Nu er WordPress mere sikkert

WP får endelig de sikkerhedsfunktioner, som en tredjedel af internettet fortjener.

WordPress 5.2 udgivet med understøttelse af kryptografisk signerede opdateringer, et moderne kryptografisk bibliotek.

WordPress indholdsstyringssystemet (CMS) er indstillet til at modtage et udvalg af nye sikkerhedsfunktioner i dag, som endelig vil tilføje det beskyttelsesniveau, mange af dets brugere har krævet i årevis. Disse funktioner forventes med den officielle udgivelse af WordPress 5.2 senere i dag. Inkluderet er understøttelse af kryptografisk signerede opdateringer, understøttelse af et moderne kryptografisk bibliotek, en Site Health-sektion i backend af admin-panelet og en funktion, der vil fungere som et WSOD-sikkerhedssted for administratorer, der logger på deres backend i tilfælde af katastrofale PHP-fejl.

Med WordPress installeret på anslået 33,8 procent af alle websteder, er disse funktioner bundet til at dæmpe nogle bekymringer om nogle angrebsvektorer.

KRYPTOGRAFISK SIGNEREDE OPDATERINGER

Den nok største og vigtigste af nutidens nye sikkerhedsfunktioner er WordPress' offline digitale signatursystem.

Fra og med WordPress 5.2 vil WordPress-teamet signere sine opdateringspakker digitalt med Ed25519 offentlige nøglesigneringssystem, så en lokal installation vil være i stand til at verificere ægtheden af ​​opdateringspakken, før den anvendes på et lokalt websted.

Tilføjelse af understøttelse af kryptografisk signerede opdateringer er et vigtigt skridt i at forhindre hackere i at udføre et forsyningskædeangreb på alle WordPress-websteder, noget sikkerhedsfirmaer har advaret imod i mere end to år.

Før WordPress 5.2Hvis du ville inficere alle WordPress-websteder på internettet, var du simpelthen nødt til at hacke (WordPress) opdateringsserveren, sagde Scott Arciszewski, udviklingschef hos Paragon Initiative Enterprises, og en af ​​de udviklere, der var involveret i at sikre WordPress-opdateringssystemet.

Efter WordPress 5.2, skal du udføre det samme angreb og på en eller anden måde stjæle WordPress-kerneudviklingsteamets signeringsnøgle.

WORDPRESS FÅR ET MODERNE CRYPTO-BIBLIOTEK

Men Arciszewskis arbejde med WordPress CMS sluttede ikke der. Han har også bidraget til WordPress ved at erstatte et gammelt kryptografisk bibliotek med et, der tilpasser sig moderne tid.

Fra og med WordPress 5.2 vil CMS'et understøtte Libsodium-biblioteket til alle kryptografiske operationer i stedet for den nu forældede og fjernede mcrypt. Libsodium er nu en del af WordPress CMS-kildekoden sammen med Arciszewskis sodium_compat-bibliotek, der fungerer som en polyfill for ældre PHP-servere, der ikke understøtter Libsodium. WordPress slutter sig nu til rækken af ​​moderne web-dev-værktøjer, der naturligt understøtter Libsodium, såsom PHP 7.2+, Magento 2.3+ og Joomla 3.8+. Med tilføjelsen af ​​Libsodium til WordPress CMS-kernen betyder dette også, at plugin- og temaudviklere kan begynde at understøtte det.

Arciszewski offentliggjorde i dag en blogindlæg med grundlæggende råd til WordPress plugin og temaudviklere om, hvordan man erstatter de gamle mcrypt kryptografiske funktioner med libsodium.

NY SUNDHED AFSNIT AF SIDEN

Men de første WordPress 5.2-sikkerhedsfunktioner, som brugerne vil bemærke i dagens udgivelse, er ikke ændringerne i CMS-koden, men den nye "Site Health"-sektion i administratorpanelets Værktøjsmenu. Denne sektion indeholder to nye sider, nemlig webstedssundhed og webstedssundhedsoplysninger. Sidens Health-side fungerer ved at udføre en række grundlæggende sikkerhedstjek og levere en rapport med resultaterne sammen med anbefalinger til at løse eventuelle problemer, den finder. Denne sektion kommer med en række bundtede tests, men webstedsejere og udviklere af sikkerhedsplugins kan også skrive deres egne for at udvide sikkerhedskontrollen til flere områder af et WordPress-websted.

Det andet afsnit, kaldet Site Health Info, er, hvad navnet antyder. Det giver et væld af websteds- og serverkonfigurationsoplysninger og er beregnet til fejlfindingsformål, eller når webstedet skal deles med en it-professionel for supporttjenester. Oplysninger om WordPress-installation, underliggende server, plugins, temaer og fillagringsbrug er givet.

SERVHAPPY FUNKTION

En anden ny sikkerhedsfunktion inkluderet i WordPress 5.2 er Tjen glad projekt, som oprindeligt skulle udgives med WordPress 5.1, men blev delt i to, hvor en del af projektet blev sendt med WordPress 5.1 og den anden halvdel afsendt i dag med WordPress 5.2.

WordPress 5.1 inkluderede muligheden for at vise advarsler, når WordPress-servere kørte på servere med forældede PHP-versioner. WordPress 5.2, udgivet i dag, vil indeholde en funktion kaldet 'White Screen Of Death' (WSOD) og fungere som en "Safe Mode" for WordPress-websteder. WSOD-beskyttelse fungerer ved midlertidigt at deaktivere temaer og plugins, når der opstår en fatal PHP-fejl, så webstedsadministratorer kan genvinde adgang til deres websteders backends og rette fejlen.

Funktionen var oprindeligt planlagt til WordPress 5.1, men blev forsinket til version 5.2, efter at sikkerhedsmyndigheder rejste flere scenarier, hvor hackere kunne misbruge WSOD-beskyttelsessystemet til at deaktivere WordPress-sikkerhedsplugins og starte angreb på WordPress-websteder.

FREMTIDSPLANER

Arbejdet med at forbedre WordPress-sikkerheden stopper ikke med udgivelsen af ​​version 5.2. Andre projekter omfatter Gossamer-projektet, der er planlagt til WordPress 5.4. Gossamer-projektet har til formål at bringe det samme kodesigneringssystem, der bruges til større WordPress-opdateringer, ind i en ramme, som udviklere også kan bruge til kodesigneringsopdateringer til WordPress-temaer og plugins.