Mostantól a WordPress biztonságosabb

A WP végre megkapja azokat a biztonsági funkciókat, amelyeket az internet harmada megérdemel.

Megjelent a WordPress 5.2, amely támogatja a kriptográfiailag aláírt frissítéseket, egy modern kriptográfiai könyvtár.

A WordPress tartalomkezelő rendszere (CMS) a mai napon új biztonsági funkciók széles választékát kapja meg, amelyek végre hozzáadják azt a védelmi szintet, amelyre sok felhasználó már évek óta vágyott. Ezek a funkciók a WordPress 5.2 hivatalos kiadásával várhatóak a mai napon. Tartalmazza a kriptográfiailag aláírt frissítések támogatását, a modern kriptográfiai könyvtár támogatását, a Site Health szakaszt az adminisztrációs panel hátterében, és egy olyan szolgáltatást, amely WSOD biztonsági webhelyként működik a háttérrendszerükbe bejelentkező adminisztrátorok számára katasztrofális PHP-hibák esetén.

Mivel a WordPress a becslések szerint az összes webhely 33,8 százalékára van telepítve, ezek a funkciók eloszlatnak bizonyos támadási vektorokkal kapcsolatos aggályokat.

KRIPTOGRÁFIAI ALÁÍRÁSÚ FRISSÍTÉSEK

Napjaink új biztonsági funkciói közül valószínűleg a legnagyobb és legfontosabb a WordPress offline digitális aláírási rendszere.

A WordPress 5.2-től kezdődően a WordPress csapata digitálisan aláírja frissítési csomagjait az Ed25519 nyilvános kulcsú aláíró rendszerrel, így a helyi telepítés ellenőrizni tudja a frissítőcsomag hitelességét, mielőtt azt helyi webhelyre alkalmazná.

A kriptográfiailag aláírt frissítések támogatásának hozzáadása fontos lépés annak megakadályozására, hogy a hackerek ellátási lánc támadást hajtsanak végre az összes WordPress-webhelyen, amire a biztonsági cégek már több mint két éve figyelmeztetnek.

A WordPress 5.2 előttHa minden WordPress-webhelyet meg akartunk fertőzni az interneten, egyszerűen fel kellett törnünk a (WordPress) frissítőszervert – mondta Scott Arciszewski, a Paragon Initiative Enterprises fejlesztési igazgatója, a WordPress frissítési rendszerének biztosításában részt vevő egyik fejlesztő.

A WordPress 5.2 után, ugyanazt a támadást kell végrehajtania, és valahogy el kell lopnia a WordPress alapfejlesztőcsapatának aláírási kulcsát.

A WORDPRESS MODERN KRIPTOKÖNYVTÁRT KAP

De Arciszewski munkája a WordPress CMS-en nem ért véget. Hozzájárult a WordPresshez azzal is, hogy egy régi kriptográfiai könyvtárat egy olyanra cserélt, amely alkalmazkodik a modern időkhöz.

A WordPress 5.2-től kezdődően a CMS minden kriptográfiai művelethez a Libsodium könyvtárat fogja támogatni a már elavult és eltávolított mcrypt helyett. A Libsodium mostantól a WordPress CMS forráskód része, valamint Arciszewski sodium_compat könyvtára, amely polifillként működik a régebbi PHP-kiszolgálók számára, amelyek nem támogatják a Libsodiumot. A WordPress mostantól csatlakozik a Libsodiumot natívan támogató modern webfejlesztő eszközökhöz, mint például a PHP 7.2+, a Magento 2.3+ és a Joomla 3.8+. Ezenkívül a Libsodium hozzáadásával a WordPress CMS magjához ez azt is jelenti, hogy a plugin- és témafejlesztők elkezdhetik támogatni azt.

Arciszewski ma közzétette a blog bejegyzés alapvető tanácsokkal a WordPress beépülő modulok és témafejlesztők számára a régi mcrypt kriptográfiai funkciók libsodium-ra cseréléséhez.

AZ OLDAL ÚJ EGÉSZSÉGÜGYI RÉSZE

De az első WordPress 5.2 biztonsági funkció, amelyet a felhasználók észrevesznek a mai kiadásban, nem a CMS-kód változásai, hanem az új „Webhely állapota” szakasz az adminisztrációs panel Eszközök menüjében. Ez a szakasz két új oldalt tartalmaz, a Webhely állapotát és a Webhely állapotával kapcsolatos információkat. A webhely Egészségi állapot oldala alapvető biztonsági ellenőrzések sorozatát hajtja végre, és jelentést készít az eredményekről, valamint javaslatokat tesz a talált problémák megoldására. Ez a rész számos csomagban található tesztet tartalmaz, de a webhelytulajdonosok és a biztonsági beépülő modulok fejlesztői saját maguk is írhatnak, hogy a biztonsági ellenőrzéseket a WordPress-webhelyek több területére is kiterjesszék.

A második szakasz, az ún Webhely egészségügyi információk, erre utal a neve is. Rengeteg webhely- és kiszolgálókonfigurációs információt biztosít, és hibakeresési célokra szolgál, vagy amikor a webhelyet meg kell osztani egy informatikussal támogatási szolgáltatások céljából. Információk a WordPress telepítéséről, az alapul szolgáló kiszolgálóról, a bővítményekről, a témákról és a fájltároló használatáról.

SERVHAPPY FUNKCIÓ

A WordPress 5.2 másik új biztonsági funkciója a Szervehappy projekt, amelyet eredetileg WordPress 5.1-el kellett volna kiadni, de két részre osztották, a projekt egy részét WordPress 5.1-el, a másik felét pedig ma, a WordPress 5.2-vel szállítják.

A WordPress 5.1 tartalmazta a riasztások megjelenítésének lehetőségét, ha a WordPress szerverek elavult PHP-verziójú szervereken futnak. A ma megjelent WordPress 5.2 tartalmazni fogja a „White Screen Of Death” (WSOD) nevű funkciót, és „csökkentett módként” működik a WordPress-webhelyeken. A WSOD-védelem úgy működik, hogy végzetes PHP-hiba esetén ideiglenesen letiltja a témákat és a beépülő modulokat, így a webhelyadminisztrátorok újra hozzáférhetnek webhelyük háttérrendszeréhez, és kijavíthatják a hibát.

A funkciót eredetileg a WordPress 5.1-re tervezték, de elhalasztották az 5.2-es verzióra, miután a biztonsági tisztviselők több olyan forgatókönyvet is felvetettek, ahol a hackerek visszaélhetnek a WSOD védelmi rendszerrel, hogy letiltsák a WordPress biztonsági beépülő moduljait, és támadásokat indítsanak a WordPress webhelyek ellen.

JÖVŐBELI TERVEK

A WordPress biztonságának javítására irányuló munka nem áll meg az 5.2-es verzió megjelenésével. További projektek közé tartozik a WordPress 5.4-re tervezett Gossamer projekt. A Gossamer projekt célja, hogy ugyanazt a kód-aláíró rendszert hozza létre, amelyet a WordPress főbb frissítéseihez használnak egy olyan keretrendszerbe, amelyet a fejlesztők használhatnak a WordPress témák és bővítmények kód-aláírási frissítéseihez is.