Nyní je WordPress bezpečnější

WP konečně dostává bezpečnostní prvky, které si třetina internetu zaslouží.

WordPress 5.2 vydán s podporou kryptograficky podepsaných aktualizací, moderní kryptografická knihovna.

Redakční systém WordPress (CMS) má dnes obdržet řadu nových bezpečnostních funkcí, které konečně přidají úroveň ochrany, po které mnoho jeho uživatelů už léta touží. Tyto funkce se očekávají s oficiálním vydáním WordPress 5.2 později dnes. Zahrnuty jsou podpora kryptograficky podepsaných aktualizací, podpora moderní kryptografické knihovny, sekce Site Health v backendu administrátorského panelu a funkce, která bude fungovat jako bezpečnostní stránka WSOD pro administrátory přihlašující se do jejich backendu v případě katastrofických chyb PHP.

Vzhledem k tomu, že WordPress je nainstalovaný na odhadovaných 33,8 procenta všech webových stránek, tyto funkce nutně rozptýlí určité obavy z některých útočných vektorů.

AKTUALIZACE KRYPTOGRAFICKY PODEPSANÉ

Pravděpodobně největší a nejdůležitější z dnešních nových bezpečnostních funkcí je offline systém digitálního podpisu WordPress.

Počínaje verzí WordPress 5.2 bude tým WordPress digitálně podepisovat své aktualizační balíčky pomocí systému podepisování veřejného klíče Ed25519, takže místní instalace bude moci ověřit pravost aktualizačního balíčku před jeho aplikací na místní web.

Přidání podpory pro kryptograficky podepsané aktualizace je důležitým krokem v zabránění hackerům v provedení útoku dodavatelského řetězce na všechny weby WordPress, před kterým bezpečnostní firmy varovaly více než dva roky.

Před WordPress 5.2Pokud jste chtěli infikovat každý web WordPress na internetu, museli jste jednoduše hacknout aktualizační server (WordPress), řekl Scott Arciszewski, hlavní vývojový ředitel Paragon Initiative Enterprises a jeden z vývojářů podílejících se na zabezpečení aktualizačního systému WordPress.

Po WordPress 5.2, musíte vytáhnout stejný útok a nějak ukrást podpisový klíč vývojového týmu jádra WordPressu.

WORDPRESS ZÍSKÁVÁ MODERNÍ KRYPTOKNIHOVNU

Tím ale Arciszewského práce na WordPress CMS neskončila. Přispěl také k WordPressu tím, že nahradil starou kryptografickou knihovnu knihovnou, která se přizpůsobuje moderní době.

Počínaje WordPress 5.2 bude CMS podporovat knihovnu Libsodium pro všechny kryptografické operace namísto nyní zastaralého a odstraněného mcrypt. Libsodium je nyní součástí zdrojového kódu WordPress CMS spolu s knihovnou Sodík_compat společnosti Arciszewski, která funguje jako polyfill pro starší servery PHP, které nepodporují Libsodium. WordPress se nyní připojuje k moderním webovým vývojářským nástrojům, které nativně podporují Libsodium, jako je PHP 7.2+, Magento 2.3+ a Joomla 3.8+. Navíc s přidáním Libsodium do jádra WordPress CMS to také znamená, že vývojáři pluginů a témat jej mohou začít podporovat.

Arciszewski dnes zveřejnil a blogový příspěvek se základními radami pro vývojáře pluginů a témat WordPress, jak nahradit staré kryptografické funkce mcrypt těmi libsodium.

NOVÁ ČÁST STRÁNKY ZDRAVÍ

Ale první bezpečnostní funkce WordPress 5.2, kterých si uživatelé v dnešní verzi všimnou, nejsou změny kódu CMS, ale nová sekce „Site Health“ v nabídce Nástroje panelu administrátora. Tato sekce obsahuje dvě nové stránky, Stav webu a Informace o stavu webu. Stránka Zdraví na webu funguje tak, že provede řadu základních bezpečnostních kontrol a doručí zprávu s výsledky spolu s doporučeními pro řešení případných zjištěných problémů. Tato část přichází s řadou testů, ale vlastníci stránek a vývojáři bezpečnostních pluginů mohou také napsat své vlastní, aby rozšířili bezpečnostní kontroly na více oblastí webu WordPress.

Druhá sekce, tzv Informace o zdraví webu, je to, co napovídá jeho název. Poskytuje velké množství informací o konfiguraci webových stránek a serverů a je určen pro účely ladění nebo pro případy, kdy je třeba web sdílet s odborníkem v oblasti IT za účelem poskytování služeb podpory. Jsou uvedeny informace o instalaci WordPress, základním serveru, pluginech, motivech a využití úložiště souborů.

FUNKCE SERVHAPPY

Další novou bezpečnostní funkcí obsaženou ve WordPress 5.2 je Servehappy projekt, který měl být původně vydán s WordPress 5.1, ale byl rozdělen na dvě části, přičemž část projektu se dodává s WordPress 5.1 a druhá polovina se dodává dnes s WordPress 5.2.

WordPress 5.1 obsahoval možnost zobrazovat upozornění, když servery WordPress běžely na serverech se zastaralými verzemi PHP. WordPress 5.2, vydaný dnes, bude obsahovat funkci nazvanou „White Screen Of Death“ (WSOD) a bude fungovat jako „Nouzový režim“ pro weby WordPress. Ochrana WSOD funguje tak, že když dojde k fatální chybě PHP, dočasně deaktivuje motivy a pluginy, takže správci stránek mohou znovu získat přístup k backendům svých stránek a chybu opravit.

Tato funkce byla původně plánována pro WordPress 5.1, ale byla odložena na verzi 5.2 poté, co bezpečnostní úředníci upozornili na několik scénářů, kdy by hackeři mohli zneužít ochranný systém WSOD k deaktivaci bezpečnostních pluginů WordPress a zahájit útoky na weby WordPress.

PLÁNY DO BUDOUCNA

Práce na zlepšení zabezpečení WordPress nekončí vydáním verze 5.2. Mezi další projekty patří projekt Gossamer, plánovaný pro WordPress 5.4. Projekt Gossamer si klade za cíl přinést stejný systém podepisování kódu, který se používá pro hlavní aktualizace WordPress, do rámce, který mohou vývojáři používat také pro aktualizace podepisování kódu pro témata a pluginy WordPress.