Serbest bırakmak WordPress 5.2 sürümü, dijital imza kullanarak güncellemeleri kontrol etme desteğiyle birlikte geliyor.

tanıtıldı web içerik yönetim sisteminin piyasaya sürülmesi WordPress 5.2. Sürümün tamamlanması dikkat çekiyor altı yıllık destan uygulama hakkında yetenekleri dijital imza kullanarak güncellemeleri ve eklemeleri kontrol etme.

Şimdiye kadar, güncellemeleri yüklerken... WordPress Güvenliğin sağlanmasındaki en önemli faktör, altyapıya ve sunuculara duyulan güvendi. WordPress (İndirme işleminden sonra, kaynak doğrulanmadan hash kontrol edildi.) Eğer projenin sunucuları ele geçirilmiş olsaydı, saldırganlar güncellemeyi değiştirme ve kötü amaçlı kodu siteler arasında dağıtma fırsatı bulabilirlerdi. WordPressOtomatik güncelleme yükleme sistemi kullanılarak. Daha önce kullanılan güvenilir dağıtım modelinde, böyle bir değişiklik kullanıcı tarafında fark edilmeden kalırdı.

Şu gerçeği dikkate alarak Göre w3techs platform projesi WordPress İnternetteki web sitelerinin %33.8'i tarafından kullanılan bir sistemde, böyle bir olay felaketle sonuçlanabilirdi. Dahası, altyapının tehlikeye girmesi varsayımsal değil, oldukça gerçek bir tehlikeydi. Örneğin, birkaç yıl önce bir güvenlik araştırmacısı gösterdi Bir saldırganın kodunu api.wordpress.org'un sunucu tarafında çalıştırmasına izin veren bir güvenlik açığı.

Dijital imzalar söz konusu olduğunda, güncelleme dağıtım sunucusu üzerinde kontrolün ele geçirilmesi, kullanıcı sistemlerinin tehlikeye girmesine yol açmayacaktır; çünkü bir saldırı gerçekleştirmek için ayrıca, güncellemelerin imzalandığı ayrı olarak saklanan bir özel anahtar almanız gerekecektir.

Güncellemelerin kaynağının dijital imza kullanılarak kontrol edilmesinin uygulanması, standart PHP paketinde nispeten yakın zamanda gerekli şifreleme algoritmaları için desteğin ortaya çıkması nedeniyle sekteye uğradı. Kütüphanenin entegrasyonu sayesinde gerekli kriptografik algoritmalar ortaya çıktı libsodyum ana takıma PHP 7.2Ancak asgari düzeyde desteklenen WordPress PHP sürümleri belirtilmiş Sürüm 5.2.4 (başlangıçtan itibaren) WordPress 5.2 - 5.6.20). Dijital imzalar için destek sağlamak, desteklenen minimum PHP sürümü gereksinimlerini önemli ölçüde artıracak veya harici bir bağımlılık ekleyecekti; ancak geliştiriciler, barındırma sistemlerinde PHP sürümlerinin yaygınlığı göz önüne alındığında bunu yapamazlardı.

Çözüm şuydu: gelişme ve kompozisyona dahil edilmesi WordPress Libsodium'un 5.2 kompakt varyantı - Sodyum UyumluluğuPHP'de dijital imzaları doğrulamak için minimum bir algoritma kümesinin uygulandığı. Uygulama, performans açısından arzulanan çok şey bırakıyor ancak uyumluluk sorununu tamamen çözüyor ve ayrıca eklenti geliştiricilerinin modern şifreleme algoritmalarını uygulamaya başlamasına olanak tanıyor.

Dijital imzalar oluşturmak için bir algoritma kullanılır Ed25519, Daniel J. Bernstein'ın katılımıyla geliştirildi. Güncelleme arşivinin içeriğinden hesaplanan SHA384 hash değeri için dijital imza oluşturulur. Ed25519, ECDSA ve DSA'dan daha yüksek bir güvenlik düzeyine sahiptir ve çok yüksek doğrulama ve imza oluşturma hızı sergiler. Ed25519'un hacklenmeye karşı direnci yaklaşık 2^128'dir (ortalama olarak Ed25519'a yapılan bir saldırı 2^140 bit işlem gerektirir), bu da NIST P-256 ve RSA gibi 3000 bit anahtar boyutuna sahip algoritmaların direncine karşılık gelir. veya 128 bitlik blok şifre. Ed25519 aynı zamanda karma çarpışmalarından kaynaklanan sorunlara ve önbellek zamanlama saldırılarına veya yan kanal saldırılarına karşı da duyarlı değildir.

Sorun WordPress 5.2 Dijital imza doğrulaması şu anda yalnızca büyük platform güncellemelerini kapsamakta olup, varsayılan olarak güncellemeyi engellememekte, yalnızca kullanıcıyı sorun hakkında bilgilendirmektedir. Tam bir kontrol ve atlama ihtiyacı nedeniyle varsayılan olarak engellemeyi etkinleştirmeme kararı alınmıştır. olası sorunlar. Gelecekte, temaların ve eklentilerin kurulum kaynağını doğrulamak için dijital imza doğrulamasının da eklenmesi planlanıyor (üreticiler, sürümleri anahtarlarıyla imzalayabilecek).

Dijital imzaları desteklemenin yanı sıra, WordPress 5.2 Aşağıdaki değişiklikler gözlemlenebilir:

  • Sık karşılaşılan yapılandırma sorunlarının ayıklanması için “Site Sağlığı” bölümüne iki yeni sayfa eklendi ve geliştiricilerin hata ayıklama bilgilerini site yöneticilerine bırakabilecekleri bir form da sağlandı;
  • Ölümcül sorunlar durumunda görüntülenen ve özel bir kilitlenme kurtarma moduna geçerek yöneticinin eklentiler veya temalarla ilgili sorunları bağımsız olarak çözmesine yardımcı olan "ölümün beyaz ekranı" uygulaması eklendi;
  • Eklentilerle uyumluluğu kontrol etmek için, kullanılan PHP sürümünü dikkate alarak eklentinin mevcut yapılandırmada kullanılma olasılığını otomatik olarak kontrol eden bir sistem uygulandı. Bir eklentinin çalışması için PHP'nin daha yeni bir sürümü gerekiyorsa, sistem bu eklentinin eklenmesini otomatik olarak engelleyecektir;
  • Kullanarak JavaScript kodunu kullanarak modülleri etkinleştirme desteği eklendi webpack и Babil;
  • Gizlilik politikası sayfasının içeriğini özelleştirmenize olanak tanıyan yeni bir gizlilik politikası.php şablonu eklendi;
  • Temalar için, body etiketinden hemen sonra kod eklemenize olanak tanıyan bir wp_body_open kanca işleyicisi eklendi;
  • PHP'nin minimum sürümü için gereksinimler 5.6.20'ye yükseltildi, eklentiler ve temalar artık ad alanlarını ve anonim işlevleri kullanma yeteneğine sahip;
  • 13 yeni simge eklendi.

Ek olarak şunları belirtebilirsiniz bulma kritik güvenlik açığı WordPress-eklenti WP Canlı Sohbet (CVE-2019-11185). Güvenlik açığı, sunucuda rastgele PHP kodunun çalıştırılmasına izin veriyor. Eklenti, IKEA, Adobe, Huawei, PayPal, Tele27 ve McDonald's gibi şirketlerin siteleri de dahil olmak üzere bir ziyaretçiyle etkileşimli sohbet düzenlemek için 2 binden fazla sitede kullanılıyor (Canlı Sohbet genellikle can sıkıcı açılır pencereleri uygulamak için kullanılır) şirket sitelerinde çalışanla sohbet teklifleri içeren sohbetler).

Sorun, dosyaları sunucuya yükleme kodunda kendini gösterir ve geçerli dosya türlerinin kontrolünü atlamanıza ve bir PHP betiğini sunucuya yüklemenize ve ardından onu doğrudan web üzerinden yürütmenize olanak tanır. İlginç bir şekilde, geçen yıl Canlı Sohbet'te (CVE-2018-12426) benzer bir güvenlik açığı zaten tanımlanmıştı; bu güvenlik açığı, İçerik türü alanında farklı bir içerik türü belirterek PHP kodunun bir resim görünümü altında yüklenmesine izin veriyordu. Düzeltmenin bir parçası olarak beyaz listeler ve MIME içerik türü için ek kontroller eklendi. Görünen o ki, bu kontroller yanlış uygulanıyor ve kolayca atlatılabiliyor.

Özellikle “.php” uzantılı dosyaların doğrudan yüklenmesi yasaktır ancak birçok sunucuda PHP yorumlayıcısı ile ilişkilendirilen “.phtml” uzantısı kara listeye eklenmemiştir. Beyaz liste yalnızca resim yüklemelerine izin verir, ancak çift uzantı belirterek bunu atlayabilirsiniz, örneğin ".gif.phtml". Dosyanın başındaki MIME tipi kontrolünü atlamak için PHP kodlu etiketi açmadan önce “GIF89a” satırını belirtmeniz yeterliydi.

Kaynak: opennet.ru

DDoS korumalı siteler, VPS VDS sunucuları için güvenilir hosting satın alın 🔥 DDoS korumalı, güvenilir VPS ve VDS sunucu barındırma hizmeti satın alın | ProHoster