Այժմ WordPress-ն ավելի ապահով է

WP-ն վերջապես ստանում է անվտանգության այն հատկանիշները, որոնց արժանի է ինտերնետի մեկ երրորդը:

WordPress 5.2-ը թողարկվել է կրիպտոգրաֆիկ ստորագրված թարմացումների աջակցությամբ՝ ժամանակակից կրիպտոգրաֆիկ գրադարան:

WordPress-ի բովանդակության կառավարման համակարգը (CMS) այսօր պատրաստվում է ստանալ անվտանգության նոր առանձնահատկությունների տեսականի, որոնք վերջապես կավելացնեն պաշտպանության այն մակարդակը, որը տարիներ շարունակ փափագում էին նրա օգտատերերից շատերը: Այս հատկանիշները սպասվում են այսօր ավելի ուշ WordPress 5.2-ի պաշտոնական թողարկումով: Ներառված են կրիպտոգրաֆիկ ստորագրված թարմացումների աջակցություն, ժամանակակից կրիպտոգրաֆիկ գրադարանի աջակցություն, ադմինիստրատորի վահանակի հետնամասում գտնվող Site Health բաժինը և մի գործառույթ, որը կգործի որպես WSOD անվտանգության կայք ադմինների համար, որոնք մուտք են գործում իրենց հետնամաս՝ աղետալի PHP սխալների դեպքում:

Քանի որ WordPress-ը տեղադրված է բոլոր վեբկայքերի մոտ 33,8 տոկոսի վրա, այս հատկանիշները պետք է փարատեն որոշ հարձակման վեկտորների վերաբերյալ որոշ մտահոգություններ:

ԳՐԻՊՏՈԳՐԱՖԻԿ ՍՏՈՐԱԳՐՎԱԾ ԹԱՐՄԱՑՈՒՄՆԵՐ

Հավանաբար այսօրվա անվտանգության նոր հնարավորություններից ամենամեծն ու ամենակարևորը WordPress-ի օֆլայն թվային ստորագրության համակարգն է:

Սկսած WordPress 5.2-ից՝ WordPress-ի թիմը թվային կերպով կստորագրի իր թարմացման փաթեթները Ed25519 հանրային բանալու ստորագրման համակարգով, որպեսզի տեղական տեղադրումը կարողանա ստուգել թարմացման փաթեթի իսկությունը՝ նախքան այն կիրառելը տեղական կայքում:

Կրիպտոգրաֆիկ ստորագրված թարմացումների համար աջակցության ավելացումը կարևոր քայլ է հաքերների կողմից WordPress-ի բոլոր կայքերի վրա մատակարարման շղթայի հարձակումը կանխելու համար, ինչի մասին անվտանգության ընկերությունները զգուշացրել են ավելի քան երկու տարի:

Նախքան WordPress 5.2Եթե ​​ցանկանում էիք վարակել Ինտերնետում WordPress-ի յուրաքանչյուր կայք, պարզապես պետք է կոտրեիք (WordPress) թարմացման սերվերը, ասաց Սքոթ Արցիսևսկին, Paragon Initiative Enterprises-ի զարգացման գլխավոր տնօրենը և WordPress-ի թարմացման համակարգի ապահովման մեջ ներգրավված մշակողներից մեկը:

WordPress 5.2-ից հետո, դուք պետք է կատարեք նույն հարձակումը և ինչ-որ կերպ գողանաք WordPress-ի հիմնական մշակողների թիմի ստորագրման բանալին:

ՎՈՐԴՊՐԵՍԸ ՍՏԱՆՈՒՄ Է ԺԱՄԱՆԱԿԱԿԻՑ ԳՐԱԴԱՐԱՆ ԳՐԱԴԱՐԱՆ

Սակայն Արցիշևսկու աշխատանքը WordPress CMS-ի վրա դրանով չավարտվեց: Նա նաև իր ներդրումն է ունեցել WordPress-ում՝ փոխարինելով հին կրիպտոգրաֆիկ գրադարանը ժամանակակից ժամանակներին հարմարվող գրադարանով:

Սկսած WordPress 5.2-ից՝ CMS-ը կաջակցի Libsodium գրադարանին բոլոր գաղտնագրային գործողությունների համար՝ այժմ հնացած և հեռացված mcrypt-ի փոխարեն: Libsodium-ն այժմ WordPress CMS-ի սկզբնական կոդի մի մասն է, Arciszewski-ի sodium_compat գրադարանի հետ միասին, որն աշխատում է որպես պոլիֆիլմ հին PHP սերվերների համար, որոնք չեն աջակցում Libsodium-ին: WordPress-ն այժմ միանում է ժամանակակից վեբ-ծրագրավորող գործիքների շարքին, որոնք բնիկորեն աջակցում են Libsodium-ին, ինչպիսիք են PHP 7.2+, Magento 2.3+ և Joomla 3.8+: Բացի այդ, WordPress CMS միջուկին Libsodium-ի ավելացմամբ, սա նաև նշանակում է, որ հավելվածների և թեմաների մշակողները կարող են սկսել աջակցել այն:

Արցիշևսկին այսօր հրապարակել է ա բլոգի գրառում WordPress-ի պլագինների և թեմաների մշակողների համար հիմնական խորհուրդներով, թե ինչպես փոխարինել հին mcrypt գաղտնագրման գործառույթները libsodium-ով:

ԿԱՅՔԻ ՆՈՐ ԱՌՈՂՋԱՊԱՀՈՒԹՅԱՆ ԲԱԺԻՆ

Սակայն WordPress 5.2-ի առաջին անվտանգության առանձնահատկությունները, որոնք օգտատերերը կնկատեն այսօրվա թողարկման մեջ, CMS կոդի փոփոխությունները չեն, այլ նոր «Կայքի առողջություն» բաժինը ադմինիստրատորի վահանակի Գործիքներ ընտրացանկում: Այս բաժինը ներառում է երկու նոր էջ՝ Կայքի Առողջություն և Կայքի Առողջապահական Տեղեկություններ: Կայքի Առողջության կարգավիճակի էջն աշխատում է՝ կատարելով մի շարք հիմնական անվտանգության ստուգումներ և արդյունքների հետ հաշվետվություն ներկայացնելով, ինչպես նաև առաջարկություններ՝ իր հայտնաբերած խնդիրները շտկելու համար: Այս բաժինը գալիս է մի շարք փաթեթավորված թեստերով, սակայն կայքի սեփականատերերը և անվտանգության հավելումների մշակողները կարող են նաև գրել իրենցը՝ ընդլայնելու անվտանգության վերահսկողությունը WordPress կայքի ավելի շատ ոլորտներում:

Երկրորդ բաժինը, որը կոչվում է Կայքի առողջապահական տեղեկատվություն, այն է, ինչ ենթադրում է նրա անունը: Այն տրամադրում է վեբկայքի և սերվերի կոնֆիգուրացիայի բազմաթիվ տեղեկություններ և նախատեսված է վրիպազերծման նպատակներով կամ երբ կայքը պետք է համօգտագործվի ՏՏ մասնագետի հետ՝ աջակցության ծառայությունների համար: Տրամադրվում է տեղեկատվություն ձեր WordPress-ի տեղադրման, հիմքում ընկած սերվերի, պլագինների, թեմաների և ֆայլերի պահպանման մասին:

SERVHAPPY ԱՌԱՆՁՆԱՀԱՏԿՈՒԹՅՈՒՆ

WordPress 5.2-ում ներառված անվտանգության մեկ այլ նոր առանձնահատկություն է Servehappy նախագիծ, որն ի սկզբանե պետք է թողարկվեր WordPress 5.1-ով, բայց բաժանվեց երկու մասի, ընդ որում նախագծի մի մասը առաքվում է WordPress 5.1-ով, իսկ մյուս կեսը առաքվում է այսօր՝ WordPress 5.2-ով:

WordPress 5.1-ը ներառում էր ազդանշաններ ցուցադրելու հնարավորություն, երբ WordPress սերվերները աշխատում էին հնացած PHP տարբերակներով սերվերների վրա: WordPress 5.2-ը, որը թողարկվել է այսօր, կներառի «White Screen Of Death» (WSOD) գործառույթը և կաշխատի որպես «Ապահով ռեժիմ» WordPress կայքերի համար: WSOD-ի պաշտպանությունն աշխատում է՝ ժամանակավորապես անջատելով թեմաներն ու փլագինները, երբ PHP-ի ճակատագրական սխալ է տեղի ունենում, այնպես որ կայքի ադմինիստրատորները կարող են վերականգնել մուտքը դեպի իրենց կայքերի հետնամասերը և ուղղել սխալը:

Գործառույթն ի սկզբանե նախատեսված էր WordPress 5.1-ի համար, բայց հետաձգվեց մինչև 5.2 տարբերակը, երբ անվտանգության պաշտոնյաները բարձրացրեցին մի քանի սցենարներ, որտեղ հաքերները կարող էին չարաշահել WSOD պաշտպանության համակարգը՝ անջատելու WordPress անվտանգության հավելումները և հարձակումներ իրականացնել WordPress կայքերի վրա:

ԱՊԱԳԱ ՊԼԱՆՆԵՐ

WordPress-ի անվտանգության բարելավման աշխատանքները չեն դադարի 5.2 տարբերակի թողարկումով: Այլ նախագծերը ներառում են Gossamer նախագիծը, որը նախատեսված է WordPress 5.4-ի համար: Gossamer նախագիծը նպատակ ունի ներմուծել նույն կոդերի ստորագրման համակարգը, որն օգտագործվում է WordPress-ի հիմնական թարմացումների համար, այն շրջանակի մեջ, որը մշակողները կարող են օգտագործել նաև WordPress-ի թեմաների և պլագինների կոդերի ստորագրման թարմացումների համար: