab, ja, wie ich denke, wir haben gezählt, ich denke, es waren 35 verschiedene Plugins, die diese Art von Schwachstellen im letzten Jahr hatten. Der beängstigende Teil war, dass viele von ihnen überhaupt keine Lösung erhielten.

Das sind also Plugins, bei denen der Entwickler entweder war, das Plugin aufgegeben hatte, nicht mehr aktiv war. Also in diesem Sinne, wenn Sie dieses Plugin fürr Beispiel, wenn Sie Teil dieser Plugins waren, die nie einen Patch für diese kritische Schwachstelle erhalten haben. Auf Ihrer WordPress-Website würden Sie nur sehen, dass alles auf dem neuesten Stand ist.

Sie würden nie sehen, dass es ein Problem mit diesem Plugin gibt, es sei denn, Sie werden von einem Sicherheitsprodukt oder etwas benachrichtigt, das sagen würde, hey, es gibt eine Schwachstelle in diesem Plugin. Das ist also ein bisschen beängstigend.

[00:25:09] Nathan Wrigley: ja. Ich denke, wir sollten uns eigentlich damit befassen, denn es scheint, als wäre dies ein echtes Versagen oder zumindest ein Bereich möglicher Verbesserungen in der Zukunft. Lassen Sie uns also wiederholen, was wir gerade gesagt haben. Wir haben also ein Plugin, das die Unterstützung eingestellt hat. Es gibt keine laufenden Updates aus irgendeinem Grund, dieses Plugin, das sich im Repository befindet, ist blockiert. Niemand wird es in Zukunft aktualisieren.

Jetzt, irgendwann in der Zukunft, wird darin eine Schwachstelle entdeckt. Es könnte schwerwiegend sein, es könnte geringfügig sein. Es ist nicht wirklich wichtig, aber der Punkt ist, dass jeder WordPress-Benutzer niemals auf die Tatsache aufmerksam gemacht wird, dass hier etwas nicht stimmt und etwas aktualisiert werden muss, denn der einzige Mechanismus, den wir im WordPress-Admin-Bereich haben, ist zu sehen, wann Dinge aktualisiert werden müssen.

Und so aktualisieren wir sie. Und wenn es kein Update gibt, würde die Annahme sein, dass alles in Ordnung sein muss. Wie um alles in der Welt überwinden wir dieses Problem in der Zukunft? Haben Sie irgendwelche Gedanken zu einem Prozess, den wir annehmen könnten, oder zu einer Richtung, in die wir uns bewegen könnten, damit dies verschwindet?

[00:26:15] Oliver Sild: Oh ja, es erfordert viel Bewusstseinsbildung rund um das Ökosystem im Allgemeinen. Wir müssen noch mehr über die Sicherheit im WordPress-Ökosystem sprechen. Wir müssen sicherstellen, dass Entwickler auch diejenigen sind, die keine Angst haben, über Sicherheit zu sprechen, denn im Laufe der Jahre haben wir gesehen, dass viele Entwickler, wie die Plugin-Entwickler, sich besonders Sorgen gemacht haben, wie sie sich überhaupt mit Sicherheitsproblemen befassen, weil sie nicht hervorgehoben werden wollen als, oh, dieses Plugin hatte die Schwachstelle.

Also sehen sie das als eine negative Art von Aufmerksamkeit. Tatsächlich sehe ich es für mich zum Beispiel komplett von der Gegenseite als ein sehr gutes Zeichen, dass dieser Entwickler tatsächlich auf Sicherheit achtet. Aber das liegt offensichtlich daran, dass ich von meiner Seite aus einfach sehe, dass es so viele Schwachstellen in verschiedenen Plugins gibt.

Und die Tatsache, dass es jetzt immer mehr von ihnen gibt, die aus dem letzten Jahr gemeldet werden, zum Beispiel in unserem Whitepaper, dass nur die Tatsache, dass mehr von ihnen identifiziert und darauf reagiert wird. Es ist nicht die Tatsache, dass es jetzt mehr von ihnen gibt, aber sie sind gleichzeitig das, was sie ständig sehen, ist, dass die Entwickler keine Angst vor den Sicherheitsproblemen in einem Sinne haben müssen, in dem sie versuchen, diese Probleme zu vermeiden. Und ich denke, es sollte noch mehr und mehr offene Diskussion darüber geben, hey, lasst uns gemeinsam die Sicherheit in den Plugins und in der Software verbessern.

Und ich denke, in Bezug auf den Kern denke ich, dass der Kern an einem Punkt ein gewisses Maß an Sicherheit haben müsste, um im Grunde einen Einblick in die Plugins zu geben, die auf den Websites verwendet werden. Aus diesem speziellen Grund, zum Beispiel, weil es so viele Leute gab, die sagten, sogar von Leuten, die in der wordpress.org gearbeitet haben, haben wir Leute gesehen, die sagten, ja, im Grunde müssen Sie nur automatische Updates aktivieren und es würde Ihnen gut gehen.

Aber das stimmt nicht. Es ist einfach nicht wahr, weil Sie in vielen Fällen automatische Updates aktiviert haben können, aber das gibt es kein Update, wenn es kein Update für das Plugin gibt, im Grunde wissen Sie nicht einmal über das Problem Bescheid. Also denke ich, ja, das ist definitiv etwas, das im Laufe der Jahre Aufmerksamkeit braucht. Wir tun unser Bestes, als ob unser Produkt buchstäblich diesen Bereich abdeckt, um die Benutzer wissen zu lassen, ob es eine Schwachstelle gibt, auch wenn dieses Plugin aus dem Repo entfernt wird oder selbst wenn dieses Plugin nicht einmal einen Patch erhalten hat. Also informieren wir unsere Kunden darüber. Dann stellen wir auch einen Patch zur Verfügung, um uns vor den Angriffen gegen diese Plugins zu schützen. Aber gleichzeitig, ja, ich denke, das ist eindeutig ein Thema, das immer mehr Aufmerksamkeit erfordert.

[00:28:58] Nathan Wrigley: Ja, es wäre schön, eine Art System zu entwickeln, das dinge nicht kaputt gemacht hat, das es ermöglicht, ich weiß nicht, vielleicht diese speziellen Plugins zu deaktivieren. In gewisser Weise entfernt, aber dann hat das natürlich alle möglichen Auswirkungen auf das Eigentum an der Website und ob Sie tatsächlich möchten, dass die Leute die Kapazität haben, Dinge von Ihrer Website zu entfernen. Die Leute strömen zu WordPress, weil Sie alles besitzen können. Es gehört Ihnen, und Sie können es nach Belieben ändern. Und die Idee, dass ein Plugin entfernt und deaktiviert werden könnte, ohne dass Sie es sagen, ist eine, von der ich sicher bin, dass die Community würde auf jeden Fall ein langes und tiefes Gespräch darüber führen wollen. Aber interessant. Sie haben neun gefunden, die diese Probleme in diesem Jahr hatten, und es scheint noch keine Möglichkeit zu geben, dieses Problem zu automatisieren.

Okay, wir haben uns mit Core beschäftigt, wir haben uns mit Themes und Plugins beschäftigt und was ich gerade als verwaiste Plugins beschrieben habe. Lassen Sie uns nur über die großen Teile sprechen, die Ihr Bericht in diesem Jahr hervorgehoben hat. Einiges davon ist gut. Einiges davon ist weniger gut, aber die erste Art von Schlagzeilen, die Sie definitiv gefunden haben, ist, dass es im Vergleich zu 2022 einen Anstieg der gefundenen Schwachstellen gab. Auf den ersten Blick klingt das nach einer schlechten Sache, aber Sie sagen, dass es im Vorjahr viel mehr waren als im Jahr davor.

[00:30:24] Oliver Sild: Ja, es ist die beste Nachricht des Whitepapers, um ehrlich zu sein, denn das bedeutet, dass 150% mehr Schwachstellen identifiziert wurden. Stellen Sie sich vor, es gäbe null Schwachstellen, die identifiziert würden und nur, und all diese Schwachstellen würden dort sitzen und das immer noch tun, und einfach niemand würde davon wissen, bis jemand, der böswillige Absichten hat, sie einfach ausnutzen könnte.

Ich wäre nicht überrascht, wenn wir in diesem Jahr einen noch größeren Anstieg sehen würden, weil einfach so viel mehr Aufmerksamkeit darauf verwendet wird, diese Schwachstellen zu identifizieren und den Plugin-Entwicklern zu helfen, ihren Code noch sicherer zu machen.

Wir investieren mit Patchstack Alliance sicher viel in sie. Wie im letzten Jahr haben wir 13 K in den Kopfgeldern für einzelne ethische Hacker ausgezahlt, die uns nur über Schwachstellen informiert haben, die sie in Plugins im WordPress-Ökosystem gefunden haben, und wir haben sie gerade für diesen Aufwand bezahlt. Also werden wir uns in diesem Jahr definitiv auch verdoppeln. Wir werden also sehen, wie sich das in diesem Jahr auswirken wird.

[00:31:31] Nathan Wrigley: Ja, es ist interessant, denn auf den ersten Blick, wenn die Anzahl der Schwachstellen größer ist, besteht der unmittelbare Instinkt darin, davon auszugehen, dass sich die Dinge verschlechtert haben. Und natürlich könnten die Statistiken aus allen möglichen Gründen sein. Wie Sie gerade beschrieben haben, gibt es vielleicht mehr Augäpfel, die diese Dinge entdecken wollen. Es gibt Initiativen wie Ihre eigene und die Bug Bounty, die es den Menschen ermöglicht haben, tatsächlich das Gefühl zu haben, dass sie dafür bezahlt werden. Und so sind sie ernsthafter in dem Bestreben, nach ihnen zu suchen. Aber vielleicht ist es auch ein Produkt der Tatsache, dass WordPress selbst nur wächst, und wenn es wächst, wird es mehr Augäpfel geben, die nach diesen Dingen suchen, aber möglicherweise wird es auch ein größeres Ziel. Und so gibt es mehr von diesen Dingen da draußen. Es gibt mehr Plugins, es gibt mehr Themen, es gibt mehr Code und es ist nur eine Art Nebenprodukt.

Aber wie auch immer, interessante Sichtweise darauf. Auf jeden Fall einen Blick wert. Das war der Anstieg der Schwachstellen jetzt auf spezifischere Details darüber, was diese Art von Schwachstellen sind. Ein erheblicher Teil der Dinge, mit denen Sie sich in diesem Jahr beschäftigt haben, waren XSS-Schwachstellen, also Cross-Site-Scripting. Für diejenigen, die damit nicht wirklich vertraut sind, würden Sie einfach ein Bild davon zeichnen, was Cross-Site-Scripting-Schwachstellen sind, und irgendwelche Gedanken darüber, warum es fast 50% von allem ausmacht, was Sie sehen?

[00:32:54] Oliver Sild: Ich denke, Cross-Site-Scripting ist nur eines der einfachsten Dinge, um das Web zu finden. Sehen Sie, Cross-Site-Scripting, zum Beispiel nehmen Sie wie eine Website-Suchleiste, wenn Sie zu einer WordPress-Site gehen und es gibt wie eine Suchleiste. Und wenn Sie zum Beispiel in diese Suchleiste schreiben, wie zum Beispiel HTML-Code, und dann passiert, dass dies, die Funktionalität, die diese Informationen von der Website zum Beispiel sucht, Ihnen die Ergebnisse zeigt, und dieser HTML-Code, den Sie dort einfügen, würde dann im Grunde mit der Art von Code der Website vermascht werden und es würde es einfach im Grunde laden.

Ich denke, eigentlich wäre sogar ein besseres Beispiel mit Kommentaren. Wo auch immer Sie haben, wie WordPress, haben sie dieses Problem nicht, aber zum Beispiel oder früher gab es viele Websites mit Kommentarbereichen. Und dann, wenn es ein Problem gäbe, bei dem, wenn Sie im Grunde genommen irgendeinen HTML-Code mit etwas posten, vielleicht Java-Skript, etwas, das vielleicht wie eine Warnung für Sie auftaucht, und Sie diesen Kommentar dort posten, dann würde passieren, dass die Website das dann im Grunde als Teil des Codes der Website rendert.

Wenn es also in diesem Fall überhaupt gespeichert wurde, dann würde das Siet im Grunde den Code laden, der dort als tatsächlicher Kommentar gepostet wurde. Das ist also auch eine Sache der Hygiene. Sie möchten also sicherstellen, dass Sie einen Unterschied zwischen dem tatsächlichen Code und dem Inhalt machen, der an die Website oder die Eingabe in diesem Sinne übermittelt wird.

[00:34:26] Nathan WrigLey: Es repräsentiert also fast die Mehrheit, 49,8 prozentig von allem, was man findet. Aber ich denke, das ist, wie Sie beschreiben, es liegt daran, dass es relativ einfach ist, es durchzuziehen. Möglicherweise zumindest aus meiner Sicht schrumpfen die Schwachstellen dann prozentual und ganz unten, ich denke, das Schlimmste, was Sie wirklich haben könnten, ist die Remote-Codeausführung. Und diese Zahl ist nicht 0,94% von allem, was Sie sich angesehen haben. Ich denke, es gibt eine positive Botschaft, um damit herauszukommen. Weniger als 1% aller Dinge waren wirklich sehr ernst.

[00:35:02] Oliver Sild: Ja, in der Tat. Wie immer kommt das einfachste Zeug zuerst heraus. Dies sind also diejenigen, über die normalerweise am meisten berichtet wird, die meist sichtbar und zugänglich sind, denn selbst eine einfache Sache kann einfach etwas in ein Kommentarformular einreichen und sehen, ob es etwas auf seltsame Weise laden wird. Diese Art von Schwachstelle wird also sehr leicht gefunden werden können.

[00:35:27] Nathan Wrigley: ja. Kommen wir nun zu den Plugins. Merkwürdig, was Sie aus den Daten, die Sie gesammelt haben, wieder entdeckt haben, ist, dass tatsächlich weniger Plugins verwendet werden, was, wie Sie sich vorstellen können, die Angriffsfläche reduzieren würde. Und so würden Sie auch denken, dass die Anzahl der Dinge, die Sie regelmäßig aufräumen mussten oder die Sie entdeckten, kaputt waren, sinken würde. Aber es scheint, dass es einen Stachel im Schwanz gibt. Es gibt also weniger Plugins, aber mehr von ihnen werden verlassen, ohne aktualisiert zu werden.

[00:35:56] Oliver Sild: Tatsächlich. ja. Das war ein interessanter Fund. Ich erwarte das, ich erwarte immer noch, dass die Anzahl der Plugins, wir werden sehen, dass diese Zahl immer mehr sinkt, auch in den kommenden Jahren, da die Leute sich der Sicherheitsauswirkungen immer mehr bewusst werden, wenn Sie nur viele Plugins auf der Website verwenden.

Aber ich denke, es geht auch um die Art von Hygiene, bei der Benutzer auch nicht mehr so anfällig dafür sind, wie deaktivierte Plugins auf der Website stehen zu lassen. Also fangen sie an, diese Dinge zu löschen. Und ich denke, die Leute sehen immer mehr, dass Plugins, wie jedes der Plugins, die Sie auf Ihrer Website installieren, wie ein Link sein können, wie ein Einstiegspunkt für einen Hacker sein können, wenn in diesem bestimmten Plugin eine Schwachstelle gefunden wird.

Je weniger Knöpfe Sie haben, desto geringer ist das Risiko. Es war also interessant ja, das zu sehen, obwohl die Anzahl der installierten Plugins pro Website tatsächlich sinkt. Aber gleichzeitig war die Anzahl der Plugins von denen, die veraltet waren, tatsächlich höher. Ich bin mir nicht hundertprozentig sicher, was die eigentliche Ursache dafür ist, oder ob es nur wie etwas ist, das wir dieses Jahr sehen, aber ich denke, nächstes Jahr werden wir mehr Daten haben, um mehr darüber zu erfahren, warum das sein könnte.

[00:37:21] Nathan Wrigley: Ja, es ist merkwürdig auf den 50.000 Websites, die Sie analysiert haben, um diesen Bericht von 23 Plugins und Themes zu generieren, die sich jetzt bei etwa 18 befinden. 18 verschiedene Plugins und Themes installiert. Ja, das ist interessant. Wir werden das nächstes Jahr noch einmal aufgreifen und sehen, wo wir stehen. Ich denke, das ist eine ziemlich offensichtliche Sache zu sagen, aber es war erwähnenswert, der siebte Punkt auf Ihrer Liste der Dinge war, dass die leicht auszunutzenden Schwachstellen die Hauptziele bleiben, wie gesagt, das ist ziemlich einfach.

[00:37:52] Oliver Sild: Alles, was nicht authentifiziert ist und grundsätzlich automatisiert werden kann.

[00:37:57] Nathan Wrigley: Es sind also alte, bewährte Dinge, von denen die Hacker wissen, dass sie erreicht werden können. Sie werden nach den niedrig hängenden Früchten gehen. Und leider ist der acht Punkt, den Sie ansprechen, dass alte Schwachstellen als große Ziele bleiben. Dinge, die aus dem letzten Jahr hätten repariert werden können, hängen immer noch da draußen und werden ausgebeutet.

[00:38:19] Oliver Sild: Ja, in der Tat. Ich denke, ein großer Grund dafür ist, dass es all diese automatisierten Hacking-Tools gibt. Ich meine, dass die Leute nicht von Github oder von Hacking-Foren und solchen Orten laden, wo Jungs, die, wissen Sie, manchmal Kinder, die in Hacking einsteigen, versuchen, vielleicht ja in dieses Feld zu kommen. Sie laden im Grunde Software herunter, die von jemandem vorgefertigt wurde, und es gibt jemanden, der es an dem Punkt gemacht hat, an dem gerade bestimmte Schwachstellen eingeführt wurden. Sie haben also die Exploitations in diese Tools hartcodiert und diese Tools sind immer noch verfügbar, und Leute, die in die Art von dunkler Seite geraten, würde ich sagen, fangen dann an, mit diesen Tools zu spielen.

Das ist also einer der Gründe, warum wir das sehen. Wir haben auch einige dieser Tools gesehen. Das beweist den Punkt. Aber in Bezug darauf, wie es nicht viele Treffer gibt, die diese Tools wahrscheinlich bekommen, weil die meisten dieser Websites, die diese Plugins ausführen, wurden bereits entweder gepatcht oder entweder bereits gehackt und dann gepatcht.

[00:39:29] Nathan Wrigley: ja. Eine interessante Sache, die später auftaucht, dreht sich wirklich um das Personal, das für die Aktualisierung der Dinge verantwortlich ist. Und Sie haben ein paar Punkte dazu, aber wir werden versuchen, sie in einem Zug anzugehen. Während das Sicherheitsbewusstsein auf WordPress-Websites zunimmt, zweifellos aufgrund von Publikationen wie Ihrer eigenen, scheint es, dass nicht viel Zeit, Raum und Geld zur Verfügung gestellt wird. Wer also für die Aktualisierung der Dinge verantwortlich ist, könnte wirklich entscheidend sein. Und es heißt in Ihrem Bericht, dass 53% der Befragten angaben, dass sie ihre Komponenten wöchentlich aktualisiert haben. Einige, vielleicht sogar 20% taten täglich Dinge. 18% möglicherweise monatliche Updates. Das ist also eine ziemlich wichtige Mischung im Bild. Dass die Häufigkeit der Updates, entscheidend nehme ich an. Wenn Sie die Dinge für einen ganzen Monat verlassen und sich nicht über die Nachrichten auf dem Laufenden halten, bin ich mir sicher, dass es viele Websites gibt, auf denen monatlich nur außerhalb der Charts liegt. Es wäre wahrscheinlich eher wie alle sechs Monate oder möglicherweise gar nicht.

Aber dann auch die Schwierigkeit, tatsächlich ein Budget zu finden, um diese Dinge zu tun. Und Sie weisen darauf hin, dass viele, viele Websites von einer Agentur oder einer Einzelperson oder nur von einem Solopreneur betrieben werden. Sie haben kein Budget für so etwas. Sie drücken nur die Daumen und hoffen auf das Beste. Wollen Sie also darüber sprechen? Die beteiligten Personen, die Zeit, die sie haben, die Häufigkeit der Updates und das Budget, das sie haben?

[00:40:59] Oliver Sild: ja. Die Häufigkeit ist ein interessanter Ansatz, denn in Bezug darauf, wie schnell wir oft Angriffe auf Websites sehen, wenn eine neue Schwachstelle gefunden wird, oder sagen wir, eine kritische Schwachstelle in einem Plugin gefunden wird, das die Website verwendet. Diese mögen es, wenn wir in diesem Fall nicht einmal über Nulltage sprechen. Null Tage sind diejenigen, an denen niemand die Schwachstelle kennt, bevor sie bereits angegriffen wird.

Aber zum Beispiel wird die Schwachstelle manchmal entdeckt, offengelegt. Und danach erfahren Hacker davon und dann werden sie das im Grunde ausnutzen. Es ist also wie ein Katz-und-Maus-Spiel. Wer patcht zuerst? Ist es der Hacker oder, entschuldigung, wer nutzt die Schwachstelle zuerst? Ist es wie der Website-Besitzer, der dies aktualisieren und patchen wollte, oder ist es der Hacker, der es schafft, dies auszunutzen, bevor Website-Besitzer-Manager es aktualisieren?

Und dieser Zeitraum ist tatsächlich irgendwo um die eine Stunde.

[00:41:54] Nathan Wrigley: Beeindruckend.

[00:41:54] Oliver Sild: ja. Das ist also etwas, das im Hinterkopf behalten werden muss, dass tägliche Updates auch gut klingen. Und von da an gilt: Je länger die Aktualisierung dauert, desto größer ist das Risiko für die Website.

Aber das Interessante ist wie die automatischen Updates. Haben Sie wie WordPress Autoupdate in die Google-Suche eingegeben und sich angesehen, welche Art von Artikeln auftauchen?

[00:42:21] Nathan Wrigley: Nein, aber ich kann mir vorstellen, dass Sie dort einige interessante Einblicke haben.

[00:42:25] Oliver Sild: Grundsätzlich geht es in den meisten Artikeln darum, wie man WordPress Auto-Updates ausschaltet.

[00:42:32] Nathan Wrigley: ja.

[00:42:33] Oliver Sild: Ich erinnere mich, als WordPress Auto-Updates für die Plugins kamen, und im Grunde wie die meisten Arten von Artikeln oder wie how-to's Verwendung sind wir dabei, es auszuschalten. Weil die Leute immer noch Angst haben, dass die Websites zusammenbrechen, wenn ein Feature-Breaking-Update für ein Plugin kommt. Das ist also etwas Interessantes an der Aktualisierungsseite der Dinge, die wir im Laufe des Jahres gesehen haben.

[00:43:00] Nathan Wrigley: ja. Das ist eine wirklich interessante, schwer zu denkende Wippe. Die Idee des Seins, wenn Sie automatische Updates ausschalten, die natürlich für eine Vielzahl von Dingen in WordPress verfügbar sind, einschließlich Plugins, können Sie einfach auf eine Schaltfläche neben dem Plugin klicken und es wird nur automatisch aktualisiert.

Viele Leute befürchten, dass das Update die Website beschädigen könnte. Also in Bezug auf sie, die zusätzliche Arbeit leisten müssen, um es zu brechen oder von einem Backup neu zu installieren oder was auch immer es ist, was sie tun müssen. Diese Sorge überschreibt in vielen Fällen die Möglichkeit, dass es dort eine anfällige Software geben könnte, ein Plugin, das anfällig ist.

Ich denke, es ist schwierig zu entscheiden, welchen Weg man gehen soll. Aber es ist merkwürdig, dass viele Leute beschlossen haben, keine automatischen Updates zu implementieren, vermutlich aus Angst, dass die Dinge in der Art und Weise, wie es aussieht, in die Irre gehen oder ein Plugin bricht. Und das ist natürlich ein berechtigtes Anliegen.

Ich habe gerade in der letzten Woche gesehen, dass ein paar große Plugins Probleme hatten, bei denen sie wesentliche Teile derbsites, und sie mussten diese Updates zurücksetzen und dann letztendlich einen Patch herausfinden und diesen dann als das neue Update veröffentlichen, das dann automatisch aktualisiert wurde. Ich kann also sehen, woher die Sorgen der Menschen kommen. Ich denke, Ihr Rat wäre, automatische Updates einzuschalten, weil eine gehackte Website wahrscheinlich besser ist als eine leicht kaputte Website.

[00:44:23] Oliver Sild: ja. Und eigentlich umgekehrt. Ich habe gehört, dass Sie gesagt haben, dass die gehackte Website besser ist als eine kaputte Website. Also habe ich umgekehrt gesagt, also ist es besser, eine kaputte Website zu haben als eine gehackte Website.

[00:44:37] Nathan Wrigley: Das ist es, was ich sagen wollte, wenn ich das falsch verstanden habe. Ich bitte um Entschuldigung. ja.

[00:44:40] Oliver Sild: Aber ja, im Grunde, ja, es ist besser, eine kaputte Website zu haben, weil Sie zumindest den Wartungsmodus einschalten und etwas dagegen tun und es reparieren können. Und normalerweise, wie sich WordPress gerade verhält, ist, dass es Sie auch wissen lässt, wenn etwas kaputt gegangen ist und es nicht mag, die Website wirft Ihnen keinen Haufen Fehler zu.

So ist es nicht mehr. Es ist also zu diesem Zeitpunkt kein so großes Risiko mehr, völlige Angst vor Plugin-Auto-Updates zu haben.

[00:45:09] Nathan Wrigley: Ja. Dann ist das ein guter Punkt. Und Sie erhalten hoffentlich auch eine E-Mail mit Informationen über das Problem, das Ihre Website möglicherweise zum Erliegen gebracht hat.

Okay. Kommen wir dann zum Haushalt. Das ist wirklich interessant, die Daten, die Sie gesammelt haben, bis zu 28% der Leute, die geantwortet haben, sagten, dass sie im Grunde kein Budget hatten, um ihre Websites zu schützen. Mit anderen Worten, 28% dieser Menschen hofften nur auf das Beste und drückten die Daumen. Und weitere 27% gaben an, dass sie ein monatliches Budget zwischen 1 und 3 US-Dollar haben.

Die Zahlen variieren. Es gibt Leute, die deutlich mehr hatten und Leute, die irgendwo dazwischen lagen, aber eine ziemlich interessante Verbreitung von Null bis ziemlich viel. Und die Mehrheit dieser Zahlen tendiert zu einem sehr kleinen Budget, ich denke, dass Sie argumentieren würden, dass es letztendlich besser wäre, etwas als nichts zu haben.

[00:46:01] Oliver Sild: Sicher. ja. Ich denke, das Null-Budget bedeutet auch kostenlose Plugins, oder? In einer Art der Verwendung von kostenlosen Sicherheits-Plugins und dann bedeutet es nicht hundert Prozent, dass sie nichts verwenden oder keine Maßnahmen haben. Aber gleichzeitig sehen wir auch, dass Sicherheit immer noch schwer zu verkaufen ist.

Vor allem, wenn wir mit Agenturen sprechen, bei denen die Kunden sind, sollen Sie sich nicht darum kümmern? Nicht zu verstehen, dass die Sicherheit eine Sache ist, um die man sich separat kümmern muss. Das ist ein Teil des laufenden Prozesses und dass Sie sie grundsätzlich verhindern sollten, anstatt sich später nur mit den Konsequenzen zu befassen.

Es gab einen weiteren guten Punkt, an dem wir auch von den gleichen Leuten gefragt haben, wie viel sie im vergangenen Jahr für Malware-Bereinigungen bezahlt haben. Und das war wie, es gab einen, ich denke, der höchste Responder war so, der sagte, er habe letztes Jahr 4,8.000 Dollar für Aufräumarbeiten ausgegeben. Das sind viele Websites, die Sie sichern oder schützen können.

Und im Grunde bekommen wir sogar eine Art Service obendrauf, oder wie Incident-Response-Unterstützung, die wir anbieten, wo Spezialisten einspringen und alles reparieren, wenn etwas passieren sollte, obwohl wir Sicherheit hatten.

[00:47:21] Nathan Wrigley: Nun, offensichtlich sind Sie hier, um Patchstack zu repräsentieren, und Patchstack ist ein kommerzielles Unternehmen. Sie sind im Geschäft der Sicherung von Websites, aber Sie sind auch im Geschäft, Ihre Mitarbeiter zu bezahlen. Sie müssen also bezahlen, um den Service nutzen zu können. Es gab ein interessantes Stück, das auf der Master WP-Website geschrieben wurde, und ich werde sicherstellen, dass ich in den Show-Notizen darauf verlinke. Und es gibt noch ein weiteres Stück, zu dem wir gleich kommen werden.

Es wurde von Rob Howard am 14. März geschrieben und es wurde genannt, wird die WordPress-Sicherheit besser oder schlechter. In diesem Artikel nimmt er Ihren Bericht zur Aufgabe und es geht hauptsächlich um die Art von Sprache, die Sie verwenden. Es ist definitiv verdienstvoll, es zu lesen, aber Sie haben dann, eines Ihrer Teammitglieder, eine nicht widerlegende Widerlegung dieses Stücks herausgegeben.

Aber lassen Sie uns nur für ein paar Minuten darauf eingehen. Ich denke, seine Sorge ist, dass die Art und Weise, wie Sie den Bericht darstellen, das Wort sensationell ist. Sein Argument wäre, dass es in Ihrem Interesse als Anbieter von Sicherheitslösungen ist, ein Bild zu zeichnen, was, sagen wir, etwas alarmierend ist, es gibt all diese Probleme, und schauen Sie sich die enorme Vielfalt an verschiedenen Schwachstellen an, die es da draußen gibt.

Und deshalb bringen Sie die Statistiken zum Tragen, die am besten die Tatsache darstellen, dass es Probleme gibt. Also wollte ich nur yo gebenu eine Chance, darüber zu sprechen. Und ich werde es auch erwähnen. Das Widerlegungsstück, wieder auf der gleichen Website, interessanterweise, Master WP ist es von Robert Rowley, sie sind beide Robs, also müssen Sie sie wahrscheinlich einzeln lesen.

Und das nennt man Widerlegung, wie Patchstack die WordPress-Sicherheit verbessert. Also gebe ich Ihnen hier nur eine Plattform, um auf Rob Howards Artikel zu antworten, in dem er Sie zur Rede stellt, weil Sie eine sensationelle Sprache verwenden und die Zahlen so massieren, dass sie, er ihnen vorwirft, schlampige Statistiken zu verwenden.

[00:49:08] Oliver Sild: Ja, um ehrlich zu sein, ich bin mir nicht hundertprozentig sicher, was daran wirklich sensationell ist? Aber in gewisser Weise, als wir das ganze Whitepaper zusammenstellten, haben wir uns im Grunde nur die Zahlen angesehen. Wir schauen uns die Zahlen an und präsentieren, was es ist. Ich habe verstanden, dass eines der Dinge, die das sein könnten, woran er denkt, sensationell ist, dass es eine 150% ige Zunahme der entdeckten Schwachstellen gibt.

Es ist etwas, das wir einfach sagen können, und es ist eine Tatsache. Die Frage, wie interpretiert man das, ob negativ oder positiv? Das braucht mehr Kontext. Und den Kontext, den wir geben. Der Kontext ist, dass das nur bedeutet, dass mehr Schwachstellen identifiziert werden, was eine gute Sache ist, denn WordPress wird dadurch sicherer.

Als dieser Beitrag von Rob veröffentlicht wurde, gingen wir ihn tatsächlich durch, dann dachten wir, oh, eigentlich gibt es viele gute Punkte, denn offensichtlich sind wir auch ein bisschen Tunnelblick, wenn wir mit so vielen Daten zu tun haben und uns in das Problem einklinken, das wir zu lösen versuchen. Und dann reden wir natürlich darüber, wie wir im Haus sprechen, in gewisser Weise.

Also sollten wir, ich verstehe ihn in Bezug auf eine Kritik, dass wir wahrscheinlich auch spezifischer sein sollten, wie wir sind, oder wie unsere Absichten dahinter sind, wie wir auf negative oder positive Weise sehen. Aber ja, wie ich waren wir wirklich glücklich über das Stück, das er geschrieben hat. Wir haben sogar seinen Artikel, der Kritik an Patchstack auf der Patchstack-Facebook-Seite geschrieben hat, auf dem Patchstack-Twitter geteilt. Wir dachten, hey, schau mal, was er geschrieben hat. Es gab wirklich gute Punkte. Und später haben wir darauf offensichtlich mit unserer Sicht darauf reagiert, was wir eigentlich damit meinten und wo wir dachten, dass er in einigen Fällen falsch liegen könnte und wo er auch Recht hatte.

[00:51:11] Nathan Wrigley: ja. Es ist interessant. Offensichtlich können Statistiken in jedem Lebensbereich vorhanden sein, Statistiken können auf verschiedene Arten betrachtet werden. Und man muss sich nur praktisch jedes parlamentarische System auf der Erde ansehen, um zu erkennen, dass die Opposition die gleichen Statistiken auf eine völlig andere Weise präsentieren kann und es völlig plausibel ist und die Zahlen korrekt sind.

Ja, ich denke, einige der Dinge, die er sagte, waren, dass es einfach schön wäre, eine Art Hintergrund zu haben, einen Einblick in, also zum Beispiel, steigt der Anstieg, diese 150% Zahl, die erwähnt wurde, ist das, weil es mehr Plugins gibt, die da draußen sind? Wie ernst sind diese Schwachstellen, über die wir sprechen? Wenn es einen Anstieg gibt, aber 99% davon waren gutartig und taten praktisch nichts, könnten sie als 150% Anstieg in einen Topf geworfen werden? Hat sich die Gesamtzahl der Plugins im gesamten Markt verändert? Und was sind Ihre Berichtsmethoden in Bezug auf das, was Sie tatsächlich mit dem Bericht zu tun versuchen? Versuchen Sie nur, ein Informationslieferant zu sein? Oder gibt es eine Hoffnung aus dem Patchstack-Stück, dass einige Kunden auch auf Sie zukommen werden? Also wirklich nur diese Stücke?

[00:52:18] Oliver Sild: ja. Ich denke, wenn die Statistiken nicht aus einigen internen Daten stammen, die wir niemandem zeigen, sind es die öffentlichen CVEs, dass wir eine der Behörden sind, die öffentlich oder wie die internationale Art von Standard-Schwachstellenidentifikations-IDs generieren. Es gibt drei Unternehmen im Raum, die das im WordPress-Ökosystem tun können. Und wir sind einer von ihnen. Wie diese Schwachstelleninformationen sind sie alle öffentlich für alle, wir zeigen nur, dass es im Jahr 2020 so viel gab. So viel ist es im Jahr 2021.

Es gibt keine Art von Übersetzung, ob es sich tatsächlich nicht um eine so große Steigerung handelte oder nicht. Bei der Frage geht es nicht um einen Anstieg, ich denke, im Allgemeinen, ich denke, die Frage ist, warum er zugenommen hat. Und der Anstieg ist nicht, weil an diesem Punkt der Anstieg nicht darauf zurückzuführen ist, dass WordPress mehr Plugins auf die wordpress.org bekommt.

Ich denke sogar, dass wir in dem Widerlegungsstück gezeigt haben, wie viel Prozent der wordpress.org Repo im Laufe des Jahres im Vergleich zum gleichen Zeitraum gewachsen ist. Die Sache ist buchstäblich, es gibt einfach mehr Augen. Es gibt mehr Leute, die nach den Schwachstellen in den Plugins suchen und mehr Schwachstellen identifizieren.

Diese Schwachstellen können bereits seit Jahren vorhanden sein oder auch nicht. Es ist die Anzahl der Schwachstellen, dass die 150% der zunehmenden Schwachstellen im WordPress-Ökosystem bedeuten, dass es nur 150% mehr Schwachstellen im WordPress-Ökosystem gab. Im Grunde bedeutet es genau das.

Nun, wenn Sie diese positive oder negative Bedeutung geben wollen, liegt es definitiv an Ihnen. Natürlich hätten wir wahrscheinlich versuchen können, das besser darzustellen, und vielleicht bin ich mir nicht sicher, ob wir tatsächlich in unserem Whitepaper geschrieben haben, dass wir das eine gute Sache finden. Ich muss es sehr schnell überprüfen, aber wir mögen es normalerweise überall, wo wir reden, wir sagen immer, dass es eine gute Sache ist. Es ist, was es ist.

[00:54:31] Nathan Wrigley: ja. Es ist interessant, weil die Sprache, die Rob gerne hätte, definitiv mehr auf der optimistischen Seite ist, nicht wahr? Anstatt also die Dinge herauszubringen, die schief laufen, möchte er die Dinge betonen, die richtig laufen, also schreibt er zum Beispiel etwas um, wo die Illustration ist, dass es Probleme gibt, und er sagt, dass eine mögliche alternative Überschrift nicht wäre 0,65% der WordPress-Sites erhalten ein wichtiges Update. Also denke ich, dass es das Negative betont.

[00:54:59] Oliver Sild: Würden Sie das lesen?

[00:55:00] Nathan Wrigley: ja. Und das ist eine interessante Sache an der menschlichen Natur, nicht wahr? Weil man sich zum Beispiel nur Zeitungen oder Schlagzeilen in Artikeln im Internet ansehen muss, um zu erkennen, dass die Leute bis zu einem gewissen Grad von Kontroversen angezogen werden, nicht wahr? Sie mögen die Art von sensationellem Aspekt. Und ja, interessanter Punkt. Ja, wirklich interessanter Punkt.

[00:55:19] Oliver Sild: Und in unserem Fall, wenn wir, als wir auch das Whitepaper veröffentlichten, in einigen Fällen sogar sahen, wo Journalisten waren, sagten wir ihnen nicht was, wir schickten es nicht einmal auf diese Weise, dass alles, was Sie verwenden müssen, wie eine Art Von Schlagzeilen, aber wir sahen, dass die Journalisten nur ein Stück Daten herausnahmen und sie würden einfach ihre eigene Art von Schlagzeile machen, die darauf basiert.

In gewisser Weise denke ich, dass die Leute auch nachdenken müssen. Ich verstehe das, okay, lass uns dann so positiv über dieses Thema sprechen, dass niemand verstehen würde, dass es überhaupt ein Problem gibt. Aber ist das unser Ziel? Wenn wir das WordPress-Ökosystem sicherer machen wollen, müssen wir über diese Probleme sprechen.

Es gibt Probleme, und diese Probleme werden gelöst, und wir zeigen, dass es einen erhöhten Aufwand bei der Lösung dieser Probleme gibt. Lassen Sie uns über diese Dinge sprechen. Wir sollten nicht einfach versuchen, es irgendwie in gewisser Weise zu beschönigen oder

[00:56:17] Nathan Wrigley: Vielen Dank. Ich werde auf jeden Fall beide Artikel in den Show-Notizen erwähnen. Wir werden es aufrunden müssen, weil wir uns der Zeit nähern, die wir haben. Bevor wir jedoch gehen, wissen wir natürlich, dass Sie bei Patchstack sind, das sich in patchstack.com befindet. Aber sollte jemand Sie persönlich erreichen wollen, gibt es gute Möglichkeiten für Menschen, das zu tun?

[00:56:38] Oliver Sild: Ja, jeder kann mich auf Twitter erreichen. Ich denke, das ist der einfachste Weg, entweder DM zu erreichen oder mich einfach zu markieren. Es ist @oliversild. Und dann ja, wenn Sie sich ansehen wollen, was wir tun. Wenn Sie ein Plugin-Entwickler sind, können Sie immer wie Sicherheitstests für Ihr Plugin über Patchstack erhalten. Wenn Sie eine Agentur sind und eine Sicherheitsübersicht und eine Schwachstellenübersicht haben möchten, jede einzelne Website, die Sie in Ihrem Portfolio haben, dann können Sie Patchstack dafür verwenden.

Und für Hosting-Unternehmen haben wir das auch, damit sie immer wissen, ob uns neue Schwachstellen von der ethischen Hacker-Community gemeldet werden. Oder wenn wir der Datenbank neue Elemente aus anderen Quellen hinzufügen. Also Patchstack-Datenbank, Patchstack-Audits. Wir machen im Grunde alles rund um WordPress-Plugins und versuchen, das gesamte Ökosystem sicherer zu machen.

[00:57:31] Nathan Wrigley: Oliver Sild, vielen Dank, dass Sie sich mir im Podcast angeschlossen haben.

[00:57:35] Oliver Sild: Danke Nathan.

Quelle


Dieser Artikel ist im Original von wptavern.com und wurde übersetzt
https://wptavern.com/podcast/20-oliver-sild-on-the-state-of-wordpress-security

Abonniere den RSS-Feed von unseren WP News und verpasse keine Meldung: https://die-mainagentur.de/feed/?post_type=wp-news

Alternativ kannst du unseren WP-Newsletter abonnieren

Mit dem Eintrag in den WP-Newsletter bekommst du per Mail über neue Artikel zugesendet. Du kannst den Newsletter jederzeit abbestellen.
Mehr dazu in der Datenschutzerklärung