Τώρα το WordPress είναι πιο ασφαλές

WP ottiene finalmente le caratteristiche di sicurezza che un terzo di Internet merita.

Το WordPress 5.2 κυκλοφόρησε με υποστήριξη για κρυπτογραφικά υπογεγραμμένες ενημερώσεις, μια σύγχρονη κρυπτογραφική βιβλιοθήκη.

Το σύστημα διαχείρισης περιεχομένου WordPress (CMS) πρόκειται να λάβει σήμερα μια ποικιλία νέων χαρακτηριστικών ασφαλείας που θα προσθέσουν επιτέλους το επίπεδο προστασίας που πολλοί από τους χρήστες του λαχταρούσαν εδώ και χρόνια. Αυτά τα χαρακτηριστικά αναμένονται με την επίσημη κυκλοφορία του WordPress 5.2 αργότερα σήμερα. Περιλαμβάνονται υποστήριξη για κρυπτογραφικά υπογεγραμμένες ενημερώσεις, υποστήριξη για μια σύγχρονη κρυπτογραφική βιβλιοθήκη, μια ενότητα Site Health στο backend του πίνακα διαχείρισης και μια δυνατότητα που θα λειτουργεί ως τοποθεσία ασφαλείας WSOD για διαχειριστές που συνδέονται στο backend τους σε περίπτωση καταστροφικών σφαλμάτων PHP.

Με το WordPress να είναι εγκατεστημένο σε περίπου 33,8 τοις εκατό όλων των ιστότοπων, αυτές οι δυνατότητες είναι βέβαιο ότι θα κατευνάσουν ορισμένες ανησυχίες σχετικά με ορισμένους φορείς επιθέσεων.

ΚΡΥΠΤΟΓΡΑΦΙΚΑ ΥΠΟΓΡΑΦΕΙΣ ΕΝΗΜΕΡΩΣΕΙΣ

Πιθανώς το μεγαλύτερο και πιο σημαντικό από τα νέα χαρακτηριστικά ασφαλείας του σήμερα είναι το offline σύστημα ψηφιακών υπογραφών του WordPress.

Ξεκινώντας με το WordPress 5.2, η ομάδα του WordPress θα υπογράψει ψηφιακά τα πακέτα ενημερώσεών της με το σύστημα υπογραφής δημόσιου κλειδιού Ed25519, έτσι ώστε μια τοπική εγκατάσταση να μπορεί να επαληθεύσει την αυθεντικότητα του πακέτου ενημέρωσης προτού το εφαρμόσει σε έναν τοπικό ιστότοπο.

Η προσθήκη υποστήριξης για κρυπτογραφικά υπογεγραμμένες ενημερώσεις είναι ένα σημαντικό βήμα για την αποτροπή των χάκερ από την πραγματοποίηση επίθεσης εφοδιαστικής αλυσίδας σε όλους τους ιστότοπους του WordPress, κάτι που οι εταιρείες ασφαλείας έχουν προειδοποιήσει να γνωρίζουν και να κάνουν για περισσότερα από δύο χρόνια.

Πριν από το WordPress 5.2Αν ήθελες να μολύνεις κάθε ιστότοπο του WordPress στο Διαδίκτυο, έπρεπε απλώς να χακάρεις τον διακομιστή ενημέρωσης (WordPress), είπε ο Scott Arciszewski, επικεφαλής ανάπτυξης στην Paragon Initiative Enterprises και ένας από τους προγραμματιστές που ασχολούνται με την ασφάλεια του συστήματος ενημέρωσης του WordPress.

Μετά το WordPress 5.2, πρέπει να κάνετε την ίδια επίθεση και να κλέψετε με κάποιο τρόπο το κλειδί υπογραφής της βασικής ομάδας ανάπτυξης του WordPress.

Το WORDPRESS ΑΠΟΚΤΗΣΕΙ ΜΙΑ ΣΥΓΧΡΟΝΗ ΚΡΥΠΤΟΒΙΒΛΙΟΘΗΚΗ

Αλλά η δουλειά του Arciszewski για το WordPress CMS δεν τελείωσε εκεί. Έχει επίσης συνεισφέρει στο WordPress αντικαθιστώντας μια παλιά κρυπτογραφική βιβλιοθήκη με μια που προσαρμόζεται στη σύγχρονη εποχή.

Ξεκινώντας με το WordPress 5.2, το CMS θα υποστηρίζει τη βιβλιοθήκη Libsodium για όλες τις κρυπτογραφικές λειτουργίες, αντί για την πλέον καταργημένη και καταργημένη mcrypt. Το Libsodium είναι πλέον μέρος του πηγαίου κώδικα του WordPress CMS, μαζί με τη βιβλιοθήκη sodium_compat του Arciszewski, η οποία λειτουργεί ως πολυπλήρωση για παλαιότερους διακομιστές PHP που δεν υποστηρίζουν το Libsodium. Το WordPress εντάσσεται τώρα στις τάξεις των σύγχρονων εργαλείων web-dev που υποστηρίζουν εγγενώς το Libsodium, όπως τα PHP 7.2+, Magento 2.3+ και Joomla 3.8+. Επιπλέον, με την προσθήκη του Libsodium στον πυρήνα του WordPress CMS, αυτό σημαίνει επίσης ότι οι προγραμματιστές προσθηκών και θεμάτων μπορούν να αρχίσουν να το υποστηρίζουν.

Ο Arciszewski δημοσίευσε σήμερα ένα ανάρτηση με βασικές συμβουλές για τους προγραμματιστές προσθηκών και θεμάτων WordPress σχετικά με τον τρόπο αντικατάστασης των παλιών κρυπτογραφικών συναρτήσεων mcrypt με libsodium.

ΝΕΑ ΕΝΟΤΗΤΑ ΥΓΕΙΑΣ ΤΟΥ SITE

Ωστόσο, οι πρώτες λειτουργίες ασφαλείας του WordPress 5.2 που θα παρατηρήσουν οι χρήστες στη σημερινή έκδοση δεν είναι οι αλλαγές στον κώδικα CMS, αλλά η νέα ενότητα "Υγεία ιστότοπου" στο μενού Εργαλεία του πίνακα διαχείρισης. Αυτή η ενότητα περιλαμβάνει δύο νέες σελίδες, την Υγεία του ιστότοπου και τις Πληροφορίες για την υγεία του ιστότοπου. Η σελίδα κατάστασης υγείας του ιστότοπου λειτουργεί εκτελώντας μια σειρά βασικών ελέγχων ασφαλείας και παραδίδοντας μια αναφορά με τα αποτελέσματα, μαζί με συστάσεις για τη διόρθωση τυχόν προβλημάτων που εντοπίζει. Αυτή η ενότητα συνοδεύεται από μια σειρά από ομαδοποιημένες δοκιμές, αλλά οι ιδιοκτήτες ιστότοπων και οι προγραμματιστές προσθηκών ασφαλείας μπορούν επίσης να γράψουν τις δικές τους για να επεκτείνουν τα στοιχεία ελέγχου ασφαλείας σε περισσότερες περιοχές ενός ιστότοπου WordPress.

Το δεύτερο τμήμα, που ονομάζεται Πληροφορίες για την υγεία του ιστότοπου, είναι αυτό που υποδηλώνει το όνομά του. Παρέχει πληθώρα πληροφοριών διαμόρφωσης ιστότοπου και διακομιστή και προορίζεται για σκοπούς εντοπισμού σφαλμάτων ή όταν ο ιστότοπος πρέπει να κοινοποιηθεί σε έναν επαγγελματία πληροφορικής για υπηρεσίες υποστήριξης. Παρέχονται πληροφορίες σχετικά με την εγκατάσταση του WordPress, τον υποκείμενο διακομιστή, τις προσθήκες, τα θέματα και τη χρήση αποθήκευσης αρχείων.

SERVHAPPY ΧΑΡΑΚΤΗΡΙΣΤΙΚΟ

Ένα άλλο νέο χαρακτηριστικό ασφαλείας που περιλαμβάνεται στο WordPress 5.2 είναι το Ευχαριστημένο έργο, το οποίο αρχικά υποτίθεται ότι θα κυκλοφορούσε με το WordPress 5.1, αλλά χωρίστηκε στα δύο, με ένα μέρος του έργου να αποστέλλεται με το WordPress 5.1 και το άλλο μισό να αποστέλλεται σήμερα, με το WordPress 5.2.

Το WordPress 5.1 περιλάμβανε τη δυνατότητα εμφάνισης ειδοποιήσεων όταν οι διακομιστές WordPress εκτελούνταν σε διακομιστές με ξεπερασμένες εκδόσεις PHP. Το WordPress 5.2, που κυκλοφόρησε σήμερα, θα περιλαμβάνει μια δυνατότητα που ονομάζεται «Λευκή οθόνη θανάτου» (WSOD) και θα λειτουργεί ως «Ασφαλής λειτουργία» για ιστότοπους WordPress. Η προστασία WSOD λειτουργεί με την προσωρινή απενεργοποίηση θεμάτων και προσθηκών όταν παρουσιάζεται ένα μοιραίο σφάλμα PHP, έτσι ώστε οι διαχειριστές του ιστότοπου να μπορούν να ανακτήσουν την πρόσβαση στα backend του ιστότοπού τους και να διορθώσουν το σφάλμα.

Η λειτουργία σχεδιάστηκε αρχικά για το WordPress 5.1, αλλά καθυστέρησε στην έκδοση 5.2, αφού οι υπεύθυνοι ασφαλείας έθεσαν διάφορα σενάρια όπου οι χάκερ μπορούσαν να κάνουν κατάχρηση του συστήματος προστασίας WSOD για να απενεργοποιήσουν τα πρόσθετα ασφαλείας του WordPress και να εξαπολύσουν επιθέσεις σε ιστότοπους WordPress.

ΜΕΛΛΟΝΤΙΚΑ ΣΧΕΔΙΑ

Η εργασία για τη βελτίωση της ασφάλειας του WordPress δεν θα σταματήσει με την κυκλοφορία της έκδοσης 5.2. Άλλα έργα περιλαμβάνουν το έργο Gossamer, που έχει προγραμματιστεί για το WordPress 5.4. Το έργο Gossamer στοχεύει να φέρει το ίδιο σύστημα υπογραφής κώδικα που χρησιμοποιείται για σημαντικές ενημερώσεις του WordPress σε ένα πλαίσιο που οι προγραμματιστές μπορούν να χρησιμοποιήσουν για ενημερώσεις υπογραφής κώδικα για θέματα και πρόσθετα WordPress επίσης.