“ JACO”建立在现场健康安全功能上,并增加了供应链攻击缓解
在过去的24小时中,数百万个WordPress站点已更新为内容管理系统(CMS)的5.2版,从而增强了现场健康安全功能并增加了防止供应链攻击的保护。
第一的在版本5.1中引入早在2月,现场健康旨在在使用过时的PHP版本时提醒网站所有者。
在安装新插件时,该功能还检查以查看附加组件是否需要与网站不相容的版本。如果是这样,WordPress将防止管理员安装该插件。
为了纪念美国爵士贝斯手Jaco Pastorius,最新版本的WordPress Core(称为“ Jaco”)添加了两个新的站点健康页面,以帮助管理员调试常见的配置问题。
此外,版本5.2还具有PHP错误保护,该版本可帮助站点所有者在没有站点崩溃的情况下安全解决或管理致命错误。
安全更新
鉴于其身份世界上最受欢迎的CMS,WordPress长期以来一直邀请攻击者注意。
为了使网站更新使用最新的安全补丁,开发人员在2013年10月引入了一种(可选的)自动化更新机制。
毫无疑问,这有助于保护数百万个站点,但如果WordPress更新服务器受到损害,攻击者可能会推出恶意更新(即所谓的供应链攻击)。
Paragon倡议的Scott Arciszewski解释:
[T] WordPress自动更新功能具有一个明显的致命弱点:如果犯罪分子或民族国家要入侵WordPress Update Server,它们可能会触发虚假的自动更新以感染WordPress网站,并使用恶意软件感染WordPress网站。
这不仅是理论上的问题,如果不是,它可能会发生Wordfence的安全研究人员发现并披露了简单的攻击向量到其基础架构中。
自自动更新推出以来六年,WordPress 5.2现在提供离线数字签名,旨在为折衷的更新基础架构提供防御措施。
Arciszewski说:“在WordPress 5.2之前,如果您想感染Internet上的每个WordPress网站……您只需要入侵他们的更新服务器。”
“在WordPress 5.2之后,您需要进行相同的攻击,并以某种方式从WordPress Core开发团队中窃取签名钥匙。”
beplay体育能用吗已关闭自动更新的Web管理员可以通过其仪表板或通过WordPress核心下载页面。
