Làm thế nào để tôi chứng minh về mặt kỹ thuật rằng WordPress an toàn?

Một trong những khách hàng của tôi buộc tôi phải thực hiện dự án của họ mà không cần WordPress. Nhưng WordPress là tốt nhất cho yêu cầu của mình.

Những gì ông nói là, WordPress không an toàn vì WordPress là nguồn mở và mọi người đều biết mã. Vì vậy, cơ hội hack cao hơn so với một trang web tùy chỉnh. Đó là điều duy nhất anh ấy không thích về WordPress.

Làm cách nào để chứng minh rằng WordPress an toàn ngay cả mã được mở cho tất cả mọi người?

Nói với khách hàng của bạn để đọc về an ninh mạng, bởi vì tiền đề của anh ta là vô nghĩa. An ninh thông qua che khuất đã bị mất uy tín từ năm 1851 (vâng, đó là một thế kỷ rưỡi trước). Điều ngược lại cũng không đúng sự thật. Phần mềm nguồn mở không an toàn hơn phần mềm độc quyền.

Điều quan trọng trong bảo mật mã không phải là nó có mở hay không, mà là nó có được duy trì tốt hay không. WordPress có một cộng đồng tích cực luôn cảnh giác về các vấn đề bảo mật. Thực hiện theo các hướng dẫn . Hãy tự hỏi làm thế nào cảnh báo các tác giả của một cms đối thủ.

Điều đó nói rằng, an ninh là một mối đe dọa liên tục. Không có bằng chứng hoặc đảm bảo.

"Không phải Cassandra, công cụ chạy Facebook, nguồn mở sao?" Câu hỏi đó nên đặt chúng thoải mái.

Cassandra cũng được Apple và Netflix sử dụng và đó là nguồn mở. Hơn nữa bạn có thể trích dẫn tất cả các trang web lớn sử dụng WordPress. "Nếu nó đủ tốt cho họ thì có lẽ nó đủ tốt cho bạn."

Vấn đề, như các câu trả lời khác lưu ý, là cách phần mềm được tạo và cập nhật hoàn toàn không liên quan đến bảo mật. Quan trọng hơn là tần suất cập nhật và cập nhật các trang web cụ thể của bạn dễ dàng như thế nào. Theo tôi thì WordPress khá tốt trong việc này.

Vì đây là một câu hỏi chung, nên việc cung cấp các câu trả lời chi tiết là không thông minh. Nó sẽ tốt hơn để hiển thị một số ví dụ thú vị.

Những người khác làm các bài kiểm tra nghiêm túc. Lấy đơn vị Docker WordPress làm ví dụ 1 2

Họ nói rằng WordPress là an toàn, nhưng PHP chưa an toàn. Vì vậy, ngay cả khi bạn có Perfect WordPress (thiết lập bởi cuốn sách), các vấn đề có thể ở phía bên kia.

Tôi thuộc về một đất nước, nơi tôi đã phải đối mặt với những tình huống tương tự nhiều lần. Nhưng tôi đã phải đối mặt với các trang WP hoạt động của mình và lịch sử âm thanh của chúng. Tin đồn đã thực sự đúng, khi mọi người trở thành nhà phát triển và phát triển mọi thứ của WordPress mà không hiểu cách WordPress tự xử lý mọi thứ. Vì vậy, mọi thứ đã phát triển và tin tặc đã vượt qua mã lỗi của họ. Tin đồn đã mạnh lên với sự sụp đổ lớn với các trang web Joomla, thời điểm đó. Đôi khi nó xảy ra vì một số máy chủ giá rẻ, nơi bảo mật máy chủ rất tệ.

Dù sao, tôi đã tự hỏi mình liệu tôi có biết câu trả lời cho bạn không và tôi thấy mình trống rỗng. Vì vậy, tôi đã tham khảo một số bài viết và trích dẫn từ một số em và thêm các điểm / cách hiểu của tôi:

• Hỏi xem bảo mật nào đảm bảo [khách hàng] của bạn muốn từ một phần mềm và sau đó hỏi xem phần mềm có cung cấp phần mềm đó không. ^[nguồn]
• Mọi phần mềm phải được đánh giá trước khi chúng tôi mua - nó hoàn toàn vô nghĩa. Chỉ các chức năng thực thi bảo mật cần đánh giá bảo mật. ^[nguồn]
• Giấy phép không ra lệnh chất lượng mã. ^[nguồn]

Điểm [khập khiễng] của tôi:

• WordPress, giống như Nguồn mở khác, là nguồn mở, vì vậy nếu nó dễ bị đe dọa bởi các mối đe dọa bảo mật, nó sẽ sụp đổ từ lâu. Nó vẫn phát triển mạnh mẽ từ năm 2003.
• WordPress tự động cập nhật với các bản vá bảo mật sau phiên bản 3.7. Nếu mã tùy chỉnh của bạn tìm kiếm các mối đe dọa bảo mật mới nhất, các lỗi trong mã của bạn bằng [một nhóm nhỏ các lập trình viên] đã biết và cập nhật liên tục, thì bạn vẫn đứng sau WordPress, vì bảo mật WordPress được duy trì bởi một nhóm lớn người xung quanh địa cầu [và tốt hơn một nhóm nhỏ].
• Và @cjbj đã đưa ra quan điểm, sự tối nghĩa không làm cho mọi thứ trở nên an toàn .

Hồi giáo Mayeenul - đó không phải là điểm khập khiễng về Nguồn mở. Nếu chúng tôi cho rằng Microsoft - một trong những nhà phát triển và sản xuất phần mềm và hệ thống lớn nhất thế giới cũng là một trong những hệ thống bị xâm chiếm nhiều nhất trên thế giới - việc 'đóng mã' sẽ không an toàn hơn việc có hàng trăm cơ sở mã được theo dõi bởi hàng trăm hàng ngàn nhà phát triển và người dùng.

Theo tôi nhớ lại, những thất bại lớn nhất trong bảo mật có xu hướng không nằm ở phần mềm mà là việc thực hiện. Wordpress ra khỏi hộp là an toàn nhất có thể - nhưng mọi người vẫn chọn mật khẩu dễ đoán một cách ngu ngốc - hoặc không có gì, hoặc chạy các dịch vụ mà không có HTTPS, v.v. Tất cả những gì bạn có thể làm trên hệ thống phát triển tại nhà và giống như không an toàn

Có hệ thống an toàn nhất có thể bắt đầu trước sự lựa chọn phần mềm và nền tảng, nó bắt đầu bằng việc triển khai, chính sách, đảm bảo rằng bạn biết bạn sẽ làm gì sau đó. Sau đó, chọn một nền tảng đã liên tục cắm các lỗ hổng và lỗ hổng của nó và trên hết - là mở về việc thông báo cho khách hàng và cộng đồng phát triển của mình về những vấn đề này. Nếu chúng ta biết có một vấn đề - chúng ta có thể lập kế hoạch và vá lỗi cho phù hợp, nếu điều ngược lại là đúng - cuối cùng chúng ta phải lau sạch và xây dựng lại.

Tôi nhớ lại các lỗ hổng trong Windows đã được phát hiện để quay trở lại 3.1 và được biết đến và rời đi vì chúng bị coi là 'bị che khuất'.

Các giải pháp nguồn mở không hoàn hảo, nhưng theo định nghĩa của chúng, việc tìm kiếm, phát hiện, báo cáo và sửa lỗi dễ dàng hơn nhiều.

Câu hỏi ban đầu - làm thế nào để bạn chứng minh rằng một hệ thống là an toàn - bạn không thể - không có hệ thống nào đã từng hoặc sẽ không được bảo mật. Thời điểm tuyên bố như vậy được thực hiện, mọi hacker trên thế giới đều có một trường hợp để chứng minh trong việc hạ gục nó. Thật hợp lý và trung thực hơn khi hiểu rằng chúng tôi làm cho mọi thứ an toàn nhất có thể, và phát triển các hoạt động và phương tiện làm việc với các hệ thống thúc đẩy ý thức sử dụng an toàn.

Về mặt kỹ thuật bạn có thể giải thích về WP, theo những gì bạn biết. Bạn nên đọc chủ đề này để tăng kiến ​​thức về bảo mật:

/wordpress/245051/security-with-wordpress-how-to-secure-website/245052#245052