WordPress 5.2 έρχεται σήμερα με offline ψηφιακές υπογραφές
Το νέο WordPress 5.2 που θα κυκλοφορήσει σήμερα θα φέρει μια νέα τεχνολογία για τις αυτόματες ενημερώσεις, σαν ένα νέο μέτρο άμυνας, εναντίων πιθανών επιθέσεων στους servers που διανέμουν τις ενημερώσεις. Η νέα έκδοση μαζί με όλα τα άλλα που έχουμε αναφέρει ήδη, θα φέρει και τις offline ψηφιακές υπογραφές για όλες τις βασικές ενημερώσεις, θεμάτων, plugins και μεταφράσεων.
Αυτή η νέα λειτουργία έρχεται να συμπληρώσει τον μηχανισμό αυτόματων ενημερώσεων της WordPress που παρουσιάστηκε για πρώτη φορά με την έκδοση 3.7 που κυκλοφόρησε στις 24 Οκτωβρίου του 2013. Το νέο χαρακτηριστικό ασφαλείας αποτρέπει κάθε πιθανό εισβολέα να διαθέσει κακόβουλες εκδόσεις του CMS ακόμα κι αν έχει αποκτήσει έλεγχο σε όλες τις εγκαταστάσεις και τις υποδομές του WordPress.
Πριν από την κυκλοφορία του WordPress 5.2, αυτό θα μπορούσε να γίνει επειδή δεν υπήρχε μηχανισμός επαλήθευσης υπογραφής για τα πακέτα που προωθεί ο διακομιστής ενημέρωσης.
Έτσι αφού οι αυτόματες ενημερώσεις θα είναι πλέον ενεργοποιημένες “από προεπιλογή, για μικρές εκδόσεις του πυρήνα και για τα αρχεία μετάφρασης” σύμφωνα με τον ιστότοπο τεκμηρίωσης του WordPress, μια τέτοια επίθεση θα μπορούσε να οδηγήσει στην άμεση μόλυνση του 33,8% περίπου όλων των ιστότοπων στο Διαδίκτυο.
“Μια αποτυχία αυτού του μεγέθους θα ήταν καταστροφική για τον Παγκόσμιο Ιστό και θα παρείχε μια τεράστια πλατφόρμα επίθεσης στον επιτιθέμενο, ο οποίος θα μπορούσε να ελέγξει εκατομμύρια λογαριασμούς web hosting από τους οποίους θα μπορούσε να ξεκινήσει νέες επιθέσεις”, αναφέρει η WordFence.
Η λειτουργία των offline ψηφιακών υπογραφών που θα κυκλοφορήσει σήμερα με το νέο WordPress 5.2 προσθέτει ένα πραγματικό επίπεδο άμυνας σε μια επίθεση από παραβιασμένες υποδομές (στους servers της διεύθυνσης api.wordpress.org).
Η Paragon Initiative Enterprises έθεσε για πρώτη φορά την πρόταση για την θωράκιση του WordPress από τις επιθέσεις που περιγράψαμε παραπάνω, και πολλές από τις προτάσεις που έκανε συμπεριλήφθηκαν στη βάση δεδομένων του WordPress 5.2.
Όπως εξηγεί ο Arciszewski της Paragon Initiative Enterprises:
Πριν από το WordPress 5.2, αν θέλατε να μολύνετε κάθε ιστοσελίδα του WordPress στο Internet (περίπου το 33,8% των ιστοσελίδων αυτή τη στιγμή), απλά έπρεπε να χτυπήσετε τον διακομιστή ενημερώσεων. Με αυτόν τον τρόπο, θα μπορούσατε χρησιμοποιώντας την δυνατότητα αυτόματης ενημέρωσης να εγκαταστήσετε κακόβουλο κώδικα, ο οποίος σας επέτρεπε να κάνετε τα πάντα (π.χ. να δημιουργήσετε το μεγαλύτερο botnet DDoS στον κόσμο).
Από το WordPress 5.2 και μετά, θα πρέπει να πραγματοποιήσετε την ίδια επίθεση αλλά θα πρέπει να έχετε και τις ψηφιακές υπογραφές από το WordPress core. Μετά το WordPress 5.2 θα υπογράφονται ψηφιακά μόνο οι βασικές ενημερώσεις του CMS. Τα plugins και τα θέματα θα υπογράφονται αργότερα.