Teraz je WordPress bezpečnejší

WP konečne dostáva bezpečnostné funkcie, ktoré si tretina internetu zaslúži.

WordPress 5.2 vydaný s podporou kryptograficky podpísaných aktualizácií, modernej kryptografickej knižnice.

Redakčný systém WordPress (CMS) má dnes dostať rad nových bezpečnostných funkcií, ktoré konečne pridajú úroveň ochrany, po ktorej mnohí jeho používatelia už roky túžia. Tieto funkcie sa očakávajú s oficiálnym vydaním WordPress 5.2 neskôr dnes. To zahŕňa podporu pre kryptograficky podpísané aktualizácie, podporu pre modernú kryptografickú knižnicu, sekciu Site Health na backende administrátorského panela a funkciu, ktorá bude fungovať ako WSOD bezpečnostná stránka pre administrátorov prihlasujúcich sa do ich backendu v prípade katastrofických chýb PHP. .

Keďže je WordPress nainštalovaný na odhadovaných 33,8 percenta všetkých webových stránok, tieto funkcie musia zmierniť obavy z niektorých vektorov útokov.

KRYPTOGRAFICKY PODPÍSANÉ AKTUALIZÁCIE

Pravdepodobne najväčšou a najdôležitejšou z dnešných nových bezpečnostných funkcií je offline systém digitálneho podpisovania WordPress.

Počnúc verziou WordPress 5.2 bude tím WordPress digitálne podpisovať svoje aktualizačné balíčky pomocou systému podpisovania verejného kľúča Ed25519, takže lokálna inštalácia bude môcť overiť pravosť aktualizačného balíčka pred jeho aplikáciou na lokálnu stránku.

Pridanie podpory pre kryptograficky podpísané aktualizácie je dôležitým krokom v zabránení hackerom vo vykonaní útoku dodávateľského reťazca na všetky stránky WordPress, na čo bezpečnostné firmy upozorňujú a robia to už viac ako dva roky.

Pred WordPress 5.2, Ak ste chceli infikovať každú stránku WordPress na internete, jednoducho ste museli hacknúť aktualizačný server (WordPress), povedal Scott Arciszewski, hlavný vývojový riaditeľ v Paragon Initiative Enterprises a jeden z vývojárov, ktorí sa podieľajú na zabezpečení aktualizačného systému WordPress.

Po WordPress 5.2, musíte zaútočiť na rovnaký útok a nejakým spôsobom ukradnúť podpisový kľúč vývojového tímu WordPress.

WORDPRESS ZÍSKAVA MODERNÚ KRYPTOKNIŽNICU

Tým sa však Arciszewského práca na WordPress CMS neskončila. Do WordPressu prispel aj výmenou starej kryptografickej knižnice za knižnicu, ktorá sa prispôsobuje modernej dobe.

Počnúc WordPress 5.2 bude CMS podporovať knižnicu Libsodium pre všetky kryptografické operácie namiesto teraz zastaraného a odstráneného mcrypt. Libsodium je teraz súčasťou zdrojového kódu WordPress CMS spolu s knižnicou Sodík_compat spoločnosti Arciszewski, ktorá funguje ako polyfill pre staršie servery PHP, ktoré nepodporujú Libsodium. WordPress sa teraz pripája k moderným webovým nástrojom, ktoré natívne podporujú Libsodium, ako napríklad PHP 7.2+, Magento 2.3+ a Joomla 3.8+. Okrem toho, s pridaním Libsodium do jadra WordPress CMS to tiež znamená, že vývojári doplnkov a tém ho môžu začať podporovať.

Arciszewski dnes zverejnil a príspevok v blogu so základnými radami pre vývojárov WordPress pluginov a tém, ako nahradiť staré kryptografické funkcie mcrypt za libsodium.

NOVÁ SEKCIA STRÁNKY ZDRAVIE

Ale prvé bezpečnostné funkcie WordPress 5.2, ktoré si používatelia všimnú v dnešnom vydaní, nie sú zmeny kódu CMS, ale nová sekcia „Zdravie webu“ v ponuke Nástroje na paneli správcu. Táto sekcia obsahuje dve nové stránky, Stav lokality a Informácie o stave lokality. Stránka Zdravotný stav funguje tak, že vykoná sériu základných bezpečnostných kontrol a doručí správu s výsledkami spolu s odporúčaniami na odstránenie akýchkoľvek problémov, ktoré nájde. Táto sekcia obsahuje množstvo testov, ktoré sú súčasťou balíka, ale vlastníci stránok a vývojári bezpečnostných doplnkov môžu tiež napísať svoje vlastné, aby rozšírili ovládacie prvky zabezpečenia do viacerých oblastí stránky WordPress.

Druhý úsek, tzv Informácie o zdraví stránok, je to, čo naznačuje jeho názov. Poskytuje množstvo informácií o konfigurácii webovej lokality a servera a je určená na účely ladenia alebo v prípade, že je potrebné lokalitu zdieľať s odborníkom v oblasti IT kvôli službám podpory. Poskytujú sa informácie o inštalácii WordPress, základnom serveri, doplnkoch, témach a využití úložiska súborov.

SLUŽOBNÁ VLASTNOSŤ

Ďalšou novou bezpečnostnou funkciou zahrnutou do WordPress 5.2 je Servehappy projekt, ktorý mal byť pôvodne vydaný s WordPress 5.1, ale bol rozdelený na dve časti, pričom časť projektu sa dodáva s WordPress 5.1 a druhá polovica sa dodáva dnes s WordPress 5.2.

WordPress 5.1 obsahoval možnosť zobrazovať upozornenia, keď servery WordPress bežali na serveroch so zastaranými verziami PHP. WordPress 5.2, vydaný dnes, bude obsahovať funkciu s názvom „White Screen Of Death“ (WSOD) a bude fungovať ako „Núdzový režim“ pre stránky WordPress. Ochrana WSOD funguje tak, že pri výskyte fatálnej chyby PHP dočasne zakáže témy a doplnky, takže správcovia stránok môžu znova získať prístup k backendom svojich stránok a chybu opraviť.

Táto funkcia bola pôvodne plánovaná pre WordPress 5.1, ale bola odložená na verziu 5.2 po tom, čo predstavitelia bezpečnosti upozornili na niekoľko scenárov, v ktorých by hackeri mohli zneužiť ochranný systém WSOD na deaktiváciu bezpečnostných doplnkov WordPress a spustenie útokov na stránky WordPress.

BUDÚCE PLÁNY

Práca na zlepšení zabezpečenia WordPress sa vydaním verzie 5.2 nezastaví. Medzi ďalšie projekty patrí projekt Gossamer, plánovaný pre WordPress 5.4. Cieľom projektu Gossamer je priniesť rovnaký systém podpisovania kódu, ktorý sa používa pre hlavné aktualizácie WordPress, do rámca, ktorý môžu vývojári použiť aj na aktualizácie podpisovania kódu pre témy a doplnky WordPress.