Teraz WordPress jest bezpieczniejszy

WP wreszcie otrzymuje funkcje bezpieczeństwa, na które zasługuje jedna trzecia Internetu.

WordPress 5.2 wydany z obsługą aktualizacji podpisanych kryptograficznie, nowoczesną biblioteką kryptograficzną.

System zarządzania treścią (CMS) WordPress ma dziś otrzymać zestaw nowych funkcji bezpieczeństwa, które w końcu zwiększą poziom ochrony, którego wielu użytkowników pragnie od lat. Oczekuje się, że te funkcje pojawią się w oficjalnej wersji WordPress 5.2 jeszcze dziś. Obejmuje obsługę podpisanych kryptograficznie aktualizacji, obsługę nowoczesnej biblioteki kryptograficznej, sekcję Site Health na zapleczu panelu administracyjnego oraz funkcję, która będzie działać jako strona bezpieczeństwa WSOD dla administratorów logujących się do ich zaplecza w przypadku katastrofalnych błędów PHP.

Biorąc pod uwagę, że WordPress jest zainstalowany na około 33,8 procentach wszystkich witryn internetowych, te funkcje z pewnością rozwieją pewne obawy dotyczące niektórych wektorów ataków.

AKTUALIZACJE PODPISANE KRYPTOGRAFICZNIE

Prawdopodobnie największą i najważniejszą z dzisiejszych nowych funkcji bezpieczeństwa jest system podpisów cyfrowych offline WordPress.

Począwszy od WordPress 5.2, zespół WordPress będzie cyfrowo podpisywał swoje pakiety aktualizacji za pomocą systemu podpisywania klucza publicznego Ed25519, aby lokalna instalacja mogła zweryfikować autentyczność pakietu aktualizacji przed zastosowaniem go w lokalnej witrynie.

Dodanie obsługi aktualizacji podpisanych kryptograficznie jest ważnym krokiem w zapobieganiu atakom łańcucha dostaw przez hakerów na wszystkie witryny WordPress, przed czym firmy zajmujące się bezpieczeństwem ostrzegają od ponad dwóch lat.

Przed WordPressem 5.2Jeśli chciałeś zainfekować każdą witrynę WordPress w Internecie, musiałeś po prostu zhakować serwer aktualizacji (WordPress), powiedział Scott Arciszewski, dyrektor ds. rozwoju w Paragon Initiative Enterprises i jeden z programistów zaangażowanych w zabezpieczanie systemu aktualizacji WordPress.

Po WordPressie 5.2, musisz przeprowadzić ten sam atak i w jakiś sposób ukraść klucz podpisywania zespołu programistów WordPress.

WORDPRESS OTRZYMUJE NOWOCZESNĄ BIBLIOTEKĘ CRYPTO

Jednak praca Arciszewskiego nad systemem CMS WordPress na tym się nie skończyła. Wniósł również wkład w WordPress, zastępując starą bibliotekę kryptograficzną taką, która dostosowuje się do czasów współczesnych.

Począwszy od WordPress 5.2, CMS będzie obsługiwał bibliotekę Libsodium dla wszystkich operacji kryptograficznych, zamiast przestarzałego i usuniętego mcrypt. Libsodium jest teraz częścią kodu źródłowego WordPress CMS, wraz z biblioteką sodu_compat Arciszewskiego, która działa jako polyfill dla starszych serwerów PHP, które nie obsługują Libsodium. WordPress dołącza teraz do grona nowoczesnych narzędzi do tworzenia stron internetowych, które natywnie obsługują Libsodium, takich jak PHP 7.2+, Magento 2.3+ i Joomla 3.8+. Dodatkowo, wraz z dodaniem Libsodium do rdzenia WordPress CMS, oznacza to również, że twórcy wtyczek i motywów mogą zacząć go wspierać.

Arciszewski opublikował dziś a post na blogu z podstawowymi poradami dla twórców wtyczek i motywów WordPress, jak zastąpić stare funkcje kryptograficzne mcrypt funkcjami libsodium.

NOWA SEKCJA ZDROWIE WITRYNY

Ale pierwsze funkcje bezpieczeństwa WordPress 5.2, które użytkownicy zauważą w dzisiejszym wydaniu, to nie zmiany w kodzie CMS, ale nowa sekcja „Kondycja witryny” w menu Narzędzia panelu administracyjnego. Ta sekcja zawiera dwie nowe strony, Kondycja witryny i Informacje o kondycji witryny. Strona Stan kondycji witryny wykonuje serię podstawowych kontroli bezpieczeństwa i dostarcza raport z wynikami, wraz z zaleceniami dotyczącymi rozwiązania wszelkich wykrytych problemów. Ta sekcja zawiera wiele testów w pakiecie, ale właściciele witryn i twórcy wtyczek bezpieczeństwa mogą również pisać własne, aby rozszerzyć kontrolę bezpieczeństwa na więcej obszarów witryny WordPress.

Druga część, tzw Informacje o stanie witryny, jak sugeruje jego nazwa. Zapewnia bogactwo informacji o konfiguracji witryny i serwera i jest przeznaczony do celów debugowania lub gdy witryna musi zostać udostępniona specjaliście IT w celu uzyskania pomocy technicznej. Dostępne są informacje na temat instalacji WordPressa, bazowego serwera, wtyczek, motywów i wykorzystania pamięci masowej plików.

FUNKCJA UŁATWIAJĄCA OBSŁUGĘ

Kolejną nową funkcją bezpieczeństwa zawartą w WordPress 5.2 jest Służ szczęśliwemu projektowi, który pierwotnie miał zostać wydany z WordPress 5.1, ale został podzielony na dwie części, przy czym część projektu została wydana z WordPress 5.1, a druga połowa została wydana dzisiaj z WordPress 5.2.

WordPress 5.1 zawierał możliwość wyświetlania alertów, gdy serwery WordPress działały na serwerach z nieaktualnymi wersjami PHP. Wydany dzisiaj WordPress 5.2 będzie zawierał funkcję o nazwie „Biały ekran śmierci” (WSOD) i będzie działał jako „tryb awaryjny” dla witryn WordPress. Ochrona WSOD polega na tymczasowym wyłączeniu motywów i wtyczek w przypadku wystąpienia krytycznego błędu PHP, dzięki czemu administratorzy witryn mogą odzyskać dostęp do zaplecza swoich witryn i naprawić błąd.

Ta funkcja była początkowo planowana dla WordPress 5.1, ale została opóźniona do wersji 5.2 po tym, jak urzędnicy ds.

PRZYSZŁE PLANY

Prace nad poprawą bezpieczeństwa WordPress nie zakończą się wraz z wydaniem wersji 5.2. Inne projekty obejmują projekt Gossamer, planowany dla WordPress 5.4. Projekt Gossamer ma na celu wprowadzenie tego samego systemu podpisywania kodu, który jest używany do głównych aktualizacji WordPress, do struktury, z której programiści mogą korzystać również do aktualizacji podpisywania kodu dla motywów i wtyczek WordPress.