×
wordpress-security.jpg
WordPress content management system (CMS) er indstillet til at modtage et udvalg af nye sikkerhedselementer i dag, der vil endelig tilføje beskyttelse niveau, at mange af dens brugere, der har ønsket i årevis.
Disse funktioner forventes at lande med den officielle udgave af WordPress 5.2, der forventes at foreligge senere i dag.
I prisen er støtte til kryptografisk-underskrevet opdateringer, support for en moderne kryptografi bibliotek, et Websted, Sundhed afsnit i admin panelet backend, og en funktion, der vil fungere som en Hvid-Screen-of-Death (WSOD) beskyttelse-at lade site admins kan få adgang til deres backend i tilfælde af katastrofale PHP fejl.
Med WordPress er installeret på omkring 33.8 procent af alle websteder på internettet, er disse funktioner er indstillet til at sætte nogle frygter på brugervenlighed i forhold til nogle angrebsvinkler.
Kryptografisk-underskrevet opdateringer
Formentlig den største og vigtigste af dagens nye sikkerhedselementer er WordPress’ offline digitale signaturer system.
Start med WordPress 5.2, WordPress teamet vil signere sin opdatere pakker med Ed25519 public-key signature system, således at en lokal installation vil være i stand til at kontrollere opdateringen ægthed, før du anvender den på et lokalt websted.
Tilføjelse af understøttelse for kryptografisk-underskrevet opdateringer er et vigtigt skridt i forhindre truslen aktører fra at gennemføre en supply-chain angreb på alle WordPress sites, noget, der vagtselskaber har advaret om, for mere end to år nu.
“Før WordPress 5.2, hvis du ønsker at inficere hver WordPress site på Internettet, du bare nødt til at hacke [WordPress] update server,” sagde Scott Arciszewski, Chief Development Officer ved Paragon Initiativ Virksomheder, og en af de udviklere, der er involveret i sikring af WordPress opdatere systemet.
“Efter WordPress 5.2, vil du nødt til at trække ud i samme angreb , og på en eller anden måde rapse signatur-nøgle fra WordPress core development team.”
WordPress får et moderne kryptografisk bibliotek
Men Arciszewski arbejde på WordPress CMS gjorde ikke ende her. Han bidrog også til WordPress erstatte en aldrende kryptografisk bibliotek med en, der er egnet til moderne tider.
Start med WordPress 5.2, CMS vil støtte Libsodium bibliotek for alle kryptografiske operationer, i stedet for den nu udfaset og fjernet mcrypt.
Libsodium er nu en del af WordPress CMS-source kode, sammen med Arciszewski er sodium_compat bibliotek, der fungerer som en polyfill for ældre PHP servere, der ikke understøtter Libsodium.
WordPress nu slutter sig til rækken af moderne web-dev værktøjer, der er indbygget støtte Libsodium, såsom PHP 7.2+, Magento 2.3+, og Joomla 3.8+.
Magento 2.3, Joomla 3.8, WordPress 5.2.
Hvis du er ved at udvikle for nogen af disse platforme, og er ved hjælp af disse versioner, du allerede har sodium_compat installeret.
Bare bruge libsodium for dine plugins/moduler/extensions. Ikke engang gider med mcrypt.
— Scott Arciszewski (@CiPHPerCoder) 7 Maj 2019
Desuden, med Libsodium ‘ s tilføjelse til WordPress CMS kernen, betyder det også, plugin og theme-udviklere kan begynde at understøtte det så godt.
Arciszewski, der offentliggøres i dag i et blog-indlæg med grundlæggende råd for WordPress plugin, guides i, hvordan du udskifter gamle mcrypt kryptografiske funktioner med libsodium dem.
Nyt Site Sundhed afsnit
Men den første WordPress 5.2 sikkerhed funktioner, som brugerne vil få øje på i dagens slip er ikke ændringer til CMS’ kode, men den nye “Site Sundhed” i admin panel ‘ s menuen.
Dette afsnit indeholder to nye sider-nemlig Site Sundhed Status og Site Sundhed Info.
Stedet Sundhed Status side virker ved at køre et sæt af grundlæggende sikkerhedstjek, og leverer en rapport med resultaterne, sammen med anbefalinger til at løse eventuelle opdagede problemer.
Dette afsnit kommer med en serie af bundtet tests, men site-ejere og udviklere af sikkerhed plugins kan også skrive deres egne til at udvide sikkerhedstjek til flere områder af en WordPress hjemmeside.
Billede: Marius L. J.
×
wordpress-site-sundhed-status.png
Den anden sektion, som hedder Stedet Sundhed Info, er, hvad navnet antyder. Det giver et væld af oplysninger om den hjemmeside og server opsætning og er beregnet til debugging-formål, eller når de har behov for at dele server detaljer med en IT-medarbejder til support og service.
Info er fastsat om WordPress installation, er den underliggende server, plugins, temaer, og file storage brug.
Billede: Marius L. J.
×
wordpress-site-sundhed-info.png
Servehappy funktion
En anden ny funktion er medtaget med WordPress 5.2 er Servehappy projektet, som oprindeligt var planlagt til at blive frigivet med WordPress 5.1, men var delt i to, med en del af projektet forsendelse med WordPress 5.1, og den anden halvdel bliver afsendt i dag, med WordPress 5.2.
WordPress 5.1 inkluderet muligheden for at vise advarsler, når WordPress servere, der kører på servere med forældede PHP-versioner.
WordPress 5.2, der udkom i dag, vil indeholde en funktion, der hedder ‘Hvid Skærm Af Død” (WSOD) beskyttelse, også kendt som “Fatal fejl beskyttelse,” og fungerer som en “Safe Mode” til WordPress sites.
WSOD beskyttelse værker af midlertidig deaktivering af temaer og plugins, når en PHP fatal fejl er fundet, så site admins kan få adgang til deres websteder ” motorer og rette fejlen.
Billede: Felix Arntz
×
wsod-beskyttelse.png
Den feature blev i første omgang planlagt til WordPress 5.1, men blev forsinket til v5.2 efter sikkerhed forskere rejst flere scenarier, hvor der kan hackere har misbrugt WSOD beskyttelse systemet til at slukke WordPress sikkerhed plugins og iværksætte angreb på WordPress sites.
Fremtidige planer
Men arbejde på at forbedre WordPress sikkerhed ikke vil stoppe med udgivelsen af version 5.2. Andre projekter omfatter projektet Gossamer, der er planlagt til WordPress 5.4.
Projektet Gossamer har til formål at overføre den samme kode-signering system, der anvendes til de vigtigste WordPress opdateringer ind i en ramme, som udviklere kan bruge til at kode-tegn opdateringer til WordPress, temaer og plugins, som godt.
Relaterede cybersecurity dækning:
En hacker er tørre Git-depoter og beder om en ransomJapanese regering til at oprette og vedligeholde defensive malwareChinese hackere brugte NSA-malware et år, før Shadow Mæglere leakSurge af MegaCortex ransomware angreb detectedMalvertiser bag 100+ millioner dårlige annoncer anholdt og udleveret til Ved en første, Israel reagerer på Hamas hackere med en luft strikeThe dark web er mindre, og kan være mindre farligt, end vi tror, TechRepublicGame of Thrones er den mest malware af enhver piratkopierede TV-show CNET
Relaterede Emner:
Open Source
Sikkerhed-TV
Data Management
CXO
Datacentre