Před několika dny se objevila zajímavá studie srovnávající bezpečnost známých redakčních systémů podle aktuálně používaných (nainstalovaných) verzí. Publikační systém WordPress vyšel z tohoto testu velmi dobře a nechal za sebou nejen phpBB (systém pro diskusní fóra) a Joomlu (což nebylo nic obtížného), ale i Drupal. Tento úspěch je nutné přičíst zejména jednoduché automatické aktualizaci WordPressu, která je neustále vylepšována. A o co tedy v testu přesně šlo? Více informací naleznete ve článku Jednoduchá automatická aktualizace výrazně napomáhá bezpečnosti webů používajících WordPress.

Zdroj:separatista.net.

2 Příspěvků v diskuzi

  1. Bohužel takovéto výzkumy rozšiřují mýty o bezpečnosti aplikací. phpBB3 je naopak jedna z nejbezpečnějších webových aplikací posledních let. Měla jen jednu středně kritickou díru od vydání a čtyři málo závažné.

    Ta jedna chyba se objevila ve verzi 3.0.7 a znamenala, že se přes RSS dalo dostat k některým jinak skrytým příspěvkům. Dva týdny na to byla vydána opravná verze 3.0.7-PL1. Žádné jiné verze kromě této nebyly zasaženy. Výzkum předpokládá opak, navíc mícha naprosto nesouvisející verze phpBB2 a phpBB3.

    Autora výzkumu jsme již kontaktovali a mylné informace byly opraveny.

    P.S.:Takovouto statistiku bych již nenazýval odstrašující, naopak za velmi příznivou: http://secunia.com/advisories/product/17998/?task=statistics

  2. Studie je celkem zavádějící, o skutečné bezpečnosti daných aplikací neříká nic. Ve věšině případů se skutečná rizika skrývají v doplňcích a modulech třetích stran, které nejsou kontrolovány tak důsledně jako jádra systémů a nejvíce chyb pak může být obsaženo v modulech, tématech na míru – a to samozřejmě žádný generický test neodhalí.

    Jediný závěr, který ze studie lze vyvodit je ten, že WordPress je díky jednoduché automatické aktualizaci snadno aktualizovatelný.

    To je ale také dáno celkovou jednoduchostí WordPressu a způsobem využití – osobní a firemní blogy, jednoduché firemní stránky. U Drupalu a Joomly, které se často používají na portály a e-shopy, kde je instalováno kolikrát i sto a více vzájemně provázaných modulů, by automatická aktualizace ve stylu WordPressu nadělala v mnoha případech spíš víc škody než užitku…

    Pokud si prohlédnete originální prezentaci, sami autoři „studie“ přiznávají, že je to pouze nedokonalý počátek a přidávají výčet vlastností, které je třeba zlepšit. Verze v grafech jsou pouze potencionálně zranitelné při splnění určitých podmínek, např. že je určitý modul vůbec aktivní, nebo je potřeba specifické nastavení webserveru – např. zcela ignoruje .htaccess.

    Zkrátka „Garbage in, garbage out.“…

    Nadpis „WordPress bezpečnější než phpBB, Joomla a Drupal“ je špatně. Správně je „WordPress je nejlépe aktualizovatelný, překonal phpBB, Joomlu a Drupal“…

    Zpracovala Kancelář pro uvádění románových příběhů na pravou míru

Odpovědět