Nu er WordPress mere sikkert
Nu er WordPress mere sikkert
WP får endelig de sikkerhedsfunktioner, som en tredjedel af internettet fortjener.
WordPress 5.2 udgivet med understøttelse af kryptografisk signerede opdateringer, et moderne kryptografisk bibliotek.
WordPress indholdsstyringssystemet (CMS) er indstillet til at modtage et udvalg af nye sikkerhedsfunktioner i dag, som endelig vil tilføje det beskyttelsesniveau, mange af dets brugere har krævet i årevis. Disse funktioner forventes med den officielle udgivelse af WordPress 5.2 senere i dag. Inkluderet er understøttelse af kryptografisk signerede opdateringer, understøttelse af et moderne kryptografisk bibliotek, en Site Health-sektion i backend af admin-panelet og en funktion, der vil fungere som et WSOD-sikkerhedssted for administratorer, der logger på deres backend i tilfælde af katastrofale PHP-fejl.
Med WordPress installeret på anslået 33,8 procent af alle websteder, er disse funktioner bundet til at dæmpe nogle bekymringer om nogle angrebsvektorer.
KRYPTOGRAFISK SIGNEREDE OPDATERINGER
Den nok største og vigtigste af nutidens nye sikkerhedsfunktioner er WordPress' offline digitale signatursystem.
Fra og med WordPress 5.2 vil WordPress-teamet signere sine opdateringspakker digitalt med Ed25519 offentlige nøglesigneringssystem, så en lokal installation vil være i stand til at verificere ægtheden af opdateringspakken, før den anvendes på et lokalt websted.
Tilføjelse af understøttelse af kryptografisk signerede opdateringer er et vigtigt skridt i at forhindre hackere i at udføre et forsyningskædeangreb på alle WordPress-websteder, noget sikkerhedsfirmaer har advaret imod i mere end to år.
Før WordPress 5.2Hvis du ville inficere alle WordPress-websteder på internettet, var du simpelthen nødt til at hacke (WordPress) opdateringsserveren, sagde Scott Arciszewski, udviklingschef hos Paragon Initiative Enterprises, og en af de udviklere, der var involveret i at sikre WordPress-opdateringssystemet.
Efter WordPress 5.2, skal du udføre det samme angreb og på en eller anden måde stjæle WordPress-kerneudviklingsteamets signeringsnøgle.
WORDPRESS FÅR ET MODERNE CRYPTO-BIBLIOTEK
Men Arciszewskis arbejde med WordPress CMS sluttede ikke der. Han har også bidraget til WordPress ved at erstatte et gammelt kryptografisk bibliotek med et, der tilpasser sig moderne tid.
Fra og med WordPress 5.2 vil CMS'et understøtte Libsodium-biblioteket til alle kryptografiske operationer i stedet for den nu forældede og fjernede mcrypt. Libsodium er nu en del af WordPress CMS-kildekoden sammen med Arciszewskis sodium_compat-bibliotek, der fungerer som en polyfill for ældre PHP-servere, der ikke understøtter Libsodium. WordPress slutter sig nu til rækken af moderne web-dev-værktøjer, der naturligt understøtter Libsodium, såsom PHP 7.2+, Magento 2.3+ og Joomla 3.8+. Med tilføjelsen af Libsodium til WordPress CMS-kernen betyder dette også, at plugin- og temaudviklere kan begynde at understøtte det.
Arciszewski offentliggjorde i dag en blogindlæg med grundlæggende råd til WordPress plugin og temaudviklere om, hvordan man erstatter de gamle mcrypt kryptografiske funktioner med libsodium.
NY SUNDHED AFSNIT AF SIDEN
Men de første WordPress 5.2-sikkerhedsfunktioner, som brugerne vil bemærke i dagens udgivelse, er ikke ændringerne i CMS-koden, men den nye "Site Health"-sektion i administratorpanelets Værktøjsmenu. Denne sektion indeholder to nye sider, nemlig webstedssundhed og webstedssundhedsoplysninger. Sidens Health-side fungerer ved at udføre en række grundlæggende sikkerhedstjek og levere en rapport med resultaterne sammen med anbefalinger til at løse eventuelle problemer, den finder. Denne sektion kommer med en række bundtede tests, men webstedsejere og udviklere af sikkerhedsplugins kan også skrive deres egne for at udvide sikkerhedskontrollen til flere områder af et WordPress-websted.
Det andet afsnit, kaldet Site Health Info, er, hvad navnet antyder. Det giver et væld af websteds- og serverkonfigurationsoplysninger og er beregnet til fejlfindingsformål, eller når webstedet skal deles med en it-professionel for supporttjenester. Oplysninger om WordPress-installation, underliggende server, plugins, temaer og fillagringsbrug er givet.
SERVHAPPY FUNKTION
En anden ny sikkerhedsfunktion inkluderet i WordPress 5.2 er Tjen glad projekt, som oprindeligt skulle udgives med WordPress 5.1, men blev delt i to, hvor en del af projektet blev sendt med WordPress 5.1 og den anden halvdel afsendt i dag med WordPress 5.2.
WordPress 5.1 inkluderede muligheden for at vise advarsler, når WordPress-servere kørte på servere med forældede PHP-versioner. WordPress 5.2, udgivet i dag, vil indeholde en funktion kaldet 'White Screen Of Death' (WSOD) og fungere som en "Safe Mode" for WordPress-websteder. WSOD-beskyttelse fungerer ved midlertidigt at deaktivere temaer og plugins, når der opstår en fatal PHP-fejl, så webstedsadministratorer kan genvinde adgang til deres websteders backends og rette fejlen.
Funktionen var oprindeligt planlagt til WordPress 5.1, men blev forsinket til version 5.2, efter at sikkerhedsmyndigheder rejste flere scenarier, hvor hackere kunne misbruge WSOD-beskyttelsessystemet til at deaktivere WordPress-sikkerhedsplugins og starte angreb på WordPress-websteder.
FREMTIDSPLANER
Arbejdet med at forbedre WordPress-sikkerheden stopper ikke med udgivelsen af version 5.2. Andre projekter omfatter Gossamer-projektet, der er planlagt til WordPress 5.4. Gossamer-projektet har til formål at bringe det samme kodesigneringssystem, der bruges til større WordPress-opdateringer, ind i en ramme, som udviklere også kan bruge til kodesigneringsopdateringer til WordPress-temaer og plugins.
Du kan også være interesseret i:
Fire lande, ét gigantisk hav: CMAR-sagen
Det er havkorridoren i det østlige tropiske Stillehav: Panama, Ecuador, Colombia og Costa Rica, der er allierede til beskyttelse af have og marine arter...
Lausanne, på sporet af forurening: historien om et forbrændingsanlæg
Et team af videnskabsmænd har rekonstrueret begivenhederne i Vallon affald-til-energi-anlægget og den usynlige forurening, der chokerede kantonen Vaud
Hvordan miljøet bestemmer ostens egenskaber
Smagningen fremhæver, hvordan klima og foderafgrøder med uændrede produktionsregler påvirker forskellige organoleptiske noter
Innosuisse har nået sine innovationsmål for 2023 i Schweiz
Et rekordbeløb på over 490 millioner francs er blevet tildelt for at kompensere for den manglende tilknytning til EU's velkendte Horizon Europe-program