Mostantól a WordPress biztonságosabb
Mostantól a WordPress biztonságosabb
A WP végre megkapja azokat a biztonsági funkciókat, amelyeket az internet harmada megérdemel.
Megjelent a WordPress 5.2, amely támogatja a kriptográfiailag aláírt frissítéseket, egy modern kriptográfiai könyvtár.
A WordPress tartalomkezelő rendszere (CMS) a mai napon új biztonsági funkciók széles választékát kapja meg, amelyek végre hozzáadják azt a védelmi szintet, amelyre sok felhasználó már évek óta vágyott. Ezek a funkciók a WordPress 5.2 hivatalos kiadásával várhatóak a mai napon. Tartalmazza a kriptográfiailag aláírt frissítések támogatását, a modern kriptográfiai könyvtár támogatását, a Site Health szakaszt az adminisztrációs panel hátterében, és egy olyan szolgáltatást, amely WSOD biztonsági webhelyként működik a háttérrendszerükbe bejelentkező adminisztrátorok számára katasztrofális PHP-hibák esetén.
Mivel a WordPress a becslések szerint az összes webhely 33,8 százalékára van telepítve, ezek a funkciók eloszlatnak bizonyos támadási vektorokkal kapcsolatos aggályokat.
KRIPTOGRÁFIAI ALÁÍRÁSÚ FRISSÍTÉSEK
Napjaink új biztonsági funkciói közül valószínűleg a legnagyobb és legfontosabb a WordPress offline digitális aláírási rendszere.
A WordPress 5.2-től kezdődően a WordPress csapata digitálisan aláírja frissítési csomagjait az Ed25519 nyilvános kulcsú aláíró rendszerrel, így a helyi telepítés ellenőrizni tudja a frissítőcsomag hitelességét, mielőtt azt helyi webhelyre alkalmazná.
A kriptográfiailag aláírt frissítések támogatásának hozzáadása fontos lépés annak megakadályozására, hogy a hackerek ellátási lánc támadást hajtsanak végre az összes WordPress-webhelyen, amire a biztonsági cégek már több mint két éve figyelmeztetnek.
A WordPress 5.2 előttHa minden WordPress-webhelyet meg akartunk fertőzni az interneten, egyszerűen fel kellett törnünk a (WordPress) frissítőszervert – mondta Scott Arciszewski, a Paragon Initiative Enterprises fejlesztési igazgatója, a WordPress frissítési rendszerének biztosításában részt vevő egyik fejlesztő.
A WordPress 5.2 után, ugyanazt a támadást kell végrehajtania, és valahogy el kell lopnia a WordPress alapfejlesztőcsapatának aláírási kulcsát.
A WORDPRESS MODERN KRIPTOKÖNYVTÁRT KAP
De Arciszewski munkája a WordPress CMS-en nem ért véget. Hozzájárult a WordPresshez azzal is, hogy egy régi kriptográfiai könyvtárat egy olyanra cserélt, amely alkalmazkodik a modern időkhöz.
A WordPress 5.2-től kezdődően a CMS minden kriptográfiai művelethez a Libsodium könyvtárat fogja támogatni a már elavult és eltávolított mcrypt helyett. A Libsodium mostantól a WordPress CMS forráskód része, valamint Arciszewski sodium_compat könyvtára, amely polifillként működik a régebbi PHP-kiszolgálók számára, amelyek nem támogatják a Libsodiumot. A WordPress mostantól csatlakozik a Libsodiumot natívan támogató modern webfejlesztő eszközökhöz, mint például a PHP 7.2+, a Magento 2.3+ és a Joomla 3.8+. Ezenkívül a Libsodium hozzáadásával a WordPress CMS magjához ez azt is jelenti, hogy a plugin- és témafejlesztők elkezdhetik támogatni azt.
Arciszewski ma közzétette a blog bejegyzés alapvető tanácsokkal a WordPress beépülő modulok és témafejlesztők számára a régi mcrypt kriptográfiai funkciók libsodium-ra cseréléséhez.
AZ OLDAL ÚJ EGÉSZSÉGÜGYI RÉSZE
De az első WordPress 5.2 biztonsági funkció, amelyet a felhasználók észrevesznek a mai kiadásban, nem a CMS-kód változásai, hanem az új „Webhely állapota” szakasz az adminisztrációs panel Eszközök menüjében. Ez a szakasz két új oldalt tartalmaz, a Webhely állapotát és a Webhely állapotával kapcsolatos információkat. A webhely Egészségi állapot oldala alapvető biztonsági ellenőrzések sorozatát hajtja végre, és jelentést készít az eredményekről, valamint javaslatokat tesz a talált problémák megoldására. Ez a rész számos csomagban található tesztet tartalmaz, de a webhelytulajdonosok és a biztonsági beépülő modulok fejlesztői saját maguk is írhatnak, hogy a biztonsági ellenőrzéseket a WordPress-webhelyek több területére is kiterjesszék.
A második szakasz, az ún Webhely egészségügyi információk, erre utal a neve is. Rengeteg webhely- és kiszolgálókonfigurációs információt biztosít, és hibakeresési célokra szolgál, vagy amikor a webhelyet meg kell osztani egy informatikussal támogatási szolgáltatások céljából. Információk a WordPress telepítéséről, az alapul szolgáló kiszolgálóról, a bővítményekről, a témákról és a fájltároló használatáról.
SERVHAPPY FUNKCIÓ
A WordPress 5.2 másik új biztonsági funkciója a Szervehappy projekt, amelyet eredetileg WordPress 5.1-el kellett volna kiadni, de két részre osztották, a projekt egy részét WordPress 5.1-el, a másik felét pedig ma, a WordPress 5.2-vel szállítják.
A WordPress 5.1 tartalmazta a riasztások megjelenítésének lehetőségét, ha a WordPress szerverek elavult PHP-verziójú szervereken futnak. A ma megjelent WordPress 5.2 tartalmazni fogja a „White Screen Of Death” (WSOD) nevű funkciót, és „csökkentett módként” működik a WordPress-webhelyeken. A WSOD-védelem úgy működik, hogy végzetes PHP-hiba esetén ideiglenesen letiltja a témákat és a beépülő modulokat, így a webhelyadminisztrátorok újra hozzáférhetnek webhelyük háttérrendszeréhez, és kijavíthatják a hibát.
A funkciót eredetileg a WordPress 5.1-re tervezték, de elhalasztották az 5.2-es verzióra, miután a biztonsági tisztviselők több olyan forgatókönyvet is felvetettek, ahol a hackerek visszaélhetnek a WSOD védelmi rendszerrel, hogy letiltsák a WordPress biztonsági beépülő moduljait, és támadásokat indítsanak a WordPress webhelyek ellen.
JÖVŐBELI TERVEK
A WordPress biztonságának javítására irányuló munka nem áll meg az 5.2-es verzió megjelenésével. További projektek közé tartozik a WordPress 5.4-re tervezett Gossamer projekt. A Gossamer projekt célja, hogy ugyanazt a kód-aláíró rendszert hozza létre, amelyet a WordPress főbb frissítéseihez használnak egy olyan keretrendszerbe, amelyet a fejlesztők használhatnak a WordPress témák és bővítmények kód-aláírási frissítéseihez is.
A következők is érdekelhetik:
Négy ország, egy óriási óceán: a CMAR-ügy
Ez a Csendes-óceán keleti trópusi részének tengeri folyosója: Panama, Ecuador, Kolumbia és Costa Rica a tengerek és a tengeri fajok védelmében szövetkezik...
Lausanne, a környezetszennyezés nyomában: egy szemétégető története
Tudósok egy csoportja rekonstruálta a valloni hulladék-energiát hasznosító erőmű eseményeit és azt a láthatatlan szennyeződést, amely sokkolta Vaud kantont.
Hogyan határozza meg a környezet a sajt tulajdonságait
A kóstoló rávilágít arra, hogy változatlan termelési szabályok mellett az éghajlat és a takarmánynövények hogyan befolyásolják a különböző érzékszervi jegyeket
Az Innosuisse elérte 2023-ra kitűzött innovációs céljait Svájcban
Rekordösszeg, több mint 490 millió frankot különítettek el a jól ismert EU Horizont Europe programmal való kapcsolat hiányának kompenzálására.
a szerkesztőség Innovado.NewsAz Innovado.News szerkesztősége