Цяпер WordPress больш бяспечны

WP нарэшце атрымлівае функцыі бяспекі, якіх заслугоўвае траціна Інтэрнэту.

WordPress 5.2 выпушчаны з падтрымкай абнаўленняў з крыптаграфічным подпісам, сучаснай крыптаграфічнай бібліятэкі.

Сістэма кіравання кантэнтам (CMS) WordPress сёння атрымае шэраг новых функцый бяспекі, якія, нарэшце, дадуць той узровень абароны, якога многія з яе карыстальнікаў жадалі гадамі. Гэтыя функцыі чакаюцца з афіцыйным выпускам WordPress 5.2 пазней сёння. Уключаны падтрымка абнаўленняў з крыптаграфічным подпісам, падтрымка сучаснай крыптаграфічнай бібліятэкі, раздзел "Здароўе сайта" на бэкэнд-панэлі адміністратара і функцыя, якая будзе дзейнічаць як сайт бяспекі WSOD для адміністратараў, якія ўваходзяць у іх бэкэнд у выпадку катастрафічных памылак PHP.

Паколькі WordPress усталяваны прыкладна на 33,8 працэнта ўсіх вэб-сайтаў, гэтыя функцыі абавязкова развеяць некаторыя асцярогі з нагоды некаторых вектараў нападаў.

АБНАЎЛЕННІ З КРЫПТАГРАФІЧНЫМ ПОДПІСАМ

Верагодна, самай вялікай і важнай з сучасных новых функцый бяспекі з'яўляецца пазасеткавая сістэма лічбавага подпісу WordPress.

Пачынаючы з WordPress 5.2, каманда WordPress будзе лічбава падпісваць свае пакеты абнаўленняў з дапамогай сістэмы падпісання адкрытых ключоў Ed25519, каб лакальная ўстаноўка магла праверыць сапраўднасць пакета абнаўлення перад тым, як прымяніць яго на лакальным сайце.

Даданне падтрымкі для абнаўленняў з крыптаграфічным подпісам з'яўляецца важным крокам у прадухіленні хакераў здзейсніць атаку на ланцужок паставак на ўсе сайты WordPress, ад чаго ахоўныя фірмы перасцерагалі больш за два гады.

Да WordPress 5.2Калі вы хочаце заразіць кожны сайт WordPress у Інтэрнэце, вам проста трэба было ўзламаць сервер абнаўлення (WordPress), сказаў Скот Арчышэўскі, галоўны дырэктар па развіцці Paragon Initiative Enterprises і адзін з распрацоўшчыкаў, якія займаюцца забеспячэннем бяспекі сістэмы абнаўлення WordPress.

Пасля WordPress 5.2, вам трэба правесці тую ж атаку і нейкім чынам скрасці ключ подпісу асноўнай каманды распрацоўшчыкаў WordPress.

WORDPRESS АТРЫМАЕ СУЧАСНУЮ КРЫПТАБІБЛІЯТЭКУ

Але на гэтым праца Арцішэўскага над WordPress CMS не скончылася. Ён таксама ўнёс свой уклад у WordPress, замяніўшы старую крыптаграфічную бібліятэку на тую, якая адаптуецца да сучаснасці.

Пачынаючы з WordPress 5.2, CMS будзе падтрымліваць бібліятэку Libsodium для ўсіх крыптаграфічных аперацый замест састарэлай і выдаленай mcrypt. Цяпер Libsodium з'яўляецца часткай зыходнага кода WordPress CMS разам з бібліятэкай sodium_compat Арцышэўскага, якая працуе як полізапаўненне для старых сервераў PHP, якія не падтрымліваюць Libsodium. Цяпер WordPress далучаецца да шэрагу сучасных інструментаў вэб-распрацоўкі, якія зыходна падтрымліваюць Libsodium, такіх як PHP 7.2+, Magento 2.3+ і Joomla 3.8+. Акрамя таго, з даданнем Libsodium да ядра WordPress CMS гэта таксама азначае, што распрацоўшчыкі плагінаў і тэм могуць пачаць яго падтрымку.

Арцішэўскі сёння апублікаваў а паведамленне ў блогу з асноўнымі парадамі для распрацоўшчыкаў плагінаў і тэм WordPress аб тым, як замяніць старыя крыптаграфічныя функцыі mcrypt на функцыі libsodium.

НОВЫ РАЗДЗЕЛ САЙТА "ЗДАРОЎЕ".

Але першыя функцыі бяспекі WordPress 5.2, якія заўважаць карыстальнікі ў сённяшнім выпуску, - гэта не змены кода CMS, а новы раздзел «Здароўе сайта» ў меню «Інструменты» панэлі адміністратара. Гэты раздзел змяшчае дзве новыя старонкі, а менавіта стан сайта і інфармацыя аб стане сайта. Старонка стану здароўя сайта працуе, выконваючы шэраг асноўных праверак бяспекі і прадстаўляючы справаздачу з вынікамі разам з рэкамендацыямі па вырашэнні любых выяўленых праблем. Гэты раздзел пастаўляецца з шэрагам пакетаў тэстаў, але ўладальнікі сайтаў і распрацоўшчыкі плагінаў бяспекі таксама могуць напісаць свае ўласныя, каб пашырыць кантроль бяспекі на больш абласцей сайта WordPress.

Другі раздзел, наз Інфармацыя пра здароўе сайта, вось што вынікае з яго назвы. Ён дае вялікую колькасць інфармацыі аб канфігурацыі вэб-сайтаў і сервераў і прызначаны для адладкі або калі сайт трэба абагуліць з ІТ-спецыялістам для службы падтрымкі. Прадастаўляецца інфармацыя аб усталяванні WordPress, базавым серверы, убудовах, тэмах і выкарыстанні сховішча файлаў.

SERVHAPPY ФУНКЦЫЯ

Яшчэ адна новая функцыя бяспекі, уключаная ў WordPress 5.2, - гэта Праект Servehappy, які першапачаткова павінен быў выйсці з WordPress 5.1, але быў падзелены на дзве часткі: частка праекта пастаўляецца з WordPress 5.1, а другая палова - сёння з WordPress 5.2.

WordPress 5.1 уключаў магчымасць паказваць абвесткі, калі серверы WordPress працуюць на серверах з састарэлымі версіямі PHP. WordPress 5.2, выпушчаны сёння, будзе ўключаць функцыю пад назвай «Белы экран смерці» (WSOD) і працаваць як «бяспечны рэжым» для сайтаў WordPress. Абарона WSOD працуе шляхам часовага адключэння тэм і ўбудоў пры ўзнікненні фатальнай памылкі PHP, каб адміністратары сайта маглі аднавіць доступ да бэкэндаў сваіх сайтаў і выправіць памылку.

Функцыя першапачаткова планавалася для WordPress 5.1, але была адкладзена да версіі 5.2 пасля таго, як прадстаўнікі бяспекі паднялі некалькі сцэнарыяў, калі хакеры могуць злоўжываць сістэмай абароны WSOD, каб адключыць убудовы бяспекі WordPress і пачаць атакі на сайты WordPress.

ПЛАНЫ НА БУДУЧЫНЮ

Праца па паляпшэнні бяспекі WordPress не спыніцца з выпускам версіі 5.2. Сярод іншых праектаў - праект Gossamer, запланаваны для WordPress 5.4. Праект Gossamer накіраваны на тое, каб перанесці тую ж сістэму подпісу кода, якая выкарыстоўваецца для асноўных абнаўленняў WordPress, у структуру, якую распрацоўшчыкі могуць выкарыстоўваць для абнаўленняў подпісу кода для тэм і ўбудоў WordPress.