emittere tela contentus administratione ratio . Emissio notabilis est ad eius complementum in implementation iniecta updates et additamenta subscriptio digitalis utens.
Usque nunc, cum updates in WordPress insertis, principale factor securitatis in WordPress infrastructure et servientibus confidebat (post deprehensionem, Nullam repressit sine fonte comprobando). Si servi projecti sunt in aedilitate, oppugnatores insculpere renovationem ac malignum codicem distribuere in WordPress-substructio sites qui utentes systematis institutionis automatice renovationis utuntur. Secundum exemplar fiduciae traditio antea adhibita, talis substitutio latuit in parte utentis.
Inspecta quod w3techs proiectum, WordPress suggestum in 33.8% situum in retiaculis adhibitum, res in scala calamitatis assumpsit. Eodem tempore periculum compromissi infrastructure non hypotheticum, sed plane reale erat. Exempli causa, ante aliquot annos unus ex inquisitoribus securitatis vulnerabilitas quae permisit oppugnatorem suum codicem exsequi in calculonis servi api.wordpress.org.
In subscriptionibus digitalibus, potestatem in servo distributionis renovationis non ducet ad componendum systemata usoris, cum ad impetum faciendum, insuper necessarium erit ut clavis privatim reconditum, quo updates subsignantur.
Exsecutio inhibendi fons updates utendi subscriptio digitalis impedita est eo quod subsidium necessario algorithmorum cryptographicorum in normali PHP involucro relative nuper apparuit. Algorithmus necessarius cryptographicus gratiae integrationi bibliothecae apparuit ut pelagus dolor . Sed ut minimum sustinetur versio PHP in WordPress dimittis 5.2.4 (from WordPress 5.2 - 5.6.20). Ut subsidia pro subscriptionibus digitalibus ad notabilem incrementum exigentiis induceret ad minimum PHP versionem sustentatam vel additam dependentiae externae, quae tincidunt non poterat praevalere versiones PHP in systematibus hosticis.
Solutio erat et inclusio pacti versionis Libsodium in WordPress 5.2 - , in quo numerus algorithmorum minimum ad comprobandum signaturas digitales in PHP impletur. Exsecutio multum desiderandum relinquit in terminis effectus, sed problema compatibilitatem omnino solvit, ac etiam permittit tincidunt plugin incipere exsequendo algorithmos recentiores cryptographicos.
Algorithmus adhibetur digital subscriptionibus generare elaboravit, concurrente J. Daniele Bernstein. Subscriptio digitalis generatur ad valorem detrahendum SHA384 computatum ex contentis in archivo renovationis. Ed25519 altiorem gradum securitatis habet quam ECDSA et DSA et altissimam celeritatem verificationis et subscriptio monstrat creationis. Resistentia ad caesim pro Ed25519 est circiter 2^128 (in mediocris, oppugnatio in Ed25519 exiget 2^140 particulas operationes), quae resistenti algorithmorum respondet ut NIST P-256 et RSA cum magnitudine clavis 3000 frenorum vel 128-frenum stipes cipher. Ed25519 etiam difficultates cum tumultuosis collisionibus non patitur, nec patitur impetus cache timidi vel impetus canalis lateris.
In WordPress 5.2 emissio, signatura digitalis verificationis nunc tantum maioris suggestu updates operit et renovationem per defaltam non impedit, sed tantum de usore informat quaestionem. Placuit non ut defectus interclusionis statim ob necessitatem plenam repressionis et bypassim efficere possit . In posterum etiam cogitavit verificationem digitali addere verificationem ad fontem institutionis themata et plugins versificandi (fabricatores solutiones cum clavibus suis subscribere poterunt).
Praeter notas digitales in WordPress 5.2, mutationes sequentes notari possunt:
- Duae paginae novae ad sectionem "Site Health" additae sunt ad debugging communium problematum configurationem, et forma etiam provisa est per quae tincidunt informationes debugging ad administratores sitos relinquere possunt;
- Exsecutionem "album screen mortis" adiecit, in casu fatalium quaestionum et administratorem adiuvans ut quaestiones independenter figere ad plugins vel themata pertinentia mutando ad singularem ruinam recuperandi modum;
- Systema reprimendi compatibilitas cum plugins adducta est, quae sponte impedit facultatem utendi plugin in figura hodierna, ratione versionis PHP adhibitae. Si plugin recentiorem versionem PHP ad operandum requirit, ratio automatice inclusionem huius plugini obstruet;
- Addidit auxilium modulorum cum JavaScript codice utens ΠΈ ;
- Novam secreti-policy.php templates addidit, quae te permittit ut contentum in pagina secreti consilii secreti cognoscas;
- Pro themata, manubrii wp_corporis uncinis adiectum est, quod permittit tibi statim post corpus tag inserere codicem;
- Requisita ad 5.6.20 minimum versionis PHP evecti sunt, plugins et themata nunc habent facultatem nominibus utendi et functionibus anonymis;
- Adiectae sunt 13 novae icones.
Praeterea memorare potes critica vulnerability in WordPress plugin (CVE-2019-11185). vulnerabilitas permittit arbitrariam PHP codicem in servo exsecutioni mandari. Plugin in plus quam 27 mille situs adhibetur ad chat interactivum cum peregrino instituendo, in iis in locis societatum ut IKEA, Adobe, Huawei, PayPal, Tele2 et McDonald (Live Chat saepe ad efficiendum pop-up molestissimum est. chats on company sites with offers chat with the employee).
Problema se manifestat in codice ad fasciculos discendi cum servo ac permittit te praeterire perscriptio typi file validorum et chirographum PHP servo fasciculi imponendum, et tunc directe per telam exequendum. Interestingly, anno praeterito similis vulnerabilitas iam in Live Chat (CVE-2018-12426) notata est, quae permittit oneraturam PHP codicem sub imagine imaginis, speciei contenti in campo contenti-typi denotans. Ut pars fixi, additamenta scutulata additae sunt pro generis contentorum album et MIME. Cum evenit, hae impedimenta perperam perficiuntur et facile praeteriri possunt.
Praesertim directa fasciculorum extensio cum ".php" impositione prohibetur, sed extensio ".phtml" quae cum interprete PHP de multis servientibus coniungitur, notatione notatione addita non est. Album album solum imaginum fasciculos admittit, sed illud praeterire potes duplicem extensionem denotans, verbi gratia: ".gif.phtml". Praeterire genus MIME reprehendo in initio tabellae, antequam tag cum PHP codice aperias, satis erat lineam "GIF89a" denotare.
Source: opennet.ru