Вопрос или проблема
Я не хочу углубляться в политику, происходящую между WP Engine и WordPress.org (и я понимаю, что за проблемой с ACF стоят сильные подводные течения), но в своем посте https://wordpress.org/news/2024/10/secure-custom-fields/ Мэтт Мулленвег среди прочего сообщает: “SCF были обновлены, чтобы убрать коммерческие надстройки и решить проблему безопасности“.
Мне не удалось найти никаких других упоминаний о проблеме безопасности с ACF – знает ли кто-нибудь, есть ли у ACF какая-либо уязвимость или означает ли “проблема безопасности” здесь что-то более общее?
Другими словами, существует ли проблема безопасности, на которую мне следует обратить внимание сейчас, или мы можем подождать, пока всё уляжется, прежде чем выбрать направление?
Это, вероятно, проблема, упомянутая в журнале изменений для версии 6.3.8 здесь. Разработчики не смогли выпустить патч на dot org сами, потому что Мулленвег в одностороннем порядке отозвал их доступ к репозиторию плагинов, поскольку плагин принадлежит WP Engine. Проблема была исправлена в версии, доступной непосредственно от разработчика, как видно из журнала изменений.
Проблема безопасности, использованная для оправдания захвата страницы плагина, существовала в то время только потому, что разработчики были лишены возможности исправить её самостоятельно тем человеком, который её захватил. Вы можете сделать свои собственные выводы о том, что там происходит.
Ответ или решение
Вопрос безопасности плагина Advanced Custom Fields (ACF), особенно в свете его изменения статуса и недавнего обсуждения вокруг версии Secure Custom Fields (SCF), требует внимательного анализа. В частности, комментарий Мэтта Мулленвега о том, что в SCF был устранен "проблема безопасности", вызывает обоснованные вопросы о возможных уязвимостях в ACF.
Суть проблемы
Согласно сообщению Мулленвега, в SCF произошли изменения, включая удаление коммерческих функций и исправление "проблемы безопасности". На данный момент, хотя существуют упоминания о проблемах с безопасностью в обновлениях для ACF, четко определенные уязвимости для него официально не объявлены. В частности, упоминается о том, что проблема, которая привела к необходимости исправления, была отмечена в журнале изменений версии 6.3.8. Однако это обновление было недоступно через репозиторий WordPress, так как разработчики не могли публиковать его из-за конфликта с WP Engine, владельцем плагина.
Потенциальные уязвимости
Ситуация с ACF подчеркивает важность быстрого реагирования на любые уязвимости, даже если конкретные детали проблемы не были официально озвучены в отношении ACF. Пользователи ACF могут находиться под угрозой, если текущая версия плагина имеет незащищенные участки, которые не были патчены. Важно учитывать, что сообщения о безопасности могут не всегда быть публичными, и в данном случае существует риск использования уязвимостей до тех пор, пока они не будут исправлены в более стабильной версии.
Рекомендации
-
Мониторинг обновлений: Настоятельно рекомендуется следить за всеми обновлениями и публикациями как от разработчиков ACF, так и от WordPress.org. Это поможет своевременно выявлять и устранять потенциальные проблемы.
-
Использование SCF: Если ваша среда критична с точки зрения безопасности, стоит рассмотреть возможность перехода на SCF, так как он уже включает исправления известной уязвимости и был обновлен для удаления коммерческих предложений.
-
Временные ограничения: Если обеспечивать безопасность ваших активов с помощью ACF сейчас возможно, лучше сделать это незамедлительно, а не ждать, когда "пыль усядется". Это может предотвратить потенциальный ущерб от эксплуатации известных уязвимостей.
-
Обеспечение резервного копирования и восстановления: Не забывайте делать резервные копии всех данных и ресурсов, чтобы иметь возможность восстановиться в случае любой инцидентной ситуации.
Заключение
На основании текущих данных, можно с уверенностью сказать, что пользователи ACF должны быть настороженными и готовыми к возможному быстрому реагированию на любые потенциальные уязвимости. Принимая все необходимые меры предосторожности, можно минимизировать риски и обеспечить безопасность вашего веб-приложения.