Вийшов новий реліз системи керування веб-контентом — WordPress 5.2. Через шість років вона зрештою отримала можливість цифрових підписів. Нагадаємо, CMS WordPress послуговується 33,8% сайтів в мережі.
У новому випуску є підтримка сучасної криптографічної бібліотеки Libsodium, оновлений розділ Site Health в бекенді адміністраторської панелі. Також з'явилася функція, подібна до «Білого екрану смерті» (WSOD): доступ адміністратора до бекенду у випадку катастрофічних помилок PHP.
Досі під час оновлень у WordPress все базувалось на довірі до інфраструктури та серверів (після завантаження хеш перевірявся без верифікації джерела). У випадку компрометації серверів проекту зловмисники могли замінити оновлення і поширити свій код на сайти WordPress з автоматичним оновленням. З попередньою моделлю безпеки користувачі навіть не помітили б заміни оновлень.
З цифровими підписами такої ситуації не виникне, адже для атаки зловмисникам знадобиться закритий ключ, необхідний для підтвердження оновлень.
У випуску WordPress 5.2 перевірка цифрового підпису поки стосується лише основних оновлень платформи. Система не блокує оновлення за замовчуванням, а лише інформує користувача про проблему.
Блокування за замовчуванням вирішили поки не запускати через необхідність повної перевірки та деяких можливих проблем. В майбутньому за допомогою цифрового підпису планується перевіряти джерело завантаження тем оформлення і плагінів (виробники зможуть підписувати релізи своїм ключем).
Ще немає коментарів