WordPress终于获得了互联网应得的三分之一的安全功能

WordPress内容管理系统(CMS)目前将接收各种新的安全功能，最终将添加许多用户多年来所需的保护级别。包括对加密签名更新的支持，对现代加密库的支持，管理面板后端中的站点健康部分以及将充当白屏死机(WSOD)保护的功能 - 管理站点管理员在灾难性的PHP错误的情况下访问他们的后端。WordPress的离线数字签名系统可能是当今最大和最重要的新安全功能。

从WordPress 5.2开始，WordPress团队将使用Ed25519公钥签名系统对其更新包进行数字签名，以便本地安装在将更新包应用到本地站点之前能够验证更新包的真实性。

添加对加密签名更新的支持是防止威胁参与者对所有WordPress站点进行供应链攻击的重要一步，这是安全公司已经警告了两年多的事情。

“在WordPress 5.2之前，如果你想感染互联网上的每个WordPress网站，你只需要破解[WordPress]更新服务器，”Paragon Initiative Enterprises的首席开发官Scott Arciszewski和参与保护的开发人员之一说。 WordPress更新系统。

“在WordPress 5.2之后，你需要完成相同的攻击以某种方式从WordPress核心开发团队中窃取签名密钥。”

WORDPRESS获得了一个现代的加密库

但是，Arciszewski在WordPress CMS上的工作并未就此结束。他还为WordPress提供了一个适合现代的老化加密库。

从WordPress 5.2开始，CMS将支持Libsodium库以进行所有加密操作，而不是现在已弃用和删除的mcrypt。

Libsodium现在是WordPress CMS源代码的一部分，以及Arciszewski的sodium_compat库，它可以作为不支持Libsodium的旧PHP服务器的polyfill。

WordPress现在加入了原生支持Libsodium的现代web-dev工具的行列，例如PHP 7.2 +，Magento 2.3+和Joomla 3.8+。

Magento 2.3，Joomla 3.8，WordPress 5.2。

如果您正在为任何这些平台开发并使用这些版本，那么您已经安装了sodium_compat。

只需使用libsodium作为插件/模块/扩展。甚至不打扰mcrypt。

- Scott Arciszewski(@CiPHPerCoder)，2019年5月7日

此外，随着Libsodium添加到WordPress CMS核心，这也意味着插件和主题开发人员也可以开始支持它。

Arciszewski今天发布了一篇博客文章，其中包含有关如何用libsodium替换旧的mcrypt加密函数的WordPress插件和主题开发人员的基本建议。

新站点健康部分

也可以看看

10个危险的app漏洞需要注意(免费PDF)

但是，用户将在今天发布的第一个WordPress 5.2安全功能不是对CMS代码的更改，而是管理面板的“工具”菜单中的新“站点运行状况”部分。

本节包括两个新页面 - 即站点健康状态和站点健康信息。

“站点运行状况状态”页面的工作原理是运行一组基本安全检查并提供包含调查结果的报告，以及修复任何已发现问题的建议。

本节附带了一系列捆绑测试，但安全插件的站点所有者和开发人员也可以自己编写，以便将安全检查扩展到WordPress站点的更多区域。

名为Site Health Info的第二部分就是它的名字所暗示的。它提供了大量有关网站和服务器设置的信息，用于调试目的或需要与IT专业人员共享服务器详细信息以获得支持服务。

提供有关WordPress安装，基础服务器，插件，主题和文件存储使用情况的信息。

SERVEHAPPY功能

另一个包含在WordPress 5.2中的新安全功能是Servehappy项目，该项目最初计划与WordPress 5.1一起发布，但分为两部分，其中一部分项目随WordPress 5.1一起发布，另一部分今天发布，使用WordPress 5.2 。

当WordPress服务器在具有过时PHP版本的服务器上运行时，WordPress 5.1包含显示警告的功能。

今天发布的WordPress 5.2将包含一个名为“白屏死机”(WSOD)保护的功能，也称为“致命错误保护”，并作为WordPress网站的“安全模式”。

当遇到PHP致命错误时，WSOD保护通过临时禁用主题和插件来工作，以便站点管理员可以重新获得对其站点后端的访问权并修复错误。

该功能最初安排用于WordPress 5.1，但在安全研究人员提出了一些黑客可能滥用WSOD保护系统来关闭WordPress安全插件并在WordPress网站上发起攻击的场景之后推迟到v5.2。

未来的计划

但是，改进WordPress安全性的工作不会因5.2版本的发布而停止。其他项目包括计划用于WordPress 5.4的项目Gossamer。

Project Gossamer旨在将用于主要WordPress更新的相同代码签名系统移植到一个框架中，开发人员可以使用该框架对WordPress主题和插件的更新进行代码签名。