ตอนนี้ WordPress มีความปลอดภัยมากขึ้น

ในที่สุด WP ก็ได้รับคุณสมบัติความปลอดภัยที่หนึ่งในสามของอินเทอร์เน็ตสมควรได้รับ

WordPress 5.2 เปิดตัวพร้อมรองรับการอัปเดตที่เซ็นชื่อด้วยการเข้ารหัส ไลบรารีการเข้ารหัสที่ทันสมัย

ระบบจัดการเนื้อหาของ WordPress (CMS) ได้รับการตั้งค่าให้ได้รับคุณลักษณะด้านความปลอดภัยใหม่ ๆ มากมายในวันนี้ ซึ่งในที่สุดจะเพิ่มระดับการป้องกันที่ผู้ใช้หลายคนปรารถนามานานหลายปี คุณลักษณะเหล่านี้คาดว่าจะมีการเปิดตัวอย่างเป็นทางการของ WordPress 5.2 ในวันนี้ รวมถึงการสนับสนุนการอัปเดตที่เซ็นชื่อด้วยการเข้ารหัส การรองรับไลบรารีการเข้ารหัสที่ทันสมัย ​​ส่วนความสมบูรณ์ของไซต์ในแบ็กเอนด์ของแผงการดูแลระบบ และคุณลักษณะที่จะทำหน้าที่เป็นไซต์ความปลอดภัย WSOD สำหรับผู้ดูแลระบบที่เข้าสู่ระบบแบ็กเอนด์ในกรณีที่เกิดข้อผิดพลาดร้ายแรงของ PHP

ด้วยการติดตั้ง WordPress บนเว็บไซต์ประมาณ 33,8 เปอร์เซ็นต์ ฟีเจอร์เหล่านี้จะช่วยบรรเทาความกังวลเกี่ยวกับเวกเตอร์การโจมตีได้

การอัปเดตที่เซ็นชื่อแบบเข้ารหัสลับ

คุณลักษณะด้านความปลอดภัยใหม่ที่ใหญ่ที่สุดและสำคัญที่สุดในปัจจุบันน่าจะเป็นระบบลายเซ็นดิจิทัลแบบออฟไลน์ของ WordPress

เริ่มต้นด้วย WordPress 5.2 ทีมงาน WordPress จะเซ็นชื่อแพคเกจการอัปเดตแบบดิจิทัลด้วยระบบลงนามคีย์สาธารณะ Ed25519 เพื่อให้การติดตั้งในเครื่องจะสามารถตรวจสอบความถูกต้องของแพคเกจการอัปเดตก่อนที่จะนำไปใช้กับไซต์ในเครื่อง

การเพิ่มการรองรับสำหรับการอัปเดตที่ลงนามด้วยการเข้ารหัสเป็นขั้นตอนสำคัญในการป้องกันแฮ็กเกอร์จากการโจมตีซัพพลายเชนบนไซต์ WordPress ทั้งหมด ซึ่งเป็นสิ่งที่บริษัทรักษาความปลอดภัยได้เตือนมานานกว่าสองปี

ก่อน WordPress 5.2หากคุณต้องการแพร่เชื้อทุกไซต์ WordPress บนอินเทอร์เน็ต คุณเพียงแค่ต้องแฮ็กเซิร์ฟเวอร์อัปเดต (WordPress) เท่านั้น กล่าวโดย Scott Arciszewski หัวหน้าเจ้าหน้าที่ฝ่ายพัฒนาของ Paragon Initiative Enterprises และหนึ่งในนักพัฒนาที่เกี่ยวข้องกับการรักษาความปลอดภัยของระบบอัปเดต WordPress กล่าว

หลังจาก WordPress 5.2คุณต้องถอนการโจมตีแบบเดียวกันและขโมยคีย์การลงนามของทีมพัฒนาหลักของ WordPress

WORDPRESS ได้รับ CRYPTO LIBRARY ที่ทันสมัย

แต่งานของ Arciszewski บน WordPress CMS ไม่ได้จบเพียงแค่นั้น เขายังมีส่วนร่วมใน WordPress โดยแทนที่ไลบรารีการเข้ารหัสแบบเก่าด้วยไลบรารี่ที่ปรับให้เข้ากับยุคปัจจุบัน

ตั้งแต่ WordPress 5.2 เป็นต้นมา CMS จะสนับสนุนไลบรารี Libsodium สำหรับการดำเนินการเข้ารหัสทั้งหมด แทนที่จะเป็น mcrypt ที่เลิกใช้แล้วและถูกลบออกไปแล้ว ตอนนี้ Libsodium เป็นส่วนหนึ่งของซอร์สโค้ด WordPress CMS พร้อมกับไลบรารี่ sodium_compat ของ Arciszewski ซึ่งทำงานเป็น polyfill สำหรับเซิร์ฟเวอร์ PHP รุ่นเก่าที่ไม่รองรับ Libsodium ตอนนี้ WordPress เข้าร่วมกลุ่มเครื่องมือพัฒนาเว็บสมัยใหม่ที่รองรับ Libsodium เช่น PHP 7.2+, Magento 2.3+ และ Joomla 3.8+ นอกจากนี้ ด้วยการเพิ่ม Libsodium ให้กับ WordPress CMS core หมายความว่านักพัฒนาปลั๊กอินและธีมสามารถเริ่มสนับสนุนได้

วันนี้ Arciszewski ตีพิมพ์ a โพสต์เดลบล็อก พร้อมคำแนะนำพื้นฐานสำหรับนักพัฒนาปลั๊กอิน WordPress และธีมเกี่ยวกับวิธีแทนที่ฟังก์ชันการเข้ารหัส mcrypt แบบเก่าด้วย libsodium

ส่วนสุขภาพใหม่ของเว็บไซต์

แต่คุณสมบัติด้านความปลอดภัยของ WordPress 5.2 แรกที่ผู้ใช้จะสังเกตเห็นในการเปิดตัวในวันนี้ไม่ใช่การเปลี่ยนแปลงโค้ด CMS แต่เป็นส่วน "ความสมบูรณ์ของไซต์" ใหม่ในเมนูเครื่องมือของแผงการดูแลระบบ ส่วนนี้มีหน้าใหม่สองหน้า ได้แก่ ความสมบูรณ์ของไซต์และข้อมูลความสมบูรณ์ของไซต์ หน้าสถานะความสมบูรณ์ของไซต์ทำงานโดยดำเนินการตรวจสอบความปลอดภัยขั้นพื้นฐานหลายชุด และส่งรายงานพร้อมผลลัพธ์ พร้อมด้วยคำแนะนำสำหรับการแก้ไขปัญหาที่พบ ส่วนนี้มาพร้อมกับชุดทดสอบหลายชุด แต่เจ้าของไซต์และผู้พัฒนาปลั๊กอินความปลอดภัยสามารถเขียนเองเพื่อขยายการควบคุมความปลอดภัยไปยังส่วนอื่นๆ ของไซต์ WordPress

ส่วนที่สองเรียกว่า ข้อมูลสุขภาพเว็บไซต์คือความหมายของชื่อ โดยจะให้ข้อมูลการกำหนดค่าเว็บไซต์และเซิร์ฟเวอร์มากมาย และมีไว้สำหรับวัตถุประสงค์ในการแก้ไขจุดบกพร่องหรือเมื่อจำเป็นต้องแชร์ไซต์กับผู้เชี่ยวชาญด้านไอทีเพื่อรับบริการสนับสนุน มีข้อมูลเกี่ยวกับการติดตั้ง WordPress, เซิร์ฟเวอร์พื้นฐาน, ปลั๊กอิน, ธีม และการใช้พื้นที่จัดเก็บไฟล์

คุณสมบัติ SERVHAPPY

คุณลักษณะด้านความปลอดภัยใหม่ที่รวมอยู่ใน WordPress 5.2 คือ โครงการเสิร์ฟความสุขซึ่งเดิมทีควรจะเปิดตัวพร้อมกับ WordPress 5.1 แต่ถูกแบ่งออกเป็นสองส่วน โดยส่วนหนึ่งของโครงการจัดส่งด้วย WordPress 5.1 และอีกครึ่งหนึ่งจัดส่งในวันนี้ด้วย WordPress 5.2

WordPress 5.1 รวมความสามารถในการแสดงการแจ้งเตือนเมื่อเซิร์ฟเวอร์ WordPress ทำงานบนเซิร์ฟเวอร์ที่มีเวอร์ชัน PHP ที่ล้าสมัย WordPress 5.2 ที่เปิดตัวในวันนี้จะมีคุณสมบัติที่เรียกว่า 'White Screen Of Death' (WSOD) และทำงานเป็น "โหมดปลอดภัย" สำหรับไซต์ WordPress การป้องกัน WSOD ทำงานโดยการปิดใช้งานธีมและปลั๊กอินชั่วคราวเมื่อเกิดข้อผิดพลาดร้ายแรงของ PHP ดังนั้นผู้ดูแลไซต์จึงสามารถเข้าถึงแบ็กเอนด์ของไซต์ของตนได้อีกครั้งและแก้ไขข้อผิดพลาดได้

ฟีเจอร์นี้ถูกวางแผนไว้ในตอนแรกสำหรับ WordPress 5.1 แต่ถูกเลื่อนออกไปเป็นเวอร์ชัน 5.2 หลังจากเจ้าหน้าที่รักษาความปลอดภัยหยิบยกสถานการณ์ต่างๆ ที่แฮ็กเกอร์สามารถใช้ระบบป้องกัน WSOD ในทางที่ผิดเพื่อปิดใช้งานปลั๊กอินความปลอดภัยของ WordPress และเปิดการโจมตีบนไซต์ WordPress

แผนการในอนาคต

งานปรับปรุงความปลอดภัยของ WordPress จะไม่หยุดเพียงแค่การเปิดตัวเวอร์ชัน 5.2 โครงการอื่นๆ ได้แก่ โครงการ Gossamer ซึ่งวางแผนไว้สำหรับ WordPress 5.4 โครงการ Gossamer มีเป้าหมายที่จะนำระบบการเซ็นโค้ดแบบเดียวกับที่ใช้สำหรับการอัปเดต WordPress ที่สำคัญมาเป็นเฟรมเวิร์กที่นักพัฒนาสามารถใช้สำหรับการอัปเดตการเซ็นโค้ดสำหรับธีมและปลั๊กอิน WordPress ได้เช่นกัน