Nu är WordPress säkrare

WP får äntligen de säkerhetsfunktioner som en tredjedel av internet förtjänar.

WordPress 5.2 släppt med stöd för kryptografiskt signerade uppdateringar, ett modernt kryptografiskt bibliotek.

WordPress innehållshanteringssystem (CMS) kommer att få ett sortiment av nya säkerhetsfunktioner idag som äntligen kommer att lägga till den skyddsnivå som många av dess användare har längtat efter i åratal. Dessa funktioner förväntas med den officiella releasen av WordPress 5.2 senare idag. Inkluderat är stöd för kryptografiskt signerade uppdateringar, stöd för ett modernt kryptografiskt bibliotek, en Site Health-sektion i backend av adminpanelen och en funktion som kommer att fungera som en WSOD-säkerhetswebbplats för administratörer som loggar in på deras backend i händelse av katastrofala PHP-fel.

Med WordPress installerat på uppskattningsvis 33,8 procent av alla webbplatser, är dessa funktioner skyldiga att dämpa vissa farhågor om vissa attackvektorer.

KRYPTOGRAFISKT SIGNERADE UPPDATERINGAR

Den förmodligen största och viktigaste av dagens nya säkerhetsfunktioner är WordPresss offline digitala signatursystem.

Från och med WordPress 5.2 kommer WordPress-teamet att signera sina uppdateringspaket digitalt med Ed25519-signeringssystemet för offentlig nyckel så att en lokal installation kommer att kunna verifiera uppdateringspaketets äkthet innan det appliceras på en lokal webbplats.

Att lägga till stöd för kryptografiskt signerade uppdateringar är ett viktigt steg för att förhindra hackare från att utföra en supply-chain-attack på alla WordPress-sajter, något säkerhetsföretag har varnat för i mer än två år.

Före WordPress 5.2Om du ville infektera alla WordPress-webbplatser på Internet var du helt enkelt tvungen att hacka (WordPress) uppdateringsservern, sa Scott Arciszewski, utvecklingschef på Paragon Initiative Enterprises, och en av utvecklarna som var med och säkrade WordPress-uppdateringssystemet.

Efter WordPress 5.2, måste du utföra samma attack och på något sätt stjäla WordPress kärnutvecklingsteams signeringsnyckel.

WORDPRESS FÅR ETT MODERNT CRYPTO-BIBLIOTEK

Men Arciszewskis arbete med WordPress CMS slutade inte där. Han har också bidragit till WordPress genom att ersätta ett gammalt kryptografiskt bibliotek med ett som anpassar sig till modern tid.

Från och med WordPress 5.2 kommer CMS att stödja Libsodium-biblioteket för alla kryptografiska operationer, istället för den nu utfasade och borttagna mcrypt. Libsodium är nu en del av WordPress CMS-källkoden, tillsammans med Arciszewskis sodium_compat-bibliotek som fungerar som en polyfill för äldre PHP-servrar som inte stöder Libsodium. WordPress sällar sig nu till raden av moderna webbutvecklingsverktyg som inbyggt stöder Libsodium, som PHP 7.2+, Magento 2.3+ och Joomla 3.8+. Dessutom, med tillägget av Libsodium till WordPress CMS-kärnan, betyder detta också att plugin- och temautvecklare kan börja stödja det.

Arciszewski publicerade idag en blogginlägg med grundläggande råd för WordPress-plugin- och temautvecklare om hur man ersätter de gamla kryptografiska funktionerna i mcrypt med libsodium-funktioner.

NYTT HÄLSOAVSNITT PÅ WEBBPLATSEN

Men de första WordPress 5.2-säkerhetsfunktionerna som användare kommer att märka i dagens utgåva är inte CMS-kodändringarna, utan det nya avsnittet "Site Health" i administratörspanelens Verktyg-meny. Det här avsnittet innehåller två nya sidor, webbplatsens hälsa och webbplatsens hälsa. Sidans hälsostatussida fungerar genom att utföra en rad grundläggande säkerhetskontroller och leverera en rapport med resultaten, tillsammans med rekommendationer för att åtgärda eventuella problem som den hittar. Det här avsnittet kommer med ett antal medföljande tester, men webbplatsägare och utvecklare av säkerhetsplugin kan också skriva sina egna för att utöka säkerhetskontrollerna till fler delar av en WordPress-webbplats.

Den andra sektionen, kallad Information om webbplatsens hälsa, är vad dess namn antyder. Den tillhandahåller en mängd information om webbplats- och serverkonfiguration och är avsedd för felsökningsändamål eller när webbplatsen behöver delas med en IT-proffs för supporttjänster. Information om WordPress-installation, underliggande server, plugins, teman och användning av fillagring tillhandahålls.

SERVHAPPY FUNKTION

En annan ny säkerhetsfunktion som ingår i WordPress 5.2 är Servehappy projekt, som ursprungligen var tänkt att släppas med WordPress 5.1, men delades i två delar, där en del av projektet skickades med WordPress 5.1 och den andra hälften skickades idag, med WordPress 5.2.

WordPress 5.1 inkluderade möjligheten att visa varningar när WordPress-servrar kördes på servrar med föråldrade PHP-versioner. WordPress 5.2, som släpps idag, kommer att innehålla en funktion som heter "White Screen Of Death" (WSOD) och fungerar som ett "Safe Mode" för WordPress-webbplatser. WSOD-skyddet fungerar genom att tillfälligt inaktivera teman och plugins när ett fatalt PHP-fel inträffar, så att webbplatsadministratörer kan återfå åtkomst till sina webbplatser och åtgärda felet.

Funktionen var från början planerad för WordPress 5.1 men försenades till version 5.2 efter att säkerhetstjänstemän tog upp flera scenarier där hackare kunde missbruka WSOD-skyddssystemet för att inaktivera WordPress-säkerhetsplugins och starta attacker på WordPress-webbplatser.

FRAMTIDA PLANER

Arbetet med att förbättra WordPress-säkerheten slutar inte med releasen av version 5.2. Andra projekt inkluderar Gossamer-projektet, planerat för WordPress 5.4. Gossamer-projektet syftar till att föra in samma kodsigneringssystem som används för stora WordPress-uppdateringar i ett ramverk som utvecklare kan använda för kodsigneringsuppdateringar även för WordPress-teman och plugins.