WordPress introduit de nouvelles fonctionnalités de sécurité essentielles dans sa dernière mise à jour, WordPress 5.2, qui est actuellement déployée sur les sites Web du monde entier. Le système de gestion de contenu (CMS) le plus populaire au monde ajoute la prise en charge des mises à jour signées cryptographiquement, une bibliothèque de cryptographie moderne, une section sur l'état du site dans le panneau d'administration et la protection WSOD (écran blanc de la mort). À partir de WordPress 5.2, l’équipe WordPress signera numériquement vos packages de mise à jour à l’aide du système de signature de clé publique ED25519. Cela permettra à une installation locale de vérifier l’authenticité du package de mise à jour avant de l’appliquer à un site local et pourra même contribuer à prévenir les attaques de la chaîne d’approvisionnement sur tous les sites WordPress. Scott Arciszewski, directeur du développement chez Paragon Initiatives Enterprises, a expliqué comment WordPress 5.2 rendrait plus difficile pour les cybercriminels de lancer des attaques de cyberplateforme contre ZDNet, déclarant : « Avant WordPress 5.2, si vous vouliez infecter tous les sites WordPress sur Internet, il vous suffisait de "Il a dû pirater (le serveur de mise à jour de WordPress). Après WordPress 5.2, il a dû lancer la même attaque et voler d'une manière ou d'une autre la clé de signature à l'équipe de développement de WordPress."
WordPress 5.2
WordPress vise à améliorer la sécurité des sites Web avec sa nouvelle section « Intégrité du site » dans le menu Outils du panneau d'administration, qui comprend deux nouvelles pages : État de santé du site et Informations sur la santé du site. La page Santé du site exécute un ensemble de contrôles de sécurité de base et fournit un rapport contenant des résultats et des recommandations sur la manière de résoudre les problèmes détectés. La section informations sur la santé du site fournit de nombreuses informations utiles sur un site Web et la configuration de son serveur. Des informations sur l’installation de WordPress, l’utilisation du stockage de fichiers, des plugins et des thèmes sont également fournies. Le projet Serverhappy est une autre nouvelle fonctionnalité de sécurité incluse dans la dernière version de WordPress. Bien que WordPress 5.1 inclue la possibilité d'afficher des avertissements lorsque les installations de WordPress s'exécutent sur des serveurs avec des versions PHP obsolètes, WordPress 5.2 inclut une protection WSOD qui fonctionne comme un mode sans échec pour les sites WordPress. La protection WSOD peut désactiver temporairement les thèmes et les plugins lorsqu'une erreur PHP fatale se produit, afin que les administrateurs de sites puissent accéder aux backends de leurs sites et corriger l'erreur. Améliorer la sécurité d'un système utilisé sur 33,8 % des sites Web dans le monde est un ajout bienvenu, surtout après qu'Alert Logic a récemment découvert une vulnérabilité dans le plugin. WP Live Chat pour WordPress qui pourrait permettre aux attaquants de télécharger des fichiers malveillants arbitraires sur des systèmes vulnérables. Via ZDNet