Tal vez deberíamos confiar en el equipo de seguridad de WordPress

Este año, en WordCamp Miami, compartí un Airbnb con algunos otros desarrolladores de WordPress.La puerta del lugar donde nos quedamos tenía una cerradura de teclado.Creo que soy demasiado dependiente de mi administrador de contraseñas, porque inmediatamente olvidé el código.Como resultado, en la fiesta posterior a la fiesta, cuando estaba listo para irme, encontré una de las personas con las que me quedé con Christoff, desarrollador para descargas digitales increíbles y fáciles y un equipo de seguridad básico de WordPress.Él por el código.Al final resultó que interrumpí una discusión con otros desarrolladores sobre temas de seguridad.Por esta razón, no me sorprendió cuando, en lugar de decirme solo el código, Chris comenzó a enumerar las estrategias que podía usar para forzar brutalmente el código en la puerta.
Mark Jaquith, uno de los principales desarrolladores de WordPress, lo interrumpió para enfatizar que la introducción de combinaciones aleatorias hasta que uno funcionó era ineficiente. En cambio, sugirió analizar los modelos de desgaste en el panel de combinación, lo que debería decirme qué números probablemente estarían contenidos en el código. No pensaron en cómo debería funcionar un sistema de teclado. Pensaron cómo podrían usarse abusivamente y maltratarse. En ese momento, estaba muy cansado y solo quería obtener el código para poder volver a Airbnb e ir a la cama. Mirando hacia atrás, me alegro de haber estado poco tiempo en esta conversación. Me alegré de darme cuenta de que hay personas que piensan en la seguridad de WordPress, la herramienta que utilizo para ganar mi existencia. Pero también estoy feliz de no tener que ser parte de la verdadera conversación que tuvieron. Confío en que cualquier problema discutido y no tengo idea de qué era, era un problema real y se resolverá.
Se trata de cómo la mayoría de los usuarios de WordPress no deberían funcionar que WordPress es algo que usa al ingresar cuadros y hacer clic en los botones. En cambio, los desarrolladores tienden a pensar en ello en términos de PHP y JavaScript, todos representando una serie de solicitudes de un navegador a un servidor. (Y el navegador es en realidad opcional en esta ecuación). Esas solicitudes se pueden generar a partir del terminal o, en el caso de la mayoría de los hacks, a partir de un tipo de guión sofisticado diseñado para explotar casos marginales. La diferencia en la perspectiva de cómo funciona WordPress dificulta que los usuarios comunes comprendan las operaciones de seguridad recientes. Esto se debe al hecho de que los usuarios ven a WordPress como una cosa que controlan con sus navegadores, mientras que los piratas informáticos en blanco o negro trabajan desde la terminal o escriben scripts operativos automáticos en Python u otros lenguajes de codificación. Se pueden leer técnicas sobre dos vulnerabilidades de seguridad de WordPress recientes En esta publicación por el investigador de vulnerabilidad, Netanel Rubin. Esta vulnerabilidad ha explotado un defecto muy específico en la función “Presione este”. Requiere una secuencia compleja de eventos que ningún usuario ordinario haría, pero permita que ningún usuario cree una publicación. Aunque esto puede no sonar crítico, considere esto: podría usarse para inyectar JavaScript malicioso en un sitio, que luego podría usarse para redirigir a los visitantes del sitio a un sitio de spam sería una farmacia en línea eclipsada o peor.
Pero debe funcionar el mal funcionamiento “Presione esto” es la solución menos discutida abordada en WordPress 4.2.3. Los problemas más publicitados fueron los cambios realizados en la API de código corto. Este cambio causó problemas cuando los códigos cortos se usaron como atributos HTML, por ejemplo, para establecer “SRC” en una etiqueta de imagen o como URL en una etiqueta de enlace. Esto nunca fue algo que la API de código corto debería hacer, pero funcionó, muchas personas lo hicieron. Recientemente intenté entrevistar a Christoff sobre el problema relacionado con el código corto. Me contó que la historia es mucho más, pero ahora no podía decirme más de lo que había en la publicación de lanzamiento. Pero me dijo que:
Honestamente, el mayor problema con trabajar con cosas de seguridad es que la gente quiere saber todas las respuestas de inmediato, lo que entiendo, pero en términos de seguridad, en primer lugar, tenemos límites en lo que podemos decir y cuándo. Esta respuesta es frustrante. Hay una cantidad limitada de explicaciones para los cambios y no hay advertencia previa sobre ellos. Podría escribir mi propio sistema de gestión de contenido. De hecho, aprendí a usar componentes de Symony para mejorar mis habilidades de desarrollo de PHP y ampliar mi conocimiento. Dicho esto, aunque prefiero usar el enrutador Symony frontal en comparación con WordPress en algunos casos de uso, en realidad no usaría mi propio sistema de administración de contenido para algo más que un servidor de prueba.

Saber que hay un equipo de personas que trabajan para encontrar y reparar los extraños casos de borde que se pueden usar para explotar a WordPress, me ayuda a dormir por la noche. Por eso uso WordPress. Simplemente no quiero esta responsabilidad. Cuando elegimos WordPress como un sistema de gestión de contenido, podemos externalizar gran parte de nuestras preocupaciones de seguridad. ¿Confías en ellos? Por supuesto, es frustrante cuando las actualizaciones de seguridad hacen que las cosas fallen en su sitio, pero es mejor que la alternativa. La falta de comunicación en torno a los remedios de seguridad está en un fuerte contraste con la apertura que se encuentra en el resto del proceso de desarrollo de WordPress, pero eso es porque debe ser. Si no confía en las personas que toman estas decisiones, entonces no debe usar WordPress . Los problemas de seguridad deben abordarse con un cierto nivel de secreto; Y, dado eso, debemos confiar en el equipo de seguridad de WordPress para hacer lo que se necesita para mantener a WordPress de manera segura. Si no le gustan los cambios en la API de código corto, puede cancelarlos en sus sitios. Es fácil estar molesto en el equipo de seguridad de WordPress cuando no los conoce personalmente y se ve afectado negativamente por sus acciones. WordPress 4.2.3 rompió algunas cosas en un complemento en el que estábamos trabajando, no por los cambios de escasez, sino por razones relacionadas con la remediación de la vulnerabilidad “Pres”. Fue frustrante, pero confío en que era lo correcto para mantenernos a todos a salvo.