Siguri
Mësoni më tepër rreth sigurisë së software-it WordPress bazë, në këtë studim falas. Mund ta shkarkoni edhe në format PDF.
Përmbledhje
Ky dokument është një analizë dhe shpjegim i zhvillimit të software-it bazë WordPress dhe proceseve të sigurisë të lidhura me të, si dhe një shqyrtim i sigurisë mishëruar drejt e në software si pjesë e tij. Ata që kanë në dorë zgjedhjen dhe po peshojnë WordPress-in si një sistem administrimi lënde ose platformë aplikacionesh web, do të duhej ta përdornin këtë dokument në analizat e tyre dhe në vendim-marrje, ndërsa zhvilluesit t’i referohen për t’u familjarizuar me përbërësit dhe praktikat më të mira të sigurisë të software-it.
Informacioni në këtë dokument është i përditësuar për hedhjen më të re në qarkullim të software-it, WordPress 4.7, në ditën e botimit, por do të duhej të vlente edhe për versionet më të fundit të software-it, ngaqë përputhshmëria me versione më të hershëm është një fill i fuqishëm për ekipin e zhvillimit të WordPress-it. Masa dhe ndryshime specifike lidhur me sigurinë do të bëhen të ditura dora-dorës që shtohen te software-i bazë në hedhje të caktuara në qarkullim. Ju nxisim me forcë të xhironi përherë versionin më të ri të qëndrueshëm të WordPress-i, për të garantuar funksionimin më të sigurt të mundur.
Përmbledhje ekzekutive
WordPress-i është një sistem dinamik administrimi lënde, me burim të hapët, që është përdorur për të ngritur miliona sajte, aplikacione web dhe blogje. Aktualisht mbi të bazohet më shumë se 43% e 10 milionë sajteve kryesuese në Internet. Lehtësia në përdorim, mundësia e zgjerimit dhe bashkësia e pjekur e zhvillimit të tij e bëjnë WordPress-in një zgjedhje popullore dhe të sigurt për sajte të cilësdo madhësi.
Që prej ngjizjes së tij më 2003-shin, WordPress-i ka kaluar nën forcim të vazhdueshëm, që software-i i tij bazë të mund të trajtojë dhe zbusë efektet e kërcënimeve të shpeshta ndaj sigurisë, përfshi ato prej listës së 10 Kryesueseve të identifikuara nga The Open Web Application Security Project (OWASP) si cenueshmëri të shpeshta ndaj sigurisë, të cilat diskutohet në këtë dokument.
Ekipi i Sigurisë në WordPress, në bashkëpunim me Ekipi Bazë Drejtues i WordPress-it dhe i mbështetur nga bashkësi globale WordPress, punon të gjejë dhe zgjidhë problemet e sigurisë në software-in bazë, i gatshëm për shpërndarjen dhe instalim që nga WordPress.org, si dhe të rekomandojë dhe dokumentojë, për autorë shtojcash dhe temash nga palë të treta, praktikat më të mira mbi sigurinë.
Zhvilluesit dhe përgjegjësit e sajteve duhet t’i kushtojnë vëmendje të posaçme përdorimi të saktë të API-ve bazë dhe formësimit bazë të shërbyesit, të cilat kanë qenë burimi i cenueshmërive të zakonshme, si dhe të arrijnë që krejt përdoruesit të përdorin fjalëkalime të fuqishëm për hyrjen në WordPress.
Një përmbledhjeje WordPress-i
WordPress-i është sistem administrimi lënde (CMS) i lirë dhe me burim të hapët. Është software-i CMS më i përdorur në botë dhe mban në këmbë më tepër se 43% të 10 milionë sajteve kryesues1, duke i dhënë një përqindje tregu prej 62% të krejt sajteve që përdorin një CMS.
WordPress-i licencohet sipas licencës General Public License (GPLv2 ose të mëvonshëm) e cila lejon katër liri themelore dhe mund të shihet si “deklarata e të drejtave” në WordPress:
- Liria për ta xhiruar programin, për çfarëdo qëllimi.
- Liria për të studiuar se si funksionon programi dhe për ta ndryshohet që ta bëni të kryejë ç’të doni.
- Liria për të rishpërndarë kopje.
- Liria për t’u shpërndarë të tjerëve kopje të versioneve tuaja të modifikuara.
Ekipi Bazë drejtues i WordPress-it
Projekti WordPress është një meritokraci, e drejtuar nga ekipi bazë drejtues dhe udhëhequr nga bashkëkrijuesi dhe programuesi udhëheqës, Matt Mullenweg. Ekipi udhëheq krejt aspektet e projektit, përfshi zhvillimin bazë, WordPress.org dhe nisma të bashkësisë.
Ekipi Drejtues Bazë përbëhet nga Matt Mullenweg, pesë programues drejtues dhe më shumë se një duzinë programues me leje të përhershme depozitimi. Këta zhvillues kanë autoritetin përfundimtar mbi vendime teknike, si dhe në diskutime arkitekturës udhëheqëse dhe përpjekjet për sendërtim.
WordPress-i ka një numër zhvilluesish me kontribut. Disa prej tyre janë depozitues të dikurshëm ose të tanishëm kodi dhe disa ka gjasa të jenë depozitues të ardhshëm kodi. Këta programues me kontribut janë të kontribues të besuar dhe veteranë te WordPress-i, që kanë fituar goxha respekt mes kolegëve të tyre. Sipas nevojës, WordPress-i ka edhe depozitues mysafirë, individë të cilëve u akordohet leje depozitimi kodi, ndonjëherë për një përbërës specifik, përkohësisht ose për t’u provuar.
Zhvillimi i WordPress-it drejtohet pikësëpari nga programuesit bazë dhe ata ndihmës. Për çdo version, qindra zhvillues kontribuojnë kod te WordPress-i. Këta kontribues bazë janë vullnetarë që kontribuojnë në një farë mënyre kontribuojnë te kodi bazë.
Cikël hedhjesh në qarkullim të WordPress-it
Çdo cikël hedhjesh në qarkullim e WordPress-it drejtohet nga një ose më tepër zhvillues të bazës së WordPress-it. Një cikël hedhjesh në qarkullim zakonisht zgjat gati 4 muaj, nga takimi i parë për caktimin e objektivave e deri te hedhja në qarkullim e versionit.
Një cikël hedhjesh në qarkullim ndjek rregullsinë vijuese2:
- Faza 1: Planifikim dhe sigurim i drejtuesve të ekipeve. Kjo bëhet në dhomën #core të bisedave në Slack. Drejtuesi i hedhjes në qarkullim diskuton veçori për hedhjen pasuese në qarkullim të WordPress-it. Kontribuesit në WordPress përfshihen në këtë diskutim. Drejtuesi i hedhjes në qarkullim do të identifikojë drejtuesit e ekipeve për secilën nga veçoritë.
- Faza 2: Fillon puna zhvillimore. Drejtuesit e ekipeve mbledhin ekipet dhe punojnë për veçoritë që u janë caktuar. Janë planifikuar biseda të rregullta, për të garantuar se zhvillimi vazhdon të shkojë përpara.
- Faza 3: Beta. Hidhen në qarkullim versione Beta dhe testuesve beta u kërkohet të fillojnë të njoftojnë të meta. Nga kjo fazë e tutje, nuk kryhen më depozitime kodi për zgjerime të reja apo kërkesa për veçori të reja. Autorët e shtojcave dhe temave prej palësh të treta ftohen të testojnë kodin e tyre kundrejt ndryshimeve të afërta.
- Faza 4: Versioni Kandidat për Hedhje Në Qarkullim. Nga kjo pikë e tutje hyn në fuqi një ngrirje vargjesh për vargje të përkthyeshëm. Vëmendja përqendrohet vetëm në çështje që shkaktojnë kthim prapa dhe bllokim.
- Faza 5: Hedhje në qarkullim. Versioni i WordPress-it hidhet në qarkullim dhe është gati për t’u përdorur për përditësim, që nga zona Përgjegjës WordPress-i e instancës.
Numra versionesh dhe hedhje në qarkullim versionesh sigurie
Një version i rëndësishëm i WordPress-it tregohet nga dy sekuencat e para. Për shembull, 3.5-a është një hedhje e rëndësishme në qarkullim, siç janë 3.6-a, 3.7-a, apo 4.0-ja. Nuk ka “WordPress 3” apo “WordPress 4” dhe çdo hedhje e rëndësishme në qarkullim dallohet nga numrat e saj, p.sh., “WordPress 3.9.”
Hedhjet e rëndësishme në qarkullim mund të shtojnë veçori të reja për përdoruesit dhe API për zhvilluesit. Edhe pse, zakonisht, në votën e software-it, një version “i rëndësishëm” nënkupton se mundeni të prishni përputhjen me versione të mëparshëm, WordPress-i përpiqet të mos e prishë kurrë këtë përputhje. Përputhja me versione të mëparshëm është një nga karakteristika më të rëndësishme të projektit, me synimin për t’i bërë përditësimet shumë më të lehta për përdoruesit dhe zhvilluesit.
Një version i vockël i WordPress-it tregohet nga sekuenca e tretë. Versioni 3.5.1 është një hedhje e vockël në qarkullim, siç është edhe 3.4.23. Hedhjet e vockla në qarkullim rezervohen vetëm për ndreqje cenueshmërish sigurie dhe për të trajtuar të meta kritike. Ngaqë versionet e rinj të WordPress-it hidhen në qarkullim kaq shpesh — synimi është çdo 4-5 muaj për një hedhje të rëndësishme në qarkullim, ndërsa hedhjet e vockla në qarkullim vijnë sipas nevojës — ka nevojë vetëm për hedhje në qarkullim të rëndësishme dhe të vockla.
Përputhje me versione të mëparshëm
Projekti WordPress përmban një përkushtim të fuqishëm ndaj përputhshmërisë me versione të dikurshëm. Ky përkushtim do të thotë se temat, shtojcat dhe kodet vetjake vazhdojnë të funksionojnë, kur software-i WordPress bazë përditësohet, duke përbërë kështu një shtysë për të zotët e sajteve ta mbajnë të përditësuar versionin e tyre të WordPress-it me hedhjen më të re në qarkullim të lidhur me sigurinë.
WordPress-i dhe siguria
Ekipi i Sigurisë i WordPress-it
Ekipi i Sigurisë në WordPress përbëhet nga afërsisht 50 ekspertë, përfshi zhvillues kryesorë dhe punonjës kërkimesh mbi sigurinë — gati gjysma janë të punësuar të Automattic-ut (krijuesit e WordPress.com-it, platforma më e hershme dhe më e madhe për strehim WordPress-i në web) dhe një numër prej tyre punojnë në fushën e sigurisë në web. Ekipi konsultohet me kërkues të njohur dhe të besuar të sigurisë dhe me shoqëri strehimi3.
Ekipi i Sigurisë në WordPress shpesh bashkëpunon me ekipe të tjerë sigurie, për t’u marrë me probleme në varësi të përbashkëta, si në rastin e zgjidhjes së një cenueshmërie në analizuesin PHP XML, të përdorur nga API XML-RPC që vjen me WordPress-in, te WordPress 3.9.24. Kjo zgjidhje e cenueshmërisë qe përfundim i një përpjekjeje të përbashkët të ekipeve të sigurisë për WordPress dhe për Drupal.
Rreziqe, proces dhe historik sigurie në WordPress
Ekipi i Sigurisë në WordPress beson në Njoftimin e Përgjegjshëm duke njoftuar menjëherë ekipin e sigurisë për çfarëdo cenueshmëri potenciale. Cenueshmëritë potenciale të sigurisë mund të njoftohen te Ekipi i Sigurisë përmes WordPress HackerOne5. Brenda vetes Ekipi i Sigurisë komunikon përmes një kanali privat në Slack dhe punon në një instancë Trac të mbyllur, private, për ndjekje, testim dhe ndreqje të metash dhe problemesh sigurie.
Pas marrjes, çdo raportim mbi sigurinë pasohet nga njohja e tij si i tillë dhe ekipi punon për të verifikuar cenueshmërinë dhe për të përcaktuar se sa e rëndë është. Në u ripohoftë, ekipi i sigurisë mandej planifikon një arnim që do të ndreqë problemin, i cili mund të parashtrohet në hedhjen e ardhshme në qarkullim të software-it WordPress ose mund të hidhen menjëherë në qarkullim, në varësi të shkallës se sa serioze është cenueshmëria.
Për hedhje në qarkullim të menjëhershme lidhur me sigurinë, botohet një komunikatë nga Ekipi i Sigurisë, në sajtin Lajme WordPress.org6 që njofton hedhjen në qarkullim dhe që jep hollësi për ndryshimet. Në komunikatë jepen falënderime për njoftimin me përgjegjësi të një cenueshmërie, për të nxitur dhe riforcuar njoftimin e vazhdueshëm me përgjegjësi në të ardhmen.
Përgjegjësit për software-in WordPress shohin në pultin e sajteve të tyre një njoftim për përditësim, kur është gati një hedhje e re në qarkullim dhe, në vijim të përditësimit dorazi, përdoruesit ridrejtohen te skena Mbi WordPress-in, ku jepen hollësi mbi ndryshimet. Nëse përgjegjësit kanë aktivizuar përditësimet e vetvetishme në prapaskenë, do të marrin një email, pasi të jetë plotësuar përditësimi.
Përditësime të vetvetishme në prapaskenë për hedhje në qarkullim të lidhura me sigurinë
Duke filluar me versionin 3.7, WordPress-i solli për herë të parë përditësime në prapaskenë të automatizuara, për krejt hedhjet e vockla në qarkullim7, f.v., 3.7.1 dhe 3.7.2. Ekipi i Sigurisë për WordPress mund të identifikojë, ndreqë dhe japë zgjerime të automatizuara të sigurisë për WordPress-it, pa u dashur që i zoti i sajtit të bëjë gjë në anën e tij dhe përditësimi i sigurisë do të instalohet automatikisht.
Kur del një përditësim sigurie për version aktual të qëndrueshëm të WordPress-it, ekipi i bazës do të hedhë në qarkullim edhe përditësime sigurie për krejt hedhjet në qarkullim që janë të afta të marrin përditësime në prapaskenë (që prej WordPress 3.7), kështu që këto versione të vjetër, por ende të pavjetruar të WordPress-it do të përfitojnë përmirësime sigurie.
Të zotët e sajteve mund të zgjedhin heqjen e përditësimeve të vetvetishme në prapaskenë përmes një ndryshimi të thjeshtë në kartelën e formësimit të tyre, por mbajtja në punë e funksionit këshillohet me forcë nga ekipi i bazës, tok me xhirimin e versionit më të ri të qëndrueshëm të WordPress-it.
10 Kryesuesit OWASP për 2013-n
Open Web Application Security Project (OWASP) është një bashkësi internetore kushtuar sigurisë së aplikacioneve web. Lista e 10 çështjeve kryesuese për OWASP8 përqendrohet në identifikimin e rreziqeve më serioze për sigurinë e aplikacioneve, për një gamë të madhe entesh. Zërat e 10-shes kryesuese përzgjidhen dhe u jepet përparësi në ndërthurje me vlerësime me konsensus lidhur me mundësinë e shfrytëzimit të tyre, pikasjes dhe ndikimit.
Në ndarjet vijuese diskutohen API-t, burime dhe rregulla që përdor WordPress-i për të forcuar software-in bazë dhe shtojca dhe tema nga palë të treta përballë këtyre rreziqeve potenciale.
A1 – Injektime
Ka një grup funksionesh dhe API-sh në WordPress për të asistuar zhvilluesit të garantojnë se s’mund të injektohet kod i paautorizuar dhe për t’i ndihmuar të vlerësojnë dhe sanitarizojnë të dhëna. Ka shembuj praktikash më të mira dhe dokumentim9 se si të përdoren këto API për të mbrojtur, vlerësuar, apo sanitarizuar të dhëna që jepen nga përdoruesi apo prodhohen nga platforma, në HTML, URL-ra, krye HTTP dhe kur ndërveprohet me bazën e të dhënave dhe sistemin e kartelave. Përgjegjësi, përmes filtrash, munden të kufizojnë edhe më tej llojet e kartelave që mund të ngarkohen.
A2 – Mirëfilltësim dhe Administrim Sesionesh të Dëmtuar
Software-i WordPress bazë administron llogaritë dhe mirëfilltësimin dhe hollësi të tilla si, ID, emër dhe fjalëkalim përdoruesi administrohen nga ana e shërbyesit, si edhe cookie-t e mirëfilltësimeve. Fjalëkalimet te baza e të dhënave mbrohen duke përdorur teknika standarde salting dhe stretching. Për versione WordPress-i pas atij 4.0, sesionet ekzistuese asgjësohen gjatë daljes nga llogaria.
A3 – Cross Site Scripting (XSS)
WordPress-i jep një gamë funksionesh që mund të përdoren për të garantuar se të dhënat e prura nga përdoruesi janë të siguruara10. Përdoruesit e besuar, pra, përgjegjësi dhe redaktorët në një instalim njësh WordPress-i dhe përgjegjësit e rrjetit vetëm në WordPress Shumësajtësh, mund të postojnë HTML apo JavaScript të pafiltruar, ngaqë u duhet, bie fjala brenda një postimi apo faqeje. Lënda nga përdorues pa këtë shkallë besimi dhe e parashtruar nga përdorues të tjerë filtrohet, si parazgjedhje, për të hequr njësi të rrezikshme, duke përdorur bibliotekën KSES përmes funksionit wp_kses.
Si shembull, ekipi i WordPress-it bazë vuri re para hedhjes në qarkullim të WordPress 2.3-shit se funksioni the_search_query() keqpërdorej nga shumica e autorëve të temave, që nuk e paraprinin me një \ ç’jepte funksioni, për përdorim në HTML. Në një rast shumë të rrallë të prishjes sadopak të përputhjes me versione të mëparshëm, ç’jepte funksioni u ndryshua në WordPress 2.3 për të qenë i paraprirë.
A4 – Referencë e Pasiguruar Objekti të Drejtpërdrejtë
WordPress-i shpesh furnizon referenca të drejtpërdrejta objekti, të tilla si identifikues numerikë unikë llogarish përdoruesish, ose lëndë që është pjesë te fusha URL-sh apo formularësh. Teksa këta identifikues lënë të zbulohet informacion i drejtpërdrejtë mbi sistemin, lejet e shumta dhe sistemi i kontrollit të hyrjeve në WordPress i pengojnë kërkesat e paautorizuara.
A5 – Keqfomërsim Sigurie
Shumica e veprimeve për formësim të sigurisë në WordPress kufizohen për një përgjegjës të vetëm të autorizuar. Rregullimet parazgjedhje për WordPress-in vlerësohen vazhdimisht në nivel ekipi bazë dhe ky ekip bazë i WordPress-it jep dokumentim dhe shembuj praktikash më të mira për të forcuar sigurinë për formësim shërbyesish që xhirojnë një sajt WordPress11.
Ekspozim të Dhënash të Rezervuara
Fjalëkalimet e llogarive të përdoruesve të WordPress-it përdorin salt dhe
A7 – Mungon Kontroll Hyrjeje Në Shkallë Funksioni
WordPress-i kontrollon për autorizim dhe leje të duhura për çfarëdo kërkese aksesi në nivel funksioni, përpara se veprimi të kryhet. Përdorimi apo shfaqja e URL-ve, menuve dhe faqeve administrative, pa mirëfilltësimin e duhur, është e integruar fort me sistemin e mirëfilltësimeve, për të parandaluar hyrje nga përdorues të paautorizuar.
A8 – Cross Site Request Forgery (CSRF)
WordPress-i përdor token-ë kriptografikë, të quajtur nonces13, për të kontrolluar vlefshmërinë e kërkesave për veprim nga përdorues të autorizuar, për mbrojtje nga kërcënime CSRF potenciale. WordPress-i jep një API për prodhimin e këtyre token-ëve, për të krijuar dhe verifikuar token-ë unikë dhe të përkohshëm dhe token-i kufizohet nga një përdorues i caktuar, një veprim i caktuar, një objekt i caktuar dhe një periudhë kohore e caktuar, që mund të shtohen sipas nevojave te formularë dhe URL-ra. Veç kësaj, krejt nonces zhvleftësohen, me daljen nga llogaria.
A9 – Përdorim Përbërësish me Cenueshmëri të Njohura
Ekipi i WordPress-it bazë mbikëqyr nga afër ndopak biblioteka dhe platforma që ka përfshirë, të cilat WordPress-i i integron me funksionet bazë. Në të kaluarën ekipi bazë ka dhënë kontribut në disa përbërës prej palësh të treta, për t’i bërë më të siguruar, b.f., përditësimi për të ndrequr një cenueshmëri cross-site në TinyMCE te WordPress 3.5.214.
Në qoftë e nevojshme, ekipi bazë mund të vendosë të krijojë një degëzim, apo të zëvendësojë përbërës kritikë të jashtëm, si në rastin kur biblioteka SWFUpload u zëvendësua zyrtarisht nga biblioteka Plupload te 3.5.2, apo kur një degëzim i siguruar i SWFUpload u bë i passhëm nga ekipi i sigurisë15 për ato shtojca që vazhduan të përdorin edhe për ca kohë SWFUpload.
A10 – Ridrejtime dhe Përcjellje të Pavleftësuara
Sistemi i brendshëm i WordPress-it për kontroll hyrjesh dhe për mirëfilltësimet do të mbrojë kundër përpjekjesh për t’i drejtuar përdoruesit në destinacione të padëshiruara, apo nga ridrejtime të automatizuara. Ky funksion u jepet për ta përdorur edhe zhvilluesve të shtojcave, përmes një API, wp_safe_redirect()16.
Rreziqe dhe shqetësime të mëtejshme sigurie
Sulme përpunimi XXE (XML eXternal Entity – Njësi XML e Jashtme)
Kur përpunon XML, WordPress-in çaktivizon ngarkimin e njësive XML të përshtatura, për të parandaluar si sulmet nga Njësi të Jashtme, ashtu edhe ato nga Zgjerim Njësish. WordPress-i nuk furnizon API shtesë përpunimi XML-je të sigurt për autorë shtojcash, tej funksionit bazë të vetë PHP-së.
Sulme SSRF (Server Side Request Forgery – Sajesë Kërkesë Më Anë të Shërbyesit)
Kërkesat HTTP të emetuara nga WordPress filtrohen për të parandaluar hyrje te loopback dhe adresa IP private. Veç kësaj, lejohet hyrje vetëm për disa porta standarde HTTP.
Siguri shtojcash dhe temash në WordPress
Tema parazgjedhje
Që të shfaqë lëndë të dukshme në pjesën e përparme të sajtit, WordPress-i lyp aktivizimin e një teme. Tema parazgjedhje që vjen me WordPress-in bazë (aktualisht “Twenty Twenty-Three”) është shqyrtuar dhe testuar në mënyrë rigoroze, për arsye sigurie, si nga ekipi i zhvilluesve të temave, ashtu edhe nga ekipi i zhvillimit të bazës së WordPress-it.
Tema parazgjedhje mund të shërbejë si një pikënisje për zhvillim temash të përshtatura dhe zhvilluesit e sajteve mund të krijojnë një temë pjellë që përmban disa përshtatje, por që përdor gjëra të temës parazgjedhje për shumicën e punës dhe për siguri. Tema parazgjedhje mund të hiqet lehtazi nga një përgjegjës, nëse nuk hyn në punë.
Depo temash dhe shtojcash WordPress.org
Te sajti WordPress.org, ka afërsisht mbi 50 mijë shtojca dhe mbi 5 mijë tema. Këto tema dhe shtojca janë parashtruar për përfshirje dhe janë shqyrtuar dorazi nga vullnetarët, përpara se të bëhen pjesë e listës.
Përfshirja e shtojcave dhe temave te depoja s’është garanci se janë të paprekura nga cenueshmëri sigurie. Për autorët e shtojcave jepen udhëzime për t’i parë para parashtrimit për përfshirje te depoja17 dhe dokumentim i zgjeruar rreth se si të kryhet zhvillim temash WordPress18 jepet në sajtin WordPress.org.
Çdo shtojcë dhe temë ka aftësinë të zhvillohet vazhdimisht nga i zoti dhe çfarëdo ndreqjesh të mëpasshme apo shtim veçorish mund të ngarkohet te depoja për t’ua dhënë përdoruesve që kanë instaluar atë temë apo shtojcë, me një përshkrim të atij ndryshimi. Përmes pultit të administrimit, përgjegjësit e sajtit njoftohen rreth shtojcash që lypin përditësim.
Kur zbulohet një cenueshmëri shtojce nga Ekipi i Sigurisë së WordPress-it, ata lidhen me autorin e shtojcës dhe punojnë tok për ta ndrequr dhe për të hedhur në qarkullim një version të sigurt të shtojcës. Nëse nga autori i shtojcës nuk vjen reagim, ose nëse cenueshmëria është e rëndë, shtojca/tema hiqet nga drejtoria publike dhe në disa raste, ndreqet dhe përditësohet nga Ekipi i Sigurisë.
Ekipi i Shqyrtimit të Temave
Ekipi i Shqyrtimit të Temave është një grup vullnetarësh, të drejtuar nga anëtarë kyçë dhe të afirmuar të bashkësisë WordPress, që shqyrtojnë dhe miratojnë temat e parashtruara, për t’u përfshirë në listën zyrtare të Temave për WordPress. Ekipi i Shqyrtimit të Temave mirëmban Udhëzimet zyrtare për Shqyrtimin e Temave19, të Dhënat për Njësi Testimi Temash20 dhe Shtojcat për Kontroll Temash21, si dhe përpiqet të angazhojë dhe edukojë bashkësinë e zhvillimit të Temave për WordPress lidhur me praktikat më të mira për zhvillimin. Përfshirja te grupi moderohet nga zhvillues prej ekipit të zhvillimit të WordPress-it me të drejta depozitimi parashtrimesh te baza.
Roli i furnizuesit të strehimit në sigurinë e WordPress-it
WordPress-i mund të instalohet në një larmi platformash. Edhe pse software-i bazë WordPress plotëson mjaft kërkesa për përdorimin e një aplikacioni web të sigurt, të cilat janë mbuluar në këtë dokument, formësimi i sistemit operativ dhe i software-it të strehimit të shërbyesit është po aq i rëndësishëm për ta mbajtur të pacenuar aplikacionin WordPress.
Një shënim rreth sigurisë në WordPress.com dhe WordPress
WordPress.com është instalimi WordPress më i madh i botës dhe është pronë dhe administrohet nga Automattic, Inc., e cila qe themeluar nga Matt Mullenweg, bashkëkrijuesi i projektit WordPress. WordPress.com xhiron mbi software-in bazë WordPress dhe ka proceset e veta mbi sigurinë, rreziqet dhe zgjidhjet e veta22. Ky dokument i referohet sigurisë lidhur me software WordPress me burim të hapët, të shkarkueshëm, të strehuar nga ju, që mund të merret që prej WordPress.org dhe i instalueshëm në çfarëdo shërbyesi në botë.
Pasthënie
API Funksionesh Bazë WordPress
Ndërfaqja e Programimit të Aplikacioneve (API) për WordPress-in Bazë përbëhet nga disa API individuale 23, ku secila mbulon funksionet me të cilat merret dhe përdorimin e tyre, për një grup të dhënë funksionesh. Tok, këto formojnë ndërfaqen e projektit, që u lejon shtojcave dhe temave të ndërveprojnë me, ndryshojnë dhe zgjerojnë në mënyrë të parrezik dhe të siguruar funksione bazë të WordPress-it.
Teksa çdo API WordPress furnizon praktikat më të mira dhe rrugë të standardizuara për ndërveprim dhe zgjerim të software-it bazë WordPress, API-t WordPress vijuese janë ato që kanë më shumë lidhje me zbatimin dhe përshkallëzimin e sigurisë në WordPress:
API Baze të dhënash
API për Bazë të Dhënash24, shtuar me WordPress 0.71-shin, jep metodën e saktë për të punuar me të dhënat si vlera të emërtuara që depozitohen në shtresën e bazës së të dhënave.
API Sistemi kartelash
API i Sistemit të Kartelave25, shtuar me WordPress 2.6-n26, qe krijuar fillimisht për veçorinë e përditësimit të automatizuar të vetë WordPress-it. API i Sistemit të Kartelave ofron funksionin e nevojshëm për lexim dhe shkrim kartelash vendore te sistemi i kartelave, që të bëhet në mënyrë të siguruar, në një larmi llojesh strehimi të sajtit.
Këtë e kryen përmes klasës WP_Filesystem_Base dhe disa nënklasash të tjera që sendërtojnë rrugë të ndryshme lidhjeje me sisteme kartelash vendore, në varësi të mbulimit nga strehë individuale të këtyre aftësive. Çfarëdo teme apo shtojcë që ka nevojë të shkruajë kartela lokalisht do të duhej ta bënte këtë duke përdorur familjen e klasave WP_Filesystem.
API HTTP
API HTTP27, shtuar me WordPress 2.7-n28 dhe zgjeruar më tej në WordPress 2.8, standardizon kërkesat HTTP për WordPress-in. API trajton cookie-t kodim dhe shkodim gzip, shkodim copash (nëse bëhet fjalë për HTTP 1.1) dhe sendërtime të ndryshme protokollesh të tjerë HTTP. API standardizon kërkesat, teston secilën metodë para dërgimit dhe, bazuar në formësimin e shërbyesit tuaj, përdor metodën e duhur për të bërë kërkesën.
Leje dhe API e tanishme e përdoruesit
Lejet dhe API aktuale për përdoruesin29 janë një grup funksionesh që do t’ju ndihmojnë të verifikoni lejet e përdoruesit aktual për të kryer çfarëdo pune apo veprimi që po kërkohet dhe mund të mbrojnë më tej kundër përdoruesish të paautorizuar që hyjnë në ose përdorin funksione tej aftësive të lejuara për ta.
Licencë lënde artikulli
Teksti në këtë dokument (pa përfshirë stemën apo shenjën tregtare të e WordPress-it) licencohet sipas CC0 1.0 Universal (CC0 1.0) Kushtimit Përkatësisë Publike. Veprën mund ta kopjoni, ndryshoni, shpërndani dhe shfrytëzoni, qoftë edhe për qëllime komerciale, gjithçka për kërkuar leje.
Një falënderim të veçantë për studimin për sigurinë të Drupal-it, që dha ca frymëzim.
Lexime shtesë
- Lajme WordPress https://wordpress.org/news/
- Hedhje në qarkullim WordPress-i të lidhura me sigurinë https://wordpress.org/news/category/security/
- Burime Për Zhvillues WordPress-i https://developer.wordpress.org/
Shkruar nga Sara Rosso
Ndihmesë nga Barry Abrahamson, Michael Adams, Jon Cave, Helen Hou-Sandí, Dion Hulse, Mo Jangda, Paul Maiorana
Version 1.0 Mars 2015
Poshtëshënime
[1] https://w3techs.com/, nga dhjetori 2019
[2] https://make.wordpress.org/core/handbook/about/release-cycle/
[3] https://make.wordpress.org/core/handbook/about/release-cycle/version-numbering/
[4] https://wordpress.org/news/2014/08/wordpress-3-9-2/
[5] https://hackerone.com/wordpress
[6] https://wordpress.org/news/
[7] https://wordpress.org/news/2013/10/basie/
[8] https://www.owasp.org/index.php/Top_10_2013-Top_10
[9] https://developer.wordpress.org/apis/security/
[10] https://developer.wordpress.org/apis/security/data-validation/
[11] https://wordpress.org/support/article/hardening-wordpress/
[12] https://www.openwall.com/phpass/
[13] https://developer.wordpress.org/apis/security/nonces/
[14] https://wordpress.org/news/2013/06/wordpress-3-5-2/
[15] https://make.wordpress.org/core/2013/06/21/secure-swfupload/
[16] https://developer.wordpress.org/reference/functions/wp_safe_redirect/
[17] https://wordpress.org/plugins/developers/
[18] https://developer.wordpress.org/themes/getting-started/
[19] https://make.wordpress.org/themes/handbook/review/
[20] https://codex.wordpress.org/Theme_Unit_Test
[21] https://wordpress.org/plugins/theme-check/
[22] https://automattic.com/security/
[23] https://codex.wordpress.org/WordPress_APIs
[24] https://developer.wordpress.org/apis/handbook/database/
[25] https://codex.wordpress.org/Filesystem_API
[26] https://wordpress.org/support/wordpress-version/version-2-6/
[27] https://developer.wordpress.org/plugins/http-api/
[28] https://wordpress.org/support/wordpress-version/version-2-7/
[29] https://developer.wordpress.org/reference/functions/current_user_can/