famoahana ny rafitra fitantanana votoaty tranonkala . Ny famoahana dia miavaka amin'ny fahavitan'izany momba ny fampiharana manamarina ny fanavaozam-baovao sy ny fanampiana amin'ny fampiasana sonia nomerika.
Hatramin'izao, rehefa mametraka fanavaozana ao amin'ny WordPress, ny tena fototry ny fiarovana dia ny fahatokisana ny fotodrafitrasa sy ny mpizara WordPress (aorian'ny fampidinana dia nojerena ny hash nefa tsy nanamarina ny loharano). Raha voatohintohina ny lohamilina an'ilay tetikasa, dia afaka nandrombaka fanavaozana sy nizara kaody ratsy teo amin'ireo tranokala miorina amin'ny WordPress izay mampiasa rafitra fametrahana fanavaozana mandeha ho azy ireo mpanafika. Mifanaraka amin'ny modely fanaterana fitokisana efa nampiasaina teo aloha, ny fanoloana toy izany dia tsy ho voamariky ny mpampiasa.
Raha raisina ny zava-misy izay amin'ny tetikasa w3techs, ny sehatra WordPress dia ampiasaina amin'ny 33.8% amin'ny tranokala ao amin'ny tambajotra, mety ho niharan'ny loza ny tranga. Nandritra izany fotoana izany, ny loza ateraky ny marimaritra iraisana amin'ny fotodrafitrasa dia tsy vinavinaina, fa tena izy. Ohatra, taona maromaro lasa izay, iray amin'ireo mpikaroka momba ny fiarovana vulnerability izay nahafahan'ny mpanafika iray nanatanteraka ny kaody ao amin'ny lafiny mpizara api.wordpress.org.
Raha ny sonia nomerika, ny fahazoana mifehy ny mpizara fizarana fanavaozana dia tsy hitarika amin'ny marimaritra iraisana amin'ny rafitry ny mpampiasa, satria raha hanao fanafihana ianao dia mila mahazo fanalahidy manokana voatahiry misaraka, izay anaovana sonia ny fanavaozana.
Ny fampiharana ny fanamarinana ny loharanon'ny fanavaozam-baovao amin'ny fampiasana sonia nomerika dia voasakantsakana noho ny fisian'ny fanohanana ireo algorithm kriptografika ilaina ao amin'ny fonosana PHP mahazatra vao haingana. Nipoitra ny algorithm kriptografika ilaina noho ny fampidirana ny tranomboky ho an'ny ekipa lehibe . Fa toy ny dikan-teny ambany indrindra amin'ny PHP amin'ny WordPress famoahana 5.2.4 (avy amin'ny WordPress 5.2 - 5.6.20). Ny fampandehanana ny fanohanana ny sonia nomerika dia hitarika amin'ny fitomboana lehibe amin'ny fepetra takiana amin'ny dikan-teny PHP tohanana kely indrindra na ny fanampim-piankinana ivelany, izay tsy azon'ny mpamorona natao noho ny fihanaky ny dikan-teny PHP amin'ny rafitra fampiantranoana.
Ny vahaolana dia ary ny fampidirana ny dikan-teny compact an'ny Libsodium ao amin'ny WordPress 5.2 - , izay apetraka amin'ny PHP ny andiana algorithm faran'izay kely indrindra amin'ny fanamarinana sonia nomerika. Ny fampiharana dia mamela betsaka amin'ny resaka fampisehoana, fa mamaha tanteraka ny olana mifanaraka, ary mamela ny mpamorona plugin hanomboka hampihatra algorithms cryptographic maoderina.
Ny algorithm dia ampiasaina hamorona sonia nomerika , novolavolaina niaraka tamin'ny fandraisan'anjaran'i Daniel J. Bernstein. Misy sonia nomerika novolavolaina ho an'ny sandan'ny hash SHA384 kajy avy amin'ny votoatin'ny arisiva fanavaozana. Ed25519 dia manana fiarovana ambony kokoa noho ny ECDSA sy DSA, ary mampiseho hafainganam-pandeha avo lenta amin'ny fanamarinana sy famoronana sonia. Ny fanoherana ny hacking ho an'ny Ed25519 dia eo amin'ny 2 ^ 128 (amin'ny ankapobeny, ny fanafihana amin'ny Ed25519 dia mitaky fandidiana 2 ^ 140 bit), izay mifanaraka amin'ny fanoherana ny algorithm toy ny NIST P-256 sy RSA miaraka amin'ny haben'ny 3000 bit. na 128-bit block cipher. Ed25519 koa dia tsy iharan'ny olana amin'ny fifandonan'ny hash, ary tsy mora amin'ny fanafihana amin'ny fotoana cache na ny fanafihana amin'ny sisiny.
Ao amin'ny famoahana WordPress 5.2, ny fanamarinana sonia nomerika amin'izao fotoana izao dia mandrakotra ny fanavaozana sehatra lehibe fotsiny ary tsy manakana ny fanavaozana amin'ny alΓ lan'ny default, fa mampahafantatra fotsiny ny mpampiasa ny olana. Nanapa-kevitra ny tsy hamela avy hatrany ny fanakanana default noho ny filΓ na fanaraha-maso feno sy fisintahana . Amin'ny ho avy, kasaina koa ny hampiditra fanamarinana sonia nomerika mba hanovana ny loharanon'ny fametrahana lohahevitra sy plugins (afaka manao sonia ny famoahana amin'ny fanalahidiny ny mpanamboatra).
Ho fanampin'ny fanohanana sonia nomerika ao amin'ny WordPress 5.2, ireto fanovana manaraka ireto dia azo marihina:
- Pejy roa vaovao no nampidirina tao amin'ny fizarana "Site Health" ho an'ny fametahana ny olan'ny fandrindrana mahazatra, ary nomena endrika ihany koa izay ahafahan'ny mpamorona mamela fampahalalana momba ny debugging amin'ny mpitantana ny tranokala;
- Nampiana ny fampiharana ny "efijery fotsy amin'ny fahafatesana", aseho raha misy olana mahafaty ary manampy ny mpitantana hamaha ny olana tsy miankina amin'ny plugins na lohahevitra amin'ny alΓ lan'ny fifindrana amin'ny fomba fanarenana fianjerana manokana;
- Nisy rafitra iray hanamarinana ny fifanarahana amin'ny plugins, izay manamarina ho azy ny mety hampiasana ny plugin amin'ny fanovana ankehitriny, amin'ny fiheverana ny dikan-teny PHP ampiasaina. Raha toa ka mitaky dikan-teny PHP vaovao kokoa ny plugin iray, dia hosakanan'ny rafitra ho azy ny fampidirana ity plugin ity;
- Fanampiana fanampiny amin'ny fampandehanana ny maody miaraka amin'ny kaody JavaScript mampiasa ΠΈ ;
- Nampiana mΓ΄dely privacy-policy.php vaovao izay ahafahanao mampifanaraka ny votoatin'ny pejy politika momba ny fiainana manokana;
- Ho an'ny lohahevitra dia nampiana mpandrindra wp_body_open hook, ahafahanao mampiditra kaody avy hatrany aorian'ny marika vatana;
- Nampiakarina ho 5.6.20 ny fepetra takiana amin'ny dikan-teny faran'izay kely indrindra amin'ny PHP, ny plugins sy ny lohahevitra dia manana fahafahana mampiasa toerana misy anarana sy asa tsy mitonona anarana;
- Nanampy kisary vaovao 13.
Ankoatra izany, azonao atao ny miantso vulnerability amin'ny WordPress plugin (CVE-2019-11185). Ny vulnerability dia mamela ny code PHP tsy misy dikany hovonoina amin'ny mpizara. Ny plugin dia ampiasaina amin'ny tranokala maherin'ny 27 arivo mba hikarakarana fifampiresahana amin'ny mpitsidika iray, ao anatin'izany ny tranokalan'ny orinasa toa an'i IKEA, Adobe, Huawei, PayPal, Tele2 ary McDonald's (Matetika ny Live Chat dia ampiasaina hampiharana pop-up manelingelina. miresaka amin'ny tranokalan'ny orinasa miaraka amin'ny tolotra chat amin'ny mpiasa).
Ny olana dia miseho amin'ny fehezan-dalΓ na hampidirana rakitra amin'ny mpizara ary ahafahanao mandingana ny fanamarinana ny karazana rakitra manan-kery ary mampakatra script PHP amin'ny mpizara, ary avy eo dia manatanteraka izany mivantana amin'ny alΓ lan'ny tranonkala. Mahaliana fa tamin'ny taon-dasa dia efa nisy vulnerability mitovy amin'izany no hita tao amin'ny Live Chat (CVE-2018-12426), izay namela ny fametahana kaody PHP amin'ny endrika sary iray, manondro karazana votoaty hafa ao amin'ny sehatry ny Content-type. Ao anatin'ny fanamboarana dia nampiana fisavana fanampiny ho an'ny lisitra fotsy sy karazana atiny MIME. Raha ny fantatra dia tsy araka ny tokony ho izy ny fampiharana ireo fisavana ireo ary mora azo alaina.
Indrindra indrindra, voarara ny fandefasana mivantana ny rakitra miaraka amin'ny fanitarana ".php", fa ny fanitarana ".phtml", izay mifandray amin'ny mpandika teny PHP amin'ny lohamilina maro, dia tsy nampidirina tao amin'ny lisitra mainty. Ny lisitra fotsy dia mamela ny fampiakarana sary ihany, fa azonao atao ny mandingana izany amin'ny famaritana fanitarana roa, ohatra, ".gif.phtml". Mba hialana amin'ny fanamarinana karazana MIME eo am-piandohan'ny rakitra, alohan'ny hanokafana ny tag miaraka amin'ny kaody PHP, dia ampy ny mamaritra ny tsipika "GIF89a".
Source: opennet.ru