Forfatter: Bjørn Johansen

, Publisert

WP Mythbusters: «WordPress er ikke sikkert»

Søker man litt på nettet, kan det være lett å få inntrykket av at WordPress ikke er sikkert. Det finnes ikke mangel på folk i bransjen som gladelig forteller om hvor usikkert WordPress er.

Sophos Labs har fortalt at de i gjennomsnitt oppdager 30.000 nye hackede nettsteder daglig. Siden 1 av 4 av alle nettsteder i hele verden kjører på WordPress, er nok ikke feil å anta at tusenvis av WordPress-nettsteder blir hacket daglig.

Det har altså oppstått et rykte om at WordPress er usikkert. Men er det egentlig det? Vet ikke vi som driver med WordPress hva vi holder på med? Spør du en fagperson som har god kjennskap til WordPress, får du et noe mer nyansert bilde – kanskje til og med et bilde som er snudd på hodet.

Hvor kommer ryktet fra?

For å være helt ærlig: WordPress har en noe brokete fortid. Går vi tilbake til 2009, virket det som om det hver eneste uke kom ut en ny sikkerhetsoppdatering for å tette et hull. Det store problemet var egentlig ikke at hullene ble funnet, og tettet, men at det krevde at folk oppdaterte. Å oppdatere WordPress i 2009 var ikke vanskelig. Det innebar at du måtte logge inn i administrasjonspanelet og klikke på den store knappen det sto «Oppdater» på. Det store problemet var at folk ikke gjorde dette. Resultatet var at tusenvis av nettsteder som kjørte WordPress ble hacket. Dette var nyhetsverdig allerede den gang, og til og med store, kjente aviser som The Guardian skrev om saken.

Det er nå 2015 og det har nå gått 6 år siden den høsten WordPress ble stemplet som usikkert. I løpet av de 6 årene har det skjedd veldig mye. I dag kan du regne WordPress som veldig sikkert. I dag finnes det få applikasjoner på nett som får like mye sikkerhetsgjennomsyn som det WordPress gjør. Det betyr ikke at det ikke vil oppdages nye sikkerhetshull, men det betyr at du antageligvis ikke finner et sikrere alternativ.

Du er selv ansvarlig

WordPress er utrolig enkelt å installere, og det kreves ikke rare kunnskapene for å få det til. Det er lagt ned mye ressurser i å gjøre det så enkelt som mulig å komme i gang med WordPress. Dessverre betyr dette også at det ikke nødvendigvis er så gode kunnskaper om sikkerhet og drift av løsninger hos de som installerer WordPress. Å sikre et IT-system – som WordPress faktisk er – som ligger åpent mot nett, krever faktisk litt kunnskaper og rutiner.

Skal du drive mer enn et hobbynettsted, bør du sørge for at nettstedet ditt ligger på et webhotell som tilbyr såkalt Managed Hosting. Det vil si at leverandøren tar seg av nødvendige sikringer, oppdateringer og sikkerhetsoppdateringer.

Enkelt er ikke nødvendigvis bra

Ikke bare er det enkelt å komme i gang med WordPress, men det er også utrolig enkelt å komme i gang med å lage temaer og utvidelser. Ulempen med at det er så enkelt, er nettopp at det ikke krever så store kunnskaper. WordPress er så enkelt at det får nybegynnere til å føle at de vet hva de holder på med – selv om de ikke nødvendigvis gjør det. Folk som ikke helt vet hva de holder på med, gjør farlige ting. De setter opp usikre nettsteder. De skriver dårlig kode. De blir hacket.

Selv om det er enkelt å gjøre feil ting med WordPress, er det også enkelt å gjøre de rette tingene. Utviklere som vet hva de holder på med, har alle de rette verktøyene de trenger for å skrive god, skalerbar, sikker kode tilgjengelig i WordPress. Det finnes mange komponenter for å behandle data på rett måte, og mye dokumentasjon av hvordan dette best bør gjøres.

Hva gjøres for å sikre WordPress?

WordPress har i mange år nå gjennomgått en kontinuering forbedring av sikkerheten, og sikkerhet er absolutt i høysetet når nye funksjoner legges til eller det skjer endringer.

All ny kode gjennomgås offentlig av et knippe seniorutviklere med lang erfaring fra kritiske løsninger. I tillegg til at WordPress har et kjerneteam som tar seg av videreutvikling, har WordPress et eget, dedikert sikkerhetsteam bestående av omtrent 25 eksperter. I tillegg til å identifisere og løse sikkerhetsutfordinger, jobber dette teamet med å gi ut anbefalinger og dokumentasjon av bestepraksis for tredjepartsutviklere.

Siden sommeren 2015 har WordPress også hatt en egen «sikkerhetsombudsmann», Nikolay Bachiyski, som har som oppgave å koordinere alle tiltak, og å sørge for at alle varslinger kjapt blir fulgt opp og med nødvendig kvalitet.

Sikkerhetsteamet har også et samarbeid med større hostingselskaper, som tester at sikkerhetsfikser ikke fører til nye problemer med brukernes nettsteder. I flere tilfeller har sikkerhetsteamet også samarbeidet med utgivere av andre publiseringsplattformer som benytter noen av de samme komponentene som WordPress gjør.

Auto-oppgraderinger

Siden versjon 3.7 har WordPress hatt auto-oppgraderinger av sikkerhetsfikser og andre kritiske feilfikser påslått som standard. Det betyr at nettsiden din to ganger i døgnet vil sjekke om det finnes en slik fiks til din versjon og automatisk installere denne.

Det er mulig å konfigurere auto-oppgraderinger også til å installere større oppgraderinger, slik at du til enhver tid kjører den aller nyeste versjonen av WordPress.

Selv om du mot formodning skulle skru av auto-oppgraderinger, kan sikkerhetsteamet til WordPress – i helt spesielle situasjoner – tvinge gjennom spesielt kritiske oppgraderinger. Det finnes noen få tilfeller der dette har skjedd, både med selve WordPress og med tredjepartsutvidelser som har vært spesielt utbredt.

Sikre passord og to-faktor autentisering

WordPress versjon 4.3 kom med funksjonalitet som tvinger brukere til å benytte sterke passord. I tillegg finnes det tilleggsmoduler for å benytte to-faktor autentisering fra de aller fleste slike leverandører.

WordPress’ sikkerhetsdokument

WordPress har gitt ut et sikkerhetsdokument som er en analyse og forklaring av utviklingen av WordPress og de relaterte sikkerhetsprosessene rundt dette. Dokumentet gjennomgår også sikkerhetssystemer bygd inn i programvaren.

Men ble ikke 100.000 WordPress-nettsteder hacket i fjor?

Jo, det stemmer. Men husk nå at i denne sammenhengen er ikke 100.000 nettsteder så mye. I følge Netcraft finnes det i underkant av 900 millioner nettsteder og i følge W3Techs kjører dermed mer enn 225 millioner av disse WordPress. Hadde det vært selve WordPress som som var sårbart, ville betydelig flere nettsteder blitt hacket.

Sårbarhetene som førte til alle de hackede nettstedene som nådde mediene i fjor, var ikke i WordPress. For det første lå sårbarhetene i en tredjepartsutvidelse – som ikke var tilgjengelig via den offisielle katalogen på WordPress.org, men på et uavhengig markedsnettsted. Når sårbarheten i denne utvidelsen først ble funnet – og offentliggjort – var problemet at nye tredjepartsutvikelere av temaer igjen hadde inkludert denne utvidelsen i sine pakker. Det var dermed en hel serie av hendelser – hvorav alle går imot hva som er kjent, dokumentert bestepraksis – som skulle til for et hendelse som dette.

Følger man gode rutiner og vet hva man holder på med, er det ikke så vanskelig å unngå slike hendelser.

En tanke til slutt

I dagens fiendtlige miljø på nettet: Tror du virkelig en publiseringsløsning ville drevet 25% av web’en hvis den var usikker?