Как безопасно использовать WordPress-плагины

И что мы сделали для безопасности Setka Editor

Игорь кузнецов

CTO Setka

Если вы строите бренд или медиа, очень важно использовать надежные инструменты, потому что онлайн-среду не назовешь спокойной и безопасной. По мере того, как инфраструктура вашего издания растет и становится сложнее, в ней все легче найти уязвимости.

В Setka мы делаем все возможное, чтобы защитить наши продукты и клиентов от проблем с безопасностью. Когда вы работаете с WordPress, вы наверняка подключаете плагины (в том числе Setka Editor) для повышения продуктивности и доступа к новым функциям. Мы собрали несколько полезных советов, которые помогут обезопасить вашу компанию от различных возможных атак и взломов, возникающих в результате использования плагинов.

5 советов для безопасного использования WordPress-плагинов

 Проверяйте все значения пользовательского ввода и сторонних (непроверенных) источников.

 Используйте одноразовые числа (nonces) WordPress на страницах настроек и HTML-форм.

 Используйте WordPress Capabilities для разграничения прав доступа к вашему сайту.

 Используйте популярные open-source-библиотеки, которые уже завоевали доверие большого количества людей (Symfony, WordPress CLI, PHP Unit и т. д.).

 Следуйте официальным стандартам WordPress.

Мы много внимания уделяем вопросам безопасности. Плагин Setka Editor добавляет WYSIWYG-редактор к уже существующим. Он подключает на страницу редактирования поста следующие файлы из Setka CDN: editor.js (код редактора), editor.css (стили интерфейса редактора), %company%.css (стили вашей публикации) и %company%.json (мета-данные стилей публикации). Кроме этого, на внешние страницы постов подключаются файлы %company.css% и public.js (скрипты интерактивных элементов постов — анимации, галереи и т. д.). Ссылки на эти файлы загружаются из Setka Style Manager при установке плагина и сохраняются в базе данных WordPress. Поэтому даже в случае удаления плагина все необходимые стили ваших постов сохранятся.

При регистрации для каждого клиента генерируется уникальный лицензионный ключ (токен), который используется для идентификации его WordPress-сайта при отправке запросов в API Setka. Сложность сгенерированного токена не позволяет неавторизированным пользователям угадать его методом полного перебора за вменяемое время. Все запросы из Setka API к сайту обрабатываются через стандартные WordPress-методы API. Плагин устроен таким образом, что обрабатывает только те входящие запросы, которые относятся к Setka Editor, и пропускает остальные.

Мы используем Stripe, ведущую в мире платформу приема платежей и хранения электронных данных. Данные о платежах клиентов недоступны нашей команде или потенциальным злоумышленникам.

Каждый параметр во входящих запросах тщательно проверяется с целью предотвратить SQL-инъекции и другие атаки. Чтобы обеспечить максимальную безопасность, старые версии PHP и WP не поддерживаются, потому что они имеют известные уязвимости.

Чтобы узнать больше о загрузке плагина, ознакомьтесь с нашим гидом. Если вам интересно узнать о подключении плагина к собственной CMS, нажмите здесь. Если у вас возникнут какие-либо проблемы, обратитесь в нашу службу поддержки.