Авторы CMS WordPress, на которой работают более трети интернет-сайтов, представили новый релиз своего продукта с расширенными возможностями безопасности. Версия WordPress 5.2 упростит веб-администраторам защиту своих площадок от вредоносного ПО и позволит оперативно отслеживать ключевые показатели ресурса.

Случаи взлома WordPress-сайтов нередко попадают в новости ИБ как из-за проблем самой CMS, так и в связи с уязвимостями плагинов. Свежий релиз сделает более защищенной саму платформу, но в дальнейшем разработчики планируют предложить эти же технологии сторонним создателям расширений и тем для WordPress.

Главное новшество новой версии — внедрение криптографических подписей для обновлений CMS. Эта функция обеспечит владельцам сайтов уверенность в легитимности используемого ПО и защитит их от взлома. Эксперты указывают, что предложенная мера поможет бороться с атаками на цепочки поставок, которые занимают значительное место на сегодняшнем ландшафте угроз.

«Раньше вы могли заразить абсолютно все WordPress-сайты, если бы добрались до сервера обновлений, — пояснил Скотт Арцишевский (Scott Arciszewski), один из разработчиков новой системы. — Теперь для такой атаки вам понадобится ключ подписи, который есть только у создателей ядра [этой CMS]».

Эксперты также заменили устаревшую криптографическую библиотеку mcrypt в составе WordPress на более современную Libsodium. Последнюю использует большинство современных систем управления сайтами, включая PHP, Magento и Joomla.

Свежая версия WordPress предлагает вебмастерам новые средства для отслеживания состояния их ресурсов — Site Health. На служебных страницах Site Health Status и Site Health Info администратор может увидеть результаты проверок безопасности, предупреждения о возможных проблемах и рекомендации по их устранению. Разработчики могут создавать собственные тесты, укрепляя защиту тех областей сайта, которые имеют для них особую важность.

Наконец, пользователи WordPress получат давно анонсированный «Белый экран смерти» (White Screen Of Death) — специальную страницу, которая будет появляться при возникновении критических ошибок CMS. Эта функция переводит веб-сервер в безопасный режим и отключает все сторонние надстройки. Администраторы смогут найти возникшие неполадки и устранить их без угрозы данным.

Разработчики планировали представить «Белый экран смерти» еще в предыдущем релизе своей CMS, но из-за опасений ИБ-экспертов взяли дополнительное время на совершенствование механизма. В результате в WordPress 5.1 функция безопасности была реализована лишь частично — администраторы стали получать предупреждения об использовании устаревшей версии PHP. С выходом версии 5.2 она заработала в полной мере.

В следующих обновлениях команда WordPress предоставит сторонним разработчикам возможность подписывать созданные плагины и темы. Функция будет работать на базе той же системы, которая теперь заверяет дистрибутивы CMS.

Категории: Кибероборона