Sekarang WordPress lebih aman

WP akhirnya mendapatkan fitur keamanan yang layak dimiliki oleh sepertiga internet.

WordPress 5.2 dirilis dengan dukungan untuk pembaruan yang ditandatangani secara kriptografis, perpustakaan kriptografi modern.

Sistem manajemen konten (CMS) WordPress diatur untuk menerima bermacam-macam fitur keamanan baru hari ini yang akhirnya akan menambah tingkat perlindungan yang didambakan banyak penggunanya selama bertahun-tahun. Fitur-fitur ini diharapkan dengan rilis resmi WordPress 5.2 hari ini. Termasuk adalah dukungan untuk pembaruan yang ditandatangani secara kriptografis, dukungan untuk pustaka kriptografi modern, bagian Kesehatan Situs di backend panel admin, dan fitur yang akan bertindak sebagai situs keamanan WSOD untuk admin yang masuk ke backend mereka jika terjadi bencana besar Kesalahan PHP.

Dengan WordPress terinstal di sekitar 33,8 persen dari semua situs web, fitur ini pasti akan menghilangkan beberapa kekhawatiran tentang beberapa vektor serangan.

PEMBARUAN YANG DITANDATANGANI SECARA KRIPTOGRAFI

Mungkin fitur keamanan baru terbesar dan terpenting saat ini adalah sistem tanda tangan digital offline WordPress.

Dimulai dengan WordPress 5.2, tim WordPress akan menandatangani paket pembaruannya secara digital dengan sistem penandatanganan kunci publik Ed25519 sehingga penginstalan lokal dapat memverifikasi keaslian paket pembaruan sebelum menerapkannya ke situs lokal.

Menambahkan dukungan untuk pembaruan yang ditandatangani secara kriptografis adalah langkah penting dalam mencegah peretas melakukan serangan rantai pasokan di semua situs WordPress, sesuatu yang telah diperingatkan oleh perusahaan keamanan selama lebih dari dua tahun.

Sebelum WordPress 5.2Jika Anda ingin menginfeksi setiap situs WordPress di Internet, Anda hanya perlu meretas server pembaruan (WordPress), kata Scott Arciszewski, kepala pengembangan di Paragon Initiative Enterprises, dan salah satu pengembang yang terlibat dalam pengamanan sistem pembaruan WordPress.

Setelah WordPress 5.2, Anda perlu melakukan serangan yang sama dan mencuri kunci penandatanganan tim pengembangan inti WordPress.

WORDPRESS MENDAPATKAN PERPUSTAKAAN CRYPTO MODERN

Tetapi pekerjaan Arciszewski di CMS WordPress tidak berakhir di situ. Dia juga berkontribusi pada WordPress dengan mengganti perpustakaan kriptografi lama dengan yang menyesuaikan dengan zaman modern.

Dimulai dengan WordPress 5.2, CMS akan mendukung perpustakaan Libsodium untuk semua operasi kriptografi, bukan mcrypt yang sekarang sudah tidak digunakan lagi dan dihapus. Libsodium sekarang menjadi bagian dari kode sumber CMS WordPress, bersama dengan perpustakaan sodium_compat Arciszewski yang berfungsi sebagai polyfill untuk server PHP lama yang tidak mendukung Libsodium. WordPress sekarang bergabung dengan jajaran alat web-dev modern yang secara alami mendukung Libsodium, seperti PHP 7.2+, Magento 2.3+, dan Joomla 3.8+. Selain itu, dengan penambahan Libsodium ke inti CMS WordPress, ini juga berarti pengembang plugin dan tema dapat mulai mendukungnya.

Arciszewski hari ini menerbitkan a posting blog dengan saran dasar untuk plugin WordPress dan pengembang tema tentang cara mengganti fungsi kriptografi mcrypt lama dengan yang libsodium.

BAGIAN KESEHATAN BARU DARI SITUS

Namun fitur keamanan WordPress 5.2 pertama yang akan diperhatikan pengguna dalam rilis hari ini bukanlah perubahan kode CMS, melainkan bagian "Kesehatan Situs" baru di menu Alat panel admin. Bagian ini mencakup dua halaman baru, yaitu kesehatan situs dan informasi kesehatan situs. Laman Status Kesehatan situs berfungsi dengan melakukan serangkaian pemeriksaan keamanan dasar dan mengirimkan laporan beserta hasilnya, beserta rekomendasi untuk memperbaiki masalah apa pun yang ditemukan. Bagian ini dilengkapi dengan sejumlah paket pengujian, tetapi pemilik situs dan pengembang plugin keamanan juga dapat membuat sendiri untuk memperluas kontrol keamanan ke lebih banyak area di situs WordPress.

Bagian kedua, disebut Info Kesehatan Situs, adalah apa namanya. Ini memberikan banyak informasi konfigurasi situs web dan server dan dimaksudkan untuk tujuan debugging atau ketika situs perlu dibagikan dengan profesional TI untuk layanan dukungan. Informasi tentang instalasi WordPress, server yang mendasarinya, plugin, tema, dan penggunaan penyimpanan file disediakan.

FITUR SERVHAPPY

Fitur keamanan baru lainnya yang disertakan dalam WordPress 5.2 adalah Sajikan proyek bahagia, yang awalnya seharusnya dirilis dengan WordPress 5.1, tetapi dipecah menjadi dua, dengan sebagian proyek dikirimkan dengan WordPress 5.1 dan separuh lainnya dikirim hari ini, dengan WordPress 5.2.

WordPress 5.1 menyertakan kemampuan untuk menampilkan peringatan saat server WordPress berjalan di server dengan versi PHP yang kedaluwarsa. WordPress 5.2, dirilis hari ini, akan menyertakan fitur yang disebut 'White Screen Of Death' (WSOD) dan bekerja sebagai "Safe Mode" untuk situs WordPress. Perlindungan WSOD berfungsi dengan menonaktifkan sementara tema dan plugin ketika terjadi kesalahan fatal PHP, sehingga administrator situs dapat memperoleh kembali akses ke backend situs mereka dan memperbaiki kesalahan tersebut.

Fitur ini awalnya direncanakan untuk WordPress 5.1 tetapi ditunda ke versi 5.2 setelah pejabat keamanan mengajukan beberapa skenario di mana peretas dapat menyalahgunakan sistem perlindungan WSOD untuk menonaktifkan plugin keamanan WordPress dan melancarkan serangan di situs WordPress.

RENCANA MASA DEPAN

Pekerjaan untuk meningkatkan keamanan WordPress tidak akan berhenti dengan dirilisnya versi 5.2. Proyek lainnya termasuk proyek Gossamer, direncanakan untuk WordPress 5.4. Proyek Gossamer bertujuan untuk membawa sistem penandatanganan kode yang sama yang digunakan untuk pembaruan WordPress utama ke dalam kerangka kerja yang dapat digunakan pengembang untuk pembaruan penandatanganan kode untuk tema dan plugin WordPress juga.