我如何从技术上证明WordPress是安全的?

时间:2016-11-01 作者:Sandun

我的一个客户强迫我在没有WordPress的情况下完成他们的项目。但WordPress最符合他的要求。

他说的是,WordPress是不安全的,因为WordPress是开源的,每个人都知道代码。因此,黑客攻击的几率比定制网站高。这是他唯一不喜欢WordPress的地方。

我如何证明WordPress是安全的,即使代码对每个人都是开放的?

6 个回复
最合适的回答,由SO网友:cjbj 整理而成

告诉你的客户阅读网络安全,因为他的前提是胡说八道。Security through obscurity 自1851年以来一直名誉扫地(是的,那是一个半世纪前)。反之亦然。开源软件并不比专有软件更安全。

代码安全性的关键不在于它是否开放,而在于它是否得到了良好的维护。WordPress有一个活跃的社区,对安全问题保持警惕。跟随the guidelines. 问问自己,竞争对手cms的作者有多警惕。

也就是说,安全是一个持续的威胁。没有证据或保证。

SO网友:38365

“运行Facebook的引擎Cassandra不是开源吗?”这个问题应该让他们放心。

Cassandra is used by Apple and Netflix too, 而且它是开源的。此外,您还可以引用所有使用WordPress的主要网站。“如果这对他们来说足够好,那么对你来说也可能足够好。”

正如另一个答案所指出的,关键是软件的制作和更新方式与安全性完全无关。更重要的是它更新的频率,以及更新您的特定站点的容易程度。在我看来,WordPress在这方面做得很好。

SO网友:prosti

由于这是一个一般性问题,所以提供详细答案并不明智。最好展示一些有趣的例子。

其他人做了认真的测试。以Docker WordPress单元为例1 2

他们说WordPress是安全的,但PHP还不安全。所以即使你有Perfect WordPress (按本书设置)问题可能在另一边。

SO网友:Mayeenul Islam

我属于一个国家,在那里我多次遇到类似的情况。但我面对的是我活跃的WP网站和他们的良好历史。谣言其实是真的,当时每个人都成为了开发人员,开发了WordPress的东西,却不了解WordPress是如何处理事情的。于是事情发展起来,黑客们破解了他们的错误代码。那一次,Joomla遗址的巨大坍塌进一步加强了谣言。有时发生这种情况是因为一些廉价的服务器,而这些服务器的安全性很差。

不管怎样,我问自己是否知道你的答案,我发现自己很空虚。因此,我查阅了一些文章,引用其中一些文章,并补充了我的观点/理解:

询问[客户]希望从软件中获得什么样的安全保障,然后询问软件是否提供了这些保障[source]

  • 在我们购买之前,每个软件都必须经过评估-这完全是胡说八道。只有安全执行功能需要安全评估[source]
  • 许可证不规定代码质量[source]
    • 我的[跛脚]点:

    WordPress和其他开源软件一样,也是开源的,所以如果它容易受到安全威胁,那么它早就崩溃了。自2003年以来,它仍在蓬勃发展和@cjbj已经指出了这一点,obscurity doesn\'t make thing secure.

    SO网友:Steve Nisbet

    Mayeenul Islam-您在开源方面提出的观点并非站不住脚。如果我们考虑到微软——世界上最大的软件和系统的开发和生产商之一,也是世界上入侵最严重的系统之一——“关闭代码”绝不比拥有一个由成百上千的开发人员和用户监管的代码库更安全。

    据我回忆,安全方面最大的缺陷往往不是软件,而是实现。Wordpress开箱即用是尽可能安全的,但人们仍然会愚蠢地选择容易猜到的密码,或者根本没有密码,或者运行没有HTTPS的服务等。所有这些都可以在自制系统上完成,而且同样不安全。

    拥有尽可能安全的系统从软件和平台选择之前开始,它从实施、策略开始,确保您知道自己在追求什么。然后选择一个始终堵住漏洞和漏洞的平台,最重要的是,开放地将这些问题告知其客户和开发社区。如果我们知道存在问题,我们可以相应地进行规划和修补,如果情况相反,我们最终必须清理并重建。

    我回忆起窗户上的洞,这些洞被发现可以追溯到3.1版本,因为它们被认为是“模糊的”,所以大家都知道并留下了这些洞。

    开源解决方案并不完美,但根据其定义,发现、发现、报告和纠正缺陷要容易得多。

    最初的问题是——你如何证明一个系统是安全的——你不能——没有一个系统曾经或将来是安全的。当这种说法被提出的那一刻,世界上的每一个黑客都有理由将其推翻。更明智和诚实的做法是,我们尽可能地确保事物的安全,并开发操作和使用系统的方法,以促进安全使用感。

    SO网友:T.Todua

    从技术上讲,你可以根据你所知道的解释WP。您应该阅读本主题以增加有关安全性的知识:

    https://wordpress.stackexchange.com/questions/245051/security-with-wordpress-how-to-secure-website/245052#245052

    标签: security   小码农  

    相关推荐

    WordPress security

    我通过wordpress为我的客户创建了一个网站,并将其上传到他们的服务器上。。我们假设用户可以访问整个服务器。。是否可以通过在数据库中编辑管理员密码或添加需要我权限的脚本来保护此网站不被其他服务器使用。