Nüüd on WordPress turvalisem

WP saab lõpuks turvafunktsioonid, mida kolmandik Internetist väärib.

Välja antud krüptograafiliselt allkirjastatud värskenduste toega WordPress 5.2, kaasaegne krüptograafiline raamatukogu.

WordPressi sisuhaldussüsteem (CMS) on valmis saama täna hulga uusi turvafunktsioone, mis lõpuks lisavad kaitsetaseme, mida paljud selle kasutajad on aastaid ihaldanud. Neid funktsioone oodatakse WordPress 5.2 ametliku väljalaskega hiljem täna. See hõlmab krüptograafiliselt allkirjastatud värskenduste tuge, kaasaegse krüptograafilise teegi tuge, saidi tervise jaotist administraatori paneeli tagaküljel ja funktsiooni, mis toimib WSOD-turvasaidina administraatoritele, kes logivad katastroofiliste PHP-tõrgete korral oma taustaprogrammi. .

Kui WordPress on installitud hinnanguliselt 33,8 protsendile kõigist veebisaitidest, vähendavad need funktsioonid kindlasti mõningaid muresid mõne ründevektori pärast.

KRÜPTOGRAAFILISELT ALLKIRJATUD VÄRSKENDUSED

Tänapäeva uutest turvafunktsioonidest on ilmselt suurim ja kõige olulisem WordPressi võrguühenduseta digitaalallkirjasüsteem.

Alates WordPress 5.2-st allkirjastab WordPressi meeskond oma värskenduspaketid digitaalselt Ed25519 avaliku võtme allkirjastamissüsteemiga, nii et kohalik install suudab kontrollida värskenduspaketi autentsust enne selle kohalikule saidile rakendamist.

Krüptograafiliselt allkirjastatud värskenduste toe lisamine on oluline samm, et vältida häkkerite tarneahela rünnakuid kõikidel WordPressi saitidel. Turvafirmad on hoiatanud, et nad peaksid olema teadlikud ja tegema seda juba üle kahe aasta.

Enne WordPress 5.2, kui tahtsite nakatada kõiki Internetis olevaid WordPressi saite, pidite lihtsalt (WordPressi) värskendusserverisse häkkima, ütles Paragon Initiative Enterprisesi arendusjuht Scott Arciszewski ja üks WordPressi värskendussüsteemi turvalisuse tagamisega seotud arendajatest.

Pärast WordPress 5.2, peate tegema sama rünnaku ja kuidagi varastama WordPressi põhiarendusmeeskonna allkirjastamisvõtme.

WORDPRESS SAAB KAASAEGSE KRÜPTOTEEGI

Kuid Arciszewski töö WordPressi CMS-i kallal ei lõppenud sellega. Samuti on ta panustanud WordPressi, asendades vana krüptoteegi moodsa ajaga kohanduvaga.

Alates WordPress 5.2-st toetab CMS kõigi krüptograafiliste toimingute jaoks Libsodium'i teeki, mitte nüüdseks aegunud ja eemaldatud mcrypti. Libsodium on nüüd osa WordPressi CMS-i lähtekoodist koos Arciszewski teegiga sodium_compat, mis töötab polütäitena vanematele PHP-serveritele, mis ei toeta Libsodiumit. WordPress liitub nüüd kaasaegsete veebiarendustööriistade ridadega, mis toetavad algselt Libsodiumit, nagu PHP 7.2+, Magento 2.3+ ja Joomla 3.8+. Lisaks tähendab Libsodiumi lisamine WordPressi CMS-i tuumale ka seda, et pistikprogrammide ja teemade arendajad saavad seda toetama hakata.

Arciszewski avaldas täna a ajaveebi postitus koos põhinõuannetega WordPressi pistikprogrammide ja teemade arendajatele, kuidas asendada vanad mcrypti krüptograafilised funktsioonid libsodium funktsioonidega.

SAIDI UUS TERVISHOIU JAOTIS

Kuid esimesed WordPress 5.2 turvafunktsioonid, mida kasutajad tänases väljaandes märkavad, ei ole CMS-koodi muudatused, vaid uus jaotis „Saidi tervis” administraatoripaneeli menüüs Tööriistad. See jaotis sisaldab kahte uut lehte, nimelt saidi tervist ja saidi terviseteavet. Saidi terviseseisundi leht teostab mitmeid põhilisi turvakontrolle ja esitab aruande koos tulemustega koos soovitustega leitud probleemide lahendamiseks. See jaotis sisaldab mitmeid komplekteeritud teste, kuid saidiomanikud ja turbepistikprogrammide arendajad saavad ka ise kirjutada, et laiendada turvakontrolle WordPressi saidi rohkematele piirkondadele.

Teine osa, nn Saidi terviseteave, seda selle nimi viitab. See pakub hulgaliselt veebisaitide ja serveri konfiguratsiooniteavet ning on mõeldud silumiseks või siis, kui saiti tuleb tugiteenuste saamiseks IT-spetsialistiga jagada. Saadaval on teave WordPressi installimise, selle aluseks oleva serveri, pistikprogrammide, teemade ja failisalvestuse kasutamise kohta.

SERVHAPPY FUNKTSIOON

Veel üks WordPress 5.2-s sisalduv uus turvafunktsioon on Teeni õnnelik projekt, mis pidi algselt välja tulema koos WordPress 5.1-ga, kuid jagati kaheks osaks, kusjuures osa projektist tarnitakse WordPress 5.1-ga ja teine ​​pool täna WordPress 5.2-ga.

WordPress 5.1 sisaldas võimalust kuvada hoiatusi, kui WordPressi serverid töötasid vananenud PHP versioonidega serverites. Täna välja antud WordPress 5.2 sisaldab funktsiooni nimega "White Screen Of Death" (WSOD) ja töötab WordPressi saitide jaoks "turvarežiimina". WSOD-kaitse keelab fataalse PHP-vea ilmnemisel ajutiselt teemad ja pistikprogrammid, et saidiadministraatorid saaksid taastada juurdepääsu oma saitide taustaprogrammidele ja vea parandada.

See funktsioon oli algselt kavandatud WordPress 5.1 jaoks, kuid see lükati versioonile 5.2 edasi pärast seda, kui turvaametnikud tõstatasid mitu stsenaariumi, kus häkkerid võivad kuritarvitada WSOD-i kaitsesüsteemi, et keelata WordPressi turbepluginad ja käivitada rünnakuid WordPressi saitide vastu.

TULEVIKUPLAANID

Töö WordPressi turvalisuse parandamiseks ei lõpe versiooni 5.2 väljalaskmisega. Teised projektid hõlmavad Gossameri projekti, mis on kavandatud WordPress 5.4 jaoks. Gossameri projekti eesmärk on tuua sama koodiallkirjastamise süsteem, mida kasutatakse suuremate WordPressi värskenduste jaoks, raamistikku, mida arendajad saavad kasutada ka WordPressi teemade ja pistikprogrammide koodi allkirjastamiseks.