Аюулгүй байдал

Энэхүү үнэгүй цагаан цааснаас WordPress үндсэн програм хангамжийн аюулгүй байдлын талаар илүү ихийг мэдэж аваарай. Та мөн PDF форматаар татаж авах боломжтой.

Тойм

Энэхүү баримт бичиг нь WordPress-ийн үндсэн програм хангамжийн хөгжүүлэлт, түүнтэй холбоотой аюулгүй байдлын процессуудын дүн шинжилгээ, тайлбар, мөн програм хангамжид шууд суулгасан аюулгүй байдлын шалгалт юм. WordPress-ийг агуулгын удирдлагын систем эсвэл вэб програмын хүрээ гэж үнэлдэг шийдвэр гаргагчид дүн шинжилгээ хийх, шийдвэр гаргахдаа энэхүү баримт бичгийг ашиглах ёстой бөгөөд хөгжүүлэгчид програм хангамжийн аюулгүй байдлын бүрэлдэхүүн хэсгүүд болон шилдэг туршлагуудтай танилцахын тулд үүнтэй танилцах хэрэгтэй.

Энэхүү баримт бичигт байгаа мэдээлэл нь программ хангамжийн хамгийн сүүлийн үеийн тогтвортой хувилбар болох WordPress 4.7-д зориулж нийтлэгдсэн үед шинэчлэгдсэн боловч WordPress хөгжүүлэлтийн багийн хувьд хоцрогдсон нийцтэй байдал нь маш их анхаарал хандуулдаг тул програм хангамжийн хамгийн сүүлийн үеийн хувилбаруудад мөн хамааралтай гэж үзэх ёстой. Аюулгүй байдлын тусгай арга хэмжээ, өөрчлөлтүүдийг тусгай хувилбаруудад үндсэн програм хангамжид нэмсэн тул тэмдэглэх болно. Хамгийн найдвартай туршлагыг хангахын тулд WordPress-ийн хамгийн сүүлийн үеийн тогтвортой хувилбарыг байнга ажиллуулахыг зөвлөж байна.

Гүйцэтгэх хураангуй

WordPress бол олон сая вэбсайт, вэб програм, блогуудыг ажиллуулахад ашигладаг динамик нээлттэй эхийн агуулгын удирдлагын систем юм. Энэ нь одоогоор интернетийн шилдэг 10 сая вэб сайтын 43%-иас илүүг ажиллуулж байна. WordPress-ийн ашиглах чадвар, өргөтгөх чадвар, хөгжсөн хөгжлийн нийгэмлэг нь үүнийг бүх хэмжээтэй вэбсайтуудад түгээмэл бөгөөд аюулгүй сонголт болгодог.

2003 онд үүсгэн байгуулагдсан цагаасаа хойш WordPress нь тасралтгүй хатууруулсаар ирсэн тул үндсэн программ хангамж нь нийтлэг аюулгүй байдлын аюул заналхийллийг шийдэж, бууруулах боломжтой бөгөөд үүнд Нээлттэй Вэб Програмын Аюулгүй байдлын Төслийн (OWASP) нийтлэг аюулгүй байдлын сул талууд гэж тодорхойлсон шилдэг 10 жагсаалт багтсан бөгөөд эдгээрийг энэхүү баримт бичигт авч үзсэн болно.

WordPress Аюулгүй байдлын баг нь WordPress-ийн үндсэн манлайллын багтай хамтран WordPress дэлхийн хамтын нийгэмлэгийн дэмжлэгтэйгээр WordPress.org дээр түгээх, суулгах боломжтой үндсэн програм хангамжийн аюулгүй байдлын асуудлыг тодорхойлж, шийдвэрлэхийн зэрэгцээ гуравдагч талын залгаас болон сэдвийн зохиогчдод аюулгүй байдлын шилдэг туршлагыг санал болгож, баримтжуулахаар ажилладаг.

Сайтын хөгжүүлэгчид болон администраторууд нийтлэг эмзэг байдлын эх үүсвэр болсон үндсэн API болон үндсэн серверийн тохиргоог зөв ашиглах, мөн бүх хэрэглэгчид WordPress-д нэвтрэхдээ хүчтэй нууц үг ашиглахад онцгой анхаарах ёстой.

WordPress-ийн тойм

WordPress бол үнэгүй, нээлттэй эх сурвалжийн контент удирдлагын систем (CMS) юм. Энэ нь дэлхийн хамгийн өргөн хэрэглэгддэг CMS программ хангамж бөгөөд шилдэг 10 сая вэб сайтын 1-ын 43%-иас илүүг дэмждэг бөгөөд энэ нь CMS ашигладаг бүх сайтуудын зах зээлийн 62% хувийг эзэлж байна.

WordPress нь нийтийн нийтийн лицензийн (GPLv2 эсвэл түүнээс хойшхи) дагуу лицензтэй бөгөөд дөрвөн үндсэн эрх чөлөөг хангадаг бөгөөд WordPress-ийн “эрхийн хууль” гэж үзэж болно:

  1. Хөтөлбөрийг ямар ч зорилгоор ажиллуулах эрх чөлөө.
  2. Хөтөлбөр хэрхэн ажилладагийг судалж, хүссэн зүйлээ хийхийн тулд үүнийг өөрчлөх эрх чөлөө.
  3. Дахин хуваарилах эрх чөлөө.
  4. Өөрчлөгдсөн хувилбарынхаа хуулбарыг бусдад түгээх эрх чөлөө.

WordPress-ийн үндсэн манлайллын баг

WordPress төсөл нь үндсэн удирдлагын баг удирддаг, түүнийг хамтран бүтээгч, тэргүүлэх хөгжүүлэгч Мэтт Мулленвег удирддаг гавьяат байгууллага юм. Баг нь үндсэн хөгжүүлэлт, WordPress.org, олон нийтийн санаачилга зэрэг төслийн бүх асуудлыг зохицуулдаг.

Үндсэн манлайллын баг нь Мэтт Мулленвег, таван тэргүүлэх хөгжүүлэгч болон байнгын үйл ажиллагаа эрхлэх эрхтэй арав гаруй үндсэн хөгжүүлэгчдээс бүрддэг. Эдгээр хөгжүүлэгчид техникийн шийдвэр гаргах эцсийн эрх мэдэлтэй бөгөөд архитектурын хэлэлцүүлэг, хэрэгжүүлэх хүчин чармайлтыг удирддаг.

WordPress нь олон тооны хувь нэмрээ оруулсан хөгжүүлэгчидтэй. Эдгээрийн зарим нь өмнө нь эсвэл одоо ажиллаж байсан, зарим нь ирээдүйн үүрэг гүйцэтгэгчид байх магадлалтай. Эдгээр хувь нэмрээ оруулсан хөгжүүлэгчид нь WordPress-ийн найдвартай, ахмад хувь нэмэр оруулагчид бөгөөд үе тэнгийнхнийхээ дунд маш их хүндэтгэлийг хүлээсэн. Шаардлагатай бол WordPress нь зочин захиалагчтай, заримдаа тодорхой бүрэлдэхүүн хэсэгт түр эсвэл туршилтын журмаар хандах эрх олгосон хувь хүмүүстэй байдаг.

Үндсэн болон хувь нэмрээ оруулсан хөгжүүлэгчид нь WordPress хөгжүүлэлтийг голчлон чиглүүлдэг. Хувилбар болгонд олон зуун хөгжүүлэгчид WordPress-д код оруулдаг. Эдгээр үндсэн хувь нэмэр оруулагчид нь үндсэн кодын санд ямар нэгэн байдлаар хувь нэмэр оруулдаг сайн дурынхан юм.

WordPress хувилбарын мөчлөг

WordPress хувилбарын мөчлөг бүрийг нэг буюу хэд хэдэн үндсэн WordPress хөгжүүлэгчид удирддаг. Хувилбарын мөчлөг нь хамрах хүрээний анхны уулзалтаас эхлээд хувилбарыг эхлүүлэх хүртэл 4 сар орчим үргэлжилдэг.

Хувилбарын мөчлөг нь дараах 2 загварыг дагадаг:

  • 1-р үе шат: Багийн удирдагчдыг төлөвлөж, баталгаажуулах. Үүнийг Slack дээрх # үндсэн чатын өрөөнд хийдэг. Хувилбарын удирдагч нь WordPress-ийн дараагийн хувилбарын онцлогуудыг хэлэлцдэг. WordPress-ийн оролцогчид энэ хэлэлцүүлэгт оролцдог. Хувилбарын удирдагч нь онцлог тус бүрийн багийн удирдагчдыг тодорхойлох болно.
  • 2-р үе шат: Хөгжлийн ажил эхэлнэ. Багийн ахлагч нар багуудаа цуглуулж, тэдэнд өгсөн онцлог шинж чанарууд дээр ажилладаг. Хөгжил урагшлахыг баталгаажуулахын тулд тогтмол чат хийхээр төлөвлөж байна.
  • 3-р үе шат: Бета. Бета хувилбарууд гарсан бөгөөд бета-тестерээс алдааны талаар мэдээлж эхлэхийг хүсдэг. Энэ үе шатаас эхлэн шинэ сайжруулалт эсвэл онцлог хүсэлтийг дахиж хийхгүй. Гуравдагч талын залгаас болон сэдвийн зохиогчид өөрсдийн кодыг удахгүй болох өөрчлөлтүүдийн эсрэг туршихыг зөвлөж байна.
  • 4-р үе шат: Нэр дэвшигчийг чөлөөлөх. Энэ үеэс эхлэн орчуулагдах мөрүүдэд мөрийг хөлдөөх үйл явц бий. Ажил нь зөвхөн регресс болон хориглогч дээр чиглэгддэг.
  • 5-р үе шат: эхлүүлэх. WordPress хувилбарыг эхлүүлж, WordPress админ дээр шинэчлэх боломжтой болгосон.

Хувилбарын дугаарлалт ба аюулгүй байдлын хувилбарууд

WordPress-ийн томоохон хувилбар нь эхний хоёр дарааллаар тодорхойлогддог. Жишээлбэл, 3.5 нь 3.6, 3.7 эсвэл 4.0 шиг томоохон хувилбар юм. "WordPress 3" эсвэл "WordPress 4" байхгүй бөгөөд томоохон хувилбар бүрийг дугаарлалтаар нь нэрлэдэг, жишээ нь "WordPress 3.9".

Гол хувилбарууд нь шинэ хэрэглэгчийн боломжууд болон хөгжүүлэгчийн API-г нэмж болно. Програм хангамжийн ертөнцөд ихэвчлэн "гол" хувилбар нь та буцаах нийцтэй байдлыг эвдэж чадна гэсэн үг боловч WordPress нь хэзээ ч буцаах нийцтэй байдлыг эвдэхийг хичээдэг. Буцаж нийцтэй байх нь төслийн хамгийн чухал философийн нэг бөгөөд хэрэглэгчид болон хөгжүүлэгчдэд шинэчлэлтийг илүү хялбар болгох зорилготой юм.

Бага зэргийн WordPress хувилбар нь гурав дахь дарааллаар тодорхойлогддог. Хувилбар 3.5.1 нь 3.4.23 шиг жижиг хувилбар юм. Бага зэргийн хувилбар нь аюулгүй байдлын сул талыг засах, зөвхөн чухал алдаануудыг шийдвэрлэхэд зориулагдсан. WordPress-ийн шинэ хувилбарууд байнга гардаг тул 4-5 сар тутамд томоохон хувилбар гаргах зорилготой бөгөөд шаардлагатай үед жижиг хувилбарууд гардаг - зөвхөн томоохон болон жижиг хувилбаруудыг гаргах шаардлагатай байдаг.

Хувилбарын эсрэг нийцтэй байдал

WordPress төсөл нь хоцрогдсон нийцтэй байдлын талаар маш их үүрэг хүлээдэг. Энэхүү амлалт нь WordPress-ийн үндсэн програм хангамжийг шинэчлэх үед загварууд, залгаасууд болон захиалгат кодууд ажилласаар байх бөгөөд сайтын эздийг WordPress хувилбараа хамгийн сүүлийн үеийн аюулгүй хувилбар хүртэл шинэчлэхийг урамшуулан дэмждэг.

WordPress ба аюулгүй байдал

WordPress аюулгүй байдлын баг

WordPress Аюулгүй байдлын баг нь ахлах хөгжүүлэгчид болон аюулгүй байдлын судлаачид зэрэг ойролцоогоор 50 мэргэжилтнүүдээс бүрддэг бөгөөд тэдний тал орчим хувь нь Automattic (вэб дээрх хамгийн анхны бөгөөд хамгийн том WordPress хост платформ болох WordPress.com-ийг бүтээгчид) болон вэб аюулгүй байдлын чиглэлээр ажилладаг хэд хэдэн ажилчид юм. Баг нь сайн мэддэг, найдвартай аюулгүй байдлын судлаачид болон 3 хостинг компаниудтай зөвлөлддөг.

WordPress Аюулгүй байдлын баг нь WordPress 3.9.24-ийн WordPress-тэй хамт ирдэг XML-RPC API-д ашиглагддаг PHP XML задлагчийн эмзэг байдлыг шийдвэрлэх гэх мэт нийтлэг хамааралтай асуудлуудыг шийдвэрлэхийн тулд бусад аюулгүй байдлын багуудтай ихэвчлэн хамтран ажилладаг. Энэхүү эмзэг байдлын шийдэл нь WordPress болон Drupal хамгаалалтын багуудын хамтарсан хүчин чармайлтын үр дүн юм.

WordPress-ийн аюулгүй байдлын эрсдэл, үйл явц, түүх

WordPress Аюулгүй байдлын баг нь болзошгүй эмзэг байдлын талаар аюулгүй байдлын багт нэн даруй сэрэмжлүүлснээр Хариуцлагатай тодруулга гэдэгт итгэдэг. Аюулгүй байдлын болзошгүй сул талуудыг WordPress HackerOne 5-ээр дамжуулан Аюулгүй байдлын багт дохио өгч болно. Хамгаалалтын баг нь хувийн Slack сувгаар хоорондоо харилцаж, алдаа, аюулгүй байдлын асуудлыг хянах, турших, засах зорилгоор хаалттай, хувийн Trac дээр ажилладаг.

Аюулгүй байдлын тайлан бүрийг хүлээн авсны дараа хүлээн зөвшөөрдөг бөгөөд баг нь эмзэг байдлыг шалгаж, түүний ноцтой байдлыг тодорхойлохоор ажилладаг. Баталгаажсан тохиолдолд аюулгүй байдлын баг нь WordPress программ хангамжийн удахгүй гарах хувилбарыг гаргах эсвэл асуудлын ноцтой байдлаас хамааран яаралтай аюулгүй байдлын хувилбар болгон түлхэж болох асуудлыг засах засвар хийхээр төлөвлөж байна.

Аюулгүй байдлын талаар нэн даруй гаргахын тулд аюулгүй байдлын баг WordPress.org Мэдээний сайт6-д гаргасан зөвлөмжийг нийтэлж, өөрчлөлтийн талаар дэлгэрэнгүй мэдээлэл өгдөг. Цаашид хариуцлагатай тайлагналыг үргэлжлүүлэхийг дэмжих, бэхжүүлэх зорилгоор эмзэг байдлыг хариуцлагатай ил тод болгоход зориулсан зээлийг зөвлөмжид өгсөн болно.

WordPress програм хангамжийн администраторууд шинэ хувилбар гарах үед шинэчлэх тухай мэдэгдлийг сайтынхаа хяналтын самбар дээр хардаг бөгөөд гарын авлагын шинэчлэлтийн дараа хэрэглэгчид өөрчлөлтийн дэлгэрэнгүйг WordPress-ийн тухай дэлгэц рүү дахин чиглүүлдэг. Хэрэв администраторууд автомат арын шинэчлэлтийг идэвхжүүлсэн бол шинэчлэлт дууссаны дараа тэд имэйл хүлээн авах болно.

Аюулгүй байдлын хувилбаруудад зориулсан арын дэвсгэрийн автомат шинэчлэлтүүд

3.7 хувилбараас эхлэн WordPress нь 3.7.1, 3.7.2 гэх мэт бүх жижиг хувилбаруудын7-ийн автомат арын шинэчлэлтүүдийг нэвтрүүлсэн. WordPress Аюулгүй байдлын баг нь сайтын эзэн юу ч хийх шаардлагагүйгээр WordPress-ийн автоматжуулсан хамгаалалтын сайжруулалтыг тодорхойлж, засч, түлхэж чадах ба аюулгүй байдлын шинэчлэлтийг автоматаар суулгана.

WordPress-ийн одоогийн тогтвортой хувилбарт аюулгүй байдлын шинэчлэлт хийх үед үндсэн баг нь суурь шинэчлэлт хийх боломжтой (WordPress 3.7-с хойш) бүх хувилбаруудын аюулгүй байдлын шинэчлэлтүүдийг түлхэх тул WordPress-ийн хуучин боловч сүүлийн үеийн хувилбарууд нь аюулгүй байдлын сайжруулалтыг авах болно.

Хувь хүний сайт эзэмшигчид тохиргооны файлдаа энгийн өөрчлөлт оруулснаар автомат арын шинэчлэлтийг устгахыг сонгож болох боловч үндсэн багаас энэ функцийг хадгалахыг зөвлөж байна, мөн WordPress-ийн хамгийн сүүлийн үеийн тогтвортой хувилбарыг ажиллуулах.

2013 оны OWASP шилдэг 10

Нээлттэй вэб програмын аюулгүй байдлын төсөл (OWASP) нь вэб програмын аюулгүй байдалд зориулагдсан онлайн нийгэмлэг юм. OWASP шилдэг 10 жагсаалт8 нь өргөн хүрээний байгууллагуудын хэрэглээний аюулгүй байдлын хамгийн ноцтой эрсдлийг тодорхойлоход чиглэгддэг. Шилдэг 10 зүйлийг сонгон авч, ашиглах боломжтой, илрүүлэх боломжтой, нөлөөллийн тооцооллыг зөвшилцсөн тооцоотой хослуулан эрэмбэлсэн.

Дараах хэсгүүдэд WordPress-ийн үндсэн программ хангамж, гуравдагч талын залгаасууд болон сэдвүүдийг эдгээр болзошгүй эрсдлээс хамгаалахад ашигладаг API, нөөц, бодлогын талаар авч үзнэ.

A1 - тарилга

Хөгжүүлэгчдийг зөвшөөрөлгүй код оруулахгүй байх, өгөгдлийг баталгаажуулах, ариутгахад туслах зорилгоор WordPress дээр олон тооны функцууд болон API-ууд байдаг. HTML, URL, HTTP толгой дээрх оролт, гаралтын өгөгдлийг хамгаалах, баталгаажуулах, ариутгах, өгөгдлийн сан болон файлын системтэй харилцах үед эдгээр API-г хэрхэн ашиглах талаар шилдэг туршлага, баримт бичиг 9 боломжтой. Администраторууд шүүлтүүрээр дамжуулан байршуулж болох файлын төрлийг цаашид хязгаарлаж болно.

A2 - Эвдэрсэн баталгаажуулалт ба сессийн менежмент

WordPress-ийн үндсэн программ хангамж нь хэрэглэгчийн бүртгэлийг удирддаг бөгөөд хэрэглэгчийн ID, нэр, нууц үг зэрэг мэдээллийг сервер талаас, мөн баталгаажуулалтын күүкиг удирддаг. Нууц үг нь стандарт давслах, сунгах арга техникийг ашиглан мэдээллийн санд хамгаалагдсан. WordPress-ийн 4.0-ээс хойшхи хувилбарууд гарсны дараа одоо байгаа сессүүд устах болно.

A3 - Сайт хоорондын скрипт (XSS)

WordPress нь хэрэглэгчийн өгсөн өгөгдлийг 10 аюулгүй байлгахад туслах олон төрлийн функцээр хангадаг. Итгэмжлэгдсэн хэрэглэгчид, өөрөөр хэлбэл нэг WordPress суулгацын администратор, засварлагчид, зөвхөн WordPress Multisite дахь сүлжээний администраторууд нь нийтлэл эсвэл хуудасны дотор шаардлагатай бол шүүлтүүргүй HTML эсвэл JavaScript нийтлэх боломжтой. Найдваргүй хэрэглэгчид болон хэрэглэгчийн оруулсан контентыг wp_kses функцээр дамжуулан KSES номын санг ашиглан аюултай объектуудыг устгахын тулд анхдагчаар шүүдэг.

Жишээлбэл, WordPress 2.3 хувилбар гарахаас өмнө WordPress-ийн үндсэн баг the_search_query() функцийг ихэнх сэдвийн зохиогчид буруугаар ашиглаж байгааг анзаарсан бөгөөд тэдгээр нь HTML-д ашиглахын тулд функцийн гаралтаас зугтаагүй байна. Маш ховор тохиолдлын хувьд хоцрогдсон нийцтэй байдал бага зэрэг эвдэрсэн тохиолдолд уг функцийн гаралтыг WordPress 2.3-т урьдчилан сэргийлэхийн тулд өөрчилсөн.

A4 - Аюулгүй шууд объектын лавлагаа

WordPress нь ихэвчлэн URL эсвэл маягтын талбарт байгаа хэрэглэгчийн акаунтын өвөрмөц тоон танигч эсвэл контент гэх мэт объектын шууд лавлагааг өгдөг. Эдгээр таниулбарууд нь системийн шууд мэдээллийг задруулдаг ч WordPress-ийн баялаг зөвшөөрөл, хандалтын хяналтын систем нь зөвшөөрөлгүй хүсэлтээс сэргийлдэг.

A5 - Аюулгүй байдлын буруу тохиргоо

WordPress-ийн аюулгүй байдлын тохиргооны ихэнх үйлдлүүд нь зөвхөн нэг эрх бүхий администратороор хязгаарлагддаг. WordPress-ийн өгөгдмөл тохиргоог үндсэн багийн түвшинд байнга үнэлдэг бөгөөд WordPress-ийн үндсэн баг 11 WordPress сайтыг ажиллуулах серверийн тохиргооны хамгаалалтыг чангатгах баримт бичиг, шилдэг туршлагуудыг хангадаг.

A6 - Эмзэг өгөгдөлд өртөх

WordPress хэрэглэгчийн акаунтын нууц үгийг зөөврийн PHP нууц үгийн Hashing Framework12 дээр үндэслэн давсалж, хэш хийсэн болно. WordPress-ийн зөвшөөрлийн системийг бүртгэлтэй хэрэглэгчдийн PII, сэтгэгдэл бичсэн хүмүүсийн цахим шуудангийн хаяг, хувийн хэвлэгдсэн контент гэх мэт хувийн мэдээлэлд хандах хандалтыг хянахад ашигладаг. WordPress 3.7-д нууц үгийн хүч хэмжигчийг үндсэн програм хангамжид оруулсан бөгөөд хэрэглэгчдэд нууц үгээ тохируулах нэмэлт мэдээлэл, хүч чадлыг нэмэгдүүлэх талаар зөвлөмж өгдөг. WordPress нь HTTPS-г шаардах нэмэлт тохиргоотой.

A7 - Функцийн түвшний хандалтын хяналт байхгүй

WordPress нь үйлдлийг гүйцэтгэхийн өмнө аливаа функцын түвшний хандалтын хүсэлтийн зохих зөвшөөрөл, зөвшөөрлийг шалгадаг. Зөвшөөрөлгүй хэрэглэгчийн хандалтаас урьдчилан сэргийлэхийн тулд зохих баталгаажуулалтгүйгээр захиргааны URL, цэс, хуудсуудын хандалт эсвэл дүрслэл нь баталгаажуулалтын системтэй нягт уялдаатай байдаг.

A8 - Сайт хоорондын хүсэлтийг хуурамчаар үйлдэх (CSRF)

WordPress нь CSRF-ийн болзошгүй аюулаас хамгаалахын тулд эрх бүхий хэрэглэгчдийн хүсэлтийн зорилгыг баталгаажуулахын тулд nonces13 гэж нэрлэгддэг криптограф жетонуудыг ашигладаг. WordPress нь өвөрмөц болон түр зуурын токенуудыг үүсгэх, баталгаажуулах зорилгоор эдгээр токенуудыг үүсгэх API-г өгдөг бөгөөд токен нь тодорхой хэрэглэгч, тодорхой үйлдэл, тодорхой объект, тодорхой хугацаанд хязгаарлагддаг бөгөөд шаардлагатай бол маягт болон URL-д нэмж болно. Нэмж дурдахад, гарснаас хойш бүх үл хамаарах зүйл хүчингүй болно.

A9 - Мэдэгдэж буй эмзэг байдал бүхий бүрэлдэхүүн хэсгүүдийг ашиглах

WordPress-ийн үндсэн баг нь үндсэн функцийг хэрэгжүүлэх үүднээс WordPress-тэй нэгтгэсэн цөөн тооны номын сан, хүрээг сайтар хянадаг. Өнгөрсөн хугацаанд үндсэн баг нь WordPress 3.5.214 дахь TinyMCE-ийн сайт хоорондын эмзэг байдлыг засах шинэчлэлт гэх мэт гуравдагч талын хэд хэдэн бүрэлдэхүүн хэсгүүдийг аюулгүй болгохын тулд хувь нэмрээ оруулсан.

Шаардлагатай бол үндсэн баг 3.5.2-т SWFUpload номын санг албан ёсоор Plupload номын сангаар сольсон, SWFUpload-ын аюулгүй сэрээг аюулгүй байдлын баг<15 богино хугацаанд SWFUpload-г үргэлжлүүлэн ашигласан залгаасуудад ашиглах боломжтой болгосон зэрэг чухал гадаад бүрэлдэхүүн хэсгүүдийг салах эсвэл солих шийдвэр гаргаж болно.

A10 - Баталгаажаагүй дахин чиглүүлэлт ба дамжуулалт

WordPress-ийн дотоод хандалтын хяналт, баталгаажуулалтын систем нь хэрэглэгчдийг хүсээгүй газар руу чиглүүлэх эсвэл автоматаар дахин чиглүүлэх оролдлогоос хамгаалах болно. Энэ функцийг мөн wp_safe_redirect() 16 API-ээр дамжуулан залгаас хөгжүүлэгчдэд ашиглах боломжтой болгосон.

Аюулгүй байдлын цаашдын эрсдэл ба санаа зовоосон асуудлууд

XXE (XML eXternal Entity) халдлага боловсруулах

XML боловсруулах үед WordPress нь гадаад аж ахуйн нэгж болон аж ахуйн нэгжийн өргөтгөлийн халдлагаас урьдчилан сэргийлэхийн тулд захиалгат XML нэгжүүдийг ачаалахыг идэвхгүй болгодог. PHP-ийн үндсэн функцээс гадна WordPress нь залгаас зохиогчдод зориулсан нэмэлт аюулгүй XML боловсруулах API-г өгдөггүй.

SSRF (Server Side Request Forgery) халдлага

WordPress-ээс гаргасан HTTP хүсэлтийг буцаах болон хувийн IP хаяг руу нэвтрэхээс сэргийлж шүүдэг. Нэмж дурдахад, зөвхөн тодорхой стандарт HTTP порт руу хандахыг зөвшөөрдөг.

WordPress залгаас ба сэдвийн аюулгүй байдал

Өгөгдмөл сэдэв

WordPress нь контентыг нүүрэн талд харуулахын тулд сэдвийг идэвхжүүлэхийг шаарддаг. Үндсэн WordPress-тэй (одоогоор "Twenty Twenty-Four") нийлүүлдэг өгөгдмөл сэдвийг сэдэв хөгжүүлэгчдийн баг болон үндсэн хөгжүүлэлтийн баг хоёулаа аюулгүй байдлын үүднээс сайтар хянаж, туршиж үзсэн.

Өгөгдмөл загвар нь захиалгат загвар хөгжүүлэх эхлэлийн цэг болж болох бөгөөд сайтын хөгжүүлэгчид зарим тохиргоог агуулсан хүүхдийн сэдвийг үүсгэж болох боловч ихэнх функциональ болон аюулгүй байдлын үүднээс өгөгдмөл сэдэвт буцаж ирдэг. Анхдагч загварыг шаардлагагүй бол администратор амархан устгаж болно.

WordPress.org сэдэв ба залгаас хадгалах газар

WordPress.org сайт дээр ойролцоогоор 50,000+ залгаасууд болон 5,000+ загварууд жагсаагдсан байна. Эдгээр сэдэв болон залгаасуудыг оруулахаар илгээсэн бөгөөд тэдгээрийг агуулах дээр ашиглахаас өмнө сайн дурынхан гараар хянадаг.

Залгаасууд болон сэдвүүдийг хадгалах санд оруулах нь тэдгээр нь аюулгүй байдлын эмзэг байдлаас ангид байх баталгаа биш юм. 17 репозиторт оруулахын тулд залгаас зохиогчдод зөвлөгөө өгөх зааварчилгааг өгсөн бөгөөд 18 WordPress сэдвийг хэрхэн боловсруулах талаар дэлгэрэнгүй баримт бичгийг WordPress.org сайтаас өгсөн болно.

Plugin болон загвар бүрийг залгаас эсвэл сэдвийн эзэмшигч байнга хөгжүүлэх чадвартай бөгөөд дараагийн засварууд эсвэл функцүүдийн хөгжүүлэлтийг репозитор руу байршуулж, уг залгаас эсвэл загвар суулгасан хэрэглэгчдэд тухайн өөрчлөлтийн тайлбарыг өгөх боломжтой. Сайтын админуудад удирдлагын самбараараа дамжуулан шинэчлэх шаардлагатай залгаасуудын талаар мэдэгддэг.

WordPress Аюулгүй байдлын баг залгаасын сул талыг илрүүлсэн тохиолдолд залгаасын зохиогчтой холбоо барьж, залгаасын аюулгүй хувилбарыг засах, гаргахаар хамтран ажилладаг. Хэрэв залгаасын зохиогчоос хариу ирээгүй эсвэл эмзэг байдал ноцтой байвал залгаас/сэдвийг нийтийн лавлахаас татаж авах ба зарим тохиолдолд аюулгүй байдлын баг шууд засч, шинэчилдэг.

Сэдвийн үнэлгээний баг

Theme Review Team нь WordPress нийгэмлэгийн үндсэн болон тогтсон гишүүдээр ахлуулсан сайн дурын ажилтнуудын бүлэг бөгөөд WordPress сэдвийн албан ёсны лавлахад оруулахаар ирүүлсэн сэдвүүдийг хянаж, баталдаг. Сэдвийн хяналтын баг нь албан ёсны Сэдвийн хяналтын удирдамж19, Сэдвийн нэгжийн тестийн өгөгдөл20, Загварын шалгалтын залгаасууд21-ыг баримталж, WordPress Theme хөгжүүлэгчийн нийгэмлэгийг хөгжүүлэлтийн шилдэг туршлагын талаар татан оролцуулж, сургах оролдлого хийдэг. Бүлэгт оруулах ажлыг WordPress хөгжүүлэлтийн багийн үндсэн комиссар удирддаг.

WordPress аюулгүй байдал дахь хостинг үйлчилгээ үзүүлэгчийн үүрэг

WordPress-ийг олон платформ дээр суулгаж болно. WordPress-ийн үндсэн программ хангамж нь энэхүү баримт бичигт тусгагдсан аюулгүй вэб программыг ажиллуулах олон заалтуудыг хангадаг ч үйлдлийн системийн тохиргоо болон програм хангамжийг байршуулах үндсэн вэб сервер нь WordPress программуудыг аюулгүй байлгахад адил чухал юм.

WordPress.com болон WordPress аюулгүй байдлын талаархи тэмдэглэл

WordPress.com нь дэлхийн хамгийн том WordPress суулгац бөгөөд WordPress төслийн хамтран бүтээгч Матт Мулленвег үүсгэн байгуулсан Automattic, Inc.-ийн эзэмшиж, удирддаг. WordPress.com нь WordPress-ийн үндсэн програм хангамж дээр ажилладаг бөгөөд өөрийн гэсэн аюулгүй байдлын процесс, эрсдэл, шийдлүүдтэй22. Энэхүү баримт бичиг нь WordPress.org сайтаас авах боломжтой, дэлхийн аль ч серверт суулгах боломжтой, өөрөө байршуулсан, татаж авах боломжтой, нээлттэй эхийн WordPress програм хангамжийн аюулгүй байдлын тухай юм.

Хавсралт

Үндсэн WordPress API

WordPress-ийн үндсэн програмчлалын интерфэйс (API) нь хэд хэдэн бие даасан API23-аас бүрддэг бөгөөд тус бүр нь өгөгдсөн багц функцэд хамаарах функцууд болон ашиглалтыг хамардаг. Эдгээр нь хамтдаа WordPress-ийн үндсэн функцтэй аюулгүй, найдвартай харьцах, өөрчлөх, өргөтгөх боломжийг олгодог төслийн интерфейсийг бүрдүүлдэг.

WordPress API бүр WordPress-ийн үндсэн программ хангамжтай харилцах, өргөтгөх шилдэг туршлагууд болон стандартчилагдсан аргуудыг санал болгодог ч дараах WordPress API-ууд нь WordPress-ийн аюулгүй байдлыг хангах, бэхжүүлэхэд хамгийн их хамааралтай.

Өгөгдлийн сангийн API

WordPress 0.71-д нэмсэн Database API24 нь өгөгдлийн сангийн давхаргад хадгалагдсан нэрлэсэн утгуудаар өгөгдөлд хандах зөв аргыг өгдөг.

Файлын системийн API

WordPress 2.626-д нэмсэн Filesystem API25 нь WordPress-ийн өөрийн автомат шинэчлэлтийн функцэд зориулж анх бүтээгдсэн. Filesystem API нь төрөл бүрийн хост төрлүүд дээр аюулгүй ажиллахын тулд файлын системд локал файлуудыг унших, бичихэд шаардлагатай функцуудыг хийсвэрлэн гаргадаг.

Энэ нь WP_Filesystem_Base анги болон локал файлын системтэй холбогдох өөр өөр аргуудыг хэрэгжүүлдэг хэд хэдэн дэд ангиудаар дамжуулан бие даасан хостын дэмжлэгээс хамааран үүнийг хийдэг. Дотоод файлуудыг бичих шаардлагатай аливаа сэдэв эсвэл залгаасууд WP_Filesystem бүлгийн ангиудыг ашиглан үүнийг хийх ёстой.

HTTP API

WordPress 2.728-д нэмж, WordPress 2.8-д өргөтгөсөн HTTP API27 нь WordPress-ийн HTTP хүсэлтийг стандартчилдаг. API нь күүки, gzip кодчилол, тайлах, хэсэгчилсэн код тайлах (HTTP 1.1 бол) болон бусад янз бүрийн HTTP протоколын хэрэгжилтийг зохицуулдаг. API нь хүсэлтийг стандартчилж, илгээхээсээ өмнө арга тус бүрийг туршиж, таны серверийн тохиргоонд үндэслэн хүсэлт гаргахдаа тохирох аргыг ашигладаг.

Зөвшөөрөл ба одоогийн хэрэглэгчийн API

Зөвшөөрөл болон одоогийн хэрэглэгчийн API29 нь одоогийн хэрэглэгчийн хүсэлт гаргасан аливаа ажил, үйлдлийг гүйцэтгэх зөвшөөрөл, эрх мэдлийг шалгахад туслах функцүүдийн багц бөгөөд зөвшөөрөлгүй хэрэглэгчид өөрсдийн зөвшөөрөгдсөн чадвараас давсан функцэд хандах, гүйцэтгэхээс хамгаалах боломжтой.

Цагаан цаасны контентын лиценз

Энэхүү баримт бичгийн текст (WordPress лого эсвэл барааны тэмдгийг оруулаагүй) нь CC0 1.0 Universal (CC0 1.0) Public Domain Dedication-ийн дагуу лицензтэй. Та зөвшөөрөл авалгүйгээр арилжааны зорилгоор ч гэсэн хуулбарлах, өөрчлөх, түгээх, гүйцэтгэх боломжтой.

Зарим урам зориг өгсөн Drupal-ийн аюулгүй байдлын цагаан цаасанд онцгой талархал илэрхийлье .

Нэмэлт уншлага


Зохиогч Сара Россо

Барри Абрахамсон, Майкл Адамс, Жон Кав, Хелен Хоу-Санди, Дион Хулс, Мо Жангда, Пол Майорана нарын оруулсан хувь нэмэр

2015 оны 3-р сарын 1.0 хувилбар


Тайлбар