Разработчики WordPress отлично понимают рискованность работы с неисправленным ПО и принимают активные меры для его уменьшения. WordPress представляет собой популярную открытую систему управления контентом сайтов и организации блогов, предоставляемую по модели хостинга ресурсом WordPress.com, а также в виде приложения, хост-систему для которого пользователи могут выбрать по собственному усмотрению. WordPress.com также предлагает плагин Jetpack для пользователей WordPress, выбравших самостоятельный хостинг. Плагин реализует многочисленные сервисы, помогающие управлять сайтами и обеспечивать их безопасность.
22 января WordPress стал отключать сайты с самостоятельным хостингом, владельцы которых не позаботились об обновлении плагина Jetpack. Сотрудники WordPress направили администраторам уязвимых сайтов электронное письмо следующего содержания: «Весной прошлого года мы обнаружили в Jetpack уязвимость и активно поработали, помогая пользователям перевести свои сайты на обновленную безопасную версию. На вашем сайте используется устаревшая, очень небезопасная версия (1.9.2) плагина Jetpack. В целях безопасности мы отключили ваш сайт от WordPress.com».
Плагин Jetpack 1.9 впервые был выпущен в октябре 2012 г. и с тех пор многократно обновлялся. В апреле 2014 г. вышла версия Jetpack 2.9.3 с критическим обновлением безопасности, устраняющим уязвимость, которая влияла на все версии Jetpack от 1.9 и выше. Эта уязвимость позволяла злоумышленнику обходить функции контроля доступа и публиковать неавторизованные посты.
После выхода обновления 2.9.3 WordPress.com не оставил своих пользователей Jetpack на произвол судьбы. Чтобы пользователи, использующие самостоятельный хостинг, не оставались под угрозой атаки, WordPress позаботился о том, чтобы они были автоматически защищены, даже не зная об этом.
«До недавнего времени ваш сайт был защищен временными блоками, задействованными вашим хостом для обеспечения безопасности всех сайтов до обновления каждой отдельной инсталляции Jetpack. Эти блоки не являются долгосрочным решением и больше не поддерживаются. Просим вас в целях обеспечения безопасности своевременно устанавливать обновления», — написано в сообщении WordPress для администраторов уязвимых сайтов.
Jetpack является очень ценным плагином для пользователей WordPress по модели самохостинга, так как он обеспечивает функции статистики, социального общения и управления сайтом. Особенностью вышедшей 16 декабря 2014 г. версии Jetpack 3.3 в плане безопасности стала возможность управлять обновлениями плагинов автоматически. То есть, если в системе управления контентом WordPress с самохостингом установлен Jetpack 3.3, администратор сайта по желанию может активировать функцию, которая будет автоматически обновлять плагины сайта.
Риск использования устаревших плагинов WordPress отнюдь не мал. В декабре 2014 г. более 100 тыс. сайтов WordPress было заражено вредоносным ПО SoakSoak через необновленный уязвимый плагин.
WordPress.com также принял меры, способствующие своевременному обновлению базового приложения WordPress. Начиная с выпущенной в октябре 2013 г. версии WordPress 3.7, сайты WordPress на базе самохостинга автоматически обновляются для исправления критически важных уязвимостей ПО WordPress.
Риск работы с неисправленной и устаревшей технологией относится не только к WordPress; это досадная проблема, присущая практически всем видам ПО. Действия, предпринятые WordPress для защиты пользователей путем автоматических обновлений, а особенно по защите пользователей Jetpack, не устанавливавших обновления, заслуживают похвалы. Тот факт, что WordPress теперь отключает пользователей устаревшего Jetpack от системы (через девять месяцев после выхода обновления для защиты плагина), следует считать очередным подтверждением заботы WordPress о защите своих пользователей.
