WordPress 5.2 выпущен с поддержкой криптографически подписанных обновлений, современной криптографической библиотеки.

Каталин Чимпану за нулевой день | 7 мая 2019. 15:40 GMT (08:40 PDT) | Тема: Безопасность

WordPress-security.jpg

Система управления контентом WordPress (CMS) настроена на получение ряда новых функций безопасности сегодня, которые, наконец, добавят уровень защиты, которого многие ее пользователи желали годами.

Безопасность

Ожидается, что эти функции появятся в официальном выпуске WordPress 5.2, который ожидается позднее сегодня.

Включены поддержка обновлений с криптографической подписью, поддержка современной библиотеки криптографии, раздел «Состояние сайта» в бэкэнде панели администратора и функция, которая будет выступать в роли защиты «Белый экран от смерти» (WSOD). отправлять администраторы сайта получить доступ к их бэкэнду в случае катастрофических ошибок PHP.

Благодаря тому, что WordPress установлен примерно на 33,8% всех интернет-сайтов, эти функции позволят избавиться от некоторых опасений в отношении некоторых направлений атак.

Криптографически подписанные обновления

Вероятно, самая большая и самая важная из современных функций безопасности. это автономная система цифровых подписей WordPress.

Читайте так же
Amazon Fire TV Stick 4K получает функцию зеркалиро... StaffStaff.> Amazon выпустила последнее обновление программного обеспечения для своего устройства Fire TV Stick 4K, которое включает функц...
Facebook, наконец, начнет объяснять свой выбор для... Одной из наименее понятных и, возможно, наиболее не понравившихся функций пользовательского интерфейса Facebook является крайне важная, отсортированна...

Начиная с WordPress 5.2, команда WordPress будет подписывать свои пакеты обновлений цифровой подписью с помощью системы подписи с открытым ключом Ed25519, чтобы локальная установка могла проверить подлинность пакета обновлений перед его применением на локальном сайте.

Добавление поддержки обновлений с криптографической подписью является важным шагом в предотвращении атак действующих лиц на цепочку поставок на всех сайтах WordPress, о чем компании по безопасности предупреждают уже более двух лет.

«До WordPress 5.2, если вы хотели заразить каждый сайт WordPress в Интернете, вам просто нужно было взломать [сервер обновлений WordPress]». сказал Скотт Аркишевский, директор по разработке в Paragon Initiative Enterprises, и один из разработчиков, участвующих в защите система обновления WordPress.

«После WordPress 5.2 вам нужно будет провести ту же атаку а также каким-то образом похитить подписывающий ключ от команды разработчиков ядра WordPress. «

WordPress получает современную криптографическую библиотеку

Но работа Аркишевского над CMS WordPress на этом не закончилась. Он также внес вклад в WordPress, заменив устаревшую криптографическую библиотеку библиотекой, которая подходит для современного времени.

Начиная с WordPress 5.2, CMS будет поддерживать библиотеку Libsodium для всех криптографических операций вместо устаревшего и удаленного mcrypt.

Libsodium теперь является частью исходного кода WordPress CMS вместе с библиотекой Arciszewskiodium_compat, которая работает как полифилл для старых PHP-серверов, которые не поддерживают Libsodium.

WordPress теперь входит в число современных инструментов для веб-разработчиков, которые изначально поддерживают Libsodium, таких как PHP 7.2, Magento 2.3 и Joomla 3.8.

Magento 2.3, Joomla 3.8, WordPress 5.2.

Если вы разрабатываете для какой-либо из этих платформ и используете эти версии, у вас уже установлен natal_compat.

Просто используйте libsodium для ваших плагинов / модулей / расширений. Даже не связывайтесь с mcrypt.

— Скотт Аркишевский (@CiPHPerCoder) 7 мая 2019 г.

Кроме того, с добавлением Libsodium к ядру WordPress CMS это также означает, что разработчики плагинов и тем могут также начать поддерживать его.

Читайте так же
Gmail добавляет функцию запланированной электронно... Теперь пользователи Gmail могут писать электронные письма и доставлять их позднее. (СКК). В Gmail наконец появилась возможность планировать доставку...
T-Mobile и Sprint — американское слияние, на... Появилась новость, что предлагаемое слияние между T-Mobile и Sprint уже есть. в конце концов. был одобрен Министерством юстиции США. Прошло уже больш...

Arciszewski опубликовал сегодня сообщение в блоге с базовыми советами для разработчиков плагинов и тем WordPress о том, как заменить старые криптографические функции mcrypt на libsodium.

Новый раздел здоровья сайта
Смотрите также

Но первые функции безопасности WordPress 5.2, которые пользователи увидят в сегодняшнем выпуске. это не изменения в коде CMS, а новый раздел «Состояние сайта» в меню «Инструменты» панели администратора.

Этот раздел содержит две новые страницы. а именно, Состояние работоспособности сайта и Информация о работоспособности сайта.

Страница состояния работоспособности сайта работает путем запуска набора базовых проверок безопасности и предоставления отчета с результатами, а также рекомендаций по устранению любых обнаруженных проблем.

Этот раздел содержит серию связанных тестов, но владельцы сайтов и разработчики плагинов безопасности также могут написать свои собственные, чтобы расширить проверки безопасности на другие области сайта WordPress.

WordPress-сайт медико-status.png

Второй раздел, названный Site Health Info, подразумевает его название. Он предоставляет множество информации о веб-сайте и настройке сервера и предназначен для целей отладки или при необходимости поделиться подробностями сервера с ИТ-специалистом для служб поддержки.

Предоставляется информация об установке WordPress, базовом сервере, плагинах, темах и использовании хранилища файлов.

WordPress-сайт медико-info.png

WordPress, наконец, получает функции безопасности, которые заслуживает треть интернетов

Servehappy особенность

Еще одной новой функцией безопасности, включенной в WordPress 5.2, является проект Servehappy, который первоначально планировалось выпустить с WordPress 5.1, но был разделен на две части: одна часть проекта поставляется с WordPress 5.1, а другая половина поставляется сегодня с WordPress 5.2. ,

Читайте так же
По прошествии всего этого времени Samsung Galaxy S... По прошествии всего этого времени Samsung Galaxy Fold наконец-то выйдет Предполагалось, что Galaxy Fold появится в магазинах 26 апреля, но ужасные не...
Facebook, наконец, начнет объяснять свой выбор для... Одной из наименее понятных и, возможно, наиболее не понравившихся функций пользовательского интерфейса Facebook является крайне важная, отсортированна...

WordPress 5.1 включал возможность показывать предупреждения, когда серверы WordPress работали на серверах с устаревшими версиями PHP.

WordPress 5.2, выпущенный сегодня, будет включать в себя функцию защиты «Белый экран смерти» (WSOD), также известную как «Защита от неустранимых ошибок», и работает как «безопасный режим» для сайтов WordPress.

Защита WSOD работает путем временного отключения тем и плагинов при возникновении неустранимой ошибки PHP, поэтому администраторы сайтов могут восстановить доступ к бэкэндам своих сайтов и исправить ошибку.

wsod-protection.png

WordPress, наконец, получает функции безопасности, которые заслуживает треть интернетов

Изначально эта функция была запланирована для WordPress 5.1, но была отложена до версии 5.2 после того, как исследователи безопасности разработали несколько сценариев, в которых хакеры могли использовать систему защиты WSOD для отключения подключаемых модулей безопасности WordPress и запуска атак на сайты WordPress.

Планы на будущее

Но работа по улучшению безопасности WordPress не остановится с выпуском версии 5.2. Другие проекты включают в себя проект Gossamer, запланированный для WordPress 5.4.

Project Gossamer стремится портировать ту же систему подписи кода, которая используется для основных обновлений WordPress, в среду, которую разработчики могут использовать для обновления подписи кода для тем и плагинов WordPress.

Читайте так же
Avira и TP-Link объединяются в Wi-Fi роутеры с без... Некоторые маршрутизаторы TP-Link будут включать решение безопасности Avira SafeThings Avira и TP-Link объявили о новом партнерстве, в рамках которого...
Gmail добавляет функцию запланированной электронно... Теперь пользователи Gmail могут писать электронные письма и доставлять их позднее. (СКК). В Gmail наконец появилась возможность планировать доставку...