События

Механизм загрузки обновлений для WordPress угрожает безопасности данных

Механизм загрузки обновлений для WordPress угрожает безопасности данных

Глава отдела разработки компании Paragon Initiative Enterprises Скотт Арцишевски (Scott Arciszewski) предупредил о рисках, связанных с использованием механизма доставки обновлений для WordPress. Арцишевски сообщил о проблемах команде WordPress, однако ему так и не удалось убедить ее в их серьезности.

В общей сложности эксперт обнаружит три проблемы. Первая из них связана с функцией в исходном коде WordPress, ответственной за связь CMS с сервером и загрузкой обновлений. Данная функция проверяет подлинность загружаемых файлов только по контрольной сумме MD5 без использования криптографической подписи. О проблеме стало известно еще три года назад, однако она до сих пор остается актуальной.

Вторая загвоздка заключается в серверах, с которых загружаются обновления. Серверы являются единой точкой отказа во всей архитектуре экосистемы WordPress. По словам Арцишевски, под управлением данной CMS работает 25% всех интернет-сайтов, а значит, злоумышленник с доступом к серверу может заставить миллионы ресурсов загрузить вредоносные обновления.

Третья проблема связана с поддерживаемой WordPress минимальной версией PHP - PHP 5.2.4. Арцишевски советует использовать PHP 5.6.0 с лучшей реализацией SSL/TLS.

Автор: Сергей Куприянов
22.11.2016 (16:27)
Пройди тест и узнай об этом!
Информер новостей
Расширение для Google Chrome
Пишите нам

Редакция: info@alterprogs.ru

Реклама: adv@alterprogs.ru

Все права защищены © 2010-2019

"Alterprogs.ru" - технологии будущего

Контакты  | Карта сайта

Использование любых материалов, размещенных на сайте, разрешается при условии ссылки на alterprogs.ru. Для интернет-изданий - обязательна прямая открытая для поисковых систем гиперссылка. Ссылка должна быть размещена в независимости от полного либо частичного использования материалов. Материалы в рубрике "Новости партнеров" публикуются на правах рекламы.