Nu is WordPress veiliger

Maggio 8, 2019

|In Voor internet, Webdesign en ontwikkeling, Op de voorgrond, Voor zaken, Communicatie en Media, Onder de lens, Voor ons

|By Andreas ArnoMichael Voigt

Nu is WordPress veiliger

WP krijgt eindelijk de beveiligingsfuncties die een derde van het internet verdient.

WordPress 5.2 uitgebracht met ondersteuning voor cryptografisch ondertekende updates, een moderne cryptografische bibliotheek.

Het contentmanagementsysteem (CMS) van WordPress krijgt vandaag een reeks nieuwe beveiligingsfuncties die eindelijk het beschermingsniveau zullen toevoegen waar veel gebruikers al jaren naar verlangen. Deze functies worden later vandaag verwacht met de officiële release van WordPress 5.2. Dit omvat ondersteuning voor cryptografisch ondertekende updates, ondersteuning voor een moderne cryptografische bibliotheek, een Site Health-sectie in de backend van het beheerderspaneel en een functie die zal fungeren als een WSOD-beveiligingssite voor beheerders die inloggen op hun backend in geval van catastrofale PHP-fouten .

Nu WordPress op naar schatting 33,8 procent van alle websites is geïnstalleerd, zullen deze functies ongetwijfeld enkele zorgen over sommige aanvalsvectoren wegnemen.

CRYPTOGRAFISCH ONDERTEKENDE UPDATES

Waarschijnlijk de grootste en belangrijkste van de nieuwe beveiligingsfuncties van vandaag is het offline digitale handtekeningsysteem van WordPress.

Vanaf WordPress 5.2 zal het WordPress-team zijn updatepakketten digitaal ondertekenen met het Ed25519 public key signing-systeem, zodat een lokale installatie de authenticiteit van het updatepakket kan verifiëren voordat het op een lokale site wordt toegepast.

Het toevoegen van ondersteuning voor cryptografisch ondertekende updates is een belangrijke stap om te voorkomen dat hackers een supply chain-aanval uitvoeren op alle WordPress-sites, iets waar beveiligingsbedrijven al meer dan twee jaar voor waarschuwen om op de hoogte te zijn.

Vóór WordPress 5.2, als je elke WordPress-site op internet wilde infecteren, moest je gewoon de (WordPress) updateserver hacken, zei Scott Arciszewski, chief development officer bij Paragon Initiative Enterprises, en een van de ontwikkelaars die betrokken zijn bij het beveiligen van het WordPress-updatesysteem.

Na WordPress 5.2, moet je dezelfde aanval uitvoeren en op de een of andere manier de ondertekeningssleutel van het WordPress kernontwikkelingsteam stelen.

WORDPRESS KRIJGT EEN MODERNE CRYPTO-BIBLIOTHEEK

Maar Arciszewski's werk aan het WordPress CMS eindigde daar niet. Hij heeft ook bijgedragen aan WordPress door een oude cryptografische bibliotheek te vervangen door een die zich aanpast aan de moderne tijd.

Vanaf WordPress 5.2 ondersteunt het CMS de Libsodium-bibliotheek voor alle cryptografische bewerkingen, in plaats van de nu verouderde en verwijderde mcrypt. Libsodium maakt nu deel uit van de WordPress CMS-broncode, samen met Arciszewski's sodium_compat-bibliotheek die werkt als een polyfill voor oudere PHP-servers die Libsodium niet ondersteunen. WordPress voegt zich nu bij de moderne web-dev-tools die Libsodium standaard ondersteunen, zoals PHP 7.2+, Magento 2.3+ en Joomla 3.8+. Bovendien, met de toevoeging van Libsodium aan de WordPress CMS-kern, betekent dit ook dat plug-in- en thema-ontwikkelaars het kunnen gaan ondersteunen.

Arciszewski publiceerde vandaag een blogpost met basisadvies voor ontwikkelaars van WordPress-plug-ins en thema's over het vervangen van de oude mcrypt-cryptografische functies door libsodium-functies.

NIEUW GEZONDHEIDSONDERDEEL VAN DE SITE

Maar de eerste beveiligingsfuncties van WordPress 5.2 die gebruikers zullen opmerken in de release van vandaag zijn niet de wijzigingen in de CMS-code, maar de nieuwe sectie "Site Health" in het menu Tools van het beheerderspaneel. Dit gedeelte bevat twee nieuwe pagina's, namelijk sitestatus en informatie over sitestatus. De pagina Gezondheidsstatus van de site werkt door een reeks basisbeveiligingscontroles uit te voeren en een rapport met de resultaten te leveren, samen met aanbevelingen voor het oplossen van eventuele gevonden problemen. Deze sectie wordt geleverd met een aantal gebundelde tests, maar site-eigenaren en ontwikkelaars van beveiligingsplug-ins kunnen ook hun eigen tests schrijven om beveiligingscontroles uit te breiden naar meer delen van een WordPress-site.

Het tweede deel, genaamd Informatie over sitegezondheid, is wat de naam aangeeft. Het biedt een schat aan website- en serverconfiguratie-informatie en is bedoeld voor foutopsporingsdoeleinden of wanneer de site moet worden gedeeld met een IT-professional voor ondersteunende diensten. Er wordt informatie verstrekt over de installatie van WordPress, de onderliggende server, plug-ins, thema's en het gebruik van bestandsopslag.

SERVHAPPY-FUNCTIE

Een andere nieuwe beveiligingsfunctie in WordPress 5.2 is de Servehappy-project, dat oorspronkelijk met WordPress 5.1 zou worden uitgebracht, maar in tweeën werd gesplitst, waarbij een deel van het project met WordPress 5.1 werd verzonden en de andere helft vandaag met WordPress 5.2.

WordPress 5.1 bevatte de mogelijkheid om waarschuwingen weer te geven wanneer WordPress-servers draaiden op servers met verouderde PHP-versies. WordPress 5.2, vandaag uitgebracht, bevat een functie genaamd 'White Screen Of Death' (WSOD) en werkt als een "Veilige modus" voor WordPress-sites. WSOD-beveiliging werkt door thema's en plug-ins tijdelijk uit te schakelen wanneer er een fatale PHP-fout optreedt, zodat sitebeheerders weer toegang kunnen krijgen tot de backends van hun sites en de fout kunnen herstellen.

De functie was oorspronkelijk gepland voor WordPress 5.1, maar werd uitgesteld tot versie 5.2 nadat beveiligingsfunctionarissen verschillende scenario's naar voren hadden gebracht waarin hackers het WSOD-beveiligingssysteem zouden kunnen misbruiken om WordPress-beveiligingsplug-ins uit te schakelen en aanvallen op WordPress-sites uit te voeren.

PLANNEN VOOR DE TOEKOMST

Het werk om de beveiliging van WordPress te verbeteren stopt niet met de release van versie 5.2. Andere projecten zijn het Gossamer-project, gepland voor WordPress 5.4. Het Gossamer-project heeft tot doel hetzelfde code-ondertekeningssysteem dat wordt gebruikt voor grote WordPress-updates in een raamwerk te brengen dat ontwikkelaars ook kunnen gebruiken voor code-ondertekeningsupdates voor WordPress-thema's en plug-ins.

Nu is WordPress veiliger

Nu is WordPress veiliger

Nu is WordPress veiliger

WP krijgt eindelijk de beveiligingsfuncties die een derde van het internet verdient.

CRYPTOGRAFISCH ONDERTEKENDE UPDATES

WORDPRESS KRIJGT EEN MODERNE CRYPTO-BIBLIOTHEEK

NIEUW GEZONDHEIDSONDERDEEL VAN DE SITE

SERVHAPPY-FUNCTIE

PLANNEN VOOR DE TOEKOMST

Mogelijk bent u ook geïnteresseerd in:

Vier landen, één gigantische oceaan: de CMAR-zaak

Lausanne, op het spoor van de vervuiling: het verhaal van een verbrandingsoven

Hoe de omgeving de eigenschappen van de kaas bepaalt

Innosuisse heeft zijn innovatiedoelstellingen voor 2023 in Zwitserland bereikt

Veel Gestelde Vragen

Handige pagina's

Ethische kaart

De emotie van Zwitserse uitmuntendheid

Onze visie

Waarom Innovando Nieuws? Wat zit erachter? Wat zijn onze drijfveren? En waarom zou je ons volgen?

We zijn ervan overtuigd dat er geen innovatie mogelijk is zonder informatie: daarom hebben we een online magazine gecreëerd, met een werkelijk wereldwijd bereik, zonder taalkundige of culturele barrières, met als doel het beste van digitale transformatie, duurzaamheid en Menselijke ontwikkeling.

Bedrijfsgegevens

Innovando GmbH / Uitgever

Belastingkantoor

Operationeel hoofdkwartier

Innovando Gmbh / Innovando Nieuws

Contactgegevens

Innovatief nieuws

Innovatie GmbH

informatie

Hoofdredacteur

Legale aspecten

Geen enkele certificering

Wij zijn erkende journalisten

Innovando is lid van de IWA

Innovando is Swiss Label-gecertificeerd

Innovando is Swiss Digital Services-gecertificeerd

Ter ere en herinnering aan Silvano Testi e Arno Magnus voor wat ze tijdens hun leven hebben kunnen opbouwen en voor de grote en belangrijke ethische en morele erfenis die ze ons hebben nagelaten.