Через шість років WordPress отримала підтримку цифрових підписів

1 хв. читання

Вийшов новий реліз системи керування веб-контентом — WordPress 5.2. Через шість років вона зрештою отримала можливість цифрових підписів. Нагадаємо, CMS WordPress послуговується 33,8% сайтів в мережі.

У новому випуску є підтримка сучасної криптографічної бібліотеки Libsodium, оновлений розділ Site Health в бекенді адміністраторської панелі. Також з'явилася функція, подібна до «Білого екрану смерті» (WSOD): доступ адміністратора до бекенду у випадку катастрофічних помилок PHP.

Досі під час оновлень у WordPress все базувалось на довірі до інфраструктури та серверів (після завантаження хеш перевірявся без верифікації джерела). У випадку компрометації серверів проекту зловмисники могли замінити оновлення і поширити свій код на сайти WordPress з автоматичним оновленням. З попередньою моделлю безпеки користувачі навіть не помітили б заміни оновлень.

З цифровими підписами такої ситуації не виникне, адже для атаки зловмисникам знадобиться закритий ключ, необхідний для підтвердження оновлень.

У випуску WordPress 5.2 перевірка цифрового підпису поки стосується лише основних оновлень платформи. Система не блокує оновлення за замовчуванням, а лише інформує користувача про проблему.

Блокування за замовчуванням вирішили поки не запускати через необхідність повної перевірки та деяких можливих проблем. В майбутньому за допомогою цифрового підпису планується перевіряти джерело завантаження тем оформлення і плагінів (виробники зможуть підписувати релізи своїм ключем).

Помітили помилку? Повідомте автору, для цього достатньо виділити текст з помилкою та натиснути Ctrl+Enter
Codeguida 4.7K
Приєднався: 10 місяців тому
Коментарі (0)

    Ще немає коментарів

Щоб залишити коментар необхідно авторизуватися.

Вхід / Реєстрація