Ngayon ang WordPress ay mas ligtas
Ngayon ang WordPress ay mas ligtas
Sa wakas ay nakuha ng WP ang mga tampok na panseguridad na nararapat sa ikatlong bahagi ng internet.
Inilabas ang WordPress 5.2 na may suporta para sa mga update na nilagdaan ng cryptographically, isang modernong cryptographic library.
Ang WordPress content management system (CMS) ay nakatakdang tumanggap ng iba't ibang bagong feature ng seguridad ngayon na sa wakas ay magdaragdag ng antas ng proteksyon na hinahangad ng marami sa mga gumagamit nito sa loob ng maraming taon. Ang mga tampok na ito ay inaasahan sa opisyal na paglabas ng WordPress 5.2 mamaya ngayon. Kasama ang suporta para sa cryptographically signed updates, suporta para sa isang modernong cryptographic library, isang Site Health na seksyon sa backend ng admin panel, at isang feature na magsisilbing WSOD security site para sa mga admin na nagla-log in sa kanilang backend sakaling magkaroon ng mga sakuna na error sa PHP.
Sa WordPress na naka-install sa tinatayang 33,8 porsyento ng lahat ng mga website, ang mga tampok na ito ay tiyak na mapawi ang ilang mga alalahanin tungkol sa ilang mga vector ng pag-atake.
MGA UPDATE NA CRYPTOGRAPHICALLY SIGNED
Marahil ang pinakamalaki at pinakamahalaga sa mga bagong tampok sa seguridad ngayon ay ang offline na digital signature system ng WordPress.
Simula sa WordPress 5.2, digital na pipirmahan ng WordPress team ang mga update package nito gamit ang Ed25519 public key signing system upang ma-verify ng lokal na pag-install ang pagiging tunay ng update package bago ito ilapat sa isang lokal na site.
Ang pagdaragdag ng suporta para sa cryptographically signed updates ay isang mahalagang hakbang sa pagpigil sa mga hacker na magsagawa ng supply-chain attack sa lahat ng WordPress site, isang bagay na binalaan ng mga security firm sa loob ng higit sa dalawang taon.
Bago ang WordPress 5.2Kung gusto mong mahawahan ang bawat WordPress site sa Internet, kailangan mo lang i-hack ang (WordPress) update server, sabi ni Scott Arciszewski, chief development officer sa Paragon Initiative Enterprises, at isa sa mga developer na kasangkot sa pag-secure ng WordPress update system.
Pagkatapos ng WordPress 5.2, kailangan mong gawin ang parehong pag-atake at kahit papaano ay nakawin ang signing key ng WordPress core development team.
NAKAKAKUHA ANG WORDPRESS NG MODERN CRYPTO LIBRARY
Ngunit ang gawain ni Arciszewski sa WordPress CMS ay hindi nagtapos doon. Nag-ambag din siya sa WordPress sa pamamagitan ng pagpapalit ng isang lumang cryptographic library ng isa na umaangkop sa modernong panahon.
Simula sa WordPress 5.2, susuportahan ng CMS ang Libsodium library para sa lahat ng cryptographic na operasyon, sa halip na ang ngayon ay hindi na ginagamit at inalis na mcrypt. Ang Libsodium ay bahagi na ngayon ng WordPress CMS source code, kasama ang sodium_compat library ng Arciszewski na gumagana bilang polyfill para sa mga mas lumang PHP server na hindi sumusuporta sa Libsodium. Sumasali na ngayon ang WordPress sa hanay ng mga modernong tool sa web-dev na katutubong sumusuporta sa Libsodium, gaya ng PHP 7.2+, Magento 2.3+ at Joomla 3.8+. Bilang karagdagan, sa pagdaragdag ng Libsodium sa WordPress CMS core, nangangahulugan din ito na ang mga developer ng plugin at tema ay maaaring magsimulang suportahan ito.
Inilathala ngayon ni Arciszewski ang isang post ng blog na may pangunahing payo para sa WordPress plugin at mga developer ng tema kung paano palitan ang mga lumang mcrypt cryptographic function ng mga libsodium.
BAGONG HEALTH SECTION NG SITE
Ngunit ang unang mga tampok ng seguridad ng WordPress 5.2 na mapapansin ng mga user sa paglabas ngayon ay hindi ang mga pagbabago sa CMS code, ngunit ang bagong seksyong “Site Health” sa menu ng Mga Tool ng admin panel. Kasama sa seksyong ito ang dalawang bagong pahina, Site Health at Site Health Information. Gumagana ang page ng Status ng Kalusugan ng site sa pamamagitan ng pagsasagawa ng isang serye ng mga pangunahing pagsusuri sa seguridad at paghahatid ng ulat na may mga resulta, kasama ang mga rekomendasyon para sa pag-aayos ng anumang mga isyu na makikita nito. Ang seksyong ito ay may kasamang ilang mga naka-bundle na pagsubok, ngunit ang mga may-ari ng site at mga developer ng plugin ng seguridad ay maaari ding sumulat ng kanilang sarili upang palawakin ang mga kontrol sa seguridad sa mas maraming bahagi ng isang WordPress site.
Ang pangalawang seksyon, tinawag Impormasyon sa Kalusugan ng Site, ang ipinahihiwatig ng pangalan nito. Nagbibigay ito ng maraming impormasyon sa pagsasaayos ng website at server at nilayon para sa mga layunin ng pag-debug o kapag kailangang ibahagi ang site sa isang propesyonal sa IT para sa mga serbisyo ng suporta. Ang impormasyon tungkol sa pag-install ng WordPress, pinagbabatayan na server, mga plugin, tema, at paggamit ng pag-iimbak ng file ay ibinigay.
SERVHAPPY FEATURE
Ang isa pang bagong tampok sa seguridad na kasama sa WordPress 5.2 ay ang Masayang proyekto, na orihinal na dapat ilabas gamit ang WordPress 5.1, ngunit nahati sa dalawa, na may bahagi ng pagpapadala ng proyekto gamit ang WordPress 5.1 at ang kalahating pagpapadala ngayon, kasama ang WordPress 5.2.
Kasama sa WordPress 5.1 ang kakayahang magpakita ng mga alerto kapag tumatakbo ang mga server ng WordPress sa mga server na may mga lumang bersyon ng PHP. Ang WordPress 5.2, na inilabas ngayon, ay magsasama ng isang tampok na tinatawag na 'White Screen Of Death' (WSOD) at gagana bilang isang "Safe Mode" para sa mga site ng WordPress. Gumagana ang proteksyon ng WSOD sa pamamagitan ng pansamantalang hindi pagpapagana ng mga tema at plugin kapag naganap ang isang nakamamatay na error sa PHP, upang mabawi ng mga administrator ng site ang access sa mga backend ng kanilang mga site at ayusin ang error.
Ang tampok ay una nang binalak para sa WordPress 5.1 ngunit naantala sa bersyon 5.2 pagkatapos ilabas ng mga opisyal ng seguridad ang ilang mga sitwasyon kung saan maaaring abusuhin ng mga hacker ang sistema ng proteksyon ng WSOD upang hindi paganahin ang mga plugin ng seguridad ng WordPress at maglunsad ng mga pag-atake sa mga site ng WordPress.
MGA PLANO SA HINAHARAP
Ang gawain upang mapabuti ang seguridad ng WordPress ay hindi titigil sa paglabas ng bersyon 5.2. Kasama sa iba pang mga proyekto ang proyektong Gossamer, na binalak para sa WordPress 5.4. Ang proyekto ng Gossamer ay naglalayong dalhin ang parehong code-signing system na ginagamit para sa mga pangunahing pag-update ng WordPress sa isang framework na magagamit ng mga developer para sa mga update sa pag-sign ng code para sa mga tema at plugin ng WordPress din.
Maaari ka ring maging interesado sa:
Apat na bansa, isang napakalaking karagatan: ang kaso ng CMAR
Ito ang marine corridor ng silangang tropikal na Pasipiko: Panama, Ecuador, Colombia at Costa Rica na kaalyado para sa proteksyon ng mga dagat at marine species...
Lausanne, sa landas ng polusyon: ang kuwento ng isang incinerator
Isang pangkat ng mga siyentipiko ang muling nagtayo ng mga kaganapan ng planta ng waste-to-energy ng Vallon at ang hindi nakikitang kontaminasyon na ikinagulat ng Canton ng Vaud
Paano tinutukoy ng kapaligiran ang mga katangian ng keso
Itinatampok ng pagtikim kung paano, sa hindi nagbabagong mga panuntunan sa produksyon, ang klima at mga pananim ng kumpay ay nakakaimpluwensya sa iba't ibang organoleptic na tala
Naabot ng Innosuisse ang 2023 nitong mga layunin sa pagbabago sa Switzerland
Isang record na halaga na higit sa 490 milyong franc ang inilaan upang mabayaran ang kawalan ng kaugnayan sa kilalang Horizon Europe program ng EU.
//