Вопрос безопасности очень часто встает на пути выбора оптимального решения для веб-проектов, и многие сталкиваются с высказыванием того, что WordPress является уязвимым, что взломать сайт на WordPress очень легко.
Компания Automattic, совместно с некоторыми ведущими разработчиками и участниками проекта WordPress, опубликовали официальное издание о безопасности WordPress. Этот документ предназначен для людей, принимающих решение в выборе платформы для их проектов, а также для разработчиков, которые занимаются созданием сайтов, тем и плагинов на базе WordPress.
Анонс нового документа на сайте WordPress.com VIP
Статья начинается с общего обзора WordPress, его лицензии и цикла его разработки. Затрагиваются такие моменты, как обратная совместимость ядра, автоматические фоновые обновления и релизы безопасности.
Далее по тексту идет перечень десяти самых популярных угроз по версии проекта OWASP и то, как в ядре WordPress реализованы соответствующие механизмы защиты.
Раздел «темы и плагины на WordPress.org» описывает то, как темы и плагины могут попасть в официальные репозитории, кто и когда проверяет их на безопасность, и как поступает команда безопасности WordPress в случае обнаружения уязвимости в плагине или теме. Здесь следует отметить очень важное предложение:
Включение плагинов и тем в репозиторий WordPress.org не является гарантией их безопасности.
Но с учетом того, что подобные темы и плагины хоть как-то проверяются и модерируются командой WordPress.org, доверие к ним гораздо выше, чем к плагинам и темам со сторонних ресурсов.
В конце статьи говорится о ключевой роли хостинг-провайдеров в безопасности WordPress, в частности о правильности конфигурации операционных систем и веб-серверов.
В приложении к документу упоминаются различные API WordPress, которые следует знать каждому разработчику. Среди них: API для работы с HTTP запросами, с правами и привилегиями пользователей, с файловой системой и с базами данных.
Полный текст документа можно посмотреть на сайте WordPress.org или скачать в виде PDF-файла. Текст документа распространяется под лицензией CC0, а поправки, дополнения или переводы можно отправить в репозиторий на сайте GitHub.
P.S. Советуем также ознакомиться с нашей статьей об основах безопасности в WordPress.
