השתתפתי כמאזין בהרצאה, על פגיעויות תוכנה והשיטות ללמוד אותן ולתת להן מענה. ההרצאה של הייתה מעניינת ביותר ולמדתי ממנה הרבה אפילו שייתכן והייתי היחידי בקהל מתחום בניית אתרים ולא תכנות, ולמרות שהמילה וורדפרס לא עלתה אפילו פעם אחת בהרצאה.
אז חוץ ממה שבאמת היה חשוב בהרצאה: כמו שהמזגן לא פעל וזה היה יום קיץ תל אביבי חם (כנראה שטכנולוגיית מיזוג זה משהו מורכב יותר מטכנולוגיות תוכנה וסייבר..) היה חם בהרצאה (לא רק בגלל המיזוג…).
מה שהבנתי בהרצאה זה שוורדפרס היא מערכת סופר סופר סופר פגיעה לתוקפי סייבר. זה בגלל בין השאר שכל חברת תוכנה הכי קטנה יכולה לבנות תוסף שהמונים משתמשים בו (ואיכות המתכנתים באותה חברת תוכנה לא חייבת להיות הכי גבוהה – ואבטחת התוסף שלהם היא בוודאי לא בעדיפות אצלם באותה מידה של חשיבות הוצאת מוצר מהר עם החידושים שלהם וכו'). גם מפריע שהכל קוד פתוח ולא כזה שמקומפל (משמע מקודד באופן שקשה יותר להבין אותו וכך ללמוד על פגמיו). וגם אולי בגלל שוורדפרס עצמה לא מכילה מערכת באמת חזקה להגנה על האתר וזה מחייב התקנת תוסף מיוחד נפרד והגדרה שלו – מה שהרבה בעלי אתרים לא עושים.
אז אולי אבטחה כחלק מהוורדפרס היא רעיון טוב (אפילו מיקרוסופט עשו משהו דומה למחשבים…) – הצעה! הצעה!
אך אבין אם לא יעשו כמו שבעבר במחשבי דסקטופ נוצרו חברות אנטיווירוס בנפרד מחברות מערכות ההפעלה לרוב. אם כי בהם כמעט כולם התקינו אנטיווירוס. ומעניין שאנשים שבבית מתקינים אנטיווירוס במחשב שלהם לא עושים זאת באתר שעלה כנראה יותר ממחשב ושחשוב הרבה יותר ממנו עשרות מונים לשם הפרנסה שלהם…
בעצם בשורה התחתונה למדתי מההרצאה בהקשר לוורדפרס שדווקא היתרונות הענקיים של הוורדפרס – הם מה שגורם בעיקר לחולשה שלה מול פורצים.
וורדפרס מאפשרת לכל אחד עם ידע בסיסי בקוד לפתח תוסף – מה שמוביל להיצע של יכולות ואופציות עצום ורב – אך אינו מאפשר שום בקרה מי מתכנת בה דברים ומה הכשרתו (המינימלית).
וורדפרס היא גם קורבן של הצלחתה: ישנם הרבה יותר אתרי וורדפרס מאתרים מכל סוג אחר ולכן הם יותר אטרקטיביים לפריצה.
ולסיום, לעיתים עד שגירסה מתוקנת ומופצת, יכולים לעבור חודשים בהם קלי קלות לפורצים לפגוע באתרים החשופים שטרם עדכנו.
בקיצור דווקא בגלל יתרונותיה הענקיים של וורדפרס ולא דווקא בגלל חסרונותיה – וורדפרס היא גם מערכת מאוד פגיעה.
הפתרון והשירות שאני נותן ללקוחותיי להגנה על הנכס שלהם, מבוסס על התקנת תוסף אבטחה מוכר ורציני ותיקון כל מה שהוא מתריע עליו כקריטי פלוס מעקב שוטף על פגיעויות שצצות מדיי פעם.
אבל כיוון שזה לא מגן במאה אחוזים וכשיכבה נוספת של הגנה, וזה גם יותר מהיר והרבה פעמים ללא עלות למעט בערך של שעת עבודה שלי. אני עושה ללקוח גיבוי, ומוודא שהוא יוריד עותק מהגיבוי אצלו.
אז אין מאה אחוזי בטחון אף פעם (למשל שהגיבוי ביום צרה אכן יפעל ללא תקלות) אבל עם תוסף אבטחה וגיבוי תקופתי – הלקוחות שלי הרבה יותר מוגנים מ90 ומשהו אחוזים של אתרי וורדפרס ברשת – ושלא נזדקק:-) .
…
