WordPressi jaoks on tehtud üle viiekümne tuhande lisandmooduli ehk plugin´i, päris tihti on ühe ja sama ülesande jaoks loodud kümneid mooduleid, mille vahel valida. Kuidas leida see kõige turvalisem ja õigem lahendus? Siin on kolm soovitust, mismoodi WordPressi plugin´idega mitte alt minna.
Lisaks turvaaukudega moodulitele või arendaja poolt ammu unustatud lahendustele võib komistada ka selliste otsa, mis töötavad aeglaselt või on arendaja aeglane turvauuendusi sisse viima. Nende moodulite vältimiseks tasub üht-teist meeles pidada.
Kontrolli, kas arendaja on endiselt aktiivne
Avatud lähtekoodiga projektide arendajad pakuvad kasutajatele tasuta mooduleid tavaliselt vabatahtlikkuse alusel. Mõne pistikprogrammi võib keegi kirjutada vabal ajal hobina ning hiljem unustada. Samas võivad ka mõned kommertsmoodulid mingil hetkel toe kaotada, kui tegijatel pole enam huvi seda arendada.
Mõlemal juhul tuleb uurida, mis seisus projekt hetkel on. Seda on mooduli juures üsna lihtne teha nende kolme näitaja järgi.
Viimase täienduse aeg (Last Commitment) näitab, millal on mooduli arendajad viimased täiendused üles laadinud. Seda näeb WordPress.org-i mooduli lehel kirjelduses “Viimati värskendatud” kuupäevaga (Last Updated).
Vaata foorumipostitusi. Veel üks lihtsalt tehtav kontroll mooduli olukorra kohta peitub iga plugin´i juures olevas foorumis, mis on saadaval WordPress.org-i mooduli lehel vahekaardi “Tugi” (Support) all. Vaata, millal viimasele abiküsimise piletile (Ticket) vastati. Hüljatud projektide puhul paluvad tavaliselt paljud inimesed abi, kuid arendajalt pole neile viimasel ajal vastuseid tulnud.
Kontrolli ka projekti veebisaiti. Kuna kõik WordPressi pistikprogrammid pole alati WordPress.org-i enda lehel, võiks kontrollida, kas projektil on olemas aktiivne veebisait või sotsiaalmeedia leht. Sealt võib samuti leida oma tugifoorumid või meililoendid, kust saab värskenduste teateid tellida.
Kui kiiresti ja kas üldse tehakse turvauuendusi?
WordPressi lisamoodulite turvalisuse tagavad kiired turvauuendused. Kui plugin´i turvaauku kohe ära ei lapita, seab see ka kõikide kasutajate veebid mingiks ajaks ohtu.
Tavaliselt on korralikult uuendatavate moodulite lehel olemas turvauuenduste ajalugu, mille järgi saab hinnata, kui tihti ja kas üldse arendajad turvavärskendusi väljastavad.
Pistikprogrammi ehk plugin´i muudatuste ajalugu ja vanemate versioonide logisid saab vaadata WordPress.org-i mooduli lehelt, klõpsates vahekaardil “Arendamine” (Development).
Muutuste ajaloo võib leida ka plugin´i kodulehelt või Githubist.
Kontrolli, kas moodulil on mingid reeglid haavatavuste ja turvaohtude avalikustamiseks
Kui arendajad julgevad rääkida turvaohtudest ja haavatavustest, siis on see küpsuse märk. Tavaliselt kirjeldavad turvaohtude avalikustamise eeskirjad, mida peaks tegema, kui leitakse turvaviga.
Nii saavad ka kasutajad teada, kellega ja mismoodi turvaprobleemi puhul ühendust võtta.
Kui veast teatamine on keeruline või pole see üldse võimalik, siis võivad mõne turvaaugu leidjad selle lihtsalt avalikuks teha ning paikamata lisamooduli võib WordPress seniks eemaldada, kuni turvapaik on arendajate poolt välja lastud. Niikaua aga ei pruugi kasutajate veebilehtedel vastav plugin enam töötada, mis kahjustab kõigi usaldusväärsust.
Teadlased võiksid lihtsalt veast avalikult teatada, viidates avalikule kontaktpunktile. Kui teadlased teatavad veast vastavasse hoidlasse, võib projekti eemaldada, kuni paigale on pandud. See kahjustab nii projekti kasutavaid veebisaite kui ka projekti usaldusväärsust.
