te tukunga o te punaha whakahaere ihirangi paetukutuku . He mea rongonui te tukunga mo tona otinga i runga i te whakatinanatanga te tirotiro i nga whakahou me nga taapiri ma te whakamahi i te waitohu mamati.
Tae noa ki tenei wa, i te wa e whakauru ana i nga whakahoutanga ki te WordPress, ko te mea nui o te haumarutanga ko te whakawhirinaki ki nga hanganga WordPress me nga kaitoro (i muri i te tango, ka tirohia te hash me te kore e manatoko i te puna). Mena i taupatupatuhia nga kaitoro o te kaupapa, ka taea e nga kaiwhaiwhai te tarai i te whakahou me te tohatoha i nga waehere kino i waenga i nga papanga WordPress e whakamahi ana i te punaha whakaurunga whakahou aunoa. I runga ano i te tauira tuku tarahiti i whakamahia i mua, ka kore e kitea te whakakapinga i te taha o nga kaiwhakamahi.
Ma te whai whakaaro ki tera o te kaupapa w3techs, ka whakamahia te papaaho WordPress i runga i te 33.8% o nga waahi kei runga i te whatunga, kua eke te aitua ki te tauine o te aituā. I te wa ano, ko te kino o te whakararu i nga hanganga ehara i te whakapae, engari he tino pono. Hei tauira, i etahi tau ki muri tetahi o nga kairangahau haumaru he whakaraeraetanga i taea ai e te kaitukino te mahi i tana waehere ki te taha tūmau o api.wordpress.org.
Mo nga hainatanga mamati, ko te mana whakahaere i runga i te tūmau tohatoha whakahou e kore e arai ki te whakararu i nga punaha a nga kaiwhakamahi, na te mea ki te whakahaere i tetahi whakaeke, me whiwhi ano koe i tetahi kii motuhake kua penapenahia, ka hainatia nga whakahoutanga.
Ko te whakatinanatanga o te tirotiro i te puna o nga whakahoutanga ma te whakamahi i te hainatanga mamati na te mea i puta mai te tautoko mo nga algorithms cryptographic e tika ana i roto i te kete PHP paerewa tata nei. Ko nga huringa cryptographic e tika ana i puta mai na te whakauru o te whare pukapuka ki te kapa matua . Engari ko te iti rawa o te tautoko PHP i roto i te WordPress tuku 5.2.4 (mai i te WordPress 5.2 - 5.6.20). Ko te whakamana i te tautoko mo nga hainatanga mamati ka nui ake nga whakaritenga mo te iti rawa o te tautoko PHP, te taapiri ranei o te whakawhirinakitanga o waho, kaore e taea e nga kaiwhakawhanake na te nui o nga putanga PHP i roto i nga punaha manaaki.
Ko te otinga me te whakaurunga o te putanga kiato o Libsodium ki WordPress 5.2 - , ka whakatinanahia he huinga iti o nga hātepe mo te manatoko i nga waitohu mamati ki te PHP. Ko te whakatinanatanga he maha nga mea e hiahiatia ana mo te mahi, engari ka whakaoti katoa i te raru hototahi, ka taea hoki e nga kaiwhakawhanake mono ki te timata ki te whakatinana i nga algorithms cryptographic hou.
Ka whakamahia he algorithm hei whakaputa i nga waitohu mamati , i whakawhanakehia me te whakauru a Daniel J. Bernstein. Ka hangaia he waitohu mamati mo te uara hash SHA384 i tatauhia mai i nga ihirangi o te puranga whakahou. He teitei ake te haumarutanga o Ed25519 i te ECDSA me te DSA, me te whakaatu i te tere tere o te manatoko me te hanga hainatanga. Ko te aukati ki te hacking mo Ed25519 e pa ana ki te 2 ^ 128 (i te toharite, ko te whakaeke i runga i te Ed25519 me 2 ^ 140 nga mahi moka), e rite ana ki te aukati o nga algorithms penei i te NIST P-256 me te RSA me te rahi matua o te 3000 bits. 128-bit paraka cipher ranei. Kaore ano hoki a Ed25519 e whakaraerae ki nga raruraru me nga tukinga hash, kaore hoki e kaha ki te whakaeke i te waa-keteroki, i nga whakaeke taha-taha ranei.
I roto i te tukunga WordPress 5.2, i tenei wa ka kapi noa te whakamohiotanga hainatanga mamati i nga whakamohoatanga nui o te papaahi, kaore hoki e aukati i te whakahou ma te taunoa, engari ka whakamohio noa ki te kaiwhakamahi mo te raru. I whakatauhia kia kaua e taea te aukati taunoa i te wa tonu na te hiahia mo te tirotiro katoa me te karo . I nga wa kei te heke mai, kua whakamaheretia ano kia taapirihia te manatoko hainatanga mamati hei whakarereke i te puna o te whakaurunga o nga kaupapa me nga taapiri (ka taea e nga kaihanga te haina i nga whakaputanga me o raatau matua).
I tua atu i te tautoko mo nga waitohu mamati i roto i te WordPress 5.2, ka taea te kite i nga huringa e whai ake nei:
- E rua nga wharangi hou kua taapirihia ki te waahanga "Hauora Pae" mo te whakakore i nga raruraru whirihoranga noa, kua tukuna ano he puka e taea ai e nga kaihanga te tuku korero patuiro ki nga kaiwhakahaere o te pae;
- Ko te whakatinanatanga taapiri o te "mata ma o te mate", ka whakaatuhia i roto i nga raruraru mate me te awhina i te kaiwhakahaere ki te whakatika takitahi i nga raruraru e pa ana ki nga monomai, ki nga kaupapa ranei ma te huri ki te aratau whakaora tukinga motuhake;
- Kua whakatinanahia he punaha mo te arowhai i te hototahitanga me nga monomai, ka tirotiro aunoa i te tupono ki te whakamahi i te mono i roto i te whirihoranga o naianei, me te whakaaro ki te putanga o te PHP i whakamahia. Mena ka hiahia tetahi mono ki tetahi putanga hou ake o te PHP hei mahi, ka aukati aunoa te punaha i te whakaurunga o tenei mono;
- He tautoko taapiri mo te whakauru i nga waahanga me te waehere JavaScript ma te whakamahi и ;
- Kua taapirihia he tauira privacy-policy.php hou e taea ai e koe te whakarite i nga ihirangi o te wharangi kaupapa here tūmataiti;
- Mo nga kaupapa, kua taapirihia he kaikawe matau wp_body_open, ka taea e koe te whakauru waehere i muri tonu i te tohu tinana;
- Ko nga whakaritenga mo te putanga iti rawa o te PHP kua piki ake ki te 5.6.20, ka taea e nga monomai me nga kaupapa te whakamahi i nga waahi ingoa me nga mahi kore ingoa;
- Kua taapirihia nga tohu hou 13.
I tua atu, ka taea e koe te whakahua whakaraeraetanga tino i roto i te mono WordPress (CVE-2019-11185). Ko te whakaraeraetanga ka taea te mahi waehere PHP i runga i te tūmau. Ka whakamahia te mono i runga i te neke atu i te 27 mano nga waahi ki te whakarite i te korerorero whakawhitiwhiti me te manuhiri, tae atu ki nga waahi o nga kamupene penei i IKEA, Adobe, Huawei, PayPal, Tele2 me McDonald's (Korerorero ora e whakamahia ana ki te whakatinana i nga pahū-ake hoha. korerorero i runga i nga pae kamupene me nga tuku korero me te kaimahi).
Ko te raruraru ka kitea i roto i te waehere mo te tuku i nga konae ki te tūmau ka taea e koe te karo i te haki o nga momo konae whaimana me te tuku i tetahi tuhinga PHP ki te tūmau, katahi ka mahia tika ma te ipurangi. Ko te mea whakamiharo, i tera tau kua kitea he whakaraeraetanga rite ki te Live Chat (CVE-2018-12426), i taea ai te uta i te waehere PHP i raro i te ahua o te ahua, e tohu ana i tetahi momo ihirangi rereke i te mara Ihirangi. Hei waahanga o te whakatika, kua taapirihia etahi atu arowhai mo nga rarangi ma me nga momo ihirangi MIME. Ko te ahua, he he te whakatinanatanga o enei arowhai, a ka ngawari te karo.
Ina koa, ko te tukunga tika o nga konae me te toronga ".php" ka aukati, engari ko te toronga ".phtml", e hono ana ki te kaiwhakamaori PHP i runga i nga kaitoro maha, kaore i whakauruhia ki te rarangi pango. Ka taea e te rarangi ma te tukunga whakaahua anake, engari ka taea e koe te karo ma te tautuhi i te toronga rua, hei tauira, ".gif.phtml". Hei karo i te haki momo MIME i te timatanga o te konae, i mua i te whakatuwheratanga o te tohu me te waehere PHP, he nui noa te tohu i te rarangi "GIF89a".
Source: opennet.ru