Эми WordPress коопсузураак

WP акыры интернеттин үчтөн бирине татыктуу болгон коопсуздук функцияларын алат.

WordPress 5.2 криптографиялык кол коюлган жаңыртууларды колдоо менен чыгарылган, заманбап криптографиялык китепкана.

WordPress мазмунду башкаруу тутуму (CMS) бүгүн жаңы коопсуздук функцияларынын ассортиментин ала турган болду, ал акыры анын көптөгөн колдонуучулары жылдар бою эңсеп келген коргоо деңгээлин кошот. Бул өзгөчөлүктөр бүгүн кечирээк WordPress 5.2 расмий чыгарылышында күтүлүүдө. Криптографиялык кол коюлган жаңыртууларды колдоо, заманбап криптографиялык китепкананы колдоо, администратор панелинин арткы бөлүгүндөгү Сайттын ден соолук бөлүмү жана катастрофалык PHP каталары болгон учурда администраторлордун серверине кирүү үчүн WSOD коопсуздук сайты катары иштей турган функция камтылган.

WordPress бардык веб-сайттардын болжолдуу 33,8 пайызында орнотулгандыктан, бул функциялар чабуулдун кээ бир векторлоруна байланыштуу айрым кооптонууну жоюуга милдеттүү.

КРИПТОГРАФИЯЛЫК КОЛ КОЮЛГАН ЖАҢЫЛЫШТАР

Кыязы, бүгүнкү күндүн жаңы коопсуздук функцияларынын эң чоңу жана эң маанилүүсү бул WordPressтин оффлайн санариптик кол коюу системасы.

WordPress 5.2ден баштап, WordPress командасы жаңыртуу пакеттерине Ed25519 ачык ачкычка кол коюу системасы менен санарип кол коёт, андыктан жергиликтүү орнотуу жаңыртуу пакетин жергиликтүү сайтка колдонуудан мурун аныктыгын текшере алат.

Криптографиялык кол коюлган жаңыртууларды колдоо хакерлердин бардык WordPress сайттарына жеткирүү чынжырчасынын чабуулун алдын алуудагы маанилүү кадам болуп саналат, коопсуздук фирмалары эки жылдан ашык убакыттан бери эскерткен.

WordPress 5.2 алдындаЭгер сиз Интернеттеги ар бир WordPress сайтын жугузууну кааласаңыз, анда сиз жөн гана (WordPress) жаңыртуу серверин бузушуңуз керек болчу, - деди Paragon Initiative Enterprises компаниясынын өнүктүрүү боюнча башкы адиси жана WordPress жаңыртуу системасын камсыздоого катышкан иштеп чыгуучулардын бири Скотт Арчишевски.

WordPress 5.2 кийин, сиз ошол эле чабуулду токтотуп, кандайдыр бир жол менен WordPress негизги иштеп чыгуу тобунун кол коюу ачкычын уурдашыңыз керек.

WORDPRESS ЗАМАНДЫК КРИПТО КИТЕПКАНАГА АЛАТ

Бирок Arciszewski WordPress CMS боюнча иши ушуну менен эле бүтпөйт. Ал ошондой эле эски криптографиялык китепкананы заманбап заманга ылайыкташкан китепканага алмаштыруу менен WordPressке салым кошкон.

WordPress 5.2ден баштап, CMS азыр эскирген жана алынып салынган mcryptтин ордуна, бардык криптографиялык операциялар үчүн Libsodium китепканасын колдойт. Libsodium азыр Arciszewski'нин sodium_compat китепканасы менен бирге WordPress CMS булак кодунун бир бөлүгү болуп саналат, ал Libsodium'ду колдоого албаган эски PHP серверлери үчүн политолтуруучу болуп иштейт. WordPress азыр PHP 7.2+, Magento 2.3+ жана Joomla 3.8+ сыяктуу Libsodium'ду колдогон заманбап веб-дев куралдарынын катарына кошулду. Кошумчалай кетсек, WordPress CMS өзөгүнө Libsodium кошулгандыктан, бул плагин жана теманы иштеп чыгуучулар аны колдой башташы мүмкүн дегенди билдирет.

Арчишевский бугун жарыяланган А блог посту WordPress плагини жана теманы иштеп чыгуучулар үчүн эски mcrypt криптографиялык функцияларын libsodium функцияларына кантип алмаштыруу боюнча негизги кеңеш менен.

САЙТТЫН ЖАНЫ ДЕН СООЛУК БӨЛҮМҮ

Бирок бүгүнкү чыгарылышта колдонуучулар байкай турган биринчи WordPress 5.2 коопсуздук функциялары CMS кодун өзгөртүү эмес, администратор панелинин Куралдар менюсундагы жаңы “Сайттын ден соолугу” бөлүмү. Бул бөлүм эки жаңы барактарды камтыйт, Сайттын ден соолугу жана Сайттын Ден соолук маалыматы. Сайттын Ден соолук абалынын барагы коопсуздуктун бир катар негизги текшерүүлөрүн жүргүзүү жана натыйжалары менен отчетту жана табылган көйгөйлөрдү чечүү боюнча сунуштарды берүү менен иштейт. Бул бөлүм бир катар тесттер менен коштолот, бирок сайт ээлери жана коопсуздук плагиндерин иштеп чыгуучулар WordPress сайтынын көбүрөөк аймактарына коопсуздукту көзөмөлдөөнү кеңейтүү үчүн өздөрүн жаза алышат.

Экинчи бөлүм, деп аталат Сайттын ден соолук маалыматы, анын аты эмнени билдирет. Ал веб-сайттын жана сервердин конфигурациясынын көптөгөн маалыматын камсыз кылат жана мүчүлүштүктөрдү оңдоо максатында же сайтты колдоо кызматтары үчүн IT адиси менен бөлүшүү керек болгондо арналган. WordPress орнотуу, негизги сервер, плагиндер, темалар жана файл сактагычын колдонуу жөнүндө маалымат берилген.

SERVHAPPY ФУНКЦИЯСЫ

WordPress 5.2 камтылган дагы бир жаңы коопсуздук өзгөчөлүгү болуп саналат Servehappy долбоору, алгач WordPress 5.1 менен чыгарылышы керек болчу, бирок экиге бөлүнгөн, долбоордун бир бөлүгү WordPress 5.1 менен, экинчи жарымы бүгүн WordPress 5.2 менен жөнөтүлгөн.

WordPress 5.1 WordPress серверлери эскирген PHP версиялары бар серверлерде иштеп жатканда эскертүүлөрдү көрсөтүү мүмкүнчүлүгүн камтыган. Бүгүн жарыкка чыккан WordPress 5.2 'White Screen of Death' (WSOD) деп аталган функцияны камтыйт жана WordPress сайттары үчүн "Коопсуз режим" катары иштейт. WSOD коргоосу коркунучтуу PHP катасы пайда болгондо темаларды жана плагиндерди убактылуу өчүрүү менен иштейт, андыктан сайттын администраторлору өз сайттарынын серверлерине кирүү мүмкүнчүлүгүн калыбына келтирип, катаны оңдой алышат.

Бул өзгөчөлүк алгач WordPress 5.1 үчүн пландаштырылган, бирок коопсуздук кызматкерлери хакерлер WordPress коопсуздук плагиндерин өчүрүү жана WordPress сайттарына чабуулдарды баштоо үчүн WSOD коргоо тутумун кыянаттык менен пайдаланышы мүмкүн болгон бир нече сценарийди көтөргөндөн кийин 5.2 версиясына жылдырылды.

КЕЛЕЧЕК ПЛАНДАРЫ

WordPress коопсуздугун жакшыртуу боюнча иш 5.2 версиясын чыгаруу менен токтоп калбайт. Башка долбоорлорго WordPress 5.4 үчүн пландаштырылган Gossamer долбоору кирет. Gossamer долбоору негизги WordPress жаңыртуулары үчүн колдонулган кодго кол коюу системасын иштеп чыгуучулар WordPress темалары жана плагиндери үчүн кодго кол коюу жаңыртуулары үчүн колдоно ала турган алкактарга алып келүүнү максат кылат.