Dabar „WordPress“ yra saugesnė

WP pagaliau gauna saugumo funkcijas, kurių nusipelnė trečdalis interneto.

Išleista WordPress 5.2 su kriptografiškai pasirašytų atnaujinimų palaikymu, modernia kriptografine biblioteka.

Šiandien „WordPress“ turinio valdymo sistema (TVS) gaus daugybę naujų saugos funkcijų, kurios pagaliau padidins apsaugos lygį, kurio daugelis vartotojų troško daugelį metų. Tikimasi, kad šios funkcijos bus oficialiai išleistos „WordPress 5.2“ vėliau šiandien. Tai apima kriptografiškai pasirašytų naujinimų palaikymą, modernios kriptografinės bibliotekos palaikymą, svetainės sveikatos skyrių administratoriaus skydelio gale ir funkciją, kuri veiks kaip WSOD saugos svetainė administratoriams, prisijungiantiems prie savo užpakalinės programos katastrofiškų PHP klaidų atveju. .

Apytiksliai 33,8 procento visų svetainių įdiegus „WordPress“, šios funkcijos išsklaidys susirūpinimą dėl kai kurių atakų vektorių.

KRIPTOGRAFIŠKAI PASIRAŠYTI ATNAUJINIAI

Turbūt didžiausia ir svarbiausia iš šių dienų naujų saugos funkcijų yra „WordPress“ neprisijungus veikianti skaitmeninio parašo sistema.

Pradedant nuo 5.2 versijos „WordPress“, „WordPress“ komanda skaitmeniniu būdu pasirašys naujinimų paketus naudodama „Ed25519“ viešojo rakto pasirašymo sistemą, kad vietinis diegimas galėtų patikrinti naujinimo paketo autentiškumą prieš taikydamas jį vietinėje svetainėje.

Kriptografiškai pasirašytų naujinimų palaikymo pridėjimas yra svarbus žingsnis siekiant užkirsti kelią įsilaužėliams įvykdyti tiekimo grandinės ataką visose „WordPress“ svetainėse, apie ką saugos įmonės perspėjo žinoti ir daryti jau daugiau nei dvejus metus.

Prieš WordPress 5.2, jei norėjote užkrėsti kiekvieną „WordPress“ svetainę internete, tiesiog turėjote nulaužti (WordPress) naujinimo serverį, sakė Scottas Arciszewskis, „Paragon Initiative Enterprises“ vyriausiasis plėtros pareigūnas ir vienas iš kūrėjų, užsiimančių „WordPress“ naujinimo sistemos apsauga.

Po WordPress 5.2, jums reikia įvykdyti tą pačią ataką ir kažkaip pavogti pagrindinės „WordPress“ kūrimo komandos pasirašymo raktą.

WORDPRESS GAUJA MODERNIĄ KRIPTO BIBLIOTEKĄ

Tačiau Arciszewskio darbas su WordPress TVS tuo nesibaigė. Jis taip pat prisidėjo prie „WordPress“ pakeisdamas seną kriptografinę biblioteką tokia, kuri prisitaiko prie šiuolaikinių laikų.

Pradedant nuo WordPress 5.2, TVS palaikys Libsodium biblioteką visoms kriptografinėms operacijoms, o ne dabar nebenaudojamą ir pašalintą mcrypt. „Libsodium“ dabar yra „WordPress“ TVS šaltinio kodo dalis, kartu su Arciszewskio sodium_compat biblioteka, kuri veikia kaip senesnių PHP serverių, kurie nepalaiko „Libsodium“, užpildas. „WordPress“ dabar prisijungia prie modernių žiniatinklio kūrėjų įrankių, kurie iš esmės palaiko „Libsodium“, tokių kaip PHP 7.2+, Magento 2.3+ ir Joomla 3.8+. Be to, į „WordPress“ TVS branduolį įtraukus „Libsodium“, tai taip pat reiškia, kad papildinių ir temų kūrėjai gali pradėti jį palaikyti.

Arciševskis šiandien paskelbė a tinklaraščio straipsnis su pagrindiniais patarimais WordPress įskiepių ir temų kūrėjams, kaip pakeisti senas mcrypt kriptografines funkcijas libsodium funkcijomis.

NAUJA SVETAINĖS SVEIKATOS SKYRIUS

Tačiau pirmosios „WordPress 5.2“ saugos funkcijos, kurias vartotojai pastebės šiandienos leidime, yra ne TVS kodo pakeitimai, o nauja „Svetainės būklės“ skiltis administratoriaus skydelio meniu Įrankiai. Šioje skiltyje yra du nauji puslapiai – svetainės būklė ir informacija apie svetainės būklę. Svetainės sveikatos puslapis veikia atlikdamas keletą pagrindinių saugumo patikrų ir pateikdamas ataskaitą su rezultatais bei rekomendacijomis, kaip išspręsti visas aptiktas problemas. Šioje skiltyje pateikiama daugybė testų, tačiau svetainių savininkai ir saugos papildinių kūrėjai taip pat gali parašyti savo, kad išplėstų saugos valdiklius į daugiau „WordPress“ svetainės sričių.

Antrasis skyrius, vadinamas Informacija apie svetainės sveikatą, tai rodo jo pavadinimas. Jame pateikiama daug svetainės ir serverio konfigūracijos informacijos ir ji skirta derinimo tikslams arba kai svetainė turi būti bendrinama su IT specialistu, kad gautų pagalbos paslaugas. Pateikiama informacija apie „WordPress“ diegimą, pagrindinį serverį, papildinius, temas ir failų saugyklos naudojimą.

SERVHAPPY FUNKCIJA

Kita nauja saugos funkcija, įtraukta į „WordPress 5.2“, yra Servehappy projektas, kuris iš pradžių turėjo būti išleistas su WordPress 5.1, bet buvo padalintas į dvi dalis: dalis projekto pristatoma su WordPress 5.1, o kita pusė pristatoma šiandien su WordPress 5.2.

„WordPress 5.1“ apima galimybę rodyti įspėjimus, kai „WordPress“ serveriai veikia serveriuose su pasenusiomis PHP versijomis. Šiandien išleistoje „WordPress 5.2“ versijoje bus funkcija „White Screen Of Death“ (WSOD) ir ji veiks kaip „saugusis režimas“ „WordPress“ svetainėms. WSOD apsauga veikia laikinai išjungiant temas ir papildinius, kai įvyksta mirtina PHP klaida, todėl svetainių administratoriai gali atgauti prieigą prie savo svetainių užpakalinių programų ir ištaisyti klaidą.

Iš pradžių ši funkcija buvo suplanuota 5.1 versijos WordPress, tačiau buvo atidėta iki 5.2 versijos, kai saugumo pareigūnai iškėlė keletą scenarijų, kai įsilaužėliai gali piktnaudžiauti WSOD apsaugos sistema, kad išjungtų WordPress saugos papildinius ir pradėtų atakas prieš WordPress svetaines.

ATEITIES PLANAI

Darbas siekiant pagerinti „WordPress“ saugumą nesibaigs išleidus 5.2 versiją. Kiti projektai apima „Gossamer“ projektą, planuojamą „WordPress 5.4“. „Gossamer“ projektu siekiama tą pačią kodo pasirašymo sistemą, naudojamą pagrindiniams „WordPress“ naujinimams, įtraukti į sistemą, kurią kūrėjai taip pat gali naudoti kodo pasirašymo naujinimams „WordPress“ temoms ir papildiniams.