ໃນປັດຈຸບັນ WordPress ແມ່ນປອດໄພກວ່າ

WP ສຸດທ້າຍໄດ້ຮັບຄຸນສົມບັດຄວາມປອດໄພທີ່ຫນຶ່ງສ່ວນສາມຂອງອິນເຕີເນັດສົມຄວນ.

WordPress 5.2 ປ່ອຍອອກມາໂດຍສະຫນັບສະຫນູນການປັບປຸງການເຊັນ cryptographically, ເປັນຫ້ອງສະຫມຸດ cryptographic ທີ່ທັນສະໄຫມ.

ລະບົບການຈັດການເນື້ອຫາຂອງ WordPress (CMS) ຖືກກໍານົດໃຫ້ໄດ້ຮັບການຈັດລຽງຂອງລັກສະນະຄວາມປອດໄພໃຫມ່ໃນມື້ນີ້ເຊິ່ງສຸດທ້າຍຈະເພີ່ມລະດັບການປົກປ້ອງທີ່ຜູ້ໃຊ້ຫຼາຍຄົນຢາກໄດ້ຫຼາຍປີ. ຄຸນສົມບັດເຫຼົ່ານີ້ຄາດວ່າຈະມີການເປີດຕົວຢ່າງເປັນທາງການຂອງ WordPress 5.2 ຕໍ່ມາໃນມື້ນີ້. ລວມໄປເຖິງການຮອງຮັບການອັບເດດທີ່ເຊັນ cryptographically, ສະຫນັບສະຫນູນຫ້ອງສະຫມຸດ cryptographic ທີ່ທັນສະໄຫມ, ພາກສ່ວນ Site Health ໃນ backend ຂອງກະດານ admin, ແລະຄຸນນະສົມບັດທີ່ຈະເຮັດຫນ້າທີ່ເປັນເວັບໄຊທ໌ຄວາມປອດໄພ WSOD ສໍາລັບ admins ເຂົ້າສູ່ລະບົບ backend ຂອງເຂົາເຈົ້າໃນກໍລະນີຂອງຄວາມຜິດພາດ PHP ໄພພິບັດ.

ດ້ວຍ WordPress ທີ່ຖືກຕິດຕັ້ງຢູ່ໃນປະມານ 33,8 ສ່ວນຮ້ອຍຂອງເວັບໄຊທ໌ທັງຫມົດ, ລັກສະນະເຫຼົ່ານີ້ຖືກຜູກມັດເພື່ອບັນເທົາຄວາມກັງວົນບາງຢ່າງກ່ຽວກັບບາງ vectors ການໂຈມຕີ.

ການອັບເດດທີ່ລົງນາມດ້ວຍຮູບສັນຍາລັກ

ອາດຈະເປັນສິ່ງທີ່ໃຫຍ່ທີ່ສຸດແລະສໍາຄັນທີ່ສຸດຂອງຄຸນນະສົມບັດຄວາມປອດໄພໃຫມ່ຂອງມື້ນີ້ແມ່ນ WordPress' ລະບົບລາຍເຊັນດິຈິຕອນ offline.

ເລີ່ມຕົ້ນດ້ວຍ WordPress 5.2, ທີມງານ WordPress ຈະລົງນາມແພັກເກັດອັບເດດຂອງຕົນດ້ວຍລະບົບການເຊັນລະຫັດສາທາລະນະ Ed25519 ເພື່ອໃຫ້ການຕິດຕັ້ງໃນທ້ອງຖິ່ນຈະສາມາດກວດສອບຄວາມຖືກຕ້ອງຂອງຊຸດການປັບປຸງກ່ອນທີ່ຈະນໍາໃຊ້ກັບເວັບໄຊທ໌ທ້ອງຖິ່ນ.

ການເພີ່ມການສະຫນັບສະຫນູນການປັບປຸງການເຊັນ cryptographically ເປັນບາດກ້າວທີ່ສໍາຄັນໃນການປ້ອງກັນແຮກເກີຈາກການໂຈມຕີລະບົບຕ່ອງໂສ້ການສະຫນອງໃນເວັບໄຊທ໌ WordPress ທັງຫມົດ, ບາງສິ່ງບາງຢ່າງທີ່ບໍລິສັດຄວາມປອດໄພໄດ້ເຕືອນຕໍ່ກັບຫຼາຍກ່ວາສອງປີ.

ກ່ອນ WordPress 5.2ທ່ານ Scott Arciszewski, ຫົວໜ້າຝ່າຍພັດທະນາຂອງ Paragon Initiative Enterprises, ແລະຜູ້ພັດທະນາຜູ້ໜຶ່ງທີ່ມີສ່ວນຮ່ວມໃນການຮັບປະກັນລະບົບການອັບເດດ WordPress, ຖ້າຫາກວ່າທ່ານຕ້ອງການທີ່ຈະຕິດເຊື້ອທຸກເວັບໄຊທ໌ WordPress ໃນອິນເຕີເນັດ, ທ່ານພຽງແຕ່ຕ້ອງ hack ເຄື່ອງແມ່ຂ່າຍຂອງການປັບປຸງ WordPress (WordPress).

ຫຼັງຈາກ WordPress 5.2, ທ່ານຈໍາເປັນຕ້ອງໄດ້ດຶງອອກຈາກການໂຈມຕີດຽວກັນແລະ somehow ລັກການເຊັນຊື່ທີມພັດທະນາຫຼັກ WordPress.

WORDPRESS ໄດ້ຮັບຫ້ອງສະຫມຸດ CRYPTO ທີ່ທັນສະໄຫມ

ແຕ່ການເຮັດວຽກຂອງ Arciszewski ໃນ WordPress CMS ບໍ່ໄດ້ສິ້ນສຸດຢູ່ທີ່ນັ້ນ. ລາວຍັງໄດ້ປະກອບສ່ວນກັບ WordPress ໂດຍການປ່ຽນຫ້ອງສະຫມຸດ cryptographic ເກົ່າກັບຫນຶ່ງທີ່ປັບຕົວກັບຍຸກສະໄຫມໃຫມ່.

ເລີ່ມຕົ້ນດ້ວຍ WordPress 5.2, CMS ຈະສະຫນັບສະຫນູນຫ້ອງສະຫມຸດ Libsodium ສໍາລັບການປະຕິບັດການເຂົ້າລະຫັດລັບທັງຫມົດ, ແທນທີ່ຈະເປັນ mcrypt ທີ່ຖືກຍົກເລີກໃນປັດຈຸບັນແລະຖືກໂຍກຍ້າຍ. ໃນປັດຈຸບັນ Libsodium ແມ່ນສ່ວນຫນຶ່ງຂອງລະຫັດແຫຼ່ງ WordPress CMS, ພ້ອມກັບຫ້ອງສະຫມຸດ sodium_compat ຂອງ Arciszewski ທີ່ເຮັດວຽກເປັນ polyfill ສໍາລັບເຄື່ອງແມ່ຂ່າຍ PHP ເກົ່າທີ່ບໍ່ສະຫນັບສະຫນູນ Libsodium. ຕອນນີ້ WordPress ເຂົ້າຮ່ວມອັນດັບຂອງເຄື່ອງມື web-dev ທີ່ທັນສະໄຫມທີ່ສະຫນັບສະຫນູນ Libsodium, ເຊັ່ນ PHP 7.2+, Magento 2.3+ ແລະ Joomla 3.8+. ນອກຈາກນັ້ນ, ດ້ວຍການເພີ່ມ Libsodium ກັບ WordPress CMS core, ນີ້ຍັງຫມາຍຄວາມວ່າ plugin ແລະນັກພັດທະນາຫົວຂໍ້ສາມາດເລີ່ມຕົ້ນສະຫນັບສະຫນູນມັນ.

Arciszewski ໃນມື້ນີ້ໄດ້ຈັດພີມມາ a ຕອບ blog ດ້ວຍຄໍາແນະນໍາພື້ນຖານສໍາລັບ plugin WordPress ແລະນັກພັດທະນາຫົວຂໍ້ກ່ຽວກັບວິທີການປ່ຽນຫນ້າທີ່ການເຂົ້າລະຫັດ mcrypt ແບບເກົ່າກັບ libsodium.

ພາກສ່ວນສຸຂະພາບໃໝ່ຂອງເວັບໄຊ

ແຕ່ລັກສະນະຄວາມປອດໄພຂອງ WordPress 5.2 ທໍາອິດທີ່ຜູ້ໃຊ້ຈະສັງເກດເຫັນໃນການປ່ອຍໃນມື້ນີ້ບໍ່ແມ່ນການປ່ຽນແປງລະຫັດ CMS, ແຕ່ພາກສ່ວນ "Site Health" ໃຫມ່ໃນເມນູເຄື່ອງມືຂອງກະດານ admin. ພາກນີ້ລວມມີສອງໜ້າໃໝ່, ຂໍ້ມູນສຸຂະພາບເວັບໄຊ ແລະ ຂໍ້ມູນສຸຂະພາບຂອງເວັບໄຊ. ຫນ້າສະຖານະສຸຂະພາບຂອງເວັບໄຊທ໌ເຮັດວຽກໂດຍການປະຕິບັດຊຸດຂອງການກວດສອບຄວາມປອດໄພຂັ້ນພື້ນຖານແລະສົ່ງບົດລາຍງານທີ່ມີຜົນໄດ້ຮັບ, ພ້ອມກັບຄໍາແນະນໍາສໍາລັບການແກ້ໄຂບັນຫາຕ່າງໆທີ່ມັນພົບ. ພາກນີ້ມາພ້ອມກັບການທົດສອບຈໍານວນຫລາຍ, ແຕ່ເຈົ້າຂອງເວັບໄຊທ໌ແລະນັກພັດທະນາ plugin ຄວາມປອດໄພຍັງສາມາດຂຽນຂອງຕົນເອງເພື່ອຂະຫຍາຍການຄວບຄຸມຄວາມປອດໄພໄປສູ່ພື້ນທີ່ເພີ່ມເຕີມຂອງເວັບໄຊທ໌ WordPress.

ພາກທີສອງ, ເອີ້ນວ່າ ຂໍ້ມູນສຸຂະພາບຂອງເວັບໄຊ, ແມ່ນສິ່ງທີ່ຊື່ຂອງມັນຫມາຍເຖິງ. ມັນສະຫນອງຂໍ້ມູນການກໍາຫນົດຄ່າເວັບໄຊທ໌ແລະເຄື່ອງແມ່ຂ່າຍທີ່ອຸດົມສົມບູນແລະມີຈຸດປະສົງເພື່ອການແກ້ບັນຫາຫຼືເວລາທີ່ເວັບໄຊທ໌ຕ້ອງການແບ່ງປັນກັບຜູ້ຊ່ຽວຊານດ້ານ IT ສໍາລັບການບໍລິການສະຫນັບສະຫນູນ. ຂໍ້​ມູນ​ກ່ຽວ​ກັບ​ການ​ຕິດ​ຕັ້ງ WordPress, ເຄື່ອງ​ແມ່​ຂ່າຍ​ທີ່​ຕິດ​ພັນ, plugins, ຫົວ​ຂໍ້, ແລະ​ການ​ນໍາ​ໃຊ້​ການ​ເກັບ​ຮັກ​ສາ​ໄຟລ​໌​ແມ່ນ​ໄດ້​ສະ​ຫນອງ​ໃຫ້.

ຄຸນສົມບັດການບໍລິການ

ຄຸນນະສົມບັດຄວາມປອດໄພໃຫມ່ອີກອັນຫນຶ່ງລວມຢູ່ໃນ WordPress 5.2 ແມ່ນ ໂຄງການຮັບໃຊ້ຄວາມສຸກ, ເຊິ່ງໃນເບື້ອງຕົ້ນຄາດວ່າຈະຖືກປ່ອຍອອກມາດ້ວຍ WordPress 5.1, ແຕ່ຖືກແບ່ງອອກເປັນສອງ, ເຊິ່ງສ່ວນຫນຶ່ງຂອງການຈັດສົ່ງໂຄງການກັບ WordPress 5.1 ແລະອີກເຄິ່ງຫນຶ່ງຂອງການຂົນສົ່ງໃນມື້ນີ້, ກັບ WordPress 5.2.

WordPress 5.1 ລວມມີຄວາມສາມາດໃນການສະແດງການແຈ້ງເຕືອນເມື່ອເຄື່ອງແມ່ຂ່າຍຂອງ WordPress ເຮັດວຽກຢູ່ໃນເຄື່ອງແມ່ຂ່າຍທີ່ມີຮຸ່ນ PHP ທີ່ລ້າສະໄຫມ. WordPress 5.2, ປ່ອຍອອກມາໃນມື້ນີ້, ຈະປະກອບມີຄຸນສົມບັດທີ່ເອີ້ນວ່າ 'White Screen Of Death' (WSOD) ແລະເຮັດວຽກເປັນ "Safe Mode" ສໍາລັບເວັບໄຊທ໌ WordPress. ການປົກປ້ອງ WSOD ເຮັດວຽກໂດຍການປິດການໃຊ້ງານຮູບແບບສີສັນ ແລະ plugins ຊົ່ວຄາວເມື່ອມີຄວາມຜິດພາດ PHP ຮ້າຍແຮງເກີດຂຶ້ນ, ດັ່ງນັ້ນຜູ້ບໍລິຫານເວັບໄຊທ໌ສາມາດຄືນການເຂົ້າເຖິງ backends ຂອງເວັບໄຊທ໌ຂອງພວກເຂົາແລະແກ້ໄຂຂໍ້ຜິດພາດ.

ຄຸນນະສົມບັດດັ່ງກ່າວໄດ້ຖືກວາງແຜນໄວ້ໃນເບື້ອງຕົ້ນສໍາລັບ WordPress 5.1 ແຕ່ໄດ້ຖືກຊັກຊ້າກັບຮຸ່ນ 5.2 ຫຼັງຈາກເຈົ້າຫນ້າທີ່ຄວາມປອດໄພໄດ້ຍົກສະຖານະການຕ່າງໆທີ່ແຮກເກີສາມາດລ່ວງລະເມີດລະບົບການປົກປ້ອງ WSOD ເພື່ອປິດ plugins ຄວາມປອດໄພ WordPress ແລະເປີດຕົວການໂຈມຕີໃນເວັບໄຊທ໌ WordPress.

ແຜນການໃນອະນາຄົດ

ການເຮັດວຽກເພື່ອປັບປຸງຄວາມປອດໄພຂອງ WordPress ຈະບໍ່ຢຸດດ້ວຍການເປີດຕົວຮຸ່ນ 5.2. ໂຄງການອື່ນໆລວມມີໂຄງການ Gossamer, ວາງແຜນສໍາລັບ WordPress 5.4. ໂຄງການ Gossamer ມີຈຸດປະສົງເພື່ອນໍາເອົາລະບົບການເຊັນລະຫັດດຽວກັນທີ່ໃຊ້ສໍາລັບການປັບປຸງ WordPress ທີ່ສໍາຄັນເຂົ້າໄປໃນກອບທີ່ນັກພັດທະນາສາມາດນໍາໃຊ້ສໍາລັບການອັບເດດການເຊັນລະຫັດສໍາລັບຫົວຂໍ້ WordPress ແລະ plugins ເຊັ່ນກັນ.