saki tsarin sarrafa abun ciki na yanar gizo . Sakin sananne ne don kammala shi akan aiwatarwa duba sabuntawa da ƙari ta amfani da sa hannu na dijital.
Har zuwa yanzu, lokacin shigar da sabuntawa a cikin WordPress, babban abin tsaro shine dogara ga kayan aikin WordPress da sabobin (bayan zazzagewa, an duba zanta ba tare da tabbatar da tushen ba). Idan an lalata sabar aikin, maharan sun sami damar yin sabuntawa da rarraba lambar ɓarna a tsakanin rukunin yanar gizon WordPress waɗanda ke amfani da tsarin shigarwa ta atomatik. Dangane da tsarin isar da amana da aka yi amfani da shi a baya, irin wannan canji da ba a san shi ba a gefen masu amfani.
Yin la'akari da gaskiyar cewa na aikin w3techs, ana amfani da dandalin WordPress akan 33.8% na shafukan yanar gizo akan hanyar sadarwa, da lamarin ya faru akan sikelin bala'i. A lokaci guda, hatsarori na sasantawa da ababen more rayuwa ba hasashe ba ne, amma ainihin gaske. Misali, shekaru da dama da suka gabata daya daga cikin masu binciken tsaro raunin da ya ba maharin damar aiwatar da lambar sa a gefen uwar garken api.wordpress.org.
A cikin yanayin sa hannun dijital, samun iko akan uwar garken rarraba sabuntawa ba zai haifar da daidaita tsarin mai amfani ba, tunda don kai hari, kuna buƙatar samun maɓalli na sirri daban da aka adana, wanda aka sanya hannu akan sabuntawa.
Aiwatar da aiwatar da bincika tushen sabuntawa ta amfani da sa hannu na dijital ya sami cikas ta gaskiyar cewa goyan bayan mahimman algorithms masu mahimmanci sun bayyana a daidaitaccen kunshin PHP kwanan nan. Algorithms na sirri da ake buƙata sun bayyana godiya ga haɗawar ɗakin karatu zuwa babban tawagar . Amma a matsayin mafi ƙarancin tallafi na PHP a cikin WordPress saki 5.2.4 (daga WordPress 5.2 - 5.6.20). Bayar da tallafi don sa hannun dijital zai haifar da ƙaruwa mai yawa a cikin buƙatun don mafi ƙarancin tallafi na PHP ko ƙari na dogaro na waje, wanda masu haɓakawa ba za su iya yi ba idan aka yi la'akari da yawaitar nau'ikan PHP a cikin tsarin ɗaukar hoto.
Maganin ya kasance da haɗa ƙaramin sigar Libsodium a cikin WordPress 5.2 - , wanda a cikinsa ake aiwatar da mafi ƙarancin saiti na algorithms don tabbatar da sa hannun dijital a cikin PHP. Aiwatar tana barin abubuwa da yawa da ake so dangane da aiki, amma gaba ɗaya yana warware matsalar daidaitawa, kuma yana ba masu haɓaka plugin damar fara aiwatar da algorithms cryptographic na zamani.
Ana amfani da algorithm don samar da sa hannun dijital , haɓaka tare da sa hannun Daniel J. Bernstein. An ƙirƙiri sa hannun dijital don ƙimar hash SHA384 da aka ƙididdige shi daga abubuwan da ke cikin rumbun sabunta bayanai. Ed25519 yana da matakin tsaro mafi girma fiye da ECDSA da DSA, kuma yana nuna babban saurin tabbaci da ƙirƙirar sa hannu. Juriya ga hacking don Ed25519 shine game da 2 ^ 128 (a matsakaita, hari akan Ed25519 zai buƙaci ayyukan 2 ^ 140 bit), wanda yayi daidai da juriya na algorithms kamar NIST P-256 da RSA tare da girman maɓalli na 3000 bits. ko 128-bit block cipher. Ed25519 kuma ba shi da saukin kamuwa da matsaloli tare da karon hash, kuma baya iya fuskantar hare-haren cache-time ko harin tashoshi na gefe.
A cikin sakin WordPress 5.2, tabbatar da sa hannun dijital a halin yanzu yana ɗaukar manyan sabuntawar dandamali kawai kuma baya toshe sabuntawa ta tsohuwa, amma kawai yana sanar da mai amfani game da matsalar. An yanke shawarar kada a ba da damar toshewar da aka saba nan da nan saboda buƙatar cikakken rajistan shiga da wucewa . A nan gaba, ana kuma shirin ƙara tabbatar da sa hannu na dijital don tantance tushen shigar jigogi da plugins (masu sana'a za su iya sanya hannu kan sakewa tare da maɓallin su).
Baya ga goyan baya don sa hannun dijital a cikin WordPress 5.2, ana iya lura da canje-canje masu zuwa:
- An ƙara sabbin shafuka guda biyu zuwa sashin "Lafiyar Yanar Gizo" don magance matsalolin daidaitawa na gama gari, kuma an samar da wani nau'i ta hanyar da masu haɓakawa za su iya barin bayanan lalata ga masu gudanar da shafin;
- Ƙara aiwatar da "fararen allo na mutuwa", wanda aka nuna idan akwai matsaloli masu mutuwa da kuma taimakawa mai gudanarwa don gyara matsalolin da suka danganci plugins ko jigogi ta hanyar canzawa zuwa yanayin dawowa na musamman;
- An aiwatar da tsarin duba dacewa tare da plugins, wanda ta atomatik yana bincika yiwuwar amfani da plugin ɗin a cikin tsarin na yanzu, la'akari da sigar PHP da aka yi amfani da ita. Idan plugin ɗin yana buƙatar sabon sigar PHP don yin aiki, tsarin zai toshe haɗa wannan plugin ta atomatik;
- Ƙara goyon baya don kunna kayayyaki tare da lambar JavaScript ta amfani da su и ;
- Ƙara sabon samfurin sirri-policy.php wanda ke ba ku damar tsara abubuwan da ke cikin shafin manufofin keɓantawa;
- Don jigogi, an ƙara mai sarrafa wp_body_open ƙugiya, yana ba ku damar saka lamba nan da nan bayan alamar jikin;
- Abubuwan buƙatun don ƙaramin sigar PHP an ɗaga su zuwa 5.6.20; plugins da jigogi yanzu suna da ikon yin amfani da wuraren suna da ayyukan da ba a san su ba;
- An ƙara sabbin gumaka 13.
Bugu da ƙari, za ku iya ambata m rauni a cikin WordPress plugin (CVE-2019-11185). Rashin lahani yana ba da damar aiwatar da lambar PHP na sabani akan sabar. Ana amfani da plugin ɗin akan shafukan yanar gizo sama da dubu 27 don tsara tattaunawa ta mu'amala tare da baƙo, gami da rukunin kamfanoni kamar IKEA, Adobe, Huawei, PayPal, Tele2 da McDonald's (Ana amfani da Tattaunawa ta Live don aiwatar da abubuwan ban haushi. Hira a kan rukunin yanar gizon kamfani tare da tayin tattaunawa tare da ma'aikaci).
Matsalar tana bayyana kanta a cikin lambar don loda fayiloli zuwa uwar garken kuma tana ba ku damar tsallake rajistan nau'ikan fayil masu inganci da loda rubutun PHP zuwa uwar garken, sannan ku aiwatar da shi kai tsaye ta hanyar yanar gizo. Abin sha'awa, a bara an riga an gano irin wannan lahani a Live Chat (CVE-2018-12426), wanda ya ba da damar loda lambar PHP a ƙarƙashin hoton hoto, yana ƙayyadad da nau'in abun ciki na daban a cikin nau'in abun ciki. A matsayin wani ɓangare na gyarawa, an ƙara ƙarin cak don masu ba da izini da nau'in abun ciki MIME. Kamar yadda ya fito, ana aiwatar da waɗannan cak ɗin ba daidai ba kuma ana iya wucewa cikin sauƙi.
Musamman ma, an haramta loda fayiloli kai tsaye tare da tsawo na ".php", amma ".phtml" tsawo, wanda ke da alaƙa da fassarar PHP akan sabar da yawa, ba a saka shi cikin jerin baƙi ba. Lissafin da aka ba da izini yana ba da damar loda hotuna kawai, amma kuna iya ƙetare shi ta hanyar ƙididdige tsawo biyu, misali, ".gif.phtml". Don kewaya nau'in MIME rajistan shiga a farkon fayil ɗin, kafin buɗe alamar tare da lambar PHP, ya isa ya ƙayyade layin "GIF89a".
source: budenet.ru