سيڪيورٽي

هن مفت وائيٽ پيپر ۾ ورڈپریس ڪور سافٽ ويئر سيڪيورٽي بابت وڌيڪ سکو. توھان ان کي PDF فارميٽ ۾ پڻ ڊائون لوڊ ڪري سگھو ٿا.

اوسر

هي دستاويز ورڈپریس ڪور سافٽ ويئر ڊولپمينٽ ۽ ان سان لاڳاپيل حفاظتي عملن جو هڪ تجزيو ۽ وضاحت آهي، انهي سان گڏ سافٽ ويئر ۾ ٺاهيل موروثي سيڪيورٽي جو هڪ امتحان. ورڈپریس کي مواد مينيجمينٽ سسٽم يا ويب ايپليڪيشن فريم ورڪ جي طور تي جائزو وٺندڙ فيصلا سازن کي گهرجي ته هن دستاويز کي انهن جي تجزيي ۽ فيصلو سازي ۾ استعمال ڪن، ۽ ڊولپرز لاءِ ان جو حوالو ڏيڻ لاءِ پاڻ کي حفاظتي اجزاء ۽ سافٽ ويئر جي بهترين طريقن سان واقف ڪرڻ لاءِ.

هن دستاويز ۾ موجود معلومات سافٽ ويئر جي جديد مستحڪم رليز لاءِ تازه ترين آهي، ورڈپریس 4.7 اشاعت جي وقت، پر ان کي پڻ لاڳاپيل سمجهيو وڃي سافٽ ويئر جي تازي ورزن سان، جيئن ته پسمانده مطابقت هڪ مضبوط فوڪس آهي. ورڈپریس ڊولپمينٽ ٽيم. مخصوص حفاظتي قدمن ۽ تبديلين کي نوٽ ڪيو ويندو جيئن اهي خاص رليز ۾ بنيادي سافٽ ويئر ۾ شامل ڪيا ويا آهن. اهو تمام گهڻو حوصلا افزائي ڪئي وڃي ٿي هميشه هميشه ورڈپریس جي جديد مستحڪم ورزن کي هلائڻ لاء يقيني بڻائڻ لاء سڀ کان وڌيڪ محفوظ تجربو ممڪن آهي.

ايگزيڪيوٽو خلاصو

ورڈپریس هڪ متحرڪ اوپن سورس مواد مينيجمينٽ سسٽم آهي جيڪو لکين ويب سائيٽن، ويب ايپليڪيشنن ۽ بلاگز کي طاقت ڏيڻ لاءِ استعمال ڪيو ويندو آهي. اهو هن وقت انٽرنيٽ تي مٿين 10 ملين ويب سائيٽن مان 43% کان وڌيڪ طاقت رکي ٿو. WordPress’ استعمال جي قابليت، وسعت، ۽ بالغ ترقي پسند ڪميونٽي ان کي سڀني سائيٽن جي ويب سائيٽن لاء هڪ مشهور ۽ محفوظ پسند بڻائي ٿو.

2003 ۾ ان جي شروعات کان وٺي، ورڈپریس مسلسل سختي مان گذريو آهي ان ڪري ان جو بنيادي سافٽ ويئر عام سيڪيورٽي خطرن کي حل ڪري ۽ گھٽائي سگھي ٿو، بشمول مٿين 10 لسٽ جن کي اوپن ويب ايپليڪيشن سيڪيورٽي پروجيڪٽ (OWASP) پاران عام سيڪيورٽي خطرن جي طور تي سڃاڻپ ڪيو ويو آهي، جن تي هن دستاويز ۾ بحث ڪيو ويو آهي. .

ورڈپریس سيڪيورٽي ٽيم، ورڈپریس ڪور ليڊرشپ ٽيم جي تعاون سان ۽ ورڈپریس گلوبل ڪميونٽي جي مدد سان، WordPress.org تي ورهائڻ ۽ انسٽال ڪرڻ لاءِ موجود بنيادي سافٽ ويئر ۾ سيڪيورٽي مسئلن کي سڃاڻڻ ۽ حل ڪرڻ لاءِ ڪم ڪري ٿي، انهي سان گڏ سيڪيورٽي جي بهترين سفارش ۽ دستاويز ڪرڻ ٽئين پارٽي پلگ ان ۽ موضوع ليکڪن لاءِ طريقا.

سائيٽ ڊولپرز ۽ ايڊمنسٽريٽرن کي خاص ڌيان ڏيڻ گھرجي بنيادي APIs جي صحيح استعمال تي ۽ بنيادي سرور جي جوڙجڪ جيڪي عام ڪمزورين جو ذريعو بڻيل آھن، ۽ گڏوگڏ سڀني صارفين کي ورڈپریس تائين رسائي حاصل ڪرڻ لاءِ مضبوط پاسورڊ استعمال ڪرڻ کي يقيني بڻايو وڃي.

ورڈپریس جو هڪ جائزو

ورڈپریس هڪ مفت ۽ اوپن سورس مواد مينيجمينٽ سسٽم (CMS) آهي. اهو دنيا ۾ سڀ کان وڏي پيماني تي استعمال ٿيل CMS سافٽ ويئر آهي ۽ اهو مٿيان 10 ملين ويب سائيٽن مان 43% کان وڌيڪ طاقت رکي ٿو ¹، ان کي اندازي مطابق 62% مارڪيٽ شيئر سڀني سائيٽن جو استعمال ڪندي هڪ CMS.

ورڈپریس جنرل پبلڪ لائسنس (GPLv2 يا بعد ۾) جي تحت لائسنس يافته آهي جيڪو چار بنيادي آزاديون مهيا ڪري ٿو، ۽ سمجهي سگهجي ٿو WordPress “حقن جو بل”:

1. پروگرام هلائڻ جي آزادي، ڪنهن به مقصد لاءِ.
2. اهو مطالعو ڪرڻ جي آزادي آهي ته پروگرام ڪيئن ڪم ڪري ٿو، ۽ ان کي تبديل ڪرڻ لاءِ جيڪو توهان چاهيو ٿا.
3. ٻيهر ورهائڻ جي آزادي.
4. توهان جي تبديل ٿيل نسخن جون ڪاپيون ٻين کي ورهائڻ جي آزادي.

ورڈپریس ڪور ليڊرشپ ٽيم

ورڈپریس پروجيڪٽ هڪ قابليت آهي، جيڪو هڪ بنيادي قيادت ٽيم پاران هلائي ٿو، ۽ ان جي ڪو خالق ۽ ليڊ ڊولپر، Matt Mullenweg جي اڳواڻي ۾ آهي. ٽيم پروجيڪٽ جي سڀني حصن کي سنڀاليندي آهي، بشمول بنيادي ترقي، WordPress.org، ۽ ڪميونٽي جي شروعات.

ڪور ليڊرشپ ٽيم Matt Mullenweg، پنج ليڊ ڊولپرز، ۽ درجن کان وڌيڪ بنيادي ڊولپرز تي مشتمل آھي جنھن ۾ مستقل ڪمٽٽ رسائي آھي. انهن ڊولپرز کي فني فيصلن تي حتمي اختيار حاصل آهي، ۽ فن تعمير جي بحثن ۽ عمل درآمد جي ڪوششن جي اڳواڻي.

ورڈپریس ۾ ڪيترائي تعاون ڪندڙ ڊولپرز آھن. انهن مان ڪجهه اڳوڻن يا موجوده ڪمنٽس آهن، ۽ ڪجهه امڪاني طور تي مستقبل جا ڪم ڪندڙ آهن. اهي تعاون ڪندڙ ڊولپرز قابل اعتماد آهن ۽ ورڈپریس تي ماهر مددگار آهن جن پنهنجي ساٿين جي وچ ۾ وڏي عزت حاصل ڪئي آهي. ضرورت جي طور تي، ورڈپریس وٽ مهمان ڪم ڪندڙ پڻ آهن، اهي ماڻهو جن کي ڪمٽ رسائي ڏني وئي آهي، ڪڏهن ڪڏهن هڪ مخصوص جزو لاءِ، عارضي يا آزمائشي بنيادن تي.

بنيادي ۽ تعاون ڪندڙ ڊولپرز بنيادي طور تي ورڈپریس ڊولپمينٽ جي رهنمائي ڪن ٿا. هر ورزن، سوين ڊولپرز ورڈپریس کي ڪوڊ ۾ حصو وٺندا آهن. اهي بنيادي مدد ڪندڙ رضاڪار آهن جيڪي بنيادي ڪوڊ بيس ۾ ڪجهه طريقي سان حصو وٺندا آهن.

ورڈپریس رليز سائيڪل

هر ورڈپریس رليز چڪر جي اڳواڻي ڪئي وئي آهي هڪ يا وڌيڪ بنيادي ورڈپریس ڊولپرز. هڪ رليز چڪر عام طور تي لڳ ڀڳ 4 مهينا لڳندو آهي شروعاتي اسڪوپنگ ميٽنگ کان وٺي نسخي جي لانچ تائين.

رليز چڪر ھيٺ ڏنل نمونن تي عمل ڪري ٿو ²:

• مرحلا 1: منصوبابندي ۽ محفوظ ٽيم جي اڳواڻي. اهو ڪيو ويو آهي # ڪور چيٽ روم ۾ Slack تي. رليز ليڊ ورڈپریس جي ايندڙ رليز لاءِ خصوصيتن تي بحث ڪري ٿي. ورڈپریس مددگار ان بحث ۾ شامل ٿي ويا. رليز ليڊ هر هڪ خاصيتن لاءِ ٽيم ليڊ جي سڃاڻپ ڪندو.
• مرحلو 2: ترقياتي ڪم شروع ٿئي ٿو. ٽيم ٽيمن کي گڏ ڪري ٿو ۽ انهن جي مقرر ڪيل خاصيتن تي ڪم ڪري ٿو. باقاعده چيٽ مقرر ڪيا ويا آهن انهي کي يقيني بڻائڻ لاءِ ته ترقي اڳتي وڌندي رهي.
• مرحلو 3: بيٽا. بيٽا جاري ڪيا ويا آهن، ۽ بيٽا ٽيسٽرز کي ٻڌايو ويو آهي ته رپورٽنگ بگ شروع ڪن. هن مرحلي کان وٺي نون واڌارن يا خصوصيتن جي درخواستن لاءِ وڌيڪ ڪم نه ڪيا ويا آهن. ٽئين پارٽي پلگ ان ۽ موضوع ليکڪن کي حوصلا افزائي ڪئي وئي آهي ته انهن جي ڪوڊ کي ايندڙ تبديلين جي خلاف جانچ ڪن.
• مرحلو 4: اميدوار کي آزاد ڪريو. ھن نقطي کان ترجمي جي قابل اسٽرنگ لاءِ اسٽرنگ فريز آھي. ڪم صرف regressions ۽ blockers تي ھدف آهي.
• مرحلو 5: لانچ. ورڈپریس ورزن لانچ ڪيو ويو ۽ دستياب ڪيو ويو ورڈپریس ايڊمن ۾ تازه ڪاري لاءِ.

نسخو نمبرنگ ۽ سيڪيورٽي ريليز

هڪ اهم ورڈپریس نسخو ترتيب ڏنل آهي پهرين ٻن ترتيبن سان. مثال طور، 3.5 هڪ اهم رليز آهي، جيئن 3.6، 3.7، يا 4.0 آهي. اتي ڪو نه آهي “WordPress 3” يا “WordPress 4” ۽ هر وڏي رليز کي ان جي نمبرنگ ذريعي حوالو ڏنو ويو آهي، مثال طور، “WordPress 3.9.”

مکيه رليز شايد نئين صارف خاصيتون ۽ ڊولپر APIs شامل ڪري سگھن ٿيون. جيتوڻيڪ عام طور تي سافٽ ويئر جي دنيا ۾، هڪ “ميجر” ورشن جو مطلب آهي ته توهان پوئتي مطابقت کي ٽوڙي سگهو ٿا، ورڈپریس ڪوشش ڪري ٿو ته ڪڏهن به پوئتي مطابقت کي ٽوڙي نه سگهي. پسمانده مطابقت پروجيڪٽ جي سڀ کان اهم فلسفن مان هڪ آهي، جنهن جو مقصد هڪجهڙا استعمال ڪندڙن ۽ ڊولپرز تي تازه ڪاريون تمام گهڻو آسان ڪرڻ آهي.

ھڪڙو معمولي ورڈپریس ورزن ٽين ترتيب سان ترتيب ڏنل آھي. نسخو 3.5.1 ھڪڙو معمولي رليز آھي، جيئن 3.4.2³ آھي. هڪ معمولي رليز حفاظتي خامين کي درست ڪرڻ ۽ صرف نازڪ مسئلن کي حل ڪرڻ لاءِ رکيل آهي. جيئن ته ورڈپریس جا نوان ورجن رليز ڪيا ويا آهن ان ڪري اڪثر — مقصد ھر 4-5 مھينن ۾ ھڪ وڏي رليز لاءِ ھوندو آھي، ۽ معمولي رليز ٿيندي آھي جيئن ضرورت هجي — صرف وڏي ۽ ننڍي رليز جي ضرورت آهي.

نسخو پسمانده مطابقت

ورڈپریس پروجيڪٽ کي پسمانده مطابقت لاء مضبوط عزم آهي. هن وابستگي جو مطلب آهي ته موضوعات، پلگ ان، ۽ ڪسٽم ڪوڊ ڪم ڪرڻ جاري رکندا آهن جڏهن ورڈپریس ڪور سافٽ ويئر اپڊيٽ ڪيو ويندو آهي، سائيٽ جي مالڪن کي حوصلا افزائي ڪرڻ لاء انهن جي ورڈپریس ورزن کي تازه ترين محفوظ رليز تائين اپڊيٽ رکڻ لاء.

ورڈپریس ۽ سيڪيورٽي

ورڈپریس سيڪيورٽي ٽيم

WordPress سيڪيورٽي ٽيم تقريبن 50 ماهرن تي مشتمل آهي جنهن ۾ ليڊ ڊولپرز ۽ سيڪيورٽي ريسرچرز شامل آهن — اٽڪل اڌ ملازم آهن Automattic (WordPress.com جا ٺاهيندڙ، ويب تي سڀ کان پهريان ۽ سڀ کان وڏو ورڈپریس هوسٽنگ پليٽ فارم)، ۽ هڪ نمبر ويب سيڪيورٽي فيلڊ ۾ ڪم ڪري ٿو. ٽيم معروف ۽ قابل اعتماد سيڪيورٽي محققن ۽ ميزباني ڪندڙ ڪمپنين سان صلاح مشورو ڪري ٿي ³.

ورڈپریس سيڪيورٽي ٽيم اڪثر ڪري ٻين سيڪيورٽي ٽيمن سان تعاون ڪري ٿي عام انحصار ۾ مسئلن کي حل ڪرڻ لاءِ، جيئن ته PHP XML parser ۾ خطري کي حل ڪرڻ، XML-RPC API جو استعمال ڪيو ويو آهي جيڪو ورڈپریس سان گڏ، WordPress 3.9.2⁴ ۾. هي خطري جي قرارداد ٻنهي ورڈپریس ۽ ڊروپل سيڪيورٽي ٽيمن جي گڏيل ڪوشش جو نتيجو هو.

ورڈپریس سيڪيورٽي خطرات، عمل، ۽ تاريخ

ورڈپریس سيڪيورٽي ٽيم ڪنهن به امڪاني نقصان جي فوري طور تي سيڪيورٽي ٽيم کي خبردار ڪندي ذميوار ظاهر ڪرڻ تي يقين رکي ٿي. سيڪيورٽي ٽيم کي امڪاني حفاظتي خطرن جي نشاندهي ڪري سگهجي ٿي WordPress HackerOne⁵ ذريعي. سيڪيورٽي ٽيم پاڻ ۾ هڪ پرائيويٽ سليڪ چينل ذريعي ڪم ڪري ٿي، ۽ ڪم ڪري ٿي هڪ والڊ آف پرائيويٽ ٽريڪ تي ٽريڪنگ، ٽيسٽ، ۽ بگ ۽ سيڪيورٽي مسئلن کي درست ڪرڻ لاءِ.

هر سيڪيورٽي رپورٽ جي وصولي تي تسليم ڪيو ويو آهي، ۽ ٽيم ڪم ڪري ٿي خطري جي تصديق ڪرڻ ۽ ان جي شدت کي طئي ڪرڻ لاء. جيڪڏهن تصديق ٿئي ٿي، سيڪيورٽي ٽيم پوءِ مسئلو حل ڪرڻ لاءِ هڪ پيچ جو منصوبو ٺاهي ٿي جيڪو ورڈپریس سافٽ ويئر جي ايندڙ رليز لاءِ انجام ڏئي سگهجي ٿو يا ان کي فوري طور تي سيڪيورٽي رليز طور دٻائي سگهجي ٿو، مسئلي جي شدت جي لحاظ سان.

هڪ فوري سيڪيورٽي رليز لاءِ، سيڪيورٽي ٽيم پاران WordPress.org نيوز سائيٽ ⁶ تي هڪ ايڊوائزري شايع ڪئي وئي آهي جيڪا رليز جو اعلان ڪندي ۽ تبديلين جي تفصيل سان. مستقبل ۾ جاري ذميواري رپورٽنگ جي حوصلا افزائي ۽ مضبوط ڪرڻ لاءِ مشوري ۾ هڪ خطري جي ذميوار ظاهر ڪرڻ جو ڪريڊٽ ڏنو ويو آهي.

ورڈپریس سافٽ ويئر جا منتظمين هڪ نوٽيفڪيشن ڏسندا آهن انهن جي سائيٽ ڊيش بورڊ تي اپ گريڊ ڪرڻ لاءِ جڏهن هڪ نئون رليز موجود هوندو آهي، ۽ دستي اپ گريڊ جي پٺيان صارفين کي ريڊائريڪٽ ڪيو ويندو آهي بابت ورڈپریس اسڪرين تي جيڪو تبديلين جو تفصيل ڏئي ٿو. جيڪڏهن منتظمين کي خودڪار پس منظر جي تازه ڪاريون فعال ڪيون ويون آهن، انهن کي هڪ اي ميل ملندي هڪ اپ گريڊ مڪمل ٿيڻ کان پوء.

سيڪيورٽي ريليزز لاءِ خودڪار پس منظر اپڊيٽ

ورجن 3.7 سان شروع ڪندي، ورڈپریس متعارف ڪرايو خودڪار پس منظر اپڊيٽ سڀني نابالغ رليزز لاءِ ⁷، جهڙوڪ 3.7.1 ۽ 3.7.2. ورڈپریس سيڪيورٽي ٽيم ورڈپریس لاءِ خودڪار حفاظتي واڌارن کي سڃاڻي، درست ڪري سگهي ٿي ۽ اڳتي وڌائي سگھي ٿي بغير سائيٽ جي مالڪ کي ان جي آخر ۾ ڪجهه ڪرڻ جي ضرورت آهي، ۽ سيڪيورٽي اپڊيٽ خودڪار طريقي سان انسٽال ٿي ويندي.

جڏهن ورڈپریس جي موجوده مستحڪم رليز لاءِ سيڪيورٽي اپڊيٽ کي دٻايو ويندو آهي، بنيادي ٽيم انهن سڀني رليزز لاءِ سيڪيورٽي اپڊيٽس کي به زور ڏيندو جيڪي پس منظر جي اپڊيٽس جي قابل آهن (ورڈپریس 3.7 کان وٺي)، تنهن ڪري ورڈپریس جا اهي پراڻا پر اڃا تازو ورزن سيڪيورٽي حاصل ڪندا. واڌايون.

انفرادي سائيٽ جا مالڪ چونڊ ڪري سگھن ٿا خودڪار پس منظر اپڊيٽ کي هٽائڻ جي ذريعي انهن جي ترتيب واري فائل ۾ هڪ سادي تبديلي ذريعي، پر ڪارڪردگي کي برقرار رکڻ جي بنيادي ٽيم طرفان سختي سان سفارش ڪئي وئي آهي، انهي سان گڏ ورڈپریس جي جديد مستحڪم رليز کي هلائڻ.

2013 OWASP ٽاپ 10

اوپن ويب ايپليڪيشن سيڪيورٽي پروجيڪٽ (OWASP) هڪ آن لائن ڪميونٽي آهي جيڪو ويب ايپليڪيشن سيڪيورٽي لاءِ وقف آهي. OWASP ٽاپ 10 لسٽ ⁸ تنظيمن جي وسيع صفن لاءِ سڀ کان وڌيڪ سنگين ايپليڪيشن سيڪيورٽي خطرن جي نشاندهي ڪرڻ تي ڌيان ڏئي ٿو. مٿيون 10 شيون چونڊيل آهن ۽ ترجيح ڏنيون ويون آهن جن کي استحصال، سڃاڻپ، ۽ اثر اندازن جي اتفاق راءِ سان گڏ ڪيو ويو آهي.

هيٺيان حصا APIs، وسيلن، ۽ پاليسين تي بحث ڪندا آهن جيڪي ورڈپریس انهن امڪاني خطرن جي خلاف بنيادي سافٽ ويئر ۽ 3rd پارٽي پلگ ان ۽ موضوع کي مضبوط ڪرڻ لاء استعمال ڪندا آهن.

A1 - انجڻ

ورڈپریس ۾ موجود افعال ۽ APIs جو ھڪڙو سيٽ موجود آھي ڊولپرز کي يقيني بڻائڻ ۾ مدد ڪرڻ لاءِ ته غير مجاز ڪوڊ انجيڪشن نه ٿي سگھي، ۽ انھن کي ڊيٽا کي صحيح ۽ صاف ڪرڻ ۾ مدد ڪن. HTML، URLs، HTTP هيڊرز ۾ ان پٽ ۽ آئوٽ پٽ ڊيٽا کي محفوظ ڪرڻ، تصديق ڪرڻ، يا صفائي ڪرڻ لاءِ اهي APIs ڪيئن استعمال ڪجي، ۽ جڏهن ڊيٽابيس ۽ فائل سسٽم سان رابطو ڪيو وڃي ته بهترين طريقا ۽ دستاويز موجود آهن⁹. منتظمين پڻ فائلن جي قسمن کي وڌيڪ محدود ڪري سگھن ٿا جيڪي فلٽر ذريعي اپلوڊ ڪري سگھجن ٿيون.

A2 - ٽوڙيل تصديق ۽ سيشن جو انتظام

ورڈپریس ڪور سافٽ ويئر صارف جي اڪائونٽن ۽ تصديق ۽ تفصيلات کي منظم ڪري ٿو جهڙوڪ صارف جي ID، نالو، ۽ پاسورڊ سرور جي پاسي تي منظم ڪيا ويا آهن، انهي سان گڏ تصديق ڪندڙ ڪوڪيز. پاسورڊ ڊيٽابيس ۾ محفوظ ڪيا ويا آهن معياري نموني ۽ اسٽريچنگ ٽيڪنڪ استعمال ڪندي. 4.0 کان پوءِ ورڈپریس جي ورزن لاءِ لاگ آئوٽ ٿيڻ تي موجوده سيشن تباهه ٿي ويا آهن.

A3 - ڪراس سائيٽ اسڪرپٽنگ (XSS)

ورڈپریس ڪمن جو هڪ سلسلو مهيا ڪري ٿو جيڪو انهي ڳالهه کي يقيني بڻائڻ ۾ مدد ڪري ٿو ته صارف جي فراهم ڪيل ڊيٽا محفوظ آهي ¹⁰. قابل اعتماد استعمال ڪندڙ، جيڪي هڪ واحد ورڈپریس تنصيب تي ايڊمنسٽريٽر ۽ ايڊيٽر آهن، ۽ نيٽ ورڪ منتظمين صرف ورڈپریس ملٽي سائٽ ۾، اڻ ڇپيل HTML يا جاوا اسڪرپٽ پوسٽ ڪري سگهن ٿا جيئن انهن کي ضرورت هجي، جهڙوڪ پوسٽ يا صفحي جي اندر. غير قابل اعتماد استعمال ڪندڙ ۽ صارف جي موڪليل مواد کي ڊفالٽ طور فلٽر ڪيو ويندو آهي خطرناڪ ادارن کي هٽائڻ لاءِ، KSES لائبريري استعمال ڪندي wp_kses فنڪشن ذريعي.

مثال طور، ورڈپریس جي بنيادي ٽيم ورڈپریس 2.3 جي رليز ٿيڻ کان اڳ محسوس ڪيو ته فنڪشن the_search_query() کي اڪثر موضوع جي ليکڪن پاران غلط استعمال ڪيو پيو وڃي، جيڪي HTML ۾ استعمال ڪرڻ لاءِ فنڪشن جي آئوٽ کان نه بچي رهيا هئا. ٿورڙي پسمانده مطابقت کي ٽوڙڻ جي تمام ناياب صورت ۾، فنڪشن جي پيداوار کي ورڈپریس 2.3 ۾ تبديل ڪيو ويو آهي اڳي فرار ٿيڻ لاءِ.

A4 - غير محفوظ سڌو آبجیکٹ ريفرنس

ورڈپریس اڪثر ڪري سڌو اعتراض جو حوالو مهيا ڪري ٿو، جهڙوڪ صارف اڪائونٽن جي منفرد عددي سڃاڻپ ڪندڙ يا URL يا فارم فيلڊ ۾ موجود مواد. جڏهن ته اهي سڃاڻپ ڪندڙ سڌي طرح سسٽم جي معلومات کي ظاهر ڪن ٿا، WordPress’ امير اجازتون ۽ رسائي ڪنٽرول سسٽم غير مجاز درخواستن کي روڪيو.

A5 - سيڪيورٽي غلط ترتيب

ورڈپریس سيڪيورٽي ترتيب جي عملن جي اڪثريت هڪ واحد بااختيار منتظم تائين محدود آهن. ورڈپریس لاءِ ڊفالٽ سيٽنگون بنيادي ٽيم جي سطح تي مسلسل جانچيون وينديون آهن، ۽ ورڈپریس ڪور ٽيم ورڈپریس سائيٽ ¹¹ هلائڻ لاءِ سرور جي ترتيب لاءِ سيڪيورٽي کي سخت ڪرڻ لاءِ دستاويز ۽ بهترين طريقا مهيا ڪري ٿي.

A6 - حساس ڊيٽا جي نمائش

ورڈپریس صارف کاتي جا پاسورڊ پورٽبل پي ايڇ پي پاسورڊ هيشنگ فريم ورڪ¹² جي بنياد تي سالم ٿيل ۽ هيش ڪيا ويا آهن. WordPress’ اجازت وارو نظام استعمال ڪيو ويندو آهي نجي معلومات تائين رسائي کي ڪنٽرول ڪرڻ لاءِ جيئن ته رجسٽرڊ استعمال ڪندڙ. PII، تبصرو ڪندڙ ’ اي ميل ايڊريس، خانگي طور تي شايع ٿيل مواد، وغيره. WordPress 3.7 ۾، هڪ پاسورڊ طاقت ميٽر کي بنيادي سافٽ ويئر ۾ شامل ڪيو ويو آهي اضافي معلومات مهيا ڪري صارفين کي انهن جي پاسورڊ سيٽنگ ڪرڻ ۽ طاقت وڌائڻ تي اشارو. ورڈپریس وٽ پڻ اختياري ٺاھ جوڙ سيٽنگ آھي HTTPS جي ضرورت لاءِ.

A7 - غائب فنڪشن ليول رسائي ڪنٽرول

ورڈپریس ڪنهن به فنڪشن جي سطح تائين رسائي جي درخواستن لاءِ مناسب اختيار ۽ اجازتن جي جانچ ڪري ٿو عمل تي عمل ٿيڻ کان اڳ. انتظامي URLs، مينيو، ۽ صفحن جي رسائي يا ڏسڻ کي مناسب تصديق کان سواءِ تصديق واري نظام سان مضبوطي سان ضم ڪيو ويو آهي غير مجاز استعمال ڪندڙن جي رسائي کي روڪڻ لاءِ.

A8 - ڪراس سائيٽ درخواست جعلسازي (CSRF)

WordPress CSRF جي امڪاني خطرن کان بچاءُ لاءِ بااختيار صارفين کان عمل جي درخواستن جي ارادي کي درست ڪرڻ لاءِ، نونس¹³ سڏجي ٿو، ڪرپٽوگرافڪ ٽوڪن استعمال ڪري ٿو. ورڈپریس منفرد ۽ عارضي ٽوڪن ٺاهڻ ۽ تصديق ڪرڻ لاءِ انهن ٽوڪن جي نسل لاءِ هڪ API مهيا ڪري ٿو، ۽ ٽوڪن هڪ مخصوص استعمال ڪندڙ، هڪ مخصوص عمل، هڪ مخصوص اعتراض، ۽ هڪ مخصوص وقت جي مدي تائين محدود آهي، جنهن کي فارم ۾ شامل ڪري سگهجي ٿو ۽ گهربل URLs. اضافي طور تي، لاگ آئوٽ تي سڀئي نانسز باطل ٿي ويا آهن.

A9 - سڃاتل ڪمزورين سان اجزاء استعمال ڪرڻ

ورڈپریس ڪور ٽيم ويجهڙائي سان مانيٽر ڪري ٿي ڪجھ شامل ڪيل لائبريريون ۽ فريم ورڪ ورڈپریس بنيادي ڪارڪردگي لاءِ ضم ڪري ٿو. ماضي ۾ بنيادي ٽيم ڪيترن ئي ٽئين پارٽي جي اجزاء ۾ حصو ورتو آهي انهن کي وڌيڪ محفوظ بڻائڻ لاءِ، جيئن ورڈپریس 3.5.2¹⁴ ۾ TinyMCE ۾ ڪراس سائيٽ جي ڪمزوري کي درست ڪرڻ لاءِ تازه ڪاري.

جيڪڏهن ضروري هجي ته، بنيادي ٽيم اهم خارجي حصن کي فورڪ يا تبديل ڪرڻ جو فيصلو ڪري سگهي ٿي، جيئن ته جڏهن SWFUpload لائبريري کي سرڪاري طور تي 3.5.2 ۾ پلپ لوڊ لائبريري سان تبديل ڪيو ويو، ۽ سيڪيورٽي ٽيم پاران SWFUpload جو هڪ محفوظ فورڪ دستياب ڪيو ويو<¹⁵ انهن پلگ انز لاءِ جيڪي مختصر مدت ۾ SWFUpload استعمال ڪرڻ جاري رکيا.

A10 - اڻ تصديق ٿيل ريڊريڪٽس ۽ اڳتي

WordPress’ اندروني رسائي ڪنٽرول ۽ تصديق وارو نظام صارفين کي ناپسنديده منزلن ڏانهن سڌو رستو ڏيڻ جي ڪوششن جي خلاف حفاظت ڪندو يا خودڪار ريڊريڪٽس. هي ڪارڪردگي هڪ API ذريعي پلگ ان ڊولپرز لاءِ پڻ دستياب آهي، wp_safe_redirect()¹⁶.

وڌيڪ سيڪيورٽي خطرا ۽ خدشات

XXE (XML external Entity) پروسيسنگ حملن

جڏهن ايڪس ايم ايل کي پروسيس ڪري رهيو آهي، ورڈپریس خارجي ادارو ۽ اداري جي توسيع حملن کي روڪڻ لاءِ ڪسٽم XML ادارن جي لوڊشيڊنگ کي غير فعال ڪري ٿو. PHP جي بنيادي ڪارڪردگي کان ٻاهر، WordPress پلگ ان ليکڪن لاءِ اضافي محفوظ XML پروسيسنگ API مهيا نٿو ڪري.

ايس ايس آر ايف (سرور سائڊ درخواست جعلسازي) حملا

ورڈپریس پاران جاري ڪيل HTTP درخواستون لوپ بيڪ ۽ نجي IP پتي تائين رسائي کي روڪڻ لاءِ فلٽر ٿيل آهن. اضافي طور تي، رسائي صرف ڪجهه معياري HTTP بندرگاهن تائين اجازت ڏني وئي آهي.

ورڈپریس پلگ ان ۽ موضوع سيڪيورٽي

ڊفالٽ موضوع

ورڈپریس کي ھڪڙي موضوع جي ضرورت آھي چالو ڪيو وڃي مواد کي پيش ڪرڻ لاءِ فرنٽ اينڊ تي ڏيکاريل. ڊفالٽ ٿيم جيڪا بنيادي ورڈپریس سان موڪلي ٿي (في الحال "Twenty Twenty-Two") تي ​​زوردار نظر ثاني ڪئي وئي آهي ۽ سيڪيورٽي سببن جي ڪري جانچ ڪئي وئي آهي ٻنهي موضوعن جي ٽيم پاران

ڊفالٽ موضوع ڪسٽم ٿيم ڊولپمينٽ لاءِ شروعاتي نقطي جي طور تي ڪم ڪري سگهي ٿو، ۽ سائيٽ ڊولپر هڪ ٻاراڻي موضوع ٺاهي سگھي ٿو جنهن ۾ ڪجهه ڪسٽمائيزيشن شامل آهي پر اڪثر ڪارڪردگي ۽ سيڪيورٽي لاءِ ڊفالٽ موضوع تي واپس اچي ٿو. ڊفالٽ موضوع کي آساني سان هٽائي سگھجي ٿو منتظم طرفان جيڪڏهن ضرورت نه هجي.

WordPress.org موضوع ۽ پلگ ان مخزن

WordPress.org سائيٽ تي لڳ ڀڳ 50,000+ پلگ ان ۽ 5,000+ موضوع درج ٿيل آهن. اهي موضوع ۽ پلگ ان شامل ڪرڻ لاءِ پيش ڪيا ويا آهن ۽ انهن کي مخزن تي دستياب ڪرڻ کان پهريان رضاڪارن طرفان دستي طور تي جائزو ورتو ويو آهي.

مخزن ۾ پلگ ان ۽ موضوع شامل ڪرڻ جي ضمانت نه آهي ته اهي حفاظتي خطرن کان آزاد آهن. ھدايتون مهيا ڪيون ويون آھن پلگ ان ليکڪن لاءِ جمع ڪرڻ کان اڳ صلاح ڪرڻ لاءِ مخزن ¹⁷ ۾ شامل ڪرڻ لاءِ، ۽ وسيع دستاويز مهيا ڪيا ويا آھن ڪيئن ڪجي WordPress موضوع ڊولپمينٽ ¹⁸ WordPress.org سائيٽ تي.

هر پلگ ان ۽ موضوع ۾ اها صلاحيت هوندي آهي ته پلگ ان يا موضوع جي مالڪ طرفان مسلسل ترقي ڪئي وڃي، ۽ ايندڙ ڪنهن به اصلاح يا خصوصيت جي ترقي کي مخزن تي اپلوڊ ڪري سگهجي ٿو ۽ انهي تبديلي جي وضاحت سان انسٽال ٿيل انهي پلگ ان يا موضوع سان صارفين لاءِ دستياب ڪيو وڃي. سائيٽ جي منتظمين کي اطلاع ڏنو ويو آهي پلگ ان جيڪي انهن جي انتظامي ڊيش بورڊ ذريعي اپڊيٽ ٿيڻ گهرجن.

جڏهن ورڈپریس سيڪيورٽي ٽيم پاران هڪ پلگ ان جي ڪمزوري دريافت ڪئي وئي آهي، اهي پلگ ان ليکڪ سان رابطو ڪن ٿا ۽ پلگ ان جي محفوظ ورزن کي درست ڪرڻ ۽ ڇڏڻ لاءِ گڏجي ڪم ڪن ٿا. جيڪڏهن پلگ ان ليکڪ طرفان جواب جي کوٽ آهي يا جيڪڏهن خطرو سخت آهي، پلگ ان/موضوع کي عوامي ڊاريڪٽري مان ڪڍيو ويندو آهي، ۽ ڪجهه حالتن ۾، سيڪيورٽي ٽيم طرفان سڌو سنئون ۽ اپڊيٽ ڪيو ويندو آهي.

موضوع جي نظرثاني ٽيم

موضوع جي نظرثاني ٽيم رضاڪارن جو هڪ گروپ آهي، جنهن جي اڳواڻي ورڈپریس ڪميونٽي جي اهم ۽ قائم ڪيل ميمبرن ڪندي آهي، جيڪي سرڪاري ورڈپریس تھیم ڊاريڪٽري ۾ شامل ٿيڻ لاءِ پيش ڪيل موضوعن جو جائزو وٺندا ۽ منظور ڪندا آهن. Theme Review Team برقرار رکي ٿي آفيشل تھیم ريويو گائيڊ لائنز¹⁹، Theme Unit Test Datas²⁰، ۽ Theme Check Plugins²¹، ۽ ورڈپریس تھیم ڊولپر ڪميونٽي کي مشغول ڪرڻ ۽ تعليم ڏيڻ جي ڪوشش ڪري ٿي ترقي جي بهترين طريقن جي حوالي سان . گروپ ۾ شموليت ورڈپریس ڊولپمينٽ ٽيم جي بنيادي ڪمنٽس پاران معتدل آهي.

ورڈپریس سيڪيورٽي ۾ هوسٽنگ فراهم ڪندڙ جو ڪردار

ورڈپریس پليٽ فارمن جي ڪثرت تي نصب ٿي سگھي ٿو. جيتوڻيڪ ورڈپریس ڪور سافٽ ويئر محفوظ ويب ايپليڪيشن کي هلائڻ لاءِ ڪيتريون ئي شقون مهيا ڪري ٿو، جيڪي هن دستاويز ۾ شامل ڪيون ويون آهن، آپريٽنگ سسٽم جي ترتيب ۽ سافٽ ويئر کي ميزباني ڪندڙ بنيادي ويب سرور پڻ ورڈپریس ايپليڪيشنن کي محفوظ رکڻ لاءِ برابر اهم آهي.

WordPress.com ۽ WordPress سيڪيورٽي بابت هڪ نوٽ

WordPress.com دنيا ۾ سڀ کان وڏي ورڈپریس تنصيب آهي، ۽ مالڪ ۽ منظم آهي Automattic, Inc.، جيڪو Matt Mullenweg پاران قائم ڪيو ويو، ورڈپریس پروجيڪٽ جي ڪو-ٺاهيندڙ. WordPress.com بنيادي ورڈپریس سافٽ ويئر تي هلندو آهي، ۽ ان جا پنهنجا حفاظتي عمل، خطرا ۽ حل آهن ²². هي دستاويز سيڪيورٽي جي حوالي سان حوالو ڏئي ٿو خود ميزباني، ڊائون لوڊ لائق اوپن سورس ورڈپریس سافٽ ويئر WordPress.org تان دستياب آهي ۽ دنيا جي ڪنهن به سرور تي انسٽال ڪري سگهجي ٿو.

ضميمو

ڪور ورڈپریس APIs

ورڈپریس ڪور ايپليڪيشن پروگرامنگ انٽرفيس (API) ڪيترن ئي انفرادي APIs²³ تي مشتمل آهي، هر هڪ ۾ شامل ڪيل افعال کي ڍڪي ٿو، ۽ استعمال ڪرڻ، ڪارڪردگي جي ڏنل سيٽ کي. گڏو گڏ، اهي ٺاهيندا آهن پروجيڪٽ انٽرفيس جيڪو پلگ ان ۽ موضوعن سان رابطو ڪرڻ، تبديل ڪرڻ، ۽ ورڈپریس جي بنيادي ڪارڪردگي کي محفوظ ۽ محفوظ طور تي وڌائڻ جي اجازت ڏئي ٿو.

جڏهن ته هر ورڈپریس API ورڈپریس ڪور سافٽ ويئر سان لهه وچڙ ۽ وڌائڻ لاءِ بهترين طريقا ۽ معياري طريقا مهيا ڪري ٿو، هيٺ ڏنل ورڈپریس APIs ورڈپریس سيڪيورٽي کي لاڳو ڪرڻ ۽ سخت ڪرڻ لاءِ سڀ کان وڌيڪ مناسب آهن:

ڊيٽابيس API

ڊيٽابيس API²⁴، ورڈپریس 0.71 ۾ شامل ڪيو ويو، ڊيٽا تائين رسائي لاءِ صحيح طريقو مهيا ڪري ٿو نامزد ڪيل قدر جيڪي ڊيٽابيس جي پرت ۾ محفوظ ٿيل آهن.

فائل سسٽم API

فائل سسٽم API²⁵، WordPress 2.6²⁶ ۾ شامل ڪيو ويو، اصل ۾ WordPress’ ذاتي خودڪار تازه ڪاري خصوصيت. Filesystem API تجزيا ڪري ٿو فنڪشنلٽي کي مقامي فائلن کي پڙهڻ ۽ لکڻ لاءِ گهربل فائل سسٽم کي محفوظ طريقي سان ڪيو وڃي، ميزبان جي مختلف قسمن تي.

اهو WP_Filesystem_Base ڪلاس ذريعي ڪري ٿو، ۽ ڪيترائي ذيلي ڪلاس جيڪي مقامي فائل سسٽم سان ڳنڍڻ جا مختلف طريقا لاڳو ڪن ٿا، انفرادي ميزبان جي مدد تي منحصر آهي. ڪو به موضوع يا پلگ ان جنهن کي مقامي طور تي فائلون لکڻ جي ضرورت آهي ته ائين ڪرڻ گهرجي WP_Filesystem فيملي آف ڪلاسز استعمال ڪندي.

HTTP API

HTTP API²⁷، WordPress 2.7²⁸ ۾ شامل ڪيو ويو ۽ ورڈپریس 2.8 ۾ وڌيڪ وڌايو ويو، ورڈپریس لاءِ HTTP درخواستن کي معياري بڻائي ٿو. API ڪوڪيز کي سنڀاليندو آهي، gzip انڪوڊنگ ۽ ڊيڪوڊنگ، چنڪ ڊيڪوڊنگ (جيڪڏهن HTTP 1.1)، ۽ ٻيا مختلف HTTP پروٽوڪول لاڳو ڪرڻ. API درخواستن کي معياري ڪري ٿو، موڪلڻ کان پهريان هر طريقي کي جانچي ٿو، ۽، توهان جي سرور جي ترتيب جي بنياد تي، درخواست ڪرڻ لاء مناسب طريقو استعمال ڪري ٿو.

اجازتون ۽ موجوده صارف API

اجازتون ۽ موجوده صارف API²⁹ افعال جو ھڪڙو سيٽ آھي جيڪو موجوده استعمال ڪندڙ جي اجازتن ۽ اٿارٽي جي تصديق ڪرڻ ۾ مدد ڪندو جيڪو ڪنھن ڪم يا آپريشن جي درخواست ڪئي پئي وڃي، ۽ غير مجاز استعمال ڪندڙن کي انھن جي اجازت کان وڌيڪ افعال تائين رسائي يا انجام ڏيڻ کان وڌيڪ تحفظ ڏئي سگھن ٿا. صلاحيتون.

اڇو پيپر مواد لائسنس

هن دستاويز ۾ متن (نه شامل آهي WordPress لوگو يا ٽريڊ مارڪ) لائسنس هيٺ ڏنل آهي CC0 1.0 Universal (CC0 1.0) عوامي ڊومين وقف. توهان ڪاپي ڪري سگهو ٿا، تبديل ڪري سگهو ٿا، ورهائي سگهو ٿا ۽ ڪم انجام ڏئي سگهو ٿا، جيتوڻيڪ تجارتي مقصدن لاءِ، سڀ ڪجهه پڇڻ کان سواءِ.

Drupal's سيڪيورٽي وائيٽ پيپر لاءِ خاص مهرباني، جنهن ڪجهه حوصلو ڏنو.

اضافي پڙهڻ

• ورڈپریس نيوز https://wordpress.org/news/
• ورڈپریس سيڪيورٽي جاري ڪري ٿو https://wordpress.org/news/category/security/
• ورڈپریس ڊولپر وسيلا https://developer.wordpress.org/

لکيل سارا روسو

بيري ابراهامسن، مائيڪل ايڊمز، جون ڪيف، هيلن هو-سنڊ، ڊيون هولسي، مو جانگدا، پال مائيورانا، پاران شراڪت

ورجن 1.0 مارچ 2015

فوٽ نوٽس

• [1] https://w3techs.com/, as of December 2019
• [2] https://make.wordpress.org/core/handbook/about/release-cycle/
• [3] https://make.wordpress.org/core/handbook/about/release-cycle/version-numbering/
• [4] https://wordpress.org/news/2014/08/wordpress-3-9-2/
• [5] https://hackerone.com/wordpress
• [6] https://wordpress.org/news/
• [7] https://wordpress.org/news/2013/10/basie/
• [8] https://www.owasp.org/index.php/Top_10_2013-Top_10
• [9] https://developer.wordpress.org/plugins/security/
• [10] https://codex.wordpress.org/Data_Validation#HTML.2FXML
• [11] https://wordpress.org/support/article/hardening-wordpress/
• [12] https://www.openwall.com/phpass/
• [13] https://developer.wordpress.org/plugins/security/nonces/
• [14] https://wordpress.org/news/2013/06/wordpress-3-5-2/
• [15] https://make.wordpress.org/core/2013/06/21/secure-swfupload/
• [16] https://developer.wordpress.org/reference/functions/wp_safe_redirect/
• [17] https://wordpress.org/plugins/developers/
• [18] https://developer.wordpress.org/themes/getting-started/
• [19] https://make.wordpress.org/themes/handbook/review/
• [20] https://codex.wordpress.org/Theme_Unit_Test
• [21] https://wordpress.org/plugins/theme-check/
• [22] https://automattic.com/security/
• [23] https://codex.wordpress.org/WordPress_APIs
• [24] https://developer.wordpress.org/apis/handbook/database/
• [25] https://codex.wordpress.org/Filesystem_API
• [26] https://wordpress.org/support/wordpress-version/version-2-6/
• [27] https://developer.wordpress.org/plugins/http-api/
• [28] https://wordpress.org/support/wordpress-version/version-2-7/
• [29] https://developer.wordpress.org/reference/functions/current_user_can/