Сега WordPress е побезбеден

WP конечно ги добива безбедносните карактеристики што ги заслужува една третина од интернетот.

WordPress 5.2 објавен со поддршка за криптографски потпишани ажурирања, модерна криптографска библиотека.

Системот за управување со содржина на WordPress (CMS) денес треба да добие асортиман на нови безбедносни карактеристики кои конечно ќе го додадат нивото на заштита што многумина од неговите корисници го посакуваат со години. Овие карактеристики се очекуваат со официјалното објавување на WordPress 5.2 подоцна денес. Вклучени се поддршка за криптографски потпишани ажурирања, поддршка за модерна криптографска библиотека, дел за здравје на локацијата во задниот дел на администраторскиот панел и функција која ќе дејствува како безбедносна локација на WSOD за администраторите кои се најавуваат на нивниот заден дел во случај на катастрофални PHP грешки.

Со инсталирање на WordPress на околу 33,8 проценти од сите веб-локации, овие карактеристики се обврзани да ублажат некои грижи за некои вектори на напади.

КРИПТОГРАФСКИ ПОТПИШАНИ АЖУРИ

Веројатно најголемата и најважната од денешните нови безбедносни карактеристики е офлајн системот за дигитални потписи на WordPress.

Почнувајќи со WordPress 5.2, тимот на WordPress дигитално ќе ги потпишува своите пакети за ажурирање со системот за потпишување со јавен клуч Ed25519, така што локалната инсталација ќе може да ја потврди автентичноста на пакетот за ажурирање пред да го примени на локална локација.

Додавањето поддршка за криптографски потпишани ажурирања е важен чекор во спречувањето на хакерите да извршат напад со синџирот на снабдување на сите страници на WordPress, нешто на што предупредуваат безбедносните фирми повеќе од две години.

Пред WordPress 5.2Ако сакавте да ја заразите секоја страница на WordPress на Интернет, едноставно мораше да го хакирате серверот за ажурирање (WordPress), рече Скот Арцишевски, главен директор за развој во Paragon Initiative Enterprises и еден од програмерите вклучени во обезбедувањето на системот за ажурирање на WordPress.

По WordPress 5.2, треба да го извршите истиот напад и некако да го украдете клучот за потпишување на главниот тим за развој на WordPress.

WORDPRESS ДОБИВА МОДЕРНА КРИПТО-БИБЛИОТЕКА

Но, работата на Arciszewski на WordPress CMS не заврши тука. Тој, исто така, придонесе за WordPress со замена на стара криптографска библиотека со библиотека што се прилагодува на модерното време.

Почнувајќи со WordPress 5.2, CMS ќе ја поддржува библиотеката Libsodium за сите криптографски операции, наместо сега веќе застарената и отстранета mcrypt. Libsodium сега е дел од изворниот код на WordPress CMS, заедно со библиотеката sodium_compat на Arciszewski која работи како полифил за постари PHP сервери кои не поддржуваат Libsodium. WordPress сега се приклучува на редот на модерните алатки за веб-дивитации кои природно поддржуваат Libsodium, како што се PHP 7.2+, Magento 2.3+ и Joomla 3.8+. Дополнително, со додавањето на Libsodium во јадрото на WordPress CMS, ова исто така значи дека развивачите на приклучоци и теми можат да почнат да го поддржуваат.

Арчишевски денеска објави а блог пост со основни совети за развивачите на приклучоци и теми на WordPress за тоа како да ги заменат старите криптографски функции mcrypt со либсодиум.

НОВ ДЕЛ ЗА ЗДРАВСТВО НА САЈТОТ

Но, првите безбедносни карактеристики на WordPress 5.2 што корисниците ќе ги забележат во денешното издание не се промените на CMS кодот, туку новиот дел „Здравје на локацијата“ во менито Алатки на административниот панел. Овој дел вклучува две нови страници, Здравје на страницата и Здравствени информации на страницата. Страницата за здравствена состојба на страницата работи со извршување на серија основни безбедносни проверки и доставување извештај со резултатите, заедно со препораки за поправање на какви било проблеми што ќе ги најде. Овој дел доаѓа со голем број тестови во комплет, но сопствениците на сајтови и развивачите на безбедносни приклучоци исто така можат да напишат свои за да ги прошират безбедносните контроли на повеќе области на страницата на WordPress.

Вториот дел, наречен Здравствени информации на страницата, е она што значи неговото име. Обезбедува мноштво информации за конфигурацијата на веб-локациите и серверот и е наменет за цели за отстранување грешки или кога страницата треба да се сподели со ИТ професионалец за услуги за поддршка. Обезбедени се информации за инсталацијата на WordPress, основниот сервер, приклучоците, темите и користењето на складирање датотеки.

SERVHAPPY ФУНКЦИЈА

Друга нова безбедносна карактеристика вклучена во WordPress 5.2 е Среќен проект, кој првично требаше да биде објавен со WordPress 5.1, но беше поделен на два дела, со тоа што дел од проектот се испорачува со WordPress 5.1, а другата половина се испорачува денес, со WordPress 5.2.

WordPress 5.1 вклучуваше можност за прикажување предупредувања кога серверите на WordPress работат на сервери со застарени PHP верзии. WordPress 5.2, објавен денеска, ќе вклучува функција наречена „Бел екран на смртта“ (WSOD) и ќе работи како „безбеден режим“ за веб-страниците на WordPress. Заштитата на WSOD работи со привремено оневозможување на темите и приклучоците кога ќе се појави фатална грешка во PHP, така што администраторите на страницата можат да го вратат пристапот до заднините на нивните страници и да ја поправат грешката.

Функцијата првично беше планирана за WordPress 5.1, но беше одложена за верзијата 5.2 откако безбедносните службеници покренаа неколку сценарија каде хакерите може да го злоупотребат системот за заштита на WSOD за да ги оневозможат безбедносните додатоци на WordPress и да започнат напади на веб-локациите на WordPress.

ИДНИ ПЛАНОВИ

Работата за подобрување на безбедноста на WordPress нема да запре со објавувањето на верзијата 5.2. Други проекти го вклучуваат проектот Госамер, планиран за WordPress 5.4. Проектот Gossamer има за цел да го донесе истиот систем за потпишување код што се користи за главните ажурирања на WordPress во рамка што програмерите можат да ја користат за ажурирања за потпишување код за теми и приклучоци на WordPress, исто така.