अब वर्डप्रेस अधिक सुरक्षित है

WP को अंततः वे सुरक्षा सुविधाएँ मिलती हैं जिनका एक तिहाई इंटरनेट हकदार है।

वर्डप्रेस 5.2 क्रिप्टोग्राफ़िक रूप से हस्ताक्षरित अपडेट, एक आधुनिक क्रिप्टोग्राफ़िक लाइब्रेरी के समर्थन के साथ जारी किया गया।

वर्डप्रेस सामग्री प्रबंधन प्रणाली (सीएमएस) आज नई सुरक्षा सुविधाओं का एक वर्गीकरण प्राप्त करने के लिए तैयार है जो अंततः सुरक्षा के उस स्तर को जोड़ेगी जो इसके कई उपयोगकर्ता वर्षों से चाहते हैं। ये सुविधाएँ वर्डप्रेस 5.2 की आधिकारिक रिलीज़ के साथ अपेक्षित हैं, जो आज बाद में निर्धारित है। इसमें क्रिप्टोग्राफ़िक रूप से हस्ताक्षरित अपडेट के लिए समर्थन, एक आधुनिक क्रिप्टोग्राफ़िक लाइब्रेरी के लिए समर्थन, व्यवस्थापक पैनल के बैकएंड में एक साइट स्वास्थ्य अनुभाग और एक सुविधा शामिल है जो भयावह PHP त्रुटियों के मामले में अपने बैकएंड तक पहुंचने वाले प्रशासकों के लिए डब्लूएसओडी सुरक्षा साइट के रूप में कार्य करेगी।

सभी वेबसाइटों में से लगभग 33,8 प्रतिशत पर वर्डप्रेस स्थापित होने के साथ, ये सुविधाएँ कुछ आक्रमण वैक्टरों के संबंध में कुछ चिंताओं को दूर करने के लिए बाध्य हैं।

क्रिप्टोग्राफ़िक रूप से हस्ताक्षरित अद्यतन

आज की नई सुरक्षा सुविधाओं में संभवतः सबसे बड़ी और सबसे महत्वपूर्ण वर्डप्रेस की ऑफ़लाइन डिजिटल हस्ताक्षर प्रणाली है।

वर्डप्रेस 5.2 से शुरू होकर, वर्डप्रेस टीम अपने अपडेट पैकेज को Ed25519 सार्वजनिक कुंजी हस्ताक्षर प्रणाली के साथ डिजिटल रूप से हस्ताक्षरित करेगी ताकि एक स्थानीय इंस्टॉलेशन स्थानीय साइट पर इसे लागू करने से पहले अपडेट पैकेज की प्रामाणिकता को सत्यापित कर सके।

क्रिप्टोग्राफ़िक रूप से हस्ताक्षरित अपडेट के लिए समर्थन जोड़ना हैकर्स को सभी वर्डप्रेस साइटों पर आपूर्ति-श्रृंखला हमले करने से रोकने के लिए एक महत्वपूर्ण कदम है, जिसे सुरक्षा कंपनियों ने दो साल से अधिक समय तक ध्यान में रखने और ऐसा करने की चेतावनी दी है।

वर्डप्रेस 5.2 से पहले"यदि आप इंटरनेट पर प्रत्येक वर्डप्रेस साइट को संक्रमित करना चाहते हैं, तो आपको बस (वर्डप्रेस) अपडेट सर्वर को हैक करना होगा," पैरागॉन इनिशिएटिव एंटरप्राइजेज के मुख्य विकास अधिकारी और वर्डप्रेस अपडेट सिस्टम को सुरक्षित करने में शामिल डेवलपर्स में से एक, स्कॉट आर्किसजेवस्की ने कहा। ...

वर्डप्रेस 5.2 के बाद, आपको उसी हमले को अंजाम देना होगा और किसी तरह वर्डप्रेस कोर डेवलपमेंट टीम की साइनिंग कुंजी चुरानी होगी।

वर्डप्रेस को एक आधुनिक क्रिप्टोग्राफ़िक लाइब्रेरी मिलती है

लेकिन वर्डप्रेस सीएमएस पर आर्किसजेव्स्की का काम यहीं खत्म नहीं हुआ। उन्होंने एक पुरानी क्रिप्टोग्राफ़िक लाइब्रेरी को आधुनिक समय के अनुकूल लाइब्रेरी से बदलकर वर्डप्रेस में भी योगदान दिया।

वर्डप्रेस 5.2 से शुरू होकर, सीएमएस सभी क्रिप्टोग्राफ़िक संचालन के लिए अब अप्रचलित और हटाए गए एमक्रिप्ट के बजाय लिबसोडियम लाइब्रेरी का समर्थन करेगा। लिबसोडियम अब वर्डप्रेस सीएमएस स्रोत कोड का हिस्सा है, साथ ही आर्किसजेव्स्की की सोडियम_कॉमपैट लाइब्रेरी जो पुराने PHP सर्वरों के लिए पॉलीफ़िल के रूप में काम करती है जो लिबसोडियम का समर्थन नहीं करते हैं। वर्डप्रेस अब आधुनिक वेब-डेव टूल की श्रेणी में शामिल हो गया है जो मूल रूप से लिबसोडियम का समर्थन करता है, जैसे कि PHP 7.2+, Magento 2.3+ और Joomla 3.8+। इसके अलावा, कोर वर्डप्रेस सीएमएस में लिबसोडियम को जोड़ने के साथ, इसका मतलब यह भी है कि प्लगइन और थीम डेवलपर्स इसका समर्थन करना शुरू कर सकते हैं।

आर्किस्ज़ेव्स्की ने आज एक प्रकाशित किया पोस्ट डेल ब्लॉग वर्डप्रेस प्लगइन और थीम डेवलपर्स के लिए बुनियादी युक्तियों के साथ कि पुराने एमक्रिप्ट क्रिप्टोग्राफ़िक फ़ंक्शंस को लिबसोडियम फ़ंक्शंस के साथ कैसे बदला जाए।

साइट का नया स्वास्थ्य अनुभाग

लेकिन पहली वर्डप्रेस 5.2 सुरक्षा सुविधाएँ जो उपयोगकर्ता आज की रिलीज़ में देखेंगे, वह सीएमएस कोड परिवर्तन नहीं हैं, बल्कि व्यवस्थापक पैनल के टूल मेनू में नया "साइट स्वास्थ्य" अनुभाग हैं। इस अनुभाग में दो नए पृष्ठ, साइट स्वास्थ्य और साइट स्वास्थ्य जानकारी शामिल हैं। साइट स्वास्थ्य पृष्ठ बुनियादी सुरक्षा जांचों की एक श्रृंखला चलाकर और पाए गए किसी भी मुद्दे को ठीक करने के लिए सिफारिशों के साथ परिणामों के साथ एक रिपोर्ट देकर काम करता है। यह अनुभाग बंडल परीक्षणों के एक सेट के साथ आता है, लेकिन साइट के मालिक और सुरक्षा प्लगइन डेवलपर्स वर्डप्रेस साइट के अधिक क्षेत्रों में सुरक्षा जांच का विस्तार करने के लिए अपना स्वयं का परीक्षण भी लिख सकते हैं।

दूसरा खंड, कहा जाता है साइट स्वास्थ्य जानकारी, यही इसके नाम का तात्पर्य है। यह आपकी वेबसाइट और सर्वर कॉन्फ़िगरेशन के बारे में प्रचुर मात्रा में जानकारी प्रदान करता है और इसका उद्देश्य डिबगिंग उद्देश्यों के लिए है या जब आपको समर्थन सेवाओं के लिए साइट को आईटी पेशेवर के साथ साझा करने की आवश्यकता होती है। वर्डप्रेस इंस्टॉलेशन, अंतर्निहित सर्वर, प्लगइन्स, थीम और फ़ाइल भंडारण उपयोग पर जानकारी प्रदान की गई है।

सर्वहैप्पी सुविधा

वर्डप्रेस 5.2 में शामिल एक और नई सुरक्षा सुविधा है सर्वहैप्पी प्रोजेक्ट, जिसे शुरू में वर्डप्रेस 5.1 के साथ रिलीज़ किया जाना था, लेकिन इसे दो भागों में विभाजित कर दिया गया, प्रोजेक्ट का एक हिस्सा वर्डप्रेस 5.1 के साथ शिपिंग और दूसरा आधा आज वर्डप्रेस 5.2 के साथ शिपिंग के साथ।

वर्डप्रेस 5.1 में चेतावनियाँ दिखाने की क्षमता शामिल थी जब वर्डप्रेस सर्वर पुराने PHP संस्करणों वाले सर्वर पर चल रहे थे। आज जारी वर्डप्रेस 5.2 में 'व्हाइट स्क्रीन ऑफ डेथ' (डब्ल्यूएसओडी) नामक एक सुविधा शामिल होगी और यह वर्डप्रेस साइटों के लिए "सुरक्षित मोड" के रूप में काम करता है। WSOD सुरक्षा घातक PHP त्रुटि होने पर थीम और प्लगइन्स को अस्थायी रूप से अक्षम करके काम करती है, ताकि साइट प्रशासक अपनी साइट के बैकएंड तक पहुंच पुनः प्राप्त कर सकें और त्रुटि को ठीक कर सकें।

इस सुविधा की शुरुआत में वर्डप्रेस 5.1 के लिए योजना बनाई गई थी, लेकिन सुरक्षा अधिकारियों द्वारा कई परिदृश्य उठाए जाने के बाद इसे संस्करण 5.2 में विलंबित किया गया, जिसमें हैकर्स वर्डप्रेस सुरक्षा प्लगइन्स को अक्षम करने और वर्डप्रेस साइटों पर हमले शुरू करने के लिए डब्ल्यूएसओडी सुरक्षा प्रणाली का दुरुपयोग कर सकते थे।

भविष्य की योजनाएं

वर्डप्रेस सुरक्षा को बेहतर बनाने का काम संस्करण 5.2 की रिलीज़ के साथ नहीं रुकेगा। अन्य परियोजनाओं में वर्डप्रेस 5.4 के लिए नियोजित गोसामर परियोजना शामिल है। गोस्सामर प्रोजेक्ट का लक्ष्य प्रमुख वर्डप्रेस अपडेट के लिए उपयोग किए जाने वाले समान कोड-साइनिंग सिस्टम को एक फ्रेमवर्क में लाना है जिसे डेवलपर्स वर्डप्रेस थीम और प्लगइन्स के लिए कोड-साइनिंग अपडेट के लिए भी उपयोग कर सकते हैं।