Ara WordPress és més segur

WP finalment aconsegueix les funcions de seguretat que es mereix un terç d'Internet.

WordPress 5.2 llançat amb suport per a actualitzacions signades criptogràficament, una biblioteca criptogràfica moderna.

El sistema de gestió de continguts (CMS) de WordPress rebrà avui una varietat de noves funcions de seguretat que finalment afegiran el nivell de protecció que molts dels seus usuaris han desitjat durant anys. Aquestes funcions s'esperen amb el llançament oficial de WordPress 5.2 més tard avui. Això inclou suport per a actualitzacions signades criptogràficament, suport per a una biblioteca criptogràfica moderna, una secció de Salut del lloc a la part posterior del tauler d'administració i una funció que actuarà com a lloc de seguretat WSOD per als administradors que inicien sessió al seu backend en cas d'errors catastròfics de PHP. .

Amb WordPress instal·lat en un 33,8 per cent estimat de tots els llocs web, aquestes funcions estan destinades a alleujar algunes preocupacions sobre alguns vectors d'atac.

ACTUALITZACIONS SIGNADES CRIPTOGRÀFICAMENT

Probablement, la més gran i important de les noves funcions de seguretat actuals és el sistema de signatura digital fora de línia de WordPress.

A partir de WordPress 5.2, l'equip de WordPress signarà digitalment els seus paquets d'actualització amb el sistema de signatura de clau pública Ed25519 perquè una instal·lació local pugui verificar l'autenticitat del paquet d'actualització abans d'aplicar-lo a un lloc local.

Afegir suport per a actualitzacions signades criptogràficament és un pas important per evitar que els pirates informàtics portin a terme un atac a la cadena de subministrament a tots els llocs de WordPress, cosa que les empreses de seguretat han advertit que han de ser conscients i ho fan durant més de dos anys.

Abans de WordPress 5.2, si volies infectar tots els llocs de WordPress a Internet, simplement havies de piratejar el servidor d'actualització (WordPress), va dir Scott Arciszewski, director de desenvolupament de Paragon Initiative Enterprises i un dels desenvolupadors implicats en la seguretat del sistema d'actualització de WordPress.

Després de WordPress 5.2, heu de fer el mateix atac i robar d'alguna manera la clau de signatura de l'equip de desenvolupament principal de WordPress.

WORDPRESS OBTÉ UNA BIBLIOTECA DE CRYPTO MODERNA

Però el treball d'Arciszewski al CMS de WordPress no va acabar aquí. També ha contribuït a WordPress substituint una antiga biblioteca criptogràfica per una que s'adapti als temps moderns.

A partir de WordPress 5.2, el CMS admetrà la biblioteca Libsodium per a totes les operacions criptogràfiques, en lloc del mcrypt ara obsolet i eliminat. Libsodium ara forma part del codi font del CMS de WordPress, juntament amb la biblioteca sodium_compat d'Arciszewski, que funciona com a polyfill per a servidors PHP antics que no admeten Libsodium. WordPress ara s'uneix a les files d'eines de desenvolupament web modernes que admeten de manera nativa Libsodium, com ara PHP 7.2+, Magento 2.3+ i Joomla 3.8+. A més, amb l'addició de Libsodium al nucli del CMS de WordPress, això també significa que els desenvolupadors de complements i temes poden començar a donar-hi suport.

Arciszewski ha publicat avui a entrada al blog amb consells bàsics per als desenvolupadors de temes i complements de WordPress sobre com substituir les antigues funcions criptogràfiques mcrypt per les de libsodium.

NOVA SECCIÓ DE SALUT DEL LLOC

Però les primeres funcions de seguretat de WordPress 5.2 que els usuaris notaran a la versió d'avui no són els canvis de codi CMS, sinó la nova secció "Salut del lloc" al menú Eines del tauler d'administració. Aquesta secció inclou dues pàgines noves, Salut del lloc i Informació de salut del lloc. La pàgina Salut del lloc funciona realitzant una sèrie de comprovacions bàsiques de seguretat i enviant un informe amb els resultats, juntament amb recomanacions per solucionar qualsevol problema que trobi. Aquesta secció inclou una sèrie de proves agrupades, però els propietaris de llocs i els desenvolupadors de complements de seguretat també poden escriure els seus propis per ampliar els controls de seguretat a més àrees d'un lloc de WordPress.

La segona secció, anomenada Informació de salut del lloc, és el que indica el seu nom. Proporciona una gran quantitat d'informació de configuració del lloc web i del servidor i està pensat per a finalitats de depuració o quan el lloc s'ha de compartir amb un professional de TI per als serveis de suport. Es proporciona informació sobre la instal·lació de WordPress, el servidor subjacent, els connectors, els temes i l'ús d'emmagatzematge de fitxers.

CARACTERÍSTICA SERVHAPPY

Una altra característica de seguretat nova inclosa a WordPress 5.2 és la Projecte Serviu feliç, que originalment s'havia de llançar amb WordPress 5.1, però es va dividir en dos, amb part del projecte enviat amb WordPress 5.1 i l'altra meitat enviat avui, amb WordPress 5.2.

WordPress 5.1 incloïa la possibilitat de mostrar alertes quan els servidors de WordPress s'executaven en servidors amb versions de PHP obsoletes. WordPress 5.2, llançat avui, inclourà una funció anomenada "Pantalla blanca de la mort" (WSOD) i funcionarà com a "Mode segur" per als llocs de WordPress. La protecció WSOD funciona desactivant temporalment els temes i els connectors quan es produeix un error fatal de PHP, de manera que els administradors del lloc poden recuperar l'accés als backends dels seus llocs i corregir l'error.

La funció es va planificar inicialment per a WordPress 5.1, però es va retardar a la versió 5.2 després que els funcionaris de seguretat plantegessin diversos escenaris en què els pirates informàtics podien abusar del sistema de protecció WSOD per desactivar els connectors de seguretat de WordPress i llançar atacs als llocs de WordPress.

PLANS FUTURS

El treball per millorar la seguretat de WordPress no s'aturarà amb el llançament de la versió 5.2. Altres projectes inclouen el projecte Gossamer, previst per a WordPress 5.4. El projecte Gossamer pretén incorporar el mateix sistema de signatura de codi que s'utilitza per a les actualitzacions principals de WordPress en un marc que els desenvolupadors també poden utilitzar per a actualitzacions de signatura de codi per a temes i complements de WordPress.