TechTalkThai ศูนย์รวมข่าว Enterprise IT ออนไลน์แห่งแรกในประเทศไทย
WordPress ได้มีเวอร์ชัน 5.2 ออกมาแล้วซึ่งมีการอัปเดตฟีเจอร์ด้านความมั่นคงปลอดภัยหลายรายการ เช่น Offline Digital Signature, Site Health และ White-Screen-of-Death protection เป็นต้น
ฟีเจอร์ใหม่ในเวอร์ชัน 5.2 มีดังนี้
1.Cryptographic Sign
ในเวอร์ชันใหม่มีการทำ Offline Digital signature หรือการที่ WordPress ได้ทำการ Digital Sign กับแพ็กเกจที่จะอัปเดตด้วย Ed25519 (การทำ Digital Signature วิธีหนึ่ง) ดังนั้นต่อไปผู้ใช้งานจะสามารถพิสูจน์แพ็กเกตนั้นได้อย่างมั่นใจก่อนติดตั้งว่าไม่ได้ถูกแทรกซึมโดยแฮ็กเกอร์แล้วโดยช่วยลดปัญหา Supply-chain Attack ได้
2.Modern Cryptographic library
ปัจจุบันได้มีการยกเลิกไลบรารี่การเข้ารหัสเวอร์ชันเก่า ‘mcrypt’ แล้วใช้ไลบรารี่ ‘Libsodium’ แทนเพื่อความทันสมัย อย่างไรก็ดียังมีการใช้ ไลบรารี่ Sodium_compat เพื่อรองรับกับเซิร์ฟเวอร์ PHP ที่ไม่รองรับ Libsodium โดยในบล็อกของ WordPress แนะนำว่าให้นักพัฒนาธีมและปลั้กอินไปใช้ไลบรารี่ตัวใหม่
3.Site Health
Site Health เป็นเมนูใหม่ในหน้า WordPress ที่ภายในมี 2 ส่วนย่อยคือ
- Status – มีการตรวจสอบความมั่นคงปลอดภัยพื้นฐานและแสดงรายงานแนะนำให้แก้ไข
- Info – แสดงรายละเอียดของเว็บไซต์และเซิร์ฟเวอร์ เช่น ปลั้กอิน ธีม และพื้นที่การใช้งาน ซึ่งเป็นประโยชน์ต่อการ Debug หรือส่งมอบให้ทีม Support เพื่อประกอบการแก้ไข
4.Servehappy
โปรเจ็ค Servehappy ถูกตัดตอนเป็น 2 ส่วนโดยครึ่งแรกคือฟีเจอร์แสดงการแจ้งเตือนว่า PHP ที่ใช้ล้าสมัยซึ่งอยู่ใน WordPress 5.1 แต่ในเวอร์ชันใหม่ครึ่งหลังคือความสามารถ ‘White Screen of Death (WSOD) Protection’ หรือ ‘Fetal Error Protection’ คือเมื่อเกิดปัญหา PHP Fatal error กับธีมหรือปลั้กอินผู้ดูแลจะสามารถได้รับสิทธิ์เข้าถึง Backend เพื่อแก้ไขข้อผิดพลาดได้ (ตามรูปด้านล่าง)
อย่างไรก็ตามทาง WordPress ยังมีแผนที่จะนำระบบ Code-signing ไปให้นักพัฒนาธีมและปลั้กอินใช้เช่นกัน ผู้สนใจสามารถอ่านรายละเอียดเพิ่มเติมได้จากบล็อกของ WordPress
ที่มา : https://www.zdnet.com/article/wordpress-finally-gets-the-security-features-a-third-of-the-internet-deserves/ และ https://www.bleepingcomputer.com/news/security/wordpress-52-to-come-with-supply-chain-attack-protection/
