Тепер WordPress більш безпечний

Маджіо 8, 2019
|In Для Інтернету, Веб-дизайн і розробка, На передньому плані, Для бізнесу, Комунікація та ЗМІ, Під об'єктивом, Для нас
|By Андреас Арно Міхаель Фойгт

Тепер WordPress більш безпечний

WP нарешті отримує функції безпеки, яких заслуговує третина Інтернету.

WordPress 5.2 випущено з підтримкою оновлень із криптографічним підписом, сучасної криптографічної бібліотеки.

Сьогодні система керування вмістом WordPress (CMS) має отримати ряд нових функцій безпеки, які нарешті додадуть того рівня захисту, якого багато хто з її користувачів прагнули роками. Ці функції очікуються з офіційним випуском WordPress 5.2 сьогодні. Це включає підтримку оновлень із криптографічним підписом, підтримку сучасної криптографічної бібліотеки, розділ «Справочинність сайту» на задній панелі панелі адміністратора та функцію, яка діятиме як сайт безпеки WSOD для адміністраторів, які входять у свою серверну систему, у разі катастрофічних помилок PHP .

Оскільки WordPress встановлено приблизно на 33,8 відсотках усіх веб-сайтів, ці функції мають розвіяти деякі занепокоєння щодо деяких векторів атак.

ОНОВЛЕННЯ З КРИПТОГРАФІЧНИМ ПІДПИСОМ

Ймовірно, найбільшою та найважливішою з сучасних нових функцій безпеки є автономна система цифрового підпису WordPress.

Починаючи з WordPress 5.2, команда WordPress цифрово підписуватиме свої пакети оновлень за допомогою системи підпису відкритих ключів Ed25519, щоб локальна інсталяція могла перевірити автентичність пакета оновлень перед застосуванням його на локальному сайті.

Додавання підтримки для оновлень із криптографічним підписом є важливим кроком у запобіганні хакерам здійснити атаку на ланцюжок поставок на всі сайти WordPress, про що фірми безпеки попереджали, щоб вони були в курсі та робили це вже більше двох років.

До WordPress 5.2«Якщо ви хотіли заразити кожен сайт WordPress в Інтернеті, вам просто потрібно було зламати сервер оновлень (WordPress), — сказав Скотт Арцишевскі, директор із розвитку Paragon Initiative Enterprises і один із розробників, які займаються захистом системи оновлення WordPress.

Після WordPress 5.2, вам потрібно здійснити ту саму атаку та якимось чином викрасти ключ підпису основної команди розробників WordPress.

WORDPRESS ОТРИМАЄ СУЧАСНУ КРИПТОБІБЛІОТЕКУ

Але на цьому робота Арцишевського над CMS WordPress не закінчилася. Він також зробив внесок у WordPress, замінивши стару криптографічну бібліотеку бібліотекою, яка адаптується до сучасності.

Починаючи з WordPress 5.2, CMS підтримуватиме бібліотеку Libsodium для всіх криптографічних операцій замість застарілої та вилученої mcrypt. Libsodium тепер є частиною вихідного коду WordPress CMS, а також бібліотека sodium_compat від Arciszewski, яка працює як полізаповнення для старих серверів PHP, які не підтримують Libsodium. Тепер WordPress приєднався до рядів сучасних інструментів для веб-розробки, які нативно підтримують Libsodium, наприклад PHP 7.2+, Magento 2.3+ і Joomla 3.8+. Крім того, додавання Libsodium до ядра CMS WordPress означає, що розробники плагінів і тем можуть почати підтримувати його.

Арцишевський сьогодні опублікував a публікація в блозі з основними порадами для розробників плагінів і тем WordPress щодо заміни старих криптографічних функцій mcrypt на функції libsodium.

НОВИЙ РОЗДІЛ САЙТУ ПРО ЗДОРОВ'Я

Але перші функції безпеки WordPress 5.2, які користувачі помітять у сьогоднішньому випуску, — це не зміни коду CMS, а новий розділ «Стан сайту» в меню «Інструменти» панелі адміністратора. Цей розділ містить дві нові сторінки, а саме стан сайту та інформацію про стан сайту. Сторінка стану здоров’я сайту працює, виконуючи серію базових перевірок безпеки та надаючи звіт із результатами разом із рекомендаціями щодо вирішення будь-яких виявлених проблем. У цьому розділі міститься низка пакетних тестів, але власники сайтів і розробники плагінів безпеки також можуть написати власні, щоб розширити елементи керування безпекою до більшої кількості областей сайту WordPress.

Другий розділ, зв Інформація про здоров’я сайту, це те, що означає його назва. Він надає велику кількість інформації про конфігурацію веб-сайту та сервера та призначений для налагодження або коли сайт потрібно надати ІТ-спеціалісту для надання послуг підтримки. Надається інформація про встановлення WordPress, базовий сервер, плагіни, теми та використання сховища файлів.

СПЕЦІАЛЬНА ФУНКЦІЯ

Ще однією новою функцією безпеки, включеною в WordPress 5.2, є Проект Servehappy, який спочатку мав бути випущений разом із WordPress 5.1, але був розділений на дві частини: частина проекту постачається з WordPress 5.1, а інша половина – сьогодні з WordPress 5.2.

У WordPress 5.1 була можливість показувати сповіщення, коли сервери WordPress працювали на серверах із застарілими версіями PHP. WordPress 5.2, випущений сьогодні, включатиме функцію «Білий екран смерті» (WSOD) і працюватиме як «безпечний режим» для сайтів WordPress. Захист WSOD працює шляхом тимчасового відключення тем і плагінів, коли виникає фатальна помилка PHP, щоб адміністратори сайту могли відновити доступ до серверних програм своїх сайтів і виправити помилку.

Ця функція спочатку була запланована для WordPress 5.1, але була відкладена до версії 5.2 після того, як представники служби безпеки підняли кілька сценаріїв, коли хакери можуть зловживати системою захисту WSOD, щоб вимкнути плагіни безпеки WordPress і розпочати атаки на сайти WordPress.

ПЛАНИ НА МАЙБУТНЄ

Робота над покращенням безпеки WordPress не припиниться з випуском версії 5.2. Інші проекти включають проект Gossamer, запланований для WordPress 5.4. Проект Gossamer має на меті перенести ту саму систему підписання коду, яка використовується для основних оновлень WordPress, у структуру, яку розробники можуть використовувати для оновлень підпису коду для тем і плагінів WordPress.

Навчання Злом