ახლა WordPress უფრო უსაფრთხოა

WP საბოლოოდ იღებს უსაფრთხოების მახასიათებლებს, რასაც ინტერნეტის მესამედი იმსახურებს.

WordPress 5.2 გამოვიდა კრიპტოგრაფიულად ხელმოწერილი განახლებების მხარდაჭერით, თანამედროვე კრიპტოგრაფიული ბიბლიოთეკა.

WordPress-ის კონტენტის მართვის სისტემა (CMS) დღეს მიიღებს უსაფრთხოების ახალი ფუნქციების ასორტიმენტს, რომელიც საბოლოოდ დაამატებს დაცვის დონეს, რომელსაც მისი მრავალი მომხმარებელი წლების განმავლობაში სწყუროდა. ეს მახასიათებლები მოსალოდნელია WordPress 5.2-ის ოფიციალური გამოშვებით დღეს მოგვიანებით. ეს მოიცავს კრიპტოგრაფიულად ხელმოწერილი განახლებების მხარდაჭერას, თანამედროვე კრიპტოგრაფიული ბიბლიოთეკის მხარდაჭერას, Site Health განყოფილებას ადმინისტრაციული პანელის უკანა ნაწილში და ფუნქციას, რომელიც იმოქმედებს როგორც WSOD უსაფრთხოების საიტი ადმინისტრატორებისთვის, რომლებიც შედიან თავიანთ backend-ში კატასტროფული PHP შეცდომების შემთხვევაში. .

ყველა ვებსაიტის დაახლოებით 33,8 პროცენტზე დაინსტალირებული WordPress-ით, ეს ფუნქციები აუცილებლად გაათავისუფლებს შეშფოთებას ზოგიერთი შეტევის ვექტორთან დაკავშირებით.

კრიპტოგრაფიულად ხელმოწერილი განახლებები

ალბათ ყველაზე დიდი და ყველაზე მნიშვნელოვანი დღევანდელი უსაფრთხოების ახალი ფუნქციებიდან არის WordPress-ის ოფლაინ ციფრული ხელმოწერის სისტემა.

WordPress 5.2-დან დაწყებული, WordPress-ის გუნდი ციფრულად მოაწერს ხელს თავის განახლების პაკეტებს Ed25519 საჯარო გასაღების ხელმოწერის სისტემით, რათა ლოკალურმა ინსტალაციამ შეძლოს განახლების პაკეტის ავთენტურობის გადამოწმება ადგილობრივ საიტზე მის გამოყენებამდე.

კრიპტოგრაფიულად ხელმოწერილი განახლებების მხარდაჭერის დამატება მნიშვნელოვანი ნაბიჯია ჰაკერების მიერ WordPress-ის ყველა საიტზე მიწოდების ჯაჭვის შეტევის თავიდან ასაცილებლად, რასაც უსაფრთხოების ფირმები აფრთხილებდნენ, რომ იცოდეთ და გააკეთონ ორ წელზე მეტი ხნის განმავლობაში.

WordPress 5.2-მდე, თუ გინდოდათ ყველა WordPress საიტის დაინფიცირება ინტერნეტში, უბრალოდ უნდა გატეხოთ (WordPress) განახლების სერვერი, თქვა სკოტ არციშევსკიმ, Paragon Initiative Enterprises-ის განვითარების მთავარმა ოფიცერმა და ერთ-ერთმა დეველოპერმა, რომელიც ჩართული იყო WordPress-ის განახლების სისტემის უსაფრთხოებაში.

WordPress 5.2-ის შემდეგ, თქვენ უნდა მოახდინოთ იგივე შეტევა და როგორმე მოიპაროთ WordPress-ის ძირითადი განვითარების გუნდის ხელმოწერის გასაღები.

WORDPRESS-ი იღებს თანამედროვე კრიპტო ბიბლიოთეკას

მაგრამ არჩისევსკის მუშაობა WordPress CMS-ზე ამით არ დასრულებულა. მან ასევე წვლილი შეიტანა WordPress-ში ძველი კრიპტოგრაფიული ბიბლიოთეკის ჩანაცვლებით თანამედროვე დროისთვის მორგებული ბიბლიოთეკით.

WordPress 5.2-დან დაწყებული, CMS მხარს დაუჭერს Libsodium ბიბლიოთეკას ყველა კრიპტოგრაფიული ოპერაციისთვის, ახლა მოძველებული და ამოღებული mcrypt-ის ნაცვლად. Libsodium ახლა არის WordPress CMS წყაროს კოდის ნაწილი, Arciszewski-ის sodium_compat ბიბლიოთეკასთან ერთად, რომელიც მუშაობს როგორც პოლიშემავსებელი ძველი PHP სერვერებისთვის, რომლებსაც არ აქვთ Libsodium-ის მხარდაჭერა. WordPress ახლა უერთდება თანამედროვე ვებ-დეველოპერული ხელსაწყოების რიგებს, რომლებიც ბუნებრივად უჭერენ მხარს Libsodium-ს, როგორიცაა PHP 7.2+, Magento 2.3+ და Joomla 3.8+. გარდა ამისა, WordPress CMS ბირთვში Libsodium-ის დამატებით, ეს ასევე ნიშნავს, რომ მოდულების და თემების დეველოპერებს შეუძლიათ დაიწყონ მისი მხარდაჭერა.

არჩიშევსკიმ დღეს გამოაქვეყნა ა ბლოგის პოსტი ძირითადი რჩევებით WordPress დანამატებისა და თემების შემქმნელებისთვის, თუ როგორ უნდა შეცვალონ ძველი mcrypt კრიპტოგრაფიული ფუნქციები ლიბსოდიუმის ფუნქციებით.

საიტის ახალი ჯანმრთელობის განყოფილება

მაგრამ WordPress 5.2 უსაფრთხოების პირველი ფუნქციები, რომლებსაც მომხმარებლები შეამჩნევენ დღევანდელ გამოშვებაში, არის არა CMS კოდის ცვლილებები, არამედ ახალი "საიტის ჯანმრთელობა" განყოფილება ადმინისტრაციული პანელის ინსტრუმენტების მენიუში. ეს განყოფილება მოიცავს ორ ახალ გვერდს, საიტის ჯანმრთელობას და საიტის ჯანმრთელობის ინფორმაციას. საიტის ჯანმრთელობის სტატუსის გვერდი მუშაობს უსაფრთხოების ძირითადი შემოწმებების სერიის შესრულებით და შედეგების შესახებ ანგარიშის მიწოდებით, რეკომენდაციებთან ერთად ნებისმიერი პრობლემის გადასაჭრელად. ამ განყოფილებას მოყვება მთელი რიგი შეფუთული ტესტები, მაგრამ საიტის მფლობელებს და უსაფრთხოების დანამატის შემქმნელებს ასევე შეუძლიათ დაწერონ საკუთარი, რათა გააფართოვონ უსაფრთხოების კონტროლი WordPress საიტის სხვა სფეროებში.

მეორე განყოფილება, ე.წ საიტის ჯანმრთელობის ინფორმაცია, არის რასაც მისი სახელი გულისხმობს. ის უზრუნველყოფს უამრავ ვებსაიტისა და სერვერის კონფიგურაციის ინფორმაციას და განკუთვნილია გამართვის მიზნებისთვის ან როცა საიტის გაზიარება საჭიროა IT პროფესიონალთან დამხმარე სერვისებისთვის. მოწოდებულია ინფორმაცია თქვენი WordPress ინსტალაციის, ძირითადი სერვერის, დანამატების, თემებისა და ფაილების შენახვის შესახებ.

SERVHAPPY ფუნქცია

WordPress 5.2-ში შეტანილი კიდევ ერთი ახალი უსაფრთხოების ფუნქციაა ბედნიერი პროექტი, რომელიც თავდაპირველად უნდა გამოსულიყო WordPress 5.1-ით, მაგრამ გაიყო ორად, პროექტის ნაწილი მიწოდებული იყო WordPress 5.1-ით, ხოლო მეორე ნახევარი დღეს, WordPress 5.2-ით.

WordPress 5.1 მოიცავდა გაფრთხილებების ჩვენების შესაძლებლობას, როდესაც WordPress სერვერები მუშაობდნენ სერვერებზე მოძველებული PHP ვერსიებით. WordPress 5.2, რომელიც დღეს გამოვიდა, მოიცავს ფუნქციას სახელწოდებით „სიკვდილის თეთრი ეკრანი“ (WSOD) და იმუშავებს როგორც „უსაფრთხო რეჟიმი“ WordPress საიტებისთვის. WSOD დაცვა მუშაობს თემებისა და დანამატების დროებით გამორთვით, როდესაც ხდება ფატალური PHP შეცდომა, ასე რომ საიტის ადმინისტრატორებს შეუძლიათ დაიბრუნონ წვდომა თავიანთი საიტების ბექენდებზე და გამოასწორონ შეცდომა.

ფუნქცია თავდაპირველად დაიგეგმა WordPress 5.1-ისთვის, მაგრამ გადაიდო 5.2 ვერსიამდე მას შემდეგ, რაც უსაფრთხოების ჩინოვნიკებმა წამოაყენეს რამდენიმე სცენარი, სადაც ჰაკერებს შეეძლოთ WSOD დაცვის სისტემის ბოროტად გამოყენება WordPress უსაფრთხოების დანამატების გამორთვისა და WordPress საიტებზე თავდასხმების განხორციელებისთვის.

ᲛᲝᲛᲐᲕᲚᲘᲡ ᲒᲔᲒᲛᲔᲑᲘ

WordPress-ის უსაფრთხოების გასაუმჯობესებლად მუშაობა არ შეჩერდება 5.2 ვერსიის გამოშვებით. სხვა პროექტებში შედის Gossamer პროექტი, რომელიც დაგეგმილია WordPress 5.4-ისთვის. Gossamer-ის პროექტი მიზნად ისახავს იგივე კოდის ხელმოწერის სისტემის შემოტანას, რომელიც გამოიყენება WordPress-ის ძირითადი განახლებისთვის, იმ ჩარჩოში, რომელიც დეველოპერებს შეუძლიათ გამოიყენონ WordPress-ის თემებისა და დანამატების კოდის ხელმოწერის განახლებისთვის.