release saka sistem manajemen konten web . Rilis kasebut misuwur amarga rampung ing implementasine mriksa nganyari lan tambahan nggunakake teken digital.
Nganti saiki, nalika nginstal nganyari ing WordPress, faktor keamanan utama yaiku kapercayan ing infrastruktur lan server WordPress (sawise diundhuh, hash dicenthang tanpa verifikasi sumber). Yen server proyek kasebut dikompromi, para panyerang bisa ngapusi nganyari lan nyebarake kode ala ing antarane situs basis WordPress sing nggunakake sistem instalasi nganyari otomatis. Sesuai karo model pangiriman kepercayaan sing wis digunakake sadurunge, substitusi kasebut bakal ora digatekake ing sisih pangguna.
Njupuk menyang akun kasunyatan sing saka proyek w3techs, platform WordPress digunakake ing 33.8% situs ing jaringan, kedadeyan kasebut bakal ditindakake kanthi skala bencana. Ing wektu sing padha, bebaya kompromi infrastruktur ora hipotetis, nanging cukup nyata. Contone, sawetara taun kepungkur salah sawijining peneliti keamanan kerentanan sing ngidini panyerang nglakokake kode ing sisih server api.wordpress.org.
Ing kasus teken digital, entuk kontrol server distribusi nganyari ora bakal nyebabake kompromi sistem pangguna, amarga kanggo nindakake serangan, sampeyan uga kudu entuk kunci pribadi sing disimpen kanthi kapisah, sing nganyari ditandatangani.
Implementasine mriksa sumber nganyari kanthi nggunakake teken digital diblokir dening kasunyatan manawa dhukungan kanggo algoritma kriptografi sing dibutuhake muncul ing paket PHP standar sing relatif anyar. Algoritma kriptografi sing dibutuhake muncul amarga integrasi perpustakaan menyang tim utama . Nanging minangka versi PHP sing didhukung minimal ing WordPress release 5.2.4 (saka WordPress 5.2 - 5.6.20). Ndhukung dhukungan kanggo tandha digital bakal nyebabake paningkatan sing signifikan ing syarat kanggo versi PHP sing didhukung minimal utawa tambahan ketergantungan eksternal, sing ora bisa ditindakake para pangembang amarga prevalensi versi PHP ing sistem hosting.
Solusi kasebut yaiku lan kalebu versi kompak Libsodium ing WordPress 5.2 - , ing ngendi set minimal algoritma kanggo verifikasi teken digital dileksanakake ing PHP. Implementasine ninggalake akeh sing dikarepake ing babagan kinerja, nanging ngrampungake masalah kompatibilitas, lan uga ngidini pangembang plugin miwiti ngetrapake algoritma kriptografi modern.
Algoritma digunakake kanggo ngasilake tandha digital , dikembangake kanthi partisipasi Daniel J. Bernstein. Tandha digital digawe kanggo nilai hash SHA384 sing diwilang saka isi arsip nganyari. Ed25519 nduweni tingkat keamanan sing luwih dhuwur tinimbang ECDSA lan DSA, lan nduduhake kacepetan verifikasi lan nggawe teken kanthi cepet. Rintangan kanggo peretasan Ed25519 kira-kira 2 ^ 128 (rata-rata, serangan ing Ed25519 mbutuhake operasi 2 ^ 140 bit), sing cocog karo resistensi algoritma kayata NIST P-256 lan RSA kanthi ukuran kunci 3000 bit utawa cipher blok 128-dicokot. Ed25519 uga ora rentan kanggo masalah karo tabrakan hash, lan ora sensitif serangan cache-wektu lan serangan saluran sisih.
Ing rilis WordPress 5.2, verifikasi tandha digital saiki mung nyakup nganyari platform utama lan ora ngalangi nganyari kanthi standar, nanging mung ngandhani pangguna babagan masalah kasebut. Diputusake supaya ora langsung ngaktifake pamblokiran standar amarga perlu kanggo mriksa lengkap lan lulus . Ing mangsa ngarep, uga direncanakake nambah verifikasi teken digital kanggo versify sumber instalasi tema lan plugin (produsen bakal bisa mlebu rilis nganggo kunci).
Saliyane ndhukung tandha digital ing WordPress 5.2, owah-owahan ing ngisor iki bisa dicathet:
- Loro kaca anyar wis ditambahake menyang bagean "Kesehatan Situs" kanggo debugging masalah konfigurasi umum, lan wangun uga wis kasedhiya liwat kang gawe bisa ninggalake informasi debugging kanggo administrator situs;
- Ditambahake implementasine saka "layar putih pati", ditampilake ing cilik saka masalah fatal lan bantuan administrator kanggo independen ndandani masalah related kanggo plugins utawa tema dening ngoper menyang mode Recovery kacilakan khusus;
- Sistem kanggo mriksa kompatibilitas karo plugin wis dileksanakake, sing kanthi otomatis mriksa kemungkinan nggunakake plugin ing konfigurasi saiki, njupuk menyang akun versi PHP digunakake. Yen plugin mbutuhake versi PHP sing luwih anyar supaya bisa digunakake, sistem bakal kanthi otomatis ngalangi panglebokake plugin iki;
- Dhukungan ditambahake kanggo ngaktifake modul kanthi nggunakake kode JavaScript ΠΈ ;
- Nambahake cithakan privasi-policy.php anyar sing ngidini sampeyan ngatur isi kaca kabijakan privasi;
- Kanggo tema, wp_body_open pancing handler wis ditambahake, ngijini sampeyan kanggo masang kode sanalika sawise tag awak;
- Syarat kanggo versi minimal PHP wis diunggahake dadi 5.6.20, plugin lan tema saiki duwe kemampuan kanggo nggunakake spasi jeneng lan fungsi anonim;
- Nambahake 13 lambang anyar.
Kajaba iku, sampeyan bisa sebutno kerentanan kritis ing plugin WordPress (CVE-2019-11185). Kerentanan ngidini kode PHP sewenang-wenang dieksekusi ing server. Plugin kasebut digunakake ing luwih saka 27 ewu situs kanggo ngatur obrolan interaktif karo pengunjung, kalebu ing situs perusahaan kayata IKEA, Adobe, Huawei, PayPal, Tele2 lan McDonald's (Obrolan Langsung asring digunakake kanggo ngetrapake pop-up sing ngganggu. chatting ing situs perusahaan karo tawaran chatting karo pegawe).
Masalah kasebut katon ing kode kanggo ngunggah file menyang server lan ngidini sampeyan ngliwati mriksa jinis file sing sah lan ngunggah skrip PHP menyang server, banjur nglakokake langsung liwat web. Apike, taun kepungkur kerentanan sing padha wis diidentifikasi ing Live Chat (CVE-2018-12426), sing ngidini ngemot kode PHP kanthi kedok gambar, nemtokake jinis konten sing beda ing kolom Tipe konten. Minangka bagΓ©an saka fix, mriksa tambahan wis ditambahakΓ© kanggo whitelists lan jinis isi MIME. Pranyata, pamriksaan kasebut ora ditindakake kanthi bener lan bisa gampang dilewati.
Utamane, upload langsung file kanthi ekstensi ".php" dilarang, nanging ekstensi ".phtml", sing digandhengake karo interpreter PHP ing akeh server, ora ditambahake ing daftar ireng. Whitelist mung ngidini upload gambar, nanging sampeyan bisa ngliwati kanthi nemtokake ekstensi pindho, contone, ".gif.phtml". Kanggo ngliwati mriksa jinis MIME ing wiwitan file, sadurunge mbukak tag nganggo kode PHP, cukup kanggo nemtokake baris "GIF89a".
Source: opennet.ru