Como eu tecnicamente provo que o WordPress é seguro?

Diga ao seu cliente para ler sobre segurança cibernética, porque sua premissa é absurda. A segurança através da obscuridade foi desacreditada desde 1851 (sim, há um século e meio atrás). O oposto também é falso. O software de código aberto não é mais seguro que o software proprietário.

A coisa crucial na segurança do código não é se é aberta ou não, mas se é bem mantida. O WordPress tem uma comunidade ativa que está constantemente alerta em questões de segurança. Siga as diretrizes . Pergunte a si mesmo como está alerta os autores de uma rival cms.

Dito isto, a segurança é uma ameaça constante. Não há provas ou garantias.

"Cassandra não é, o motor que roda o Facebook, o código aberto?" Essa pergunta deve colocá-los à vontade.

Cassandra também é usada pela Apple e pela Netflix , e é de código aberto . Além disso, você pode citar todos os principais sites que usam o WordPress. "Se é bom o suficiente para eles, provavelmente é bom o suficiente para você."

O ponto, como a outra resposta observa, é que a forma como o software é feito e atualizado é completamente irrelevante para a segurança. Mais importante é a frequência com que é atualizado e como é fácil atualizar seus sites específicos. Na minha opinião, o WordPress é muito bom nisso.

Como esta é uma questão geral, não é inteligente fornecer respostas detalhadas. Seria melhor mostrar alguns exemplos interessantes.

As outras pessoas fazem testes sérios. Tome unidade Docker WordPress, por exemplo, 1 2

Eles dizem que o WordPress é seguro, mas o PHP ainda não é seguro. Portanto, mesmo que você tenha o Perfect WordPress (configuração do livro), os problemas podem estar do outro lado.

Eu pertenço a um país, onde enfrentei situações semelhantes muitas vezes. Mas eu os enfrentei com meus sites WP ativos e seus históricos de som. O boato foi realmente verdade, quando todos se tornaram desenvolvedores e desenvolveram as coisas do WordPress sem entender como o WordPress lida com as coisas por si só. Então, as coisas se desenvolveram e os hackers passaram pelo código do buggy. O boato se fortaleceu com um enorme colapso com os sites do Joomla, naquela época. Às vezes aconteceu por causa de alguns servidores baratos, onde a segurança do servidor era ruim.

Enfim, me questionei se sei a resposta para você e me vejo vazia. Então eu consultei alguns artigos, e citando alguns deles e adicionando meus pontos / entendimentos também:

• Pergunte quais são as garantias de segurança que seu [cliente] deseja de um software e depois pergunte se o software fornece isso. ^[fonte]
• Todo software precisa ser avaliado antes de comprarmos - é um absurdo total. Somente funções de segurança exigem avaliação de segurança.
• A licença não determina a qualidade do código. [fonte]

Meus pontos [lame]:

• O WordPress, como outros Open Source, é de código aberto, portanto, se estiver vulnerável a ameaças de segurança, entrará em colapso há muito tempo. Ainda floresceu desde 2003.
• O WordPress se atualiza automaticamente com patches de segurança após a versão 3.7. Se o seu código personalizado procura por ameaças de segurança mais recentes, bugs no seu código por [um pequeno grupo de coders '] formas conhecidas e atualizações constantemente, então você ainda está por trás do WordPress, porque a segurança do WordPress é mantida por um grande grupo de pessoas ao redor do globo [e é melhor que um pequeno grupo].
• E @cjbj já fez questão, a obscuridade não faz coisa segura .

Para minha lembrança, as maiores falhas na segurança tendem a não estar relacionadas ao software, mas à implementação. Wordpress fora da caixa é tão seguro quanto possível - mas as pessoas ainda escolhem estupidamente fácil de adivinhar senha - ou nenhuma, ou executar serviços sem HTTPS etc. Tudo o que você pode fazer em um sistema caseiro e ser apenas como inseguro.

Ter o sistema mais seguro possível começa muito à frente da escolha de software e plataforma, começa com a implementação, política, certificando-se de que você sabe o que você está depois. Em seguida, escolha uma plataforma que tenha constantemente plugado seus vazamentos e buracos e, acima de tudo, esteja aberta para informar seu cliente e a comunidade de desenvolvimento sobre esses problemas. Se soubermos que há um problema - podemos planejar e corrigir adequadamente, se o contrário for verdadeiro - acabaremos tendo que limpar e reconstruir.

Eu me lembro de falhas no Windows que foram descobertas por volta do 3.1 e eram conhecidas e deixadas porque eram consideradas "obscuras".

As soluções Open Source não são perfeitas, mas pela sua própria definição, é muito mais fácil encontrar, localizar, relatar e corrigir falhas.

A pergunta original - como você prova que um sistema é seguro - você não pode - nenhum sistema nunca esteve nem nunca estará seguro. No momento em que tal afirmação é feita, todo hacker do mundo tem um caso a provar para derrubá-lo. É muito mais sensato e honesto entender que fazemos as coisas o mais seguro possível e desenvolvemos operações e meios de trabalhar com sistemas que promovem um senso de uso seguro.

Tecnicamente, você pode explicar sobre o WP, de acordo com o que você sabe. Você deve ler este tópico para aumentar seu conhecimento sobre segurança:

enlace