Gizli WordPress 5.5 Özellik Blokları Rogue Eklentileri

Gizli WordPress 5.5 Özellik Blokları Rogue Eklentileri

Yeni WordPress özelliği, sahte eklentilerin otomatik güncellenmesini engeller.

WordPress 5.5, sahte eklentilerin WordPress sitelerini ele geçirmesini önleyen bir özellik içeriyor. Değişiklik, bir WordPress sitesinin bir eklentinin yasal olup olmadığını kontrol etmesine ve güncellenmesi engellenmiş olarak işaretlenmişse güncellenmesini engellemesine olanak tanır.

WordPress Güvenlik Özelliği Habersiz

Bu yeni özellik bir duyuru almadı.

Bunun yerine, bu değişikliğin gösterimi, WordPress'teki diğer yüzlerce iyileştirme listesinde neredeyse gizlendi.

WordPress 5.5'in bir parçası olan yüzlerce başka değişiklikten oluşan uzun bir listede gizlenmişti.

WordPress 5.5 içindeki bu kod güncellemesi, güvenliği artırır ve güvenlik üzerinde olumlu bir etkisi olduğu için daha iyi anlaşılmayı hak eder.

WordPress Tedarik Zinciri Saldırıları

Kötü amaçlı reklamcılık, arka kapılar ve bağlantılar eklemek için WordPress eklentileri satın alan kötü niyetli kuruluşlar vardır. Bu saldırı yöntemi, bir yayıncının önceden indirdiği ve güvendiği bir eklentiye duyduğu güvenden yararlanır.

Otomatik güncelleme etkinleştirildiğinde, bu, kötü amaçlı bir eklentiye, bu eklentiyi kullanan her yayıncıya bulaşması için kolay bir yol sağlayabilir.

Ancak WordPress, kötü eklentileri işaretlemenin ve hileli eklenti için otomatik güncelleme özelliğini uzaktan devre dışı bırakmanın bir yolunu geliştirdi.

WordPress 5.5 Rogue Eklentilerini Nasıl Durdurur?

WordPress, bir sorun olması durumunda eklentilerin otomatik güncellenmesini devre dışı bırakacak bir yol geliştirmiştir.

WordPress'e göre :

"Yeni otomatik güncelleme kullanıcı arayüzü harika, ancak bir eklenti / tema için otomatik güncellemeyi uzaktan devre dışı bırakmanın bir yolunu bulmanın faydası olacaktır.

WordPress.org'un otomatik güncellemenin sunumunu kontrol etme olasılığını açacak, örneğin, herhangi bir büyük hatanın keşfedilmesine izin vermek yerine, yayınlandıktan sonra 1-24 saat içinde herkesi otomatik güncelleme.

İdeal olarak, bunun için asla kullanılması gerekmeyecek, ancak aynı zamanda bir eklenti için veya herhangi bir beklenmedik davranış varsa tamamen devre dışı bırakmamıza izin vererek WordPress kullanıcılarını koruyacaktır.

Ekteki PR, WordPress.org API yanıtının, bu öğe için onu devre dışı bırakacak bir disable_autoupdate bayrağı içermesine izin verir, kullanıcı arayüzünü etkilemez ve umarız hiçbir zaman ihtiyaç duyulmaz (A / B dumanının örnek kullanım durumu dışında) test veya benzeri). "

Olacak olan şey, bir WordPress sitesinin bir eklentinin güncellenmesi gerekip gerekmediğine dair doğrulama için kontrol edecek olmasıdır.

Disable_autoupdate " adlı bir "bayrak" , belirli bir eklentiyi güncellememek için WordPress sitesine iletişim kuracaktır. Bu "bayrak", hangi eklentinin güncellenmesinin durdurulacağına karar veren bir bekçi gibi davranır.

Wordfence Bunun İyi Bir Değişiklik Olduğunu Söyledi

Bu yeni özellik hakkında Wordfence'deki ( @wordfence ) güvenlik araştırmacılarıyla iletişime geçtim .

Cevapları aşağıdaki teknik terimlere atıfta bulunurlar:

  • WP-Cron : Bu, WordPress kurulumu tarafından gerçekleştirilen planlanmış bir görevdir.
  • Çekirdek Ekip ve Repo Yöneticileri: WordPress.org'da Çalışanlar.
  • Depo: Eklentilerin depolandığı yer

Wordfence'deki araştırmacıların söylediği şey:

"Otomatik güncellemeler, wp-cron tarafından ayrı sitelerde günde iki kez tetiklenir.

Site sahibi, söz konusu tema veya eklenti için otomatik güncellemeleri etkinleştirmişse, site, tema / eklenti güncellemelerini tanımlamak için havuza bakacaktır.

Depo teması ve eklenti geliştiricileri, bir eklentinin yeni bir sürümünü kendi başlarına kontrol edecekler; çekirdek ekip ve repo yöneticileri bu kodu denetlemez veya kontrol etmez.

Bu nedenle, otomatik güncelleme özelliği artık mevcut olduğundan, kontrol edilen herhangi bir eklenti kodu, otomatik güncellemelerin etkin olduğu herhangi bir siteye indirilebilir.

Bu denetim, bir sorun olması durumunda bu kodun otomatik güncellenen sitelere yayılmasını önlemek için tasarlanmıştır. Örneğin, bu işlev, geçmişte gördüğümüz, bir saldırganın eklenti satın aldığı ve depo eklentilerine kötü amaçlı kod yerleştirdiği bazı tedarik zinciri saldırılarını önleyebilir.

Bir site güncellemeler için depoya ulaştığında, depo, sorunlu eklentilerin veya temaların otomatik olarak güncellenmediğinden emin olmak için bu bayrakla (yalnızca doğru veya yanlış olarak ayarlanmalıdır) yanıt verebilir. "

WordPress 5.5 Güvenlik İyileştirme

Bu yeni özellik bir duyuru almadı. Ancak önemli bir nokta, çünkü WordPress'teki yayın sitelerini daha güvenli hale getiriyor ve suçluların WordPress sitelerini ele geçirmesini engelliyor.