Nyt WordPress on turvallisempi

WP saa vihdoin tietoturvaominaisuudet, jotka kolmasosa internetistä ansaitsee.

WordPress 5.2 julkaistiin tukemalla kryptografisesti allekirjoitettuja päivityksiä, moderni salauskirjasto.

WordPressin sisällönhallintajärjestelmä (CMS) saa tänään valikoiman uusia suojausominaisuuksia, jotka vihdoin lisäävät suojaustasoa, jota monet sen käyttäjät ovat halunneet vuosia. Näitä ominaisuuksia odotetaan WordPress 5.2:n virallisen julkaisun myötä myöhemmin tänään. Mukana ovat tuki kryptografisesti allekirjoitetuille päivityksille, tuki nykyaikaiselle salauskirjastolle, Site Health -osio hallintapaneelin taustaosassa ja ominaisuus, joka toimii WSOD-suojaussivustona järjestelmänvalvojille, jotka kirjautuvat taustajärjestelmään katastrofaalisten PHP-virheiden sattuessa.

Kun WordPress on asennettu arviolta 33,8 prosenttiin kaikista verkkosivustoista, nämä ominaisuudet poistavat varmasti joitain hyökkäysvektoreita koskevia huolenaiheita.

KRYPTOGRAFIISESTI ALLEKIRJOITETUT PÄIVITYKSET

Todennäköisesti suurin ja tärkein nykypäivän uusista tietoturvaominaisuuksista on WordPressin offline-digitaalinen allekirjoitusjärjestelmä.

WordPress 5.2:sta alkaen WordPress-tiimi allekirjoittaa päivityspaketinsa digitaalisesti julkisen avaimen allekirjoitusjärjestelmällä Ed25519, jotta paikallinen asennus pystyy varmistamaan päivityspaketin aitouden ennen sen asentamista paikalliselle sivustolle.

Tuen lisääminen kryptografisesti allekirjoitetuille päivityksille on tärkeä askel estäessä hakkereita suorittamasta toimitusketjuhyökkäystä kaikille WordPress-sivustoille, mistä tietoturvayritykset ovat varoittaneet yli kahden vuoden ajan.

Ennen WordPress 5.2Jos halusit saastuttaa kaikki Internetin WordPress-sivustot, sinun täytyi vain hakkeroida (WordPress) päivityspalvelin, sanoi Scott Arciszewski, Paragon Initiative Enterprisesin kehitysjohtaja ja yksi WordPress-päivitysjärjestelmän turvaamiseen osallistuneista kehittäjistä.

WordPress 5.2:n jälkeen, sinun on suoritettava sama hyökkäys ja jollain tavalla varastettava WordPressin ydinkehitystiimin allekirjoitusavain.

WORDPRESS SAAN MODERNI KRYPTOKIRJASTO

Mutta Arciszewskin työ WordPress CMS:n parissa ei päättynyt tähän. Hän on myös osallistunut WordPressiin korvaamalla vanhan kryptografisen kirjaston nykyaikaan mukautuvalla.

WordPress 5.2:sta alkaen CMS tukee Libsodium-kirjastoa kaikissa salaustoiminnoissa nyt vanhentuneen ja poistetun mcryptin sijaan. Libsodium on nyt osa WordPressin CMS-lähdekoodia sekä Arciszewskin sodium_compat-kirjasto, joka toimii monitäyttönä vanhemmille PHP-palvelimille, jotka eivät tue Libsodiumia. WordPress liittyy nyt Libsodiumia natiivisti tukevien nykyaikaisten web-kehitystyökalujen joukkoon, kuten PHP 7.2+, Magento 2.3+ ja Joomla 3.8+. Lisäksi, kun Libsodium on lisätty WordPressin CMS-ytimeen, tämä tarkoittaa myös sitä, että laajennuksen ja teeman kehittäjät voivat alkaa tukea sitä.

Arciszewski julkaisi tänään a blogipostaus perusneuvoja WordPress-laajennuksen ja teeman kehittäjille, kuinka vanhat mcrypt-salaustoiminnot korvataan libsodium-toiminnoilla.

SIVUSTON UUSI TERVEYSOSIO

Mutta ensimmäiset WordPress 5.2 -turvaominaisuudet, jotka käyttäjät huomaavat tämän päivän julkaisussa, eivät ole CMS-koodin muutokset, vaan uusi "Sivuston kunto" -osio hallintapaneelin Työkalut-valikossa. Tämä osio sisältää kaksi uutta sivua, Sivuston kunto ja Sivuston terveystiedot. Sivuston Health Status -sivu toimii suorittamalla sarjan perusturvatarkastuksia ja toimittamalla raportin tuloksista sekä suosituksia havaittujen ongelmien korjaamiseksi. Tämä osio sisältää useita niputettuja testejä, mutta sivustojen omistajat ja suojauslaajennusten kehittäjät voivat myös kirjoittaa omia laajentaakseen suojauksen hallintaa useammille WordPress-sivuston alueille.

Toinen jakso ns Sivuston terveystiedot, sen nimi kertoo. Se tarjoaa runsaasti verkkosivuston ja palvelimen kokoonpanotietoja ja on tarkoitettu virheenkorjaustarkoituksiin tai kun sivusto on jaettava IT-ammattilaisen kanssa tukipalveluita varten. Saatavilla on tietoja WordPressin asennuksesta, taustalla olevasta palvelimesta, laajennuksista, teemoista ja tiedostojen tallennustilan käytöstä.

SERVHAPPY OMINAISUUDET

Toinen uusi WordPress 5.2:n tietoturvaominaisuus on Palvele onnellista projektia, jonka piti alun perin julkaista WordPress 5.1:n kanssa, mutta jaettiin kahteen osaan siten, että osa projektista toimitetaan WordPress 5.1:n kanssa ja toinen puoli tänään WordPress 5.2:lla.

WordPress 5.1 sisälsi mahdollisuuden näyttää hälytyksiä, kun WordPress-palvelimet olivat käynnissä palvelimilla, joiden PHP-versiot ovat vanhentuneet. Tänään julkaistu WordPress 5.2 sisältää ominaisuuden nimeltä "White Screen Of Death" (WSOD), ja se toimii "turvatilana" WordPress-sivustoille. WSOD-suojaus estää väliaikaisesti teemat ja laajennukset, kun tapahtuu kohtalokas PHP-virhe, jotta sivuston ylläpitäjät voivat saada takaisin pääsyn sivustojensa taustajärjestelmiin ja korjata virheen.

Ominaisuus suunniteltiin alun perin WordPress 5.1:lle, mutta se siirrettiin versioon 5.2 sen jälkeen, kun turvallisuusviranomaiset esittivät useita skenaarioita, joissa hakkerit voisivat väärinkäyttää WSOD-suojausjärjestelmää poistaakseen WordPressin tietoturvalaajennukset käytöstä ja käynnistääkseen hyökkäyksiä WordPress-sivustoja vastaan.

TULEVAISUUDEN SUUNNITELMAT

Työ WordPressin tietoturvan parantamiseksi ei lopu version 5.2 julkaisuun. Muita projekteja ovat Gossamer-projekti, joka on suunniteltu WordPress 5.4:lle. Gossamer-projektin tavoitteena on tuoda sama koodiallekirjoitusjärjestelmä, jota käytetään suurissa WordPress-päivityksissä, puitteisiin, joita kehittäjät voivat käyttää myös WordPress-teemojen ja -laajennusten koodien allekirjoittamiseen.