WordPress 5.2 ออกแล้ว! เน้นความสามารถด้าน Security หลายประการ

WordPress ได้มีเวอร์ชัน 5.2 ออกมาแล้วซึ่งมีการอัปเดตฟีเจอร์ด้านความมั่นคงปลอดภัยหลายรายการ เช่น Offline Digital Signature, Site Health และ White-Screen-of-Death protection เป็นต้น

ฟีเจอร์ใหม่ในเวอร์ชัน 5.2 มีดังนี้

1.Cryptographic Sign

ในเวอร์ชันใหม่มีการทำ Offline Digital signature หรือการที่ WordPress ได้ทำการ Digital Sign กับแพ็กเกจที่จะอัปเดตด้วย Ed25519 (การทำ Digital Signature วิธีหนึ่ง) ดังนั้นต่อไปผู้ใช้งานจะสามารถพิสูจน์แพ็กเกตนั้นได้อย่างมั่นใจก่อนติดตั้งว่าไม่ได้ถูกแทรกซึมโดยแฮ็กเกอร์แล้วโดยช่วยลดปัญหา Supply-chain Attack ได้

2.Modern Cryptographic library

ปัจจุบันได้มีการยกเลิกไลบรารี่การเข้ารหัสเวอร์ชันเก่า ‘mcrypt’ แล้วใช้ไลบรารี่ ‘Libsodium’ แทนเพื่อความทันสมัย อย่างไรก็ดียังมีการใช้ ไลบรารี่ Sodium_compat เพื่อรองรับกับเซิร์ฟเวอร์ PHP ที่ไม่รองรับ Libsodium โดยในบล็อกของ WordPress แนะนำว่าให้นักพัฒนาธีมและปลั้กอินไปใช้ไลบรารี่ตัวใหม่

3.Site Health

Site Health เป็นเมนูใหม่ในหน้า WordPress ที่ภายในมี 2 ส่วนย่อยคือ

• Status – มีการตรวจสอบความมั่นคงปลอดภัยพื้นฐานและแสดงรายงานแนะนำให้แก้ไข
• Info – แสดงรายละเอียดของเว็บไซต์และเซิร์ฟเวอร์ เช่น ปลั้กอิน ธีม และพื้นที่การใช้งาน ซึ่งเป็นประโยชน์ต่อการ Debug หรือส่งมอบให้ทีม Support เพื่อประกอบการแก้ไข

4.Servehappy

โปรเจ็ค Servehappy ถูกตัดตอนเป็น 2 ส่วนโดยครึ่งแรกคือฟีเจอร์แสดงการแจ้งเตือนว่า PHP ที่ใช้ล้าสมัยซึ่งอยู่ใน WordPress 5.1 แต่ในเวอร์ชันใหม่ครึ่งหลังคือความสามารถ ‘White Screen of Death (WSOD) Protection’ หรือ ‘Fetal Error Protection’ คือเมื่อเกิดปัญหา PHP Fatal error กับธีมหรือปลั้กอินผู้ดูแลจะสามารถได้รับสิทธิ์เข้าถึง Backend เพื่อแก้ไขข้อผิดพลาดได้ (ตามรูปด้านล่าง)

อย่างไรก็ตามทาง WordPress ยังมีแผนที่จะนำระบบ Code-signing ไปให้นักพัฒนาธีมและปลั้กอินใช้เช่นกัน ผู้สนใจสามารถอ่านรายละเอียดเพิ่มเติมได้จากบล็อกของ WordPress 

ที่มา :  https://www.zdnet.com/article/wordpress-finally-gets-the-security-features-a-third-of-the-internet-deserves/ และ  https://www.bleepingcomputer.com/news/security/wordpress-52-to-come-with-supply-chain-attack-protection/