Сада је ВордПресс сигурнији

Маггио КСНУМКС, КСНУМКС
|In За веб, Веб дизајн и развој, У првом плану, За посао, Комуникација и медији, Испод објектива, За нас
|By Андреас Арно Мицхаел Воигт

Сада је ВордПресс сигурнији

ВП коначно добија безбедносне функције које заслужује трећина интернета.

Објављен ВордПресс 5.2 са подршком за криптографски потписана ажурирања, модерна криптографска библиотека.

ВордПресс систем за управљање садржајем (ЦМС) ће данас добити низ нових безбедносних функција које ће коначно додати ниво заштите за којим су многи његови корисници жудели годинама. Ове карактеристике се очекују са званичним издањем ВордПресс-а 5.2 касније данас. Укључена је подршка за криптографски потписана ажурирања, подршка за модерну криптографску библиотеку, одељак Здравље сајта у позадини административног панела и функција која ће деловати као ВСОД безбедносна локација за администраторе који се пријављују на своју позадину у случају катастрофалних ПХП грешака.

С обзиром да је ВордПресс инсталиран на процењених 33,8 процената свих веб локација, ове функције ће сигурно ублажити забринутост у вези са неким векторима напада.

КРИПТОГРАФСКИ ПОТПИСАНА АЖУРИРАЊА

Вероватно највећа и најважнија од данашњих нових безбедносних функција је ВордПресс-ов систем дигиталног потписа ван мреже.

Почевши од ВордПресс-а 5.2, ВордПресс тим ће дигитално потписивати своје пакете ажурирања помоћу система за потписивање јавног кључа Ед25519 тако да ће локална инсталација моћи да провери аутентичност пакета ажурирања пре него што га примени на локалну локацију.

Додавање подршке за криптографски потписана ажурирања је важан корак у спречавању хакера да изврше напад на ланац снабдевања на свим ВордПресс сајтовима, на шта су безбедносне фирме упозоравале више од две године.

Пре ВордПресс 5.2Ако сте хтели да заразите сваку ВордПресс локацију на Интернету, једноставно сте морали да хакујете (ВордПресс) сервер за ажурирање, рекао је Сцотт Арцисзевски, директор развоја у Парагон Инитиативе Ентерприсес, и један од програмера који је укључен у обезбеђивање система за ажурирање ВордПресс-а.

Након ВордПресс 5.2, морате извести исти напад и некако украсти кључ за потписивање ВордПресс језгра развојног тима.

ВОРДПРЕСС ДОБИЈА МОДЕРНУ КРИПТО БИБЛИОТЕКУ

Али рад Арцисзевског на ВордПресс ЦМС-у није се ту завршио. Такође је допринео ВордПресс-у тако што је заменио стару криптографску библиотеку оном која се прилагођава модерном времену.

Почевши од ВордПресс 5.2, ЦМС ће подржавати Либсодиум библиотеку за све криптографске операције, уместо сада застареле и уклоњене мцрипт. Либсодиум је сада део ВордПресс ЦМС изворног кода, заједно са Арцисзевски-овом содиум_цомпат библиотеком која ради као полифил за старије ПХП сервере који не подржавају Либсодиум. ВордПресс се сада придружује редовима модерних алата за веб развој који изворно подржавају Либсодиум, као што су ПХП 7.2+, Магенто 2.3+ и Јоомла 3.8+. Поред тога, додавањем Либсодиум-а у ВордПресс ЦМС језгро, то такође значи да програмери додатака и тема могу да почну да га подржавају.

Арцисзевски је данас објавио а блог пост са основним саветима за програмере додатака и тема за ВордПресс о томе како да замене старе мцрипт криптографске функције са либсодијумима.

НОВА ЗДРАВСТВЕНА СЕКЦИЈА САЈТА

Али прве безбедносне функције ВордПресс 5.2 које ће корисници приметити у данашњем издању нису промене ЦМС кода, већ нови одељак „Здравље сајта“ у менију Алати на административној табли. Овај одељак укључује две нове странице, здравље сајта и информације о стању локације. Страница Здравствени статус сајта функционише тако што врши низ основних безбедносних провера и доставља извештај са резултатима, заједно са препорукама за решавање проблема које пронађе. Овај одељак долази са бројним тестовима у пакету, али власници сајтова и програмери безбедносних додатака такође могу да напишу своје да би проширили безбедносне контроле на више области ВордПресс сајта.

Други део, тзв Информације о здрављу сајта, је оно што његово име имплицира. Пружа мноштво информација о конфигурацији веб локације и сервера и намењен је за отклањање грешака или када је потребно да се сајт дели са ИТ стручњаком за услуге подршке. Дате су информације о инсталацији ВордПресс-а, основном серверу, додацима, темама и коришћењу складиштења датотека.

СЕРВХАППИ ФЕАТУРЕ

Још једна нова безбедносна функција укључена у ВордПресс 5.2 је Сервехаппи пројецт, који је првобитно требало да буде објављен са ВордПресс-ом 5.1, али је подељен на два дела, при чему се део пројекта испоручује са ВордПресс-ом 5.1, а друга половина се испоручује данас, са ВордПресс-ом 5.2.

ВордПресс 5.1 је укључивао могућност приказивања упозорења када су ВордПресс сервери покренути на серверима са застарелим верзијама ПХП-а. ВордПресс 5.2, објављен данас, укључиваће функцију под називом „Бели екран смрти“ (ВСОД) и радиће као „безбедни режим“ за ВордПресс сајтове. ВСОД заштита функционише тако што привремено онемогућава теме и додатке када дође до фаталне ПХП грешке, тако да администратори сајта могу поново да добију приступ позадинским странама својих сајтова и исправе грешку.

Ова функција је првобитно била планирана за ВордПресс 5.1, али је одложена на верзију 5.2 након што су безбедносни званичници покренули неколико сценарија у којима би хакери могли да злоупотребе систем заштите ВСОД да би онемогућили ВордПресс безбедносне додатке и покренули нападе на ВордПресс сајтове.

ПЛАНОВИ ЗА БУДУЋНОСТ

Рад на побољшању безбедности ВордПресс-а неће престати са издавањем верзије 5.2. Остали пројекти укључују пројекат Госсамер, планиран за ВордПресс 5.4. Пројекат Госсамер има за циљ да доведе исти систем за потписивање кода који се користи за велика ажурирања ВордПресс-а у оквир који програмери могу користити и за ажурирања за потписивање кода за ВордПресс теме и додатке.

Обука хацкинг