Las características ocultas de WordPress 5.5 bloquean los complementos no autorizados

Las características ocultas de WordPress 5.5 bloquean los complementos no autorizados

agosto 13, 2020 0 Por admin


WordPress 5.5 recientemente actualizado contiene una función que evita que complementos maliciosos se apoderen de los sitios de WordPress. El cambio permite que un sitio de WordPress verifique si un complemento es legítimo o no y evitar que se actualice si está marcado como bloqueado.

Función de seguridad de WordPress sin anunciar

Esta nueva función no ha recibido ningún anuncio.

En cambio, la notación de este cambio estaba prácticamente oculta en una lista de cientos de otras mejoras de WordPress.

Estaba escondido en una larga lista de cientos de otros cambios que formaban parte de WordPress 5.5.

Esta actualización de código en WordPress 5.5 mejora la seguridad y merece una mejor comprensión, ya que tiene un impacto positivo en la seguridad.

Captura de pantalla de la lista de cambios realizados en WordPress "width =" 400 "height =" 388 "src =" https://cdn.seoconsem.com/wp-content/uploads/2020/08/wordpress- changelog-5f34dd5c06bce.gifLa lista de cambios en WordPress 5.5 es tan larga que debe desplazarse seis veces para llegar a la nota sobre esta importante actualización relacionada con la seguridad.

Ataques a la cadena de suministro de WordPress

Hay organizaciones maliciosas que compran complementos de WordPress para agregar anuncios, puertas traseras y enlaces maliciosos. Este método de ataque aprovecha la confianza que un editor tiene en un complemento que ya ha descargado y aprobado.

Publicidad

Continuar leyendo a continuación

Con la actualización automática habilitada, esto podría brindarle a un complemento malicioso una manera fácil de infectar a todos los editores que utilizan ese complemento.

Sin embargo, WordPress ha creado una forma de marcar complementos defectuosos y deshabilitar de forma remota la función de actualización automática para el complemento malicioso.

Cómo WordPress 5.5 detiene los complementos maliciosos

WordPress ha ideado una forma de desactivar los complementos de actualización automática si algo sale mal.

Según WordPress:

“La nueva interfaz de usuario de actualización automática es excelente, pero se beneficiaría de tener una forma de deshabilitar de forma remota la actualización automática para un complemento / tema.

Esto abrirá la posibilidad de que WordPress.org controle el lanzamiento de una actualización automática, por ejemplo, actualizando automáticamente a todos de 1 a 24 horas después de la publicación en lugar de hacerlo inmediatamente para permitir el descubrimiento de errores. mayor.

Idealmente, nunca será necesario usarlo para esto, pero también protegerá a los usuarios de WordPress al permitirnos deshabilitarlo para un complemento o por completo si hay algún comportamiento inesperado.

El PR adjunto permite que la respuesta de la API de WordPress.org incluya un indicador disable_autoupdate que lo deshabilitará para ese elemento, no afectará la interfaz de usuario y con suerte lo hará. nunca será necesario (aparte del ejemplo de caso de uso de la prueba de humo A / B o similar). "

Publicidad

Continuar leyendo a continuación

Lo que sucederá es que un sitio de WordPress verificará si un complemento debe actualizarse o no.

Una "bandera" llamada "disable_autoupdate»Se comunicará con el sitio de WordPress para no actualizar un complemento específico. Esta "bandera" actúa como un guardián que decide qué complemento ya no se actualizará.

Captura de pantalla de la página de WordPress que documenta el cambio de código

Captura de pantalla del código de WordPress "width =" 800 "height =" 162 "size =" (ancho máximo: 800px) 100vw, 800px "srcset =" https://cdn.seoconsem.com/wp-content / uploads / 2020/08 / code-added-5f34d7973f9ac.png 800w, https://cdn.seoconsem.com/wp-content/uploads/2020/08/added-code-5f34d7973f9ac-480x97.png 480w, https: / /cdn.seoconsem. com / wp-content / uploads / 2020/08 / added-code-5f34d7973f9ac-680x138.png 680w, https://cdn.seoconsem.com/wp-content/uploads/2020/08/added-code-5f34d7973f9ac-768x156 .png 768w "src =" https://cdn.seoconsem.com/wp-content/uploads/2020/08/added-code-5f34d7973f9ac.pngEsta es una captura de pantalla del código agregado documentado por WordPress. El código actúa como un guardián, solicitando una respuesta de sí o no para determinar si permitir o bloquear la actualización de un complemento.

Wordfence dice que es un buen cambio

Me puse en contacto con los investigadores de seguridad de Wordfence (@palabras) sobre esta nueva función.

Su respuesta se refiere a los siguientes términos técnicos:

  • WP-Cron: Esta es una tarea programada realizada por la instalación de WordPress.
  • Gerentes de equipo principal y repositorios: Trabajadores de WordPress.org.
  • Depositar: ¿Dónde se almacenan los complementos?

Esto es lo que dijeron los investigadores de Wordfence:

“Las actualizaciones automáticas son activadas por wp-cron en sitios individuales dos veces al día.

El sitio buscará en el repositorio para identificar actualizaciones de temas / complementos si el propietario del sitio ha habilitado actualizaciones automáticas para ese tema o complemento en particular.

Los propios desarrolladores del repositorio y el tema del complemento registrarán una nueva versión de un complemento; el equipo central y los administradores de repositorios no auditan ni verifican este código.

Por lo tanto, con la función de actualización automática implementada, cualquier código de complemento registrado estará disponible para su descarga en cualquier sitio donde estén habilitadas las actualizaciones automáticas.

Esta verificación está diseñada para evitar que este código se implemente en sitios de AutoUpdate en caso de que surja un problema. Por ejemplo, esta función podría evitar algunos de los ataques a la cadena de suministro que hemos visto en el pasado, en los que un atacante compraría complementos y colocaría código malicioso en los complementos del repositorio.

Cuando un sitio se pone en contacto con el repositorio para obtener actualizaciones, el repositorio puede responder con esta marca (que solo debe establecerse en verdadero o falso) para garantizar que los complementos o temas con problemas no sean no se actualizan automáticamente. "

Publicidad

Continuar leyendo a continuación

Mejora de seguridad de WordPress 5.5

Esta nueva función no ha recibido ningún anuncio. Pero esta es una pregunta importante porque hace que los sitios de publicación en WordPress sean más seguros y evita que los delincuentes se apoderen de los sitios de WordPress.

Citas

Permita que WordPress.org deshabilite de forma remota las actualizaciones automáticas para complementos / temas

Artículo de Wordfence sobre ataques a la cadena de suministro de WordPress

Página de WordPress GitHub para indicador de actualización automática
Permitir que la API desactive las actualizaciones automáticas de forma remota