Drošība

Šajā bezmaksas dokumentā uzziniet vairāk par WordPress programmatūras drošību. Varat arī lejupielādēt to PDF formātā.

Pārskats

Šis dokuments ir WordPress pamata programmatūras izstrādes un ar to saistīto drošības procesu analīze un skaidrojums, kā arī tieši programmatūrā iebūvētās būtiskās drošības pārbaude. Lēmumu pieņēmējiem, kuri WordPress vērtē kā satura pārvaldības sistēmu vai tīmekļa lietojumprogrammu sistēmu, analīzē un lēmumu pieņemšanā ir jāizmanto šis dokuments un izstrādātājiem ir jāatsaucas uz to, lai iepazītos ar programmatūras drošības komponentiem un paraugpraksi.

Šajā dokumentā sniegtā informācija ir aktuāla programmatūras jaunākajam stabilajam laidienam WordPress 4.7 publicēšanas laikā, taču tā jāuzskata par atbilstošu arī jaunākajām programmatūras versijām, jo ​​atpakaļejošā savietojamība ir WordPress izstrādes komanda uzmanības centrā. Īpaši drošības pasākumi un izmaiņas tiks atzīmētas, jo tās ir pievienotas galvenajai programmatūrai īpašos izlaidumos. Ir ļoti ieteicams vienmēr izmantot jaunāko stabilo WordPress versiju, lai nodrošinātu pēc iespējas drošāku pieredzi.

Kopsavilkums

WordPress ir dinamiska atvērtā koda satura pārvaldības sistēma, kas tiek izmantota, lai darbinātu miljoniem vietņu, tīmekļa lietojumprogrammu un emuāru. Pašlaik tas nodrošina vairāk kā 43% no 10 miljoniem populārāko tīmekļa vietņu internetā. WordPress lietojamība, paplašināmība un nobriedusi attīstības kopiena padara to par populāru un drošu izvēli visu izmēru vietnēm.

Kopš tā sākuma 2003. gadā WordPress ir nepārtraukti attīstījies, lai tā pamata programmatūra varētu novērst un mazināt kopējos drošības apdraudējumus, tostarp Top 10 sarakstu, ko Open Web Application Security Project (OWASP) identificējis kā kopīgas drošības ievainojamības, kas aplūkotas šajā dokumentā.

WordPress drošības komanda sadarbībā ar WordPress Core Leadership Team un WordPress globālās kopienas atbalstu strādā, lai identificētu un atrisinātu drošības problēmas galvenajā programmatūrā, kas pieejama izplatīšanai un instalēšanai vietnē WordPress.org, kā arī iesaka un dokumentēt drošības paraugpraksi trešo pušu spraudņu un tēmu autoriem.

Vietņu izstrādātājiem un administratoriem jāpievērš īpaša uzmanība galveno API un serveru pamata konfigurāciju pareizai izmantošanai, kas ir bijuši izplatītu ievainojamību avoti, kā arī jānodrošina, lai visi lietotāji, piekļūšanai WordPress, izmantotu drošas paroles,.

WordPress pārskats

WordPress ir bezmaksas un atvērtā pirmkoda satura pārvaldības sistēma (CMS). Tā ir visplašāk izmantotā CMS programmatūra pasaulē, un tā nodrošina vairāk nekā 43% no 10 miljonu populārāko vietņu ¹, tādējādi aprēķinot 62 % visu to vietņu tirgus daļu, kuras izmanto CMS.

WordPress ir licencēts saskaņā ar Vispārējo publisko licenci (GPLv2 vai jaunāka versija), kas nodrošina četras pamatbrīvības, un to var uzskatīt par WordPress “tiesību aktu kopumu”:

1. Brīvība lietot programmu jebkuram nolūkam.
2. Brīvība izpētīt programmas darbību un mainīt to, lai tā darītu to, ko vēlaties.
3. Brīvība izplatīt programmu.
4. Brīvība izplatīt jūsu modificētu programmas versiju.

WordPress galvenā vadītāju komanda

WordPress projekts ir meritokrātija, kuru vada galvenā vadības komanda un kuru vada tā līdzautors un vadošais izstrādātājs Mets Mullenweg. Komanda pārvalda visus projekta aspektus, tostarp galveno attīstību, WordPress.org un kopienas iniciatīvas.

Līderu pamatkomandu veido Mets Mullenwegs, pieci vadošie izstrādātāji un vairāk nekā ducis galveno izstrādātāju ar pastāvīgu piekļuves atļauju. Šie izstrādātāji ir galīgi pilnvaroti attiecībā uz tehniskiem lēmumiem un vada diskusijas par arhitektūru un ieviešanas centienus.

WordPress ir vairāki iesaistītie izstrādātāji. Daži no tiem ir bijušie vai pašreizējie saistību izpildītāji, un daži, iespējams, būs turpmākie. Šie izstrādātāji ir uzticami veterāni un WordPress līdzautori, kuri ir nopelnījuši lielu cieņu savu vienaudžu vidū. Vajadzības gadījumā programmā WordPress ir arī pagaidu vai izmēģinājuma perioda viesi - personas, kurām tiek piešķirta saistību piekļuve, dažreiz konkrētam komponentam.

WordPress izstrādi pamatā vada galvenie un ieguldošie izstrādātāji. Vienkārši izstrādātajā jaunā WordPress versijā iegulda kodu. Šie līdzstrādnieki ir brīvprātīgie, kas kaut kādā veidā attīsta pamata koda bāzi.

WordPress izlaišanas cikls

Katru WordPress izlaišanas ciklu vada viens vai vairāki galvenie WordPress izstrādātāji. Jauns cikls, no sākotnējās apjoma noteikšanas sanāksmes līdz versijas palaišanai, parasti ilgst 4 mēnešus.

Izlaišanas cikls notiek pēc šāda modeļa ²:

• 1. posms: Komandu vadības plānošana un nodrošināšana. Tas notiek #core tērzētavā vietnē Slack. Izlaiduma vadība apspriež nākamā WordPress laidiena funkcijas. WordPress līdzautori iesaistās šajā diskusijā. Izlaiduma vadītājs identificēs komandas vadītājus katrai funkcijai.
• 2. posms: sākas izstrādes darbs. Komandu vadītāji vāc savas komandas un izstrādā piešķirtās funkcijas. Tiek plānotas regulāras tērzēšanas sarunas, lai nodrošinātu, ka attīstība turpina virzīties uz priekšu.
• 3. posms: Beta. Kad tiek izlaista Beta, testētājiem tiek lūgts ziņot par kļūdām. Sākoties šim posmam vairs netiek veiktas darbības ar uzlabojumiem vai funkciju pieprasījumiem. Trešo pušu spraudņu un tēmu autori tiek aicināti pārbaudīt savu kodu saistībā ar gaidāmajām izmaiņām.
• 4. posms. Izlaides kandidāts. No šī brīža tulkojamām virtenēm pastāv virknes iesaldēšana. Darbs ir vērsts tikai uz regresiju un blokatoriem.
• 5. posms. Publikācija. WordPress versija kļūst pieejama WordPress administratoriem, lai veiktu jaunināšanu.

Versiju numerācija un drošības laidieni

Galveno WordPress versiju nosaka pēc pirmajiem diviem skaitļiem. Piemēram, 3.5. ir galvenais laidiens, tāpat kā 3.6. 3.7. vai 4.0. Nav “WordPress 3” vai “WordPress 4” un katrs lielais laidiens tiek norādīts tā numerācijā, piemēram, “WordPress 3.9.”.

Galvenie izlaidumi var pievienot jaunas lietotāja funkcijas un izstrādātāju API. Lai arī programmatūras pasaulē, parasti, “svarīga” jauninājuma iznākšana nozīmē, ka var tikt pārtraukt atpakaļsaderība, WordPress cenšas nekad nelauzt to. Atpakaļsaderība ir būtiska projekta filozofijas sastāvdaļa, kuras mērķis ir padarīt jauninājumus daudz vienkāršākus gan lietotājiem, gan izstrādātājiem.

Nelielu izmaiņu versiju WordPress apzīmē trešais skaitlis. Versija 3.5.1 ir nenozīmīgs laidiens, tāpat kā 3.4.2 ³. Nenozīmīgs laidiens ir paredzēts tikai drošības ievainojamību un kritisku kļūdu novēršanai. Tā kā jaunas WordPress versijas tiek izlaistas bieži — mērķis ir nozīmīgus uzlabojumus publicēt ik pēc 4-5 mēnešiem. Starplaikos, ja nepieciešams, iznāk tikai ievainojamību un kritisku kļūdu novēršanas laidieni.

Versijas atpakaļsaderība

WordPress projektam ir cieša saistība ar atpakaļsaderību. Šī saistība nozīmē, ka tēmas, spraudņi un pielāgotais kods turpina darboties arī pēc WordPress pamata programmatūras jauninājuma, mudinot vietņu īpašniekus rūpēties par vietnes WordPress versiju lai tā vienmēr atbilstu jaunākajam drošības laidienam.

WordPress un drošība

WordPress drošības komanda

WordPress drošības komandu veido aptuveni 50 eksperti, tostarp vadošie izstrādātāji un drošības pētnieki — aptuveni puse ir Automattic darbinieki (WordPress.com, senākās un lielākās WordPress mitināšanas platformas tīmeklī, veidotāji), un daudzi strādā tīmekļa drošības jomā. Komandu konsultē zināmi un uzticami drošības speciālisti un mitināšanas uzņēmumi ³.

WordPress drošības komanda bieži sadarbojas ar citām drošības komandām, lai novērstu kopīgas problēmas, piemēram, ievainojamības novēršana PHP XML parsētājā, ko izmanto XML-RPC API, kas tika piegādāts kopā ar WordPress, WordPress 3.9.2 ⁴ laidienā. Šīs ievainojamības novēršana bija rezultāts gan WordPress, gan Drupal drošības komandu kopīgiem centieniem.

WordPress drošības riski, process un vēsture

WordPress drošības komanda tic atbildīgai informācijas atklāšanai, nekavējoties brīdinot drošības komandu par iespējamām ievainojamībām. Par iespējamām drošības ievainojamībām drošības komandai var paziņot, izmantojot WordPress HackerOne⁵. Drošības komanda savā starpā sazinās, izmantojot privātu Slack kanālu, un strādā ar norobežotu, privātu Trac, lai izsekotu, testētu un novērstu kļūdas un drošības problēmas.

Katra ievainojamības ziņojuma saņemšana tiek apstiprināta, un komanda strādā, lai pārbaudītu to un noteiktu ievainojamības smagumu. Ja draudi tiek apstiprināti, drošības komanda plāno ielāpu problēmas novēršanai, kuru var piesaistīt nākamai WordPress programmatūras izlaišanai, vai arī to var virzīt kā tūlītēju drošības izlaidumu atkarībā no problēmas nopietnības.

Tūlītējai ielāpa izlaišanai drošības grupa publicē aprakstu WordPress.org ziņu vietnē ⁶, kurā ziņo par ielāpa izlaišanu un sīki apraksta veiktās izmaiņas.Lai turpmāk veicinātu un pastiprinātu pastāvīgu atbildīgu ziņošanu, aprakstā ir dots kredīts par to, ka ir jāatklāj ievainojamība.

WordPress programmatūras administratori savā vietnes informācijas panelī redz paziņojumu par jaunināšanu, kad ir pieejams jauns laidiens, un pēc manuālās jaunināšanas lietotāji tiek novirzīti uz ekrānu Par WordPress, kurā sīki aprakstītas izmaiņas. Ja vietnē ir iespējoti automātiskie jauninājumi, administrators saņem e-pastu pēc atjaunojuma pabeigšanas.

Automātiskie drošības laidienu fona atjauninājumi

Sākot ar 3.7 versiju, WordPress ieviesa automatizētus fona atjaunojumus visiem mazākajiem laidieniem ⁷, kā 3.7.1 un 3.7.2. WordPress drošības komanda var identificēt, labot un automātiski publicēt WordPress drošības uzlabojumus, vietnes īpašniekam neko nedarot, drošības atjaunojumi tiks instalēti automātiski.

Kad pašreizējam stabilajam WordPress laidienam tiek pieprasīts drošības jauninājums, galvenā komanda virzīs drošības jauninājumus arī visiem tiem laidieniem, kas spēj veikt fona atjaunojumus (sākot ar WordPress 3.7.), tāpēc arī šīs senākās, bet joprojām aktuālās WordPress versijas saņems drošības uzlabojumus.

Vietņu īpašnieki var izvēlēties un noņemt automātiskos fona jauninājumus, veicot vienkāršas izmaiņas konfigurācijas failā, taču kodola komanda stingri iesaka saglabāt funkcionalitāti, kā arī vienmēr instalēt jaunāko, stabilo WordPress laidienu.

2013. gada OWASP Top 10

Atvērto Web lietojumprogrammu drošības projekts (OWASP) ir tiešsaistes kopiena, kas paredzēta tīmekļa lietojumprogrammu drošībai. OWASP Top 10 saraksts ⁸ ir vērsts uz visnopietnāko lietojumprogrammu drošības risku noteikšanu plašam uzņēmumu lokam.

Nākamajās sadaļās ir apspriesti API, resursi un politika, kuru WordPress izmanto, lai stiprinātu galveno programmatūru un trešo pušu spraudņus un tēmas pret šiem iespējamiem riskiem.

A1 - iesmidzināšana

Programmā WordPress ir pieejams funkciju un API kopums, kas palīdz izstrādātājiem pārliecināties, vai nevar ievadīt neautorizētu kodu, un palīdzēs viņiem validēt un dezinficēt datus. Ir pieejama paraugprakse un dokumentācija ⁹ par to, kā izmantot šos API, lai aizsargātu, apstiprinātu vai dezinficētu HTML, vietrāžu URL, HTTP galvenēs ievadītos un izvades datus, kā arī mijiedarbojoties ar datu bāzi un failu sistēmu. Administratori var arī vēl vairāk ierobežot failu tipus, kurus var augšupielādēt, izmantojot filtrus.

A2 - salauzta autentifikācija un sesiju pārvaldība

WordPress pamata programmatūra pārvalda lietotāju kontus, un autentifikāciju, kā arī servera pusē tiek pārvaldīta tāda informācija kā lietotāja ID, vārds un parole, kā arī autentifikācijas sīkfaili. Paroles datu bāzē tiek aizsargātas, izmantojot standarta sālīšanas un jaukšanas paņēmienus. Kopš versijām 4.0, sesijas tiek iznīcinātas, izejot no WordPress konta.

A3 - starpvietņu skriptu veidošana (XSS)

WordPress nodrošina funkciju klāstu, kas palīdz apliecināt, ka lietotāja ievadītie dati ir droši ¹⁰. Uzticamie lietotāji, kas ir administratori un redaktori vienā WordPress instalācijā un tīkla administratori tikai WordPress Multivietnē, var izlikt nefiltrētu HTML vai JavaScript, ja nepieciešams, piemēram, ziņas vai lapas iekšienē. Neuzticami lietotāji un lietotāju iesniegts saturs tiek filtrēts pēc noklusējuma, lai noņemtu bīstamas entītijas, izmantojot KSES bibliotēku, ar funkciju wp_kses.

Piemēram, WordPress galvenā komanda pirms WordPress 2.3 izlaišanas pamanīja, ka funkciju the_search_query() ļaunprātīgi izmanto lielākā daļa tēmu autoru, kuri nepareizi lietoja HTML izejas funkciju. Ļoti retos gadījumos, kad atpakaļ savietojamība bija nedaudz pārspīlēta, WordPress 2.3 versijā tika izmainīta funkcijas izeja, lai izvairītos iepriekš.

A4 - nedroša tiešā objekta atsauce

WordPress bieži nodrošina tiešu objektu atsauci, piemēram, unikālus lietotāju kontu vai URL vai veidlapas laukos pieejamā satura identifikatorus. Lai gan šie identifikatori atklāj tiešu informāciju par sistēmu, WordPress bagātinātās atļaujas un piekļuves kontroles sistēmas novērš nesankcionētus pieprasījumus.

A5 - nepareiza drošības konfigurācija

Lielākā daļa WordPress drošības konfigurācijas operāciju ir ierobežotas ar vienu pilnvarotu administratoru. WordPress noklusējuma iestatījumi tiek nepārtraukti novērtēti komandas pamat līmenī, un WordPress kodola komanda nodrošina dokumentāciju un labāko praksi, lai pastiprinātu servera konfigurācijas drošību WordPress vietnes darbības laikā ¹¹.

A6 - sensitīva datu ekspozīcija

WordPress lietotāja konta paroles tiek sālītas un jauktas, pamatojoties uz Portable PHP Password Hasash Framework ¹². WordPress atļauju sistēma tiek izmantota, lai kontrolētu piekļuvi privātai informācijai, piemēram, reģistrētu lietotāju PII, komentētāja e-pasta adresei, privāti publicētam saturam utt. Programmā WordPress 3.7 paroles stipruma mērītājs tika iekļauts pamata programmatūrā, sniedzot lietotājiem papildu informāciju, nosakot paroles, un padomus par to stiprības palielināšanu. WordPress ir arī izvēles konfigurācijas iestatījums, HTTPS pieprasīšanai.

A7 - trūkst funkciju līmeņa piekļuves kontroles

WordPress pārbauda atbilstošu autorizāciju un atļaujas jebkuras funkcijas līmeņa piekļuves pieprasījumiem pirms darbības izpildes. Piekļuve administratīvajiem URL, izvēlnēm un lapām bez atbilstošas autentifikācijas vai to vizualizācija ir cieši integrēta ar autentifikācijas sistēmu, lai novērstu piekļuvi nesankcionētiem lietotājiem.

A8 - vairāku vietņu pieprasījumu viltojums (CSRF)

WordPress izmanto kriptogrāfijas marķierus, sauktus par nonces ¹³, lai apstiprinātu pilnvarotu lietotāju darbības pieprasījumu nodomus, lai aizsargātos pret iespējamiem CSRF draudiem. WordPress nodrošina API šo marķieru ģenerēšanai, lai izveidotu un pārbaudītu unikālus un pagaidu marķierus, un marķieris ir paredzēts tikai konkrētam lietotājam, konkrētai darbībai, konkrētam objektam un noteiktam laika periodam, ko var pievienot veidlapām un URL pēc vajadzības. Visi atteikšanās gadījumi tiek anulēti, izrakstoties.

A9 - komponentu izmantošana ar zināmām ievainojamībām

WordPress galvenā komanda cieši uzrauga dažas iekļautās bibliotēkas un ietvarus, ar kuriem WordPress integrējas, lai nodrošinātu galveno funkcionalitāti. Agrāk galvenā komanda ir veikusi ieguldījumus vairākos trešo pušu komponentos, lai tos padarītu drošākus, piemēram, atjauninājumu, lai novērstu vairāku vietņu ievainojamību TinyMCE programmā WordPress 3.5.2 ¹⁴.

Ja nepieciešams, galvenā komanda var nolemt sazarot vai aizstāt kritiskos ārējos komponentus, piemēram, kad SWFUpload bibliotēku 3.5.2. punktā oficiāli aizstāja Plupload bibliotēka un drošības komanda padarīja pieejamu drošu SWFUpload dakšu ¹⁵ tiem spraudņiem, kuri turpināja izmantot SWFUpload īstermiņā.

A10 - neapstiprināta novirzīšana un pārsūtīšana

WordPress iekšējā piekļuves kontroles un autentifikācijas sistēma pasargās no mēģinājumiem novirzīt lietotājus uz nevēlamiem galamērķiem vai automātiskām novirzīšanām. Šī funkcionalitāte ir pieejama arī spraudņu izstrādātājiem, izmantojot API, wp_safe_redirect () ¹⁶.

Turpmāki drošības riski un bažas

XXE (XML eXternal Entity) apstrādes uzbrukumi

Apstrādājot XML, WordPress atspējo pielāgotu XML vienību ielādi, lai novērstu gan ārējus entītiju, gan entītiju paplašināšanas uzbrukumus. Papildus PHP pamata funkcionalitātei WordPress nenodrošina papildu drošu XML apstrādes API spraudņu autoriem.

SSRF (Server Side Request Forgery) uzbrukumi

WordPress izsniegtie HTTP pieprasījumi tiek filtrēti, lai novērstu piekļuvi atgriezeniskām saitēm un privātajām IP adresēm. Turklāt piekļuve ir atļauta tikai noteiktiem standarta HTTP portiem.

WordPress spraudņu un tēmu drošība

Noklusējuma tēma

Lai saturs būtu redzams priekšējā daļā, programmā WordPress tēmai ir jābūt iespējotai. Noklusējuma tēmu, kas tiek piegādāta ar galveno WordPress (pašlaik "Twenty Twenty-Four"), drošības apsvērumu dēļ ir rūpīgi pārskatījuši un tās drošību pārbaudījusi gan tēmu izstrādātāju komanda, gan galvenā izstrādes komanda.

Noklusējuma tēma var kalpot par sākumpunktu pielāgotu tēmu izstrādei, un vietņu izstrādātāji var izveidot pakārtotu tēmu, kurā ir iekļauta neliela pielāgošana, taču lielākā daļa funkcionalitātes un drošības nav parādīta. Noklusējuma tēmu administrators var viegli noņemt, ja tā nav nepieciešams.

WordPress.org tēmu un spraudņu krātuves

Vietnē WordPress.org ir aptuveni 50 000 + spraudņi un 5 000 + tēmas. Šīs tēmas un spraudņi tiek iesniegti iekļaušanai, un brīvprātīgie tos manuāli pārskata, pirms tie ir pieejami krātuvē.

Spraudņu un tēmu iekļaušana repozitorijā negarantē, ka tajos nav drošības problēmu. Tiek sniegtas vadlīnijas, pie kurām spraudņu autoriem ir jāpieturas pirms to iesniegšanas iekļaušanai repozitorijā ¹⁷, un plaša dokumentācija par to, kā veikt WordPress tēmu izstrādi ¹⁸, ir pieejama vietnē WordPress.org.

Katru spraudni un tēmu var nepārtraukti attīstīt spraudņa vai tēmas īpašnieks, un visus turpmākos labojumus vai funkciju papildinājumus var augšupielādēt repozitorijā un padarīt pieejamus lietotājiem ar šo spraudni vai tēmu, kas instalēta kopā ar šo izmaiņu aprakstu. Vietņu administratoriem tiek paziņots par spraudņiem, kas jāatjaunina, izmantojot administrēšanas informācijas paneli.

Kad WordPress drošības komanda atklāj spraudņa ievainojamību, viņi sazinās ar spraudņa autoru un kopīgi labo un izlaiž spraudņa drošu versiju. Ja trūkst spraudņa autora atbildes vai ja ievainojamība ir nopietna, spraudnis vai tēma tiek izņemts no publiskā direktorija, un dažos gadījumos to labo un atjaunina tieši drošības komanda.

Tēmu pārskata komanda

Tēmu pārskatīšanas komanda ir brīvprātīgo grupa, kuru vada galvenie un atzītie WordPress kopienas locekļi, kuri izskata un apstiprina tēmas, kas iesniegtas iekļaušanai oficiālajā WordPress tēmu direktorijā. Tēmu pārskatīšanas komanda uztur oficiālās tēmu pārskatīšanas vadlīnijas ¹⁹, tēmu vienības pārbaudes datus ²⁰ un tēmu pārbaudes spraudņus ²¹, kā arī mēģina iesaistīt un izglītot WordPress tēmu izstrādātāju kopienu par paraugpraksi attīstības jomā . Iekļaušanu grupā vada WordPress izstrādes komandas galvenie atbildīgie.

Hostinga nodrošinātāja loma WordPress drošībā

WordPress var instalēt uz daudzām platformām. Lai gan WordPress pamata programmatūra nodrošina daudzus noteikumus drošas tīmekļa lietojumprogrammas darbībai, kas tika aplūkoti šajā dokumentā, operētājsistēmas un pamatā esošā tīmekļa servera konfigurācija ir vienlīdz svarīga, lai WordPress lietojumprogrammas būtu drošas.

Piezīme par WordPress.com un WordPress drošību

WordPress.com ir lielākā WordPress instalācija pasaulē, un tā pieder un to pārvalda Automattic, Inc., kuru dibinājis Mets Mullenwegs, WordPress projekta līdzautors. WordPress.com darbojas ar galveno WordPress programmatūru, un tai ir savi drošības procesi, riski un to risinājumi ²². Šis dokuments attiecas uz drošību pašā mitinātājā, lejupielādējamu atvērtā koda WordPress programmatūru, kas pieejama vietnē WordPress.org un ir instalējama jebkurā pasaules serverī.

Pielikums

Galvenie WordPress API

WordPress pamata lietojumprogrammu saskarne (API) sastāv no vairākām atsevišķām API ²³, no kurām katra aptver funkcijas, kas saistītas ar noteiktu funkcionalitātes kopu un izmantošanu. Kopā tās veido projekta saskarni, kas ļauj spraudņiem un tēmām droši mijiedarboties, mainīt un paplašināt WordPress pamata funkcionalitāti.

Lai gan katrs WordPress API seko paraugpraksei un lieto standartizētus veidus, kā mijiedarboties ar WordPress galveno programmatūru un paplašināt to, WordPress drošības ieviešanai un nostiprināšanai visatbilstošākās ir šis WordPress API:

Datu bāzes API

Datu bāzes API ²⁴, kas pievienots WordPress 0.71, nodrošina pareizu metodi, kā piekļūt datiem kā nosauktajām vērtībām, kas tiek glabātas datu bāzes slānī.

Failu sistēmas API

Failu sistēmas API ²⁵, kas pievienots WordPress 2.6 ²⁶, sākotnēji tika izveidots programmai WordPress paša automātisko atjauninājumu funkcijai. Failu sistēmas API apkopo funkcionalitāti, kas nepieciešama vietējo failu lasīšanai un rakstīšanai failu sistēmā, kas jāveic droši, dažādu veidu resursdatoros.

Tas tiek darīts, izmantojot WP_Filesystem_Base klasi un vairākas apakšklases, kas atkarībā no individuālā resursdatora atbalsta nodrošina dažādus savienojuma veidus ar vietējo failu sistēmu. Jebkurai tēmai vai spraudnim, kam faili jāraksta lokāli, tas jādara, izmantojot WP_Filesystem klašu saimi.

HTTP API

HTTP API ²⁷, kas pievienots WordPress 2.7 ²⁸ un paplašināts tālāk programmā WordPress 2.8, standartizē WordPress HTTP pieprasījumus. API apstrādā sīkfailus, gzip kodēšanu un dekodēšanu, fragmentu dekodēšanu (ja HTTP 1.1) un dažādu citu HTTP protokolu ieviešanu. API standartizē pieprasījumus, pārbauda katru metodi pirms nosūtīšanas un, pamatojoties uz jūsu servera konfigurāciju, pieprasījuma veikšanai izmanto atbilstošo metodi.

Atļaujas un pašreizējā lietotāja API

Atļaujas un pašreizējais lietotāja API ²⁹ ir funkciju kopums, kas palīdzēs pārbaudīt pašreizējā lietotāja atļaujas un pilnvaras veikt jebkuru pieprasīto uzdevumu vai darbību, kā arī var pasargāt no nesankcionētiem lietotājiem, kuri piekļūst vai veic funkcijas, kas pārsniedz atļautās iespējas.

Baltā papīra satura licence

Šī dokumenta teksts (neietverot WordPress logotipu vai preču zīmi) ir licencēts ar CC0 1.0 Universal (CC0 1.0) Publiskā domēna veltījums. Jūs varat kopēt, pārveidot, izplatīt un veikt darbu pat komerciālos nolūkos, neprasot atļauju.

Īpašs paldies Drupal drošības dokumentam , kas sniedza nelielu iedvesmu.

Papildu lasīšana

• WordPress jaunumi https://wordpress.org/news/
• WordPress drošības relīzes https://wordpress.org/news/category/security/
• WordPress izstrādātāju resursi https://developer.wordpress.org/

Autore Sara Rosso

Berija Abrahamsona, Maikla Adamsa, Jona Keiva, Helēnas Hou-Sandas un iacute ;, Diona Hulses, Mo Jangdas, Pola Maioranas ieguldījums

Versija 1.0 2015. gada marts

Vēres

• [1] https://w3techs.com/, as of December 2019
• [2] https://make.wordpress.org/core/handbook/about/release-cycle/
• [3] https://make.wordpress.org/core/handbook/about/release-cycle/version-numbering/
• [4] https://wordpress.org/news/2014/08/wordpress-3-9-2/
• [5] https://hackerone.com/wordpress
• [6] https://wordpress.org/news/
• [7] https://wordpress.org/news/2013/10/basie/
• [8] https://www.owasp.org/index.php/Top_10_2013-Top_10
• [9] https://developer.wordpress.org/plugins/security/
• [10] https://codex.wordpress.org/Data_Validation#HTML.2FXML
• [11] https://wordpress.org/support/article/hardening-wordpress/
• [12] https://www.openwall.com/phpass/
• [13] https://developer.wordpress.org/plugins/security/nonces/
• [14] https://wordpress.org/news/2013/06/wordpress-3-5-2/
• [15] https://make.wordpress.org/core/2013/06/21/secure-swfupload/
• [16] https://developer.wordpress.org/reference/functions/wp_safe_redirect/
• [17] https://wordpress.org/plugins/developers/
• [18] https://developer.wordpress.org/themes/getting-started/
• [19] https://make.wordpress.org/themes/handbook/review/
• [20] https://codex.wordpress.org/Theme_Unit_Test
• [21] https://wordpress.org/plugins/theme-check/
• [22] https://automattic.com/security/
• [23] https://codex.wordpress.org/WordPress_APIs
• [24] https://developer.wordpress.org/apis/handbook/database/
• [25] https://codex.wordpress.org/Filesystem_API
• [26] https://wordpress.org/support/wordpress-version/version-2-6/
• [27] https://developer.wordpress.org/plugins/http-api/
• [28] https://wordpress.org/support/wordpress-version/version-2-7/
• [29] https://developer.wordpress.org/reference/functions/current_user_can/