Tagad WordPress ir drošāks

WP beidzot iegūst drošības līdzekļus, ko pelnījusi trešdaļa interneta.

WordPress 5.2 ir izlaists ar atbalstu kriptogrāfiski parakstītiem atjauninājumiem, moderna kriptogrāfijas bibliotēka.

WordPress satura pārvaldības sistēmai (CMS) šodien ir paredzēts saņemt virkni jaunu drošības līdzekļu, kas beidzot pievienos aizsardzības līmeni, ko daudzi tās lietotāji ir vēlējušies gadiem ilgi. Šīs funkcijas ir gaidāmas ar WordPress 5.2 oficiālo izlaišanu vēlāk šodien. Iekļauts atbalsts kriptogrāfiski parakstītiem atjauninājumiem, atbalsts modernai kriptogrāfijas bibliotēkai, vietnes veselības sadaļa administratora paneļa aizmugurē un līdzeklis, kas darbosies kā WSOD drošības vietne administratoriem, kas piesakās savā aizmugursistēmā katastrofālu PHP kļūdu gadījumā.

Tā kā WordPress ir instalēts aptuveni 33,8 procentos no visām vietnēm, šīs funkcijas noteikti kliedēs bažas par dažiem uzbrukuma vektoriem.

KRIPTOGRĀFISKI PARAKSTI ATJAUNINĀJUMI

Iespējams, lielākais un svarīgākais no mūsdienu jaunajiem drošības līdzekļiem ir WordPress bezsaistes digitālā paraksta sistēma.

Sākot ar WordPress 5.2, WordPress komanda digitāli parakstīs atjauninājumu pakotnes ar publiskās atslēgas parakstīšanas sistēmu Ed25519, lai vietējā instalācija varētu pārbaudīt atjaunināšanas pakotnes autentiskumu pirms tās lietošanas vietējā vietnē.

Kriptogrāfiski parakstītu atjauninājumu atbalsta pievienošana ir svarīgs solis, lai neļautu hakeriem veikt piegādes ķēdes uzbrukumu visās WordPress vietnēs, par ko drošības firmas ir brīdinājušas jau vairāk nekā divus gadus.

Pirms WordPress 5.2Ja vēlējāties inficēt katru WordPress vietni internetā, jums vienkārši bija jāuzlauž (WordPress) atjaunināšanas serveris, sacīja Skots Arčiševskis, Paragon Initiative Enterprises galvenais izstrādes speciālists un viens no izstrādātājiem, kas iesaistīti WordPress atjaunināšanas sistēmas nodrošināšanā.

Pēc WordPress 5.2, jums ir jāveic tas pats uzbrukums un kaut kādā veidā jānozag WordPress galvenās izstrādes komandas parakstīšanas atslēga.

WORDPRESS TIEK MŪSDIENA KRIPTO BIBLIOTĒKA

Taču Arciszewski darbs pie WordPress CMS ar to nebeidzās. Viņš ir arī sniedzis ieguldījumu WordPress, aizstājot veco kriptogrāfijas bibliotēku ar tādu, kas pielāgojas mūsdienu laikmetam.

Sākot ar WordPress 5.2, SPS atbalstīs Libsodium bibliotēku visām kriptogrāfijas darbībām, nevis tagad novecojušās un noņemtās mcrypt. Libsodium tagad ir daļa no WordPress CMS pirmkoda, kā arī Arciszewski sodium_compat bibliotēka, kas darbojas kā polifills vecākiem PHP serveriem, kas neatbalsta Libsodium. WordPress tagad pievienojas mūsdienu tīmekļa izstrādātāju rīku rindām, kas sākotnēji atbalsta Libsodium, piemēram, PHP 7.2+, Magento 2.3+ un Joomla 3.8+. Turklāt, pievienojot Libsodium WordPress CMS kodolam, tas arī nozīmē, ka spraudņu un motīvu izstrādātāji var sākt to atbalstīt.

Arciševskis šodien publicēja a emuāra ieraksts ar pamata padomiem WordPress spraudņu un motīvu izstrādātājiem, kā aizstāt vecās mcrypt kriptogrāfijas funkcijas ar libsodium funkcijām.

JAUNA VIETNES VESELĪBAS SADAĻA

Taču pirmie WordPress 5.2 drošības līdzekļi, ko lietotāji pamanīs šodienas laidienā, nav CMS koda izmaiņas, bet gan jaunā sadaļa “Vietnes veselība” administratora paneļa izvēlnē Rīki. Šajā sadaļā ir iekļautas divas jaunas lapas: Vietnes veselība un Vietnes veselības informācija. Vietnes veselības stāvokļa lapa darbojas, veicot virkni pamata drošības pārbaužu un iesniedzot ziņojumu ar rezultātiem, kā arī ieteikumus visu atrasto problēmu novēršanai. Šajā sadaļā ir iekļauti vairāki komplektēti testi, taču vietņu īpašnieki un drošības spraudņu izstrādātāji var arī rakstīt savus, lai paplašinātu drošības vadīklas vairākās WordPress vietnes jomās.

Otrā sadaļa, saukta Vietnes veselības informācija, to norāda tās nosaukums. Tā nodrošina plašu vietņu un servera konfigurācijas informāciju un ir paredzēta atkļūdošanas nolūkiem vai gadījumos, kad vietne ir jākopīgo ar IT speciālistu atbalsta pakalpojumu sniegšanai. Tiek sniegta informācija par WordPress instalēšanu, pamatā esošo serveri, spraudņiem, motīviem un failu krātuves lietojumu.

SERVHAPPY FUNKCIJA

Vēl viens jauns drošības līdzeklis, kas iekļauts WordPress 5.2 versijā, ir Servehappy projekts, kuru sākotnēji bija paredzēts izlaist ar WordPress 5.1, taču tas tika sadalīts divās daļās, un daļa no projekta tika piegādāta ar WordPress 5.1, bet otra puse tika piegādāta šodien ar WordPress 5.2.

WordPress 5.1 ietvēra iespēju rādīt brīdinājumus, kad WordPress serveri darbojās serveros ar novecojušām PHP versijām. WordPress 5.2, kas izlaista šodien, ietvers funkciju ar nosaukumu “White Screen Of Death” (WSOD), un tā darbosies kā “drošais režīms” WordPress vietnēm. WSOD aizsardzība darbojas, īslaicīgi atspējojot motīvus un spraudņus, kad rodas fatāla PHP kļūda, lai vietņu administratori varētu atgūt piekļuvi savu vietņu aizmugursistēmām un labot kļūdu.

Sākotnēji šī funkcija tika plānota versijai WordPress 5.1, taču tā tika atlikta uz versiju 5.2, jo drošības amatpersonas izvirzīja vairākus scenārijus, kuros hakeri varētu ļaunprātīgi izmantot WSOD aizsardzības sistēmu, lai atspējotu WordPress drošības spraudņus un uzsāktu uzbrukumus WordPress vietnēm.

NĀKOTNES PLĀNI

Darbs pie WordPress drošības uzlabošanas neapstāsies līdz ar versijas 5.2 izlaišanu. Citi projekti ietver Gossamer projektu, kas paredzēts WordPress 5.4. Gossamer projekta mērķis ir to pašu koda parakstīšanas sistēmu, kas tiek izmantota galvenajiem WordPress atjauninājumiem, ieviest sistēmā, ko izstrādātāji var izmantot arī WordPress motīvu un spraudņu koda parakstīšanas atjauninājumiem.