Начало > ICN.Bg Блог > WordPress > Какви рисковете крие WordPress 5.6 за вашия сайт

Какви рисковете крие WordPress 5.6 за вашия сайт

Какви рисковете крие WordPress 5.6 за вашия сайт

WordPress

WordPress 5.6 е последната версия на CMS платформата за 2020 г. Светът очакваше с нетърпение новата версия, която предлага значително много подобрения и изчиствания на бъгове в сравнение с предходната WordPress 5.5 версия.

Измежду всички положителни новини за WordPress 5.6 обаче излезе и новината, че новата версия крие риск за сигурността на паролите на потребителите. Какво означава това и как да се предпазите, ще разберете от текста по-долу. Ще научите още какво са предприели разработчиците относно проблематичния jQuery ъпдейт, след като огромен брой WordPress сайтове се счупиха по време на пускането на предишната версия. Нека започваме:

Какъв е рискът от злоупотреба с вашата парола?

Сред подобренията си в новата версия WordPress 5.6 въвежда REST API удостоверяване или така наречения “Application Password Feature”. Функцията за паролно удостоверяване позволява на различни приложения на трети страни да се свързват с вашия сайт.

Според екипа на WordPress процесът е безпроблемен и сигурен, особено предвид факта, че REST API позволява на собствениците на сайтове да виждат какви приложения се свързват със сайта им и ще могат сами да контролират какво правят те на него.

Генерираните пароли са с над 20 символа, което затруднява пробива от Brute Force атаки, които са и едни от най-често срещаните заплахи специално за WordPress сайтове. Действат на принципа - генериране на огромен брой комбинации от потребителско име и парола, докато не се улучи правилната комбинация за вашия сайт.

Научи повече: Кои са топ 5 най-опасните кибер атаки за WordPress сайтове и как да ги предотвратим?

Като контрапункт на казаното обаче, издателите на WordPress плъгина за сигурност Wordfence сигнализират притесненията си, че споделянето на данни на трети страни може да доведе до злоупотреба и паролите на администраторите могат да бъдат присвоени при евентуална хакерски подход Social engineering (социално инженерство).

Социалното инженерство представлява хакерски метод и опит за манипулация, който разчита на измама за присвояване на чужди данни или достъп до чужда информация.

Социалните инженери се възползват изцяло от емоционалните реакции на своите жертви, като ги подмамват да разкрият своите данни за достъп до софтуера. Социалните инженери се възползват от емоционалните реакции на потенциалната жертва, за да получат достъп до техните системни данни. На подобен принцип е Phishing атаката , за която вече сме разказвали.

Научи повече за това какво е фишинг атака.

Нека ви дадем пример за подобна атака, принципът на злоупотреба с лични данни е следният: хакерът може да се представи в имейл за представител на банката, която оперира вашите финанси, с призив да потвърди своите данни за вход в сайт, който изглежда досущ с оригиналния сайт на банката и след като потребителят въведе своите данни, той става жертва на измама, заради присвоените му лични данни.

В случая на WordPress 5.6, можете да получите достъп до своя WordPress сайт през трети страни, като за целта е необходимо да въведете данните си, за да се верифицирате. От Wordfence дават абсолютно конкретен пример, за това как през трета страна, логването е абсолютно достъпно и същевременно притеснително. Можете да изгледате примера в тяхното видео.

Внимание! Още по-големият проблем се оказва, че URL-тата на апликациите за пароли са създадени така, че да изпращат обратно заявки, в чийто Request URL се съдържа потребителската парола за апликацията. Което автоматично означава, че комбинацията от символи (паролата) ще се появи в логовете и всеки недоброжелател може свободно да се сдобие с тях.

Ако се притеснявате за сигурността на вашия WordPress сайт, може да инсталирате Wordfence плъгина, който съдържа много функционалности като Malware сканиране, защита за вписване, Firewall защита и др. Последната версия на плъгина се казва WordFence 7.4.14, която има опцията да деактивира паролите за приложения. Можете да контролирате използването на пароли за приложения, когато влезете в своя административен панел, кликнете на WordFence бутона, след това на “Firewall” и накрая кликнете на „Brute Force Protection”.

Също така допълнителна защита може да намерите и през WordPress Management с който разполагат всички потребители на Споделен и WordPress хостинг на Хостинг компания ICN.Bg . WordPress Management представлява инструмент за цялостно управление на Wordpress сайтовете. Използвайте инструменти, които ще подсигурят значително защитата на вашия сайт като:

  • WordPress security - с няколко клика можете да защитите своята WordPress инсталация. Разполагате с три основни механизма, за да подобрите защитата на своя сайт: Password Protection, Fix Permissions, Security Check. Имате опцията да добавяте или премахвате WordPress потребители към администраторския панел, за да остане защитен. Повече подробности за WordPress security можете да видите в нашата статия “WordPress security в cPanel” или да изгледате нашето специално видео за WordPress Security, което ще ви процеса на нещата нагледно.

  • WordPress Access - дава ви възможността да задавате различни права на достъп на отделните потребители и да защитите достъпна до администрацията на вашия сайт с допълнителна идентификация. Всичко необходимо научете в нашето специално видео за WordPress Access.

JQuery ъпдейтът и рисковете, които крие

Както сигурно вече знаете промените по jQuery библиотеките са факт още от предишната версия WordPress 5.5. В новата версия разработчиците са предприели действия за актуализирането на jQuery, поради огромните проблеми, които потребителите нa WordPress 5.5 вече изпитаха на гърба си със счупването на десетки хиляди сайтове, защото са използвали по-стари версии jQuery.

Научи повече: Защо WordPress 5.5 създава проблеми за уеб сайтовете? (Обновена: WordPress 5.5.1 решението на проблема)

Ако сайтът ви е бил засегнат, най-вероятно използвате плъгина Enable jQuery Migrate Helper, за да заобиколите тези проблеми.

jQuery Migrate е помощен скрипт, който позволява на разработчиците да „мигрират“ към по-нови версии на jQuery. Версията на jQuery Migrate, която се добавя отново в WordPress 5.6, съответства на по-новите версии на jQuery. Той се добавя като временна корекция, за да даде време на разработчиците на плъгини и теми да актуализират своя код. Надеждата е, че разработчиците вече няма да разчитат на него във версия WordPress 5.7.

WordPress 5.6 се актуализира до последната версия на jQuery и добави jQuery Migrate 3.3.2, което може да противоречи на версията, активирана повторно от приставката Enable jQuery Migrate Helper, която е jQuery Migrate 1.4.1.

Стъпките, свързани с jQuery, които предстоят са вече известни:

  • WordPress 5.5: Remove the jQuery Migrate 1.x script.

  • WordPress 5.6: Update to the latest jQuery, jQuery UI, and jQuery Migrate scripts.

  • WordPress 5.7: Remove the jQuery Migrate script.

Оказва се, че jQuery съвместимостта е от изключително значение и разработчиците на плъгини и теми трябва да използват времето до март 2021 г., за да прехвърлят своя код, за да бъдат съвместими с най-новата версия на jQuery, която да работи без помощта на jQuery Migrate.

Въпреки всички взети мерки за сигурността при използването на jQuery, някои инструменти съобщават за уязвимост на WordPress сайтовете, поради по-стари версии. Хубавата новина тук е, че тези инструменти за одит на сайтовете вече няма да показват WordPress сайтовете като уязвими.

Има ли рискове при съвместимост с PHP 8?

WordPress 5.6 е предназначен да бъде „бета съвместим“ с PHP 8. Това означава, че всеки сайт, работещ с WordPress 5.6 на PHP 8 с тема по подразбиране и никакви допълнителни плъгини няма да има проблеми. В повечето случаи обаче потребителите на най-известната CMS платформа използват различни плъгини, за да подобрят представянето на своя сайт.

Ако сте един от тях, трябва да знаете, че е необходимо да мине известно време, преди да е абсолютно безвредно и безопасно да актуализирате до PHP8. Препоръчваме ви първо да проверите дали всички плъгини и теми, които използвате или планирате да използвате, са съвместими с PHP 8.

Всички разработчици на плъгини и теми трябва да забързат работата си по актуализирането на своите продукти. Не забравяйте да се уверите, че всичките допълнителни плъгини и теми, които използвате са с последни версии за работа със скриптовия език.

Единствено и само времето ще покаже дали ще изскочат нови проблеми и бъгове, свързани с най-новата версия на WordPress 5.6. Абонирайте се за нашия месечен бюлетин, за да сте в крак с всички интересни новини и новости около WordPress.

Абонирай се и вземи веднага 15% отстъпка

Получаваш винаги специални оферти, само за абонати и най-полезната и актуална информация за твоя онлайн бизнес.

Изпращане... Грешка по време на изпращането! Моля опитайте отново!

С въвеждане на вашия мейл, вие се съгласявате с условията за ползване на ICN.Bg. Този сайт е защитен от reCAPTCHA и се прилагат правилата за поверителност и общите условия на Google

Благодарим Ви.

Заявката ви е изпратена успешно!

Обратно най-горе