現在 WordPress 更安全了

五月8,2019
|In 對於網絡, 網頁設計與開發, 在前台, 商業用途, 傳播與媒體, 鏡頭下, 為我們
|By 安德烈亞斯·阿諾 邁克爾·沃伊特

現在 WordPress 更安全了

WP 終於獲得了三分之一的互聯網應有的安全功能。

WordPress 5.2 發布,支持加密簽名更新,這是一個現代加密庫。

WordPress 內容管理系統 (CMS) 今天將獲得一系列新的安全功能,最終將增加許多用戶多年來渴望的保護級別。 這些功能預計將在今天晚些時候正式發布 WordPress 5.2。 其中包括對加密簽名更新的支持、對現代加密庫的支持、管理面板後端的“站點運行狀況”部分,以及在發生災難性 PHP 錯誤時充當 WSOD 安全站點供管理員登錄其後端的功能。

據估計 33,8% 的網站安裝了 WordPress,這些功能勢必會減輕對某些攻擊媒介的擔憂。

加密簽名的更新

當今最大、最重要的新安全功能可能是 WordPress 的離線數字簽名系統。

從 WordPress 5.2 開始,WordPress 團隊將使用 Ed25519 公鑰簽名系統對其更新包進行數字簽名,以便本地安裝能夠在將更新包應用到本地站點之前驗證更新包的真實性。

添加對加密簽名更新的支持是防止黑客對所有 WordPress 網站進行供應鏈攻擊的重要一步,安全公司兩年多來一直警告不要這樣做。

WordPress 5.2 之前Paragon Initiative Enterprises 的首席開發官、參與保護 WordPress 更新系統的開發人員之一 Scott Arciszewski 表示,如果你想感染互聯網上的每個 WordPress 網站,你只需要破解 WordPress 更新服務器即可。

WordPress 5.2 之後,您需要完成相同的攻擊並以某種方式竊取 WordPress 核心開發團隊的簽名密鑰。

WORDPRESS 擁有現代加密庫

但 Arciszewski 在 WordPress CMS 上的工作並沒有就此結束。 他還為 WordPress 做出了貢獻,用適應現代的加密庫替換了舊的加密庫。

從 WordPress 5.2 開始,CMS 將支持所有加密操作的 Libsodium 庫,而不是現已棄用和刪除的 mcrypt。 Libsodium 現在是 WordPress CMS 源代碼的一部分,還有 Arciszewski 的odium_compat 庫,該庫可作為不支持 Libsodium 的舊版 PHP 服務器的填充程序。 WordPress 現在加入了原生支持 Libsodium 的現代 Web 開發工具行列,例如 PHP 7.2+、Magento 2.3+ 和 Joomla 3.8+。 此外,隨著 Libsodium 添加到 WordPress CMS 核心,這也意味著插件和主題開發人員可以開始支持它。

Arciszewski 今天發表了 博客文章 為 WordPress 插件和主題開發人員提供有關如何用 libsodium 替換舊的 mcrypt 加密函數的基本建議。

網站的新健康部分

但用戶在今天的版本中首先註意到的 WordPress 5.2 安全功能不是 CMS 代碼更改,而是管理面板工具菜單中新的“站點健康”部分。 此部分包括兩個新頁面,即站點運行狀況和站點運行狀況信息。 該網站的“健康狀態”頁面的工作原理是執行一系列基本安全檢查並提供包含結果的報告以及解決所發現問題的建議。 本節附帶了許多捆綁測試,但網站所有者和安全插件開發人員也可以編寫自己的測試,將安全控制擴展到 WordPress 網站的更多區域。

第二部分,稱為 站點健康信息,正如其名稱所暗示的那樣。 它提供了大量的網站和服務器配置信息,旨在用於調試目的或需要與 IT 專業人員共享網站以獲取支持服務時。 提供有關 WordPress 安裝、底層服務器、插件、主題和文件存儲使用情況的信息。

服務快樂功能

WordPress 5.2 中包含的另一個新安全功能是 服務快樂工程最初應該與 WordPress 5.1 一起發布,但後來被分成兩部分,一部分項目與 WordPress 5.1 一起發布,另一半在今天與 WordPress 5.2 一起發布。

WordPress 5.1 能夠在 WordPress 服務器在 PHP 版本過時的服務器上運行時顯示警報。 今天發布的 WordPress 5.2 將包含一項名為“白屏死機”(WSOD) 的功能,並作為 WordPress 網站的“安全模式”。 WSOD 保護的工作原理是在發生致命 PHP 錯誤時暫時禁用主題和插件,以便站點管理員可以重新獲得對其站點後端的訪問權限並修復錯誤。

該功能最初計劃在 WordPress 5.1 中使用,但在安全官員提出了幾種情況後,黑客可能會濫用 WSOD 保護系統來禁用 WordPress 安全插件並對 WordPress 網站發起攻擊,因此該功能被推遲到 5.2 版本。

未來的計劃

提高 WordPress 安全性的工作不會隨著 5.2 版本的發布而停止。 其他項目包括計劃用於 WordPress 5.4 的 Gossamer 項目。 Gossamer 項目旨在將用於主要 WordPress 更新的相同代碼簽名系統引入到一個框架中,開發人員也可以使用該框架來對 WordPress 主題和插件進行代碼簽名更新。

訓練 黑客