Система управления контентом WordPress доросла до версии 5.2. Помимо повышения системных требований отдельно стоит упомянуть со скрипом внедрённую систему проверки обновлений и дополнений посредством цифровой подписи.
Основной проблемой распространения обновлений и дополнений в WordPress оставалась устаревшая с точки зрения безопасности схема их распространения. Если кратко, система строилась на доверии к серверам WordPress. Потенциально это открывало возможность для атаки на использующие WordPress сайты путём компрометации вышеуказанных серверов.
Внедрив вредоносный код на серверы WordPress, атакующие могли распространить его на сайты через систему обновлений.
Проблему не стоит преуменьшать, поскольку, по данным ресурса W3Techs, WordPress используют уже 33,8% сайтов.
Механизм проверки цифровых подписей предполагает, что атакующим будет недостаточно получить контроль над сервером распространения обновлений и дополнений. Помимо этого им также будет необходимо раздобыть закрытый ключ, которым подписываются эти обновления и дополнения.
Подобное благое начинание внедрялось очень долго из-за отсутствия в штатной поставке PHP необходимых криптографических алгоритмов. Последние появились лишь в PHP 7.2 благодаря интеграции библиотеки Libsodium. Проблема, однако, ещё и в том, что та же версия 7.2 стоит далеко не на всех веб-серверах. В качестве альтернативы разработчиками WordPress было использовано включение в WordPress 5.2 компактного варианта Libsodium — Sodium Compat. В нём на языке PHP реализован минимальный набор алгоритмов для проверки цифровых подписей.
Отметим, что в WordPress 5.2 разработчики не решились ввести блокировку обновлений из-за ошибок с цифровой подписью. На текущий момент не прохождение проверки приводит лишь к выводу предупреждающего сообщения. В дальнейшем, после дополнительных тестов, будет введёт режим блокировок. Также планируется распространить проверку цифровых подписей на темы WordPress.
Из полезных для администраторов сайтов инструментов можно вспомнить ещё страницу диагностики «здоровья сайта». Например, если отключить автоматическое обновление WordPress, то CMS подскажет, что это угрожает безопасности.
Данные сообщения носят рекомендательный характер и предназначены в основном для начинающих веб-мастеров.
Статьи по теме: