Tìm hiểu thêm về bảo mật phần mềm lõi của WordPress trong bản công bố miễn phí này. Bạn cũng có thể tải xuống ở định dạng PDF.
Tổng quan
Tài liệu này mang lại góc nhìn phân tích và giải thích về phát triển phần mềm cốt lõi của WordPress và các quy trình bảo mật liên quan của nó, cũng như việc kiểm tra về an ninh vốn có được xây dựng trực tiếp vào phần mềm. Các chuyên gia đánh giá WordPress như là một hệ thống quản lý nội dung hoặc khuôn khổ ứng dụng web nên sử dụng tài liệu này trong quá trình phân tích và ra quyết định, và để các lập trình viên tham khảo và làm quen với các thành phần bảo mật cũng như các phương pháp triển khai hay nhất của phần mềm.
Thông tin trong tài liệu này được cập nhật cho bản phát hành ổn định mới nhất của phần mềm, WordPress 4,7 tại thời điểm công bố tài liệu, nhưng cũng cần được xem xét có liên quan tới các phiên bản gần đây nhất của phần mềm, giống như sự tương thích ngược được thiết kế bởi Nhóm phát triển WordPress. Các biện pháp bảo mật cụ thể và những thay đổi sẽ được lưu ý khi chúng được thêm vào phần mềm cốt lõi trong các phiên bản cụ thể. Chúng tôi khuyến khích luôn luôn chạy phiên bản ổn định mới nhất của WordPress để đảm bảo trải nghiệm an toàn nhất có thể.
Tóm tắt
WordPress là một hệ quản trị nội dung mã nguồn mở được sử dụng bởi hàng triệu trang web, ứng dụng web, và các blog. Hiện có hơn 43% trong 10 triệu website hàng đầu sử dụng WordPress. Tính khả dụng, mở rộng của WordPress, cũng như cộng đồng phát triển lớn mạnh đã giúp WordPress trở thành một lựa chọn quen thuộc và tin cậy cho mọi trang web.
Từ khi bắt đầu vào năm 2003, WordPress đã trải qua quá trình phát triển liên tục, vì vậy phần mềm cốt lõi của nó có thể giải quyết và giảm thiểu các mối đe dọa bảo mật thông thường, bao gồm danh sách Top 10 được xác định bởi Dự án An ninh Ứng dụng Web Mở (OWASP) như các lỗ hổng bảo mật phổ biến, được thảo luận trong tài liệu này.
Nhóm Bảo mật WordPress, cộng tác với Nhóm Quản trị chính WordPress và được cộng đồng toàn cầu WordPress hỗ trợ, đã và đang xác định cũng như giải quyết các vấn đề bảo mật trong phần mềm cốt lõi có sẵn để phân phối và cài đặt tại WordPress.org cũng như các đề xuất và tài liệu về bảo mật tốt nhất thực tiễn cho các plugin mở rộng của bên thứ ba và các tác giả giao diện.
Các lập trình viên và người quản trị trang web cần lưu ý đặc biệt đến việc sử dụng chính các API cốt lõi và cấu hình máy chủ cơ bản, vốn là nguồn gốc của các lỗ hổng phổ biến, cũng như đảm bảo tất cả người dùng sử dụng mật khẩu mạnh để truy cập vào WordPress.
Tổng quan về WordPress
WordPress là một hệ thống quản lý nội dung nguồn mở và miễn phí (CMS). Đây là phần mềm CMS được sử dụng rộng rãi nhất trên thế giới và nó chiếm hơn43% trong 10 triệu trang web hàng đầu1, mang lại cho nó ước tính62% thị phần của tất cả các trang web sử dụng CMS.
WordPress được cấp phép theo Giấy phép Công cộng Chung (GPLv2 trở lên) cung cấp bốn quyền tự do cốt lõi và có thể được coi là “hóa đơn quyền” của WordPress:
- Tự do chạy chương trình, cho bất cứ mục đích gì.
- Tự do học cách chương trình làm việc, và thay đổi nó theo cách bạn muốn.
- Tự do tái phân phối.
- Quyền tự do để sao chép và tái phân phối bản sửa chữa của bạn tới người khác.
Nhóm lãnh đạo cốt lõi của WordPress
Dự án WordPress là một chế độ công dân, được điều hành bởi một nhóm lãnh đạo cốt lõi và được dẫn dắt bởi người đồng sáng lập và nhà phát triển dẫn đầu của nó, Matt Mullenweg. Nhóm nghiên cứu điều chỉnh tất cả các khía cạnh của dự án, bao gồm phát triển cốt lõi, WordPress.org và các sáng kiến cộng đồng.
Nhóm lãnh đạo cốt lõi bao gồm Matt Mullenweg, năm nhà phát triển hàng đầu và hơn một chục nhà phát triển cốt lõi có quyền truy cập vĩnh viễn. Các nhà phát triển này có thẩm quyền cuối cùng về các quyết định kỹ thuật, và các cuộc thảo luận kiến trúc và nỗ lực thực hiện.
WordPress có một số nhà phát triển đóng góp. Một số trong số này là các ủy viên trước đây hoặc hiện tại, và một số người có thể là các ủy viên tương lai. Những nhà phát triển đóng góp này là những người đóng góp đáng tin cậy và kỳ cựu cho WordPress, những người đã giành được nhiều sự tôn trọng trong số các đồng nghiệp của họ. Khi cần thiết, WordPress cũng có các khách mời, cá nhân được cấp quyền truy cập, đôi khi cho một thành phần cụ thể, trên cơ sở tạm thời hoặc dùng thử.
Các nhà phát triển cốt lõi và đóng góp chủ yếu hướng dẫn phát triển WordPress. Mỗi phiên bản, hàng trăm nhà phát triển đều đóng góp mã cho WordPress. Những người đóng góp cốt lõi này là những người tình nguyện đóng góp cho codebase cốt lõi theo một cách nào đó.
Chu kỳ phát hành WordPress
Mỗi chu kỳ phát hành WordPress được dẫn dắt bởi một hoặc nhiều nhà phát triển WordPress cốt lõi. Chu kỳ phát hành thường kéo dài khoảng 4 tháng kể từ cuộc họp phạm vi ban đầu để khởi chạy phiên bản.
Chu kỳ phát hành tuân theo mẫu2 sau:
- Giai đoạn 1: Lập kế hoạch và đảm bảo đội ngũ lãnh đạo. Điều này được thực hiện trong phòng trò chuyện #core trên Slack. Trưởng nhóm phát hành thảo luận về các tính năng cho bản phát hành tiếp theo của WordPress. Các cộng tác viên WordPress tham gia vào cuộc thảo luận đó. Người phát hành sẽ xác định nhóm dẫn đầu cho từng tính năng.
- Giai đoạn 2: Bắt đầu công việc phát triển. Đội dẫn đầu tập hợp các đội và làm việc trên các tính năng được chỉ định của họ. Các cuộc trò chuyện thường xuyên được lên kế hoạch để đảm bảo sự phát triển tiếp tục tiến lên.
- Giai đoạn 3: Beta. Betas được phát hành, và thử nghiệm beta được yêu cầu bắt đầu báo cáo lỗi. Không có thêm cam kết cho cải tiến mới hoặc yêu cầu tính năng được thực hiện từ giai đoạn này trên. Các tác giả chủ đề và plugin của bên thứ ba được khuyến khích kiểm tra mã của họ dựa trên các thay đổi sắp tới.
- Giai đoạn 4: Ứng cử viên phát hành. Có một chuỗi đóng băng cho chuỗi có thể dịch từ thời điểm này. Công việc chỉ được nhắm mục tiêu vào các phép hồi quy và bộ chặn.
- Giai đoạn 5: Khởi chạy. Phiên bản WordPress được khởi chạy và có sẵn trong WordPress Admin để cập nhật.
Phiên bản bảo mật và đánh số phiên bản
Một phiên bản WordPress chính được quyết định bởi hai chuỗi đầu tiên. Ví dụ: 3.5 là bản phát hành chính, là 3.6, 3.7 hoặc 4.0. Không có & ldquo; WordPress 3 & rdquo; hoặc & ldquo; WordPress 4 & rdquo; và mỗi bản phát hành chính được nhắc đến bằng cách đánh số của nó, ví dụ: & ldquo; WordPress 3.9. & rdquo;
Các bản phát hành chính có thể thêm các tính năng người dùng mới và API nhà phát triển. Mặc dù thông thường trong thế giới phần mềm, một & ldquo; chính & rdquo; phiên bản có nghĩa là bạn có thể phá vỡ tính tương thích ngược, WordPress cố gắng không bao giờ phá vỡ tính tương thích ngược. Khả năng tương thích ngược là một trong những triết lý quan trọng nhất của dự án, với mục đích cập nhật dễ dàng hơn cho người dùng và nhà phát triển.
Một phiên bản WordPress nhỏ được quyết định bởi chuỗi thứ ba. Phiên bản 3.5.1 là một bản phát hành nhỏ, như là 3.4.23. Bản phát hành nhỏ được dành riêng để sửa các lỗ hổng bảo mật và chỉ giải quyết các lỗi nghiêm trọng. Vì phiên bản WordPress mới được phát hành thường xuyên & mdash; mục đích là mỗi 4-5 tháng cho một bản phát hành chính và các bản phát hành nhỏ xảy ra khi cần — chỉ có nhu cầu phát hành lớn và nhỏ.
Phiên bản tương thích ngược
Dự án WordPress có một cam kết mạnh mẽ về khả năng tương thích ngược. Cam kết này có nghĩa là các chủ đề, plugin và mã tùy chỉnh tiếp tục hoạt động khi phần mềm cốt lõi của WordPress được cập nhật, khuyến khích chủ sở hữu trang web cập nhật phiên bản WordPress của họ lên bản phát hành bảo mật mới nhất.
WordPress và Bảo mật
Nhóm Bảo mật WordPress
Nhóm bảo mật WordPress được tạo thành từ khoảng các chuyên gia50 bao gồm các nhà phát triển và các nhà nghiên cứu bảo mật và mdash; khoảng một nửa là nhân viên của Automattic (nhà sản xuất WordPress.com, nền tảng lưu trữ WordPress đầu tiên và lớn nhất trên web), và một số công việc trong lĩnh vực bảo mật web. Nhóm nghiên cứu tư vấn với các nhà nghiên cứu bảo mật nổi tiếng và đáng tin cậy và các công ty hosting3.
Nhóm bảo mật WordPress thường cộng tác với các nhóm bảo mật khác để giải quyết các vấn đề trong các phụ thuộc chung, chẳng hạn như giải quyết lỗ hổng trong trình phân tích cú pháp XML của PHP, được API XML-RPC sử dụng với WordPress, trong WordPress 3.9.24. Độ phân giải dễ bị tổn thương này là kết quả của nỗ lực chung của cả hai nhóm bảo mật của WordPress và Drupa
Các rủi ro, quy trình và lịch sử bảo mật của WordPress
Nhóm bảo mật WordPress tin vào Tiết lộ có trách nhiệm bằng cách thông báo cho nhóm bảo mật ngay lập tức về bất kỳ lỗ hổng tiềm ẩn nào. Lỗ hổng bảo mật tiềm ẩn có thể được báo hiệu cho Nhóm bảo mật thông qua WordPress HackerOne 5. Nhóm bảo mật liên lạc với nhau thông qua một kênh Slack riêng tư, và làm việc trên một Trac có tường chắn, riêng tư để theo dõi, kiểm tra và sửa các lỗi và các vấn đề bảo mật.
Mỗi báo cáo bảo mật được ghi nhận khi nhận được, và nhóm làm việc để xác minh tính dễ bị tổn thương và xác định mức độ nghiêm trọng của nó. Nếu được xác nhận, nhóm bảo mật sẽ lên kế hoạch cho một bản vá để khắc phục sự cố có thể được cam kết với bản phát hành sắp tới của phần mềm WordPress hoặc có thể được đẩy như bản phát hành bảo mật tức thì, tùy thuộc vào mức độ nghiêm trọng của vấn đề.
Để có bản phát hành bảo mật tức thì, Nhóm bảo mật đã xuất bản tư vấn cho trang web WordPress.org News6 thông báo việc phát hành và nêu chi tiết các thay đổi. Tín dụng cho việc tiết lộ trách nhiệm của một lỗ hổng được đưa ra trong tư vấn khuyến khích và củng cố báo cáo có trách nhiệm tiếp tục trong tương lai.
Quản trị viên của phần mềm WordPress nhìn thấy thông báo trên trang tổng quan trang web của họ để nâng cấp khi có bản phát hành mới và sau khi người dùng nâng cấp thủ công được chuyển hướng đến màn hình Giới thiệu về WordPress để thay đổi chi tiết. Nếu quản trị viên đã bật cập nhật nền tự động, họ sẽ nhận được email sau khi nâng cấp hoàn tất.
Cập nhật tự động cho các bản phát hành bảo mật
Bắt đầu với phiên bản 3.7, WordPress đã giới thiệu các cập nhật nền tự động cho tất cả các bản phát hành nhỏ7, chẳng hạn như 3.7.1 và 3.7.2. Nhóm bảo mật WordPress có thể xác định, sửa chữa và đẩy mạnh các cải tiến bảo mật tự động cho WordPress mà không cần chủ sở hữu trang web cần thực hiện bất kỳ điều gì khi kết thúc và bản cập nhật bảo mật sẽ tự động cài đặt.
Khi bản cập nhật bảo mật được đẩy cho bản phát hành ổn định hiện tại của WordPress, nhóm phát triển Core cũng sẽ đẩy cập nhật bảo mật cho tất cả các bản phát hành có khả năng cập nhật nền (kể từ WordPress 3.7), vì vậy các phiên bản cũ hơn nhưng vẫn gần đây của WordPress sẽ nhận được bản vá bảo mật.
Chủ sở hữu trang web cá nhân có thể chọn xóa các cập nhật nền tự động thông qua một thay đổi đơn giản trong tệp cấu hình của họ, nhưng vẫn giữ vai trò chức năng của nhóm chính cũng như chạy bản phát hành ổn định mới nhất của WordPress.
TOP 10 OWASP 2013
Dự án bảo mật ứng dụng web mở (OWASP) là một cộng đồng trực tuyến dành riêng cho bảo mật ứng dụng web. Danh sách Top 10 của OWASP8 tập trung vào việc xác định các rủi ro bảo mật ứng dụng nghiêm trọng nhất cho một loạt các tổ chức. 10 mục hàng đầu được chọn và được ưu tiên kết hợp với ước tính đồng thuận về khả năng khai thác, khả năng phát hiện và ước tính tác động.
Các phần sau đây thảo luận về các API, tài nguyên và chính sách mà WordPress sử dụng để tăng cường phần mềm cốt lõi và các plugin và chủ đề của bên thứ ba đối với những rủi ro tiềm ẩn này.
A1 - Bị lây nhiễm
Có một tập hợp các hàm và API có sẵn trong WordPress để hỗ trợ các nhà phát triển trong việc đảm bảo mã trái phép không thể được tiêm, và giúp họ xác nhận và vệ sinh dữ liệu. Các tài liệu và thực hành tốt nhất có sẵn9 về cách sử dụng các API này để bảo vệ, xác nhận hoặc vệ sinh dữ liệu đầu vào và đầu ra trong HTML, URL, tiêu đề HTTP và khi tương tác với cơ sở dữ liệu và hệ thống tệp. Quản trị viên cũng có thể hạn chế hơn nữa các loại tệp có thể được tải lên qua bộ lọc.
A2 - Quản lý phiên và xác thực bị hỏng
Phần mềm lõi WordPress quản lý tài khoản người dùng và xác thực cũng như các chi tiết như ID người dùng, tên và mật khẩu được quản lý ở phía máy chủ cũng như cookie xác thực. Mật khẩu được bảo vệ trong cơ sở dữ liệu bằng cách sử dụng kỹ thuật tạo muối tiêu chuẩn và kéo dài. Các phiên hiện tại bị hủy khi đăng xuất cho các phiên bản của WordPress sau 4.0.
A3 - Script trang web chéo (XSS)
WordPress cung cấp một loạt các chức năng có thể giúp đảm bảo rằng dữ liệu do người dùng cung cấp là an toàn10. Người dùng đáng tin cậy, đó là quản trị viên và biên tập viên trên một cài đặt WordPress duy nhất và quản trị viên mạng chỉ trong WordPress Multisite, có thể đăng HTML hoặc JavaScript chưa được lọc khi cần, chẳng hạn như bên trong bài đăng hoặc trang. Người dùng không đáng tin cậy và nội dung do người dùng gửi được lọc theo mặc định để xóa các thực thể nguy hiểm, sử dụng thư viện KSES thông qua hàm wp_kses
.
Ví dụ, nhóm nghiên cứu cốt lõi WordPress nhận thấy trước khi phát hành WordPress 2.3 rằng hàmthe_search_query()
đã bị sử dụng sai bởi hầu hết các tác giả chủ đề, những người không thoát khỏi chức năng của đầu ra để sử dụng trong HTML. Trong một trường hợp rất hiếm khi phá vỡ tính tương thích ngược, chức năng của đầu ra đã được thay đổi trong WordPress 2.3 để được thoát trước.
A4 - Tham chiếu đối tượng trực tiếp không an toàn
WordPress thường cung cấp tham chiếu đối tượng trực tiếp, chẳng hạn như số nhận dạng duy nhất của tài khoản người dùng hoặc nội dung có sẵn trong các trường URL hoặc biểu mẫu. Trong khi các định danh này tiết lộ thông tin hệ thống trực tiếp, thì các quyền hạn phong phú và hệ thống kiểm soát truy cập của WordPress ngăn các yêu cầu trái phép.
A5 - Lỗi cấu hình bảo mật
Phần lớn các hoạt động cấu hình bảo mật của WordPress được giới hạn cho một quản trị viên được ủy quyền duy nhất. Cài đặt mặc định cho WordPress được liên tục đánh giá ở cấp độ nhóm cốt lõi và nhóm lõi WordPress cung cấp tài liệu và các phương pháp hay nhất để tăng cường bảo mật cho cấu hình máy chủ để chạy trang web WordPress11.
A6 - Phơi nhiễm dữ liệu nhạy cảm
Mật khẩu tài khoản người dùng WordPress được ướp muối và được băm dựa trên Khung mật khẩu PHP Hashing di động12. Hệ thống cấp phép của WordPress được sử dụng để kiểm soát quyền truy cập vào thông tin cá nhân như PII của người dùng đã đăng ký, địa chỉ email của người nhận xét, nội dung được xuất bản riêng tư, v.v. Trong WordPress 3.7, một đồng hồ đo độ mạnh được bao gồm trong phần mềm cốt lõi cung cấp thêm thông tin cho người dùng mật khẩu và gợi ý của họ về tăng sức mạnh. WordPress cũng có cài đặt cấu hình tùy chọn để yêu cầu HTTPS.
A7 - Kiểm soát mức độ truy cập thiếu chức năng
WordPress kiểm tra ủy quyền và quyền thích hợp cho bất kỳ yêu cầu truy cập cấp chức năng nào trước khi thực hiện hành động. Truy cập hoặc hiển thị các URL, menu và trang quản trị mà không có xác thực phù hợp được tích hợp chặt chẽ với hệ thống xác thực để ngăn truy cập từ người dùng trái phép.
A8 - Yêu cầu về trang web chéo (CSRF)
WordPress sử dụng mã thông báo mật mã, được gọi là nonces13, để xác thực mục đích yêu cầu hành động từ người dùng được ủy quyền để bảo vệ chống lại các mối đe dọa CSRF tiềm ẩn. WordPress cung cấp API để tạo và xác minh mã thông báo độc đáo và tạm thời và mã thông báo được giới hạn cho người dùng cụ thể, hành động cụ thể, đối tượng cụ thể và khoảng thời gian cụ thể có thể được thêm vào biểu mẫu và URL nếu cần. Ngoài ra, tất cả các nonces đều bị vô hiệu khi đăng xuất.
A9 - Sử dụng các thành phần với lỗ hổng bảo mật đã được phát hiện
Nhóm nghiên cứu cốt lõi của WordPress giám sát chặt chẽ một vài thư viện và khung công tác mà WordPress tích hợp với chức năng cốt lõi. Trong quá khứ, nhóm cốt lõi đã đóng góp cho một số thành phần của bên thứ ba để làm cho chúng an toàn hơn, chẳng hạn như bản cập nhật để khắc phục lỗ hổng trên trang web trong TinyMCE trong WordPress 3.5.214.
Nếu cần, nhóm cốt lõi có thể quyết định chia rẽ hoặc thay thế các thành phần bên ngoài quan trọng, chẳng hạn như khi thư viện SWFUpload được chính thức thay thế bằng thư viện Plupload trong 3.5.2 và một nhánh an toàn của SWFUpload đã được nhóm bảo mật cung cấp<15 cho những plugin tiếp tục sử dụng SWFUpload trong thời gian ngắn.
A10 - Chuyển hướng không được xác định và chuyển tiếp
Hệ thống xác thực và kiểm soát truy cập nội bộ của WordPress sẽ bảo vệ chống lại các nỗ lực hướng người dùng đến các điểm đến không mong muốn hoặc chuyển hướng tự động. Chức năng này cũng được cung cấp cho các nhà phát triển plugin thông qua API, wp_safe_redirect ()
16.
Các nguy cơ rủi ro và mối quan tâm về an ninh
Tấn công xử lý XXE (XML eXternal Entity)
Khi xử lý XML, WordPress vô hiệu hóa việc tải các thực thể XML tùy chỉnh để ngăn chặn cả các tấn công Entity và Entity Expansion. Ngoài chức năng cốt lõi của PHP, WordPress không cung cấp API xử lý XML an toàn bổ sung cho tác giả plugin.
Tấn công giả mạo yêu cầu từ máy chủ
Các yêu cầu HTTP do WordPress phát hành được lọc để ngăn truy cập vào địa chỉ IP lặp lại và địa chỉ IP riêng tư. Ngoài ra, quyền truy cập chỉ được phép đối với một số cổng HTTP tiêu chuẩn nhất định.
Bảo mật với giao diện và plugin WordPress
Giao diện mặc định
WordPress yêu cầu giao diện cần bật để hiển thị nội dung bên ngoài. Giao diện mặc định được thực hiện với core WordPress (hiện tại "Twenty Fifteen") đã được duyệt kĩ lưỡng với yêu cầu bảo mật bởi cả nhóm phát triển giao diện lẫn nhóm phát triển chính.
Giao diện mặc định có thể là điểm khởi đầu cho việc phát triển giao diện riêng, và các lập trình viên có thể tạo giao diện con bao gồm các tuỳ biến nhưng hỗ trợ fall back về giao diện mặc định để đảm bảo bảo mật và hoạt động được. Giao diện mặc định có thể dễ dàng gỡ bỏ khỏi website bởi người quản trị.
Thư viện giao diện và plugin WordPress
Có khoảng 50.000+ plugin và 5.000+ giao diện tồn tại trong website WordPress.org. Các giao diện và plugin này được gửi lên và đánh giá bằng tay bởi các cộng tác viên trước khi cho phép công bố và phân phối trên thư viện công cộng.
Việc cho phép plugin và giao diện phân phối không đồng nghĩa rằng nó không bao gồm các lỗi hổng bảo mật. Tài liệu hướng dẫn được cung cấp cho các tác giả để tham khảo trước khi gửi lên để phát hành 17, và tài liệu mở rộng về việc phát triển giao diện WordPress 18 đươc công bố trên website WordPress.org.
Mỗi plugin hay giao diện đều có khả năng phát triển liên tục bởi tác giả của nó, và bất kì bản sửa lỗi hay phát triển tính năng đều có thể tải lên và phân phối tới những người dùng đã cài đặt plugin hay giao diện đó, bao gồm cả mô tả nội dung cập nhật. Người quản trị website được thông báo về việc nâng cấp này thông qua trang Quản trị của họ.
Khi một plugin được nhận diện có lỗ hổng bảo mật bởi nhóm Bảo mật WordPress, họ sẽ liên hệ với tác giả của plugin và cùng làm việc để nâng cấp và phát hành bản vá bảo mật cho plugin đó. Nếu vì lý do nào đo mà không có phản hồi từ tác giả plugin hoặc lỗi được cho là nghiêm trọng, các plugin hoặc giao diện có thể bị gỡ khỏi thư viện công cộng, và trong vài trường hợp, được vá và nâng cấp trực tiếp từ nhóm Bảo mật.
Nhóm duyệt giao diện
Nhóm duyệt giao diện là tập hợp các cộng tác viên, do các thành viên chủ chốt và thành viên đáng tin cậy của cộng đồng WordPress chủ trì, thực hiện công việc đánh giá và duyệt các giao diện được gửi lên vào thư mục giao diện WordPress chính thức. Nhóm này duy trì tài liệu hướng dẫn đánh giá giao diện 19, dữ liệu mẫu dùng để đánh giá 20 và các plugin dùng để kiểm tra giao diện 21, và cố gắng hướng dẫn cộng đồng lập trình viên phát triển giao diện WordPress thực hiện tốt nhất. Việc tham gia vào nhóm được quản lý bởi các thành viên chủ chốt của nhóm phát triển WordPress.
Trách nhiệm của các nhà cung cấp dịch vụ Hosting trong bảo mật WordPress
WordPress có thể được cài đặt trên nhiều nền tảng. Mặc dù nền tảng WordPress cung cấp nhiều giải pháp cho việc vận hành ứng dụng an toàn được nhắc tới trong tài liệu này, việc cấu hình hệ điều hành và các phần mềm trên nền tảng web server cũng quan trọng để giúp các ứng dụng WordPress an toàn hơn.
Chú ý về bảo mật giữa WordPress.com và WordPress
WordPress.com là phiên bản cài sẵn WordPress lớn nhất trên thế giới, được sở hữu và quản lý bởi Automattic Inc., công ty được Matt Mullenweg - người đồng tạo ra WordPress. WordPress.com sử dụng cốt lõi là nền tảng WordPress, và có quy trình xử lý bảo mật, rủi ro và giải pháp riêng 22. Tài liệu này dẫn chiếu tới các vấn đề bảo mật dành cho bản tự cài và có thể tải về từ WordPress.org.
Phụ lục
API WordPress Core
Giao diện lập trình ứng dụng lõi (API) của WordPress bao gồm một số API riêng lẻ23, mỗi API bao gồm các chức năng liên quan và sử dụng một tập hợp chức năng nhất định. Cùng với nhau, chúng tạo thành giao diện dự án cho phép các plugin và chủ đề tương tác, thay đổi và mở rộng chức năng cốt lõi của WordPress một cách an toàn và bảo mật.
Mặc dù mỗi API WordPress cung cấp các phương pháp hay nhất và cách chuẩn hóa để tương tác và mở rộng phần mềm lõi WordPress, các API WordPress sau đây là thích hợp nhất để thực thi và tăng cường bảo mật cho WordPress:
API cơ sở dữ liệu
API cơ sở dữ liệu24, được thêm vào trong WordPress 0.71, cung cấp phương thức đúng để truy cập dữ liệu dưới dạng các giá trị được đặt tên được lưu trữ trong lớp cơ sở dữ liệu.
Filesystem API
API hệ thống tập tin25, được thêm vào trong WordPress 2.626, ban đầu được tạo cho WordPress & lsquo; tính năng cập nhật tự động của riêng mình. API tệp hệ thống tóm tắt các chức năng cần thiết để đọc và ghi tệp cục bộ vào hệ thống tệp được thực hiện một cách an toàn, trên nhiều loại máy chủ khác nhau.
Nó thực hiện điều này thông qua class WP_Filesystem_Base
và một số subclass thực hiện các cách khác nhau để kết nối với hệ thống file, tùy thuộc vào sự hỗ trợ của các máy chủ. Bất kỳ chủ đề hoặc plugin nào cần phải ghi lên file đều phải làm như vậy bằng cách sử dụng nhóm các class của WP_Filesystem.
HTTP API
HTTP API27, được thêm vào trong WordPress 2.728 và mở rộng hơn nữa trong WordPress 2.8, tiêu chuẩn hóa các yêu cầu HTTP cho WordPress. API xử lý cookie, mã hóa và giải mã gzip, giải mã đoạn mã (nếu HTTP 1.1) và nhiều triển khai giao thức HTTP khác. API tiêu chuẩn hóa các yêu cầu, kiểm tra từng phương thức trước khi gửi và dựa trên cấu hình máy chủ của bạn, sử dụng phương thức thích hợp để thực hiện yêu cầu.
Quyền và tài khoản hiện tại API
Quyền và API người dùng hiện tại 29 là một tập hợp các chức năng sẽ giúp xác minh quyền và quyền hạn của người dùng hiện tại để thực hiện bất kỳ tác vụ hoặc hoạt động nào đang được yêu cầu,và có thể bảo vệ hơn nữa chống lại những người dùng trái phép truy cập hoặc thực hiện các chức năng vượt quá khả năng được cho phép của họ.
Giấy phép công bố
Nội dung trong tài liệu này (không bao gồm logo WordPress hoặc thương hiệu) đều được cấp phép theo CC0 1.0 Universal (CC0 1.0) Public Domain Dedication. Bạn có thể sao chép, chỉnh sửa, phân phối và trưng bày cho công việc, bao gồm cả mục đích thương mại mà không cần xin phép.
Lời cảm ơn đặc biệt tới trang trắng bảo mật của Drupal giúp chúng tôi có thêm các gợi ý.
Đọc thêm
- Tin tức WordPress https://wordpress.org/news/
- Thông tin bảo mật WordPress phát hành https://wordpress.org/news/category/security/
- Tài nguyên dành cho lập trình viên https://developer.wordpress.org/
Tác giả là Sara Rosso
Đóng góp bởi Barry Abramson, Michael Adams, Jon Cave, Helen Hou-Sandí, Dion Hulse, Mo Jangda, Paul Maiorana
Phiên bản 1.0 tháng 3/2015
Chú thích
- [1] https://w3techs.com/, as of December 2019
- [2] https://make.wordpress.org/core/handbook/about/release-cycle/
- [3] https://make.wordpress.org/core/handbook/about/release-cycle/version-numbering/
- [4] https://wordpress.org/news/2014/08/wordpress-3-9-2/
- [5] https://hackerone.com/wordpress
- [6] https://wordpress.org/news/
- [7] https://wordpress.org/news/2013/10/basie/
- [8] https://www.owasp.org/index.php/Top_10_2013-Top_10
- [9] https://developer.wordpress.org/plugins/security/
- [10] https://codex.wordpress.org/Data_Validation#HTML.2FXML
- [11] https://wordpress.org/support/article/hardening-wordpress/
- [12] https://www.openwall.com/phpass/
- [13] https://developer.wordpress.org/plugins/security/nonces/
- [14] https://wordpress.org/news/2013/06/wordpress-3-5-2/
- [15] https://make.wordpress.org/core/2013/06/21/secure-swfupload/
- [16] https://developer.wordpress.org/reference/functions/wp_safe_redirect/
- [17] https://wordpress.org/plugins/developers/
- [18] https://developer.wordpress.org/themes/getting-started/
- [19] https://make.wordpress.org/themes/handbook/review/
- [20] https://codex.wordpress.org/Theme_Unit_Test
- [21] https://wordpress.org/plugins/theme-check/
- [22] https://automattic.com/security/
- [23] https://codex.wordpress.org/WordPress_APIs
- [24] https://developer.wordpress.org/apis/handbook/database/
- [25] https://codex.wordpress.org/Filesystem_API
- [26] https://wordpress.org/support/wordpress-version/version-2-6/
- [27] https://developer.wordpress.org/plugins/http-api/
- [28] https://wordpress.org/support/wordpress-version/version-2-7/
- [29] https://developer.wordpress.org/reference/functions/current_user_can/