WordPress はより安全になりました

WP ottiene finalmente le caratteristiche di sicurezza che un terzo di Internet merita.

WordPress 5.2 がリリースされ、最新の暗号化ライブラリである暗号署名付き更新がサポートされました。

WordPress コンテンツ管理システム (CMS) は、今日、多くのユーザーが長年切望してきた保護レベルを最終的に追加する、さまざまな新しいセキュリティ機能を受け取るように設定されています. これらの機能は、本日後半にリリースされる WordPress 5.2 の公式リリースで期待されています。 これには、暗号署名された更新のサポート、最新の暗号ライブラリのサポート、管理パネルのバックエンドのサイト ヘルス セクション、壊滅的な PHP エラーの場合に管理者がバックエンドにログインするための WSOD セキュリティ サイトとして機能する機能が含まれます。 .

すべての Web サイトの推定 33,8% に WordPress がインストールされているため、これらの機能により、一部の攻撃ベクトルに関する懸念が緩和されることは間違いありません。

暗号署名された更新

おそらく、今日の新しいセキュリティ機能の中で最大かつ最も重要なのは、WordPress のオフライン デジタル署名システムです。

WordPress 5.2 から、WordPress チームは Ed25519 公開鍵署名システムを使用して更新パッケージにデジタル署名し、ローカル インストールで更新パッケージをローカル サイトに適用する前にその信頼性を検証できるようにします。

暗号署名された更新のサポートを追加することは、ハッカーがすべての WordPress サイトでサプライチェーン攻撃を実行するのを防ぐための重要なステップです。これは、セキュリティ会社が XNUMX 年以上にわたって認識し、実行するよう警告してきたことです.

WordPress 5.2 より前Paragon Initiative Enterprises の最高開発責任者であり、WordPress 更新システムの保護に関与している開発者の XNUMX 人である Scott Arciszewski 氏によると、インターネット上のすべての WordPress サイトに感染するには、(WordPress) 更新サーバーをハッキングするだけで済みます。

WordPress 5.2以降、同じ攻撃を実行して、どうにかして WordPress コア開発チームの署名鍵を盗む必要があります。

WORDPRESS が最新の暗号化ライブラリを取得

しかし、WordPress CMS に関する Arciszewski の作業はそれだけではありませんでした。 彼はまた、古い暗号化ライブラリを現代に適応するものに置き換えることで、WordPress に貢献しました。

WordPress 5.2 以降、CMS は、現在非推奨で削除されている mcrypt の代わりに、すべての暗号化操作に対して Libsodium ライブラリをサポートします。 Libsodium は、Libsodium をサポートしていない古い PHP サーバーのポリフィルとして機能する Arciszewski のsodium_compat ライブラリとともに、WordPress CMS ソース コードの一部になりました。 WordPress は、PHP 7.2+、Magento 2.3+、Joomla 3.8+ など、Libsodium をネイティブにサポートする最新の Web 開発ツールの仲間入りを果たしました。 さらに、WordPress CMS コアに Libsodium が追加されたことで、プラグインやテーマの開発者が Libsodium のサポートを開始できるようになりました。

Arciszewski は本日、 ブログを投稿する 古い mcrypt 暗号化機能を libsodium のものに置き換える方法について、WordPress プラグインおよびテーマ開発者向けの基本的なアドバイスを提供します。

サイトの新しい健康セクション

しかし、今日のリリースでユーザーが最初に気付く WordPress 5.2 のセキュリティ機能は、CMS コードの変更ではなく、管理パネルの [ツール] メニューに新しく追加された [サイト ヘルス] セクションです。 このセクションには、サイトの正常性とサイトの正常性に関する情報という XNUMX つの新しいページが含まれています。 このサイトの [Health Status] ページは、一連の基本的なセキュリティ チェックを実行し、結果を含むレポートと、見つかった問題を修正するための推奨事項を提供することで機能します。 このセクションには多数のテストがバンドルされていますが、サイトの所有者とセキュリティ プラグインの開発者は、WordPress サイトのより多くの領域にセキュリティ コントロールを拡張するために、独自のテストを作成することもできます。

と呼ばれる XNUMX 番目のセクション サイトの健康情報、その名前が意味するものです。 豊富な Web サイトおよびサーバー構成情報を提供し、デバッグ目的、またはサポート サービスのためにサイトを IT プロフェッショナルと共有する必要がある場合に使用します。 WordPress のインストール、基盤となるサーバー、プラグイン、テーマ、およびファイル ストレージの使用に関する情報が提供されます。

サーブハッピー機能

WordPress 5.2 に含まれるもう XNUMX つの新しいセキュリティ機能は、 サーブハッピープロジェクトはもともと WordPress 5.1 でリリースされる予定でしたが、5.1 つに分割され、プロジェクトの一部は WordPress 5.2 で出荷され、残りの半分は本日 WordPress XNUMX で出荷されました。

WordPress 5.1 には、古い PHP バージョンのサーバーで WordPress サーバーが実行されている場合にアラートを表示する機能が含まれていました。 本日リリースされた WordPress 5.2 には、'White Screen Of Death' (WSOD) と呼ばれる機能が含まれており、WordPress サイトの「セーフ モード」として機能します。 WSOD 保護は、致命的な PHP エラーが発生したときにテーマとプラグインを一時的に無効にすることで機能するため、サイト管理者はサイトのバックエンドへのアクセスを回復してエラーを修正できます。

この機能は当初 WordPress 5.1 向けに計画されていましたが、ハッカーが WSOD 保護システムを悪用して WordPress セキュリティ プラグインを無効化し、WordPress サイトに攻撃を仕掛ける可能性があるいくつかのシナリオをセキュリティ担当者が提起したため、バージョン 5.2 に延期されました。

今後の計画

WordPress のセキュリティを向上させる作業は、バージョン 5.2 のリリースにとどまりません。 他のプロジェクトには、WordPress 5.4 で計画されている Gossamer プロジェクトが含まれます。 Gossamer プロジェクトは、WordPress の主要な更新に使用されるものと同じコード署名システムを、開発者が WordPress のテーマやプラグインのコード署名更新にも使用できるフレームワークに導入することを目的としています。