Одоо WordPress илүү аюулгүй болсон

WP эцэст нь интернетийн гуравны нэгд хүрэх ёстой аюулгүй байдлын шинж чанаруудыг олж авдаг.

WordPress 5.2 нь орчин үеийн криптограф номын сан болох криптографийн гарын үсэг бүхий шинэчлэлтүүдийн дэмжлэгтэйгээр гарсан.

WordPress агуулгын удирдлагын систем (CMS) нь өнөөдөр олон хэрэглэгчдийнхээ олон жилийн турш хүсч байсан хамгаалалтын түвшинг нэмэгдүүлэх шинэ хамгаалалтын функцуудыг хүлээн авахаар төлөвлөж байна. Өнөөдрийн орой WordPress 5.2 албан ёсны хувилбарыг гаргаснаар эдгээр функцууд гарах болно. Үүнд криптографийн гарын үсэг бүхий шинэчлэлтийн дэмжлэг, орчин үеийн криптографийн номын сангийн дэмжлэг, админ самбарын арын хэсэгт байрлах Сайтын эрүүл мэндийн хэсэг, PHP-ийн гамшигт алдаа гарсан тохиолдолд админууд өөрсдийн backend руу нэвтрэхэд зориулсан WSOD аюулгүй байдлын сайтын үүрэг гүйцэтгэх функц багтсан болно.

WordPress-ийг нийт вэбсайтын 33,8 хувьд суулгасан тул эдгээр функцууд нь халдлагын векторуудын талаар зарим нэг санаа зовоосон асуудлуудыг арилгах нь гарцаагүй.

КРИПТОГРАФИКИЙН ГАРЫН СУУРИЛСАН ШИНЭЧЛЭЛҮҮД

Өнөөгийн аюулгүй байдлын шинэ боломжуудын хамгийн том бөгөөд хамгийн чухал нь WordPress-ийн офлайн тоон гарын үсгийн систем юм.

WordPress 5.2-оос эхлэн WordPress баг шинэчлэлтийн багцуудаа Ed25519 нийтийн түлхүүрийн гарын үсэг зурах системээр дижитал гарын үсэг зурах бөгөөд ингэснээр локал суулгац нь шинэчлэлтийн багцыг орон нутгийн сайтад ашиглахаасаа өмнө жинхэнэ эсэхийг шалгах боломжтой болно.

Криптографаар гарын үсэг зурсан шинэчлэлтүүдэд дэмжлэг үзүүлэх нь хакерууд WordPress-ийн бүх сайтууд дээр нийлүүлэлтийн сүлжээний халдлага хийхээс урьдчилан сэргийлэх чухал алхам бөгөөд хамгаалалтын фирмүүд хоёр жил гаруйн хугацаанд анхааруулсаар ирсэн.

WordPress 5.2-ээс өмнөХэрэв та интернет дэх WordPress сайт бүрийг халдварлахыг хүсвэл зүгээр л (WordPress) шинэчлэлтийн серверийг хакердах хэрэгтэй болсон гэж Paragon Initiative Enterprises компанийн хөгжүүлэлтийн ахлах ажилтан, WordPress шинэчлэлтийн системийг хамгаалахад оролцсон хөгжүүлэгчдийн нэг Скотт Арчишевски хэлэв.

WordPress 5.2-ын дараа, та ижил халдлагад өртөж, WordPress-ийн үндсэн хөгжүүлэлтийн багийн гарын үсэг зурах түлхүүрийг ямар нэгэн байдлаар хулгайлах хэрэгтэй.

WORDPRESS ОРЧИН ҮЕИЙН КРИПТО НОМЫН САН БОЛЛОО

Гэхдээ WordPress CMS дээр Arciszewski-ийн ажил үүгээр дууссангүй. Мөн тэрээр хуучин криптограф номын санг орчин үед дасан зохицсон номын сангаар сольж WordPress-д хувь нэмрээ оруулсан.

WordPress 5.2-оос эхлэн CMS нь одоо хуучирсан болон устгагдсан mcrypt-ийн оронд Libsodium номын санг бүх криптографийн үйлдлүүдийг дэмжих болно. Libsodium нь одоо WordPress CMS-ийн эх кодын нэг хэсэг бөгөөд Arciszewski-ийн sodium_compat номын сан нь Libsodium-ийг дэмждэггүй хуучин PHP серверүүдэд полифилл болдог. WordPress одоо PHP 7.2+, Magento 2.3+, Joomla 3.8+ зэрэг Libsodium-ийг дэмждэг орчин үеийн вэб хөгжүүлэгч хэрэгслүүдийн эгнээнд нэгдэж байна. Нэмж дурдахад, WordPress CMS-ийн цөмд Libsodium-ийг нэмснээр залгаас болон сэдэв хөгжүүлэгчид үүнийг дэмжиж эхлэх боломжтой гэсэн үг юм.

Arciszewski өнөөдөр нийтэлсэн a блог нийтлэл Хуучин mcrypt криптограф функцийг libsodium функцээр хэрхэн солих талаар WordPress залгаас болон сэдэв хөгжүүлэгчдэд зориулсан үндсэн зөвлөгөө.

САЙТЫН ЭРҮҮЛ МЭНДИЙН ШИНЭ ХЭСЭГ

Гэхдээ өнөөдрийн хувилбар дээр хэрэглэгчдийн анзаарах анхны WordPress 5.2 аюулгүй байдлын онцлог нь CMS кодын өөрчлөлт биш харин админ самбарын Хэрэгсэл цэсний шинэ "Сайтын эрүүл мэнд" хэсэг юм. Энэ хэсэгт Сайтын эрүүл мэнд, Сайтын эрүүл мэндийн мэдээлэл гэсэн хоёр шинэ хуудас багтсан болно. Сайтын Эрүүл мэндийн хуудас нь аюулгүй байдлын хэд хэдэн үндсэн шалгалтыг хийж, үр дүнгийн тайланг гаргаж, олсон аливаа асуудлыг засах зөвлөмжийг өгдөг. Энэ хэсэг нь хэд хэдэн багц тестийн хамт ирдэг боловч сайтын эзэд болон хамгаалалтын залгаас хөгжүүлэгчид WordPress сайтын илүү олон хэсэгт аюулгүй байдлын хяналтыг өргөжүүлэхийн тулд өөрсдөө бичиж болно.

Хоёр дахь хэсэг, гэж нэрлэдэг Сайтын эрүүл мэндийн мэдээлэл, нэр нь юу гэсэн үг вэ. Энэ нь вэб сайт болон серверийн тохиргооны мэдээллээр хангадаг бөгөөд дибаг хийх зорилгоор эсвэл сайтыг мэдээллийн технологийн мэргэжилтэнтэй хуваалцах шаардлагатай үед дэмжлэг үзүүлэх үйлчилгээнд зориулагдсан болно. WordPress суулгац, үндсэн сервер, залгаасууд, сэдэв, файл хадгалах ашиглалтын талаарх мэдээллийг өгсөн.

ҮЙЛЧИЛГЭЭНИЙ ОНЦЛОГ

WordPress 5.2-д багтсан өөр нэг шинэ аюулгүй байдлын онцлог нь Servehappy төсөл, энэ нь анх WordPress 5.1 хувилбараар гарах байсан ч хоёр хуваагдсан бөгөөд төслийн нэг хэсэг нь WordPress 5.1, нөгөө хагас нь өнөөдөр WordPress 5.2 хувилбартай.

WordPress 5.1 нь хуучирсан PHP хувилбартай серверүүд дээр WordPress серверүүд ажиллаж байх үед сэрэмжлүүлэг харуулах боломжийг агуулсан. Өнөөдөр гарсан WordPress 5.2 нь "Үхлийн цагаан дэлгэц" (WSOD) гэсэн функцийг агуулсан бөгөөд WordPress сайтуудад зориулсан "Аюулгүй горим" болж ажиллах болно. WSOD хамгаалалт нь аюултай PHP алдаа гарсан үед сэдэв болон залгаасуудыг түр идэвхгүй болгох замаар ажилладаг тул сайтын админууд сайтынхаа арын хэсэгт хандах эрхийг сэргээж, алдааг засах боломжтой.

Энэхүү функцийг WordPress 5.1-д зориулж анх төлөвлөж байсан боловч хамгаалалтын албаныхан хакерууд WSOD хамгаалалтын системийг урвуулан ашиглаж WordPress-ийн аюулгүй байдлын залгаасуудыг идэвхгүй болгож, WordPress сайтууд руу халдлага үйлдэж болзошгүй гэсэн хэд хэдэн хувилбарыг гаргасны дараа 5.2 хувилбар руу шилжүүлсэн.

ИРЭЭДҮЙН ТӨЛӨВЛӨГӨӨ

WordPress-ийн аюулгүй байдлыг сайжруулах ажил 5.2 хувилбарыг гаргаснаар зогсохгүй. Бусад төслүүдэд WordPress 5.4-д зориулагдсан Gossamer төсөл орно. Gossamer төсөл нь WordPress-ийн томоохон шинэчлэлтүүдэд ашигладаг код гарын үсэг зурах системийг хөгжүүлэгчид WordPress-ийн сэдэв болон залгаасуудад зориулсан код гарын үсэг зурах шинэчлэлтэд ашиглаж болох тогтолцоонд оруулах зорилготой юм.