এখন ওয়ার্ডপ্রেস আরো নিরাপদ

WP অবশেষে নিরাপত্তা বৈশিষ্ট্য পায় যা ইন্টারনেটের এক তৃতীয়াংশ প্রাপ্য।

ওয়ার্ডপ্রেস 5.2 ক্রিপ্টোগ্রাফিকভাবে স্বাক্ষরিত আপডেট, একটি আধুনিক ক্রিপ্টোগ্রাফিক লাইব্রেরির জন্য সমর্থন সহ প্রকাশিত হয়েছে।

ওয়ার্ডপ্রেস কন্টেন্ট ম্যানেজমেন্ট সিস্টেম (সিএমএস) আজ নতুন নিরাপত্তা বৈশিষ্ট্যগুলির একটি ভাণ্ডার পেতে সেট করা হয়েছে যা অবশেষে সুরক্ষার স্তর যোগ করবে যার অনেক ব্যবহারকারী বছরের পর বছর ধরে আকাঙ্ক্ষিত। আজকের পরে ওয়ার্ডপ্রেস 5.2 এর অফিসিয়াল রিলিজের সাথে এই বৈশিষ্ট্যগুলি প্রত্যাশিত। এর মধ্যে রয়েছে ক্রিপ্টোগ্রাফিকভাবে স্বাক্ষরিত আপডেটের জন্য সমর্থন, একটি আধুনিক ক্রিপ্টোগ্রাফিক লাইব্রেরির জন্য সমর্থন, অ্যাডমিন প্যানেলের ব্যাকএন্ডে একটি সাইট হেলথ বিভাগ এবং এমন একটি বৈশিষ্ট্য যা প্রশাসকদের বিপর্যয়মূলক PHP ত্রুটির ক্ষেত্রে তাদের ব্যাকএন্ডে লগ ইন করার জন্য একটি WSOD নিরাপত্তা সাইট হিসাবে কাজ করবে। .

সমস্ত ওয়েবসাইটের আনুমানিক 33,8 শতাংশে ওয়ার্ডপ্রেস ইনস্টল করার সাথে, এই বৈশিষ্ট্যগুলি কিছু আক্রমণ ভেক্টর সম্পর্কে কিছু উদ্বেগ দূর করতে বাধ্য।

ক্রিপ্টোগ্রাফিকভাবে স্বাক্ষরিত আপডেট

সম্ভবত আজকের নতুন নিরাপত্তা বৈশিষ্ট্যগুলির মধ্যে সবচেয়ে বড় এবং সবচেয়ে গুরুত্বপূর্ণ হল ওয়ার্ডপ্রেসের অফলাইন ডিজিটাল সিগনেচার সিস্টেম।

ওয়ার্ডপ্রেস 5.2 দিয়ে শুরু করে, ওয়ার্ডপ্রেস টিম ডিজিটালভাবে তার আপডেট প্যাকেজগুলি Ed25519 পাবলিক কী সাইনিং সিস্টেমের সাথে স্বাক্ষর করবে যাতে একটি স্থানীয় ইনস্টল স্থানীয় সাইটে প্রয়োগ করার আগে আপডেট প্যাকেজের সত্যতা যাচাই করতে সক্ষম হবে।

ক্রিপ্টোগ্রাফিকভাবে স্বাক্ষরিত আপডেটের জন্য সমর্থন যোগ করা হ্যাকারদের সমস্ত ওয়ার্ডপ্রেস সাইটে সাপ্লাই-চেইন আক্রমণ করা থেকে বিরত রাখার জন্য একটি গুরুত্বপূর্ণ পদক্ষেপ, যা নিরাপত্তা সংস্থাগুলি দুই বছরেরও বেশি সময় ধরে সচেতন হতে এবং করতে সতর্ক করেছে।

ওয়ার্ডপ্রেস 5.2 এর আগেপ্যারাগন ইনিশিয়েটিভ এন্টারপ্রাইজের চিফ ডেভেলপমেন্ট অফিসার এবং ওয়ার্ডপ্রেস আপডেট সিস্টেম সুরক্ষিত করার সাথে জড়িত ডেভেলপারদের একজন স্কট আর্কিসজেউস্কি বলেছেন, আপনি যদি ইন্টারনেটে প্রতিটি ওয়ার্ডপ্রেস সাইটকে সংক্রমিত করতে চান তবে আপনাকে কেবল (ওয়ার্ডপ্রেস) আপডেট সার্ভার হ্যাক করতে হবে।

ওয়ার্ডপ্রেস 5.2 এর পরে, আপনাকে একই আক্রমণ বন্ধ করতে হবে এবং কোনোভাবে ওয়ার্ডপ্রেস কোর ডেভেলপমেন্ট টিমের সাইনিং কী চুরি করতে হবে।

ওয়ার্ডপ্রেস একটি আধুনিক ক্রিপ্টো লাইব্রেরি পায়

কিন্তু ওয়ার্ডপ্রেস সিএমএসে আর্কিসজেউস্কির কাজ সেখানেই শেষ হয়নি। তিনি একটি পুরানো ক্রিপ্টোগ্রাফিক লাইব্রেরি প্রতিস্থাপন করে ওয়ার্ডপ্রেসে অবদান রেখেছেন যা আধুনিক সময়ের সাথে খাপ খায়।

ওয়ার্ডপ্রেস 5.2 দিয়ে শুরু করে, সিএমএস এখন অবচয়িত এবং অপসারিত mcrypt এর পরিবর্তে সমস্ত ক্রিপ্টোগ্রাফিক ক্রিয়াকলাপের জন্য Libsodium লাইব্রেরি সমর্থন করবে। লিবসোডিয়াম এখন ওয়ার্ডপ্রেস সিএমএস সোর্স কোডের অংশ, আরকিসজেউস্কির সোডিয়াম_কম্প্যাট লাইব্রেরির সাথে যা লিবসোডিয়াম সমর্থন করে না এমন পুরানো পিএইচপি সার্ভারগুলির জন্য পলিফিল হিসাবে কাজ করে। ওয়ার্ডপ্রেস এখন আধুনিক ওয়েব-ডেভ টুলের র‍্যাঙ্কে যোগদান করে যা স্থানীয়ভাবে লিবসোডিয়ামকে সমর্থন করে, যেমন পিএইচপি 7.2+, ম্যাজেন্টো 2.3+ এবং জুমলা 3.8+। উপরন্তু, ওয়ার্ডপ্রেস সিএমএস কোরে লিবসোডিয়াম যুক্ত করার সাথে, এর মানে হল যে প্লাগইন এবং থিম বিকাশকারীরা এটিকে সমর্থন করা শুরু করতে পারে।

Arciszewski আজ একটি প্রকাশিত ব্লগ পোস্ট ওয়ার্ডপ্রেস প্লাগইন এবং থিম ডেভেলপারদের জন্য প্রাথমিক পরামর্শ সহ কিভাবে পুরানো mcrypt ক্রিপ্টোগ্রাফিক ফাংশনগুলিকে libsodium দিয়ে প্রতিস্থাপন করা যায়।

সাইটের নতুন স্বাস্থ্য বিভাগ

কিন্তু আজকের রিলিজে ব্যবহারকারীরা যে প্রথম ওয়ার্ডপ্রেস 5.2 নিরাপত্তা বৈশিষ্ট্যগুলি লক্ষ্য করবেন তা হল CMS কোডের পরিবর্তন নয়, বরং অ্যাডমিন প্যানেলের টুলস মেনুতে নতুন "সাইট স্বাস্থ্য" বিভাগ। এই বিভাগে দুটি নতুন পৃষ্ঠা রয়েছে, সাইট স্বাস্থ্য এবং সাইট স্বাস্থ্য তথ্য। সাইটের স্বাস্থ্য স্থিতি পৃষ্ঠাটি মৌলিক নিরাপত্তা পরীক্ষাগুলির একটি সিরিজ সম্পাদন করে এবং ফলাফলের সাথে একটি প্রতিবেদন প্রদান করে, এবং এটি খুঁজে পাওয়া যেকোনো সমস্যা সমাধানের জন্য সুপারিশ সহ কাজ করে। এই বিভাগটি বেশ কয়েকটি বান্ডিল পরীক্ষার সাথে আসে, তবে সাইটের মালিক এবং নিরাপত্তা প্লাগইন ডেভেলপাররাও একটি WordPress সাইটের আরও এলাকায় নিরাপত্তা নিয়ন্ত্রণ প্রসারিত করতে তাদের নিজস্ব লিখতে পারেন।

দ্বিতীয় বিভাগ, বলা হয় সাইট স্বাস্থ্য তথ্য, এর নাম বোঝায়। এটি ওয়েবসাইট এবং সার্ভার কনফিগারেশন তথ্যের একটি সম্পদ প্রদান করে এবং এটি ডিবাগিং উদ্দেশ্যে বা যখন সহায়তা পরিষেবার জন্য কোনও আইটি পেশাদারের সাথে সাইটটি শেয়ার করার প্রয়োজন হয়। ওয়ার্ডপ্রেস ইনস্টলেশন, অন্তর্নিহিত সার্ভার, প্লাগইন, থিম এবং ফাইল স্টোরেজ ব্যবহার সম্পর্কে তথ্য প্রদান করা হয়েছে।

সার্ভহ্যাপি বৈশিষ্ট্য

ওয়ার্ডপ্রেস 5.2-এ অন্তর্ভুক্ত আরেকটি নতুন নিরাপত্তা বৈশিষ্ট্য হল সুখী প্রকল্প, যা মূলত ওয়ার্ডপ্রেস 5.1 এর সাথে রিলিজ হওয়ার কথা ছিল, কিন্তু ওয়ার্ডপ্রেস 5.1 এর সাথে প্রোজেক্ট শিপিং এবং বাকি অর্ধেক আজ ওয়ার্ডপ্রেস 5.2 এর সাথে শিপিং সহ দুই ভাগে বিভক্ত।

ওয়ার্ডপ্রেস 5.1 ওয়ার্ডপ্রেস সার্ভারগুলি পুরানো পিএইচপি সংস্করণ সহ সার্ভারগুলিতে চললে সতর্কতা দেখানোর ক্ষমতা অন্তর্ভুক্ত করে। আজ প্রকাশিত ওয়ার্ডপ্রেস 5.2, 'হোয়াইট স্ক্রিন অফ ডেথ' (WSOD) নামে একটি বৈশিষ্ট্য অন্তর্ভুক্ত করবে এবং ওয়ার্ডপ্রেস সাইটগুলির জন্য একটি "নিরাপদ মোড" হিসাবে কাজ করবে। একটি মারাত্মক PHP ত্রুটি ঘটলে WSOD সুরক্ষা সাময়িকভাবে থিম এবং প্লাগইনগুলি অক্ষম করে কাজ করে, তাই সাইট অ্যাডমিনিস্ট্রেটররা তাদের সাইটের ব্যাকএন্ডগুলিতে অ্যাক্সেস পুনরুদ্ধার করতে পারে এবং ত্রুটিটি ঠিক করতে পারে।

বৈশিষ্ট্যটি প্রাথমিকভাবে ওয়ার্ডপ্রেস 5.1 এর জন্য পরিকল্পনা করা হয়েছিল কিন্তু নিরাপত্তা কর্মকর্তারা বেশ কয়েকটি পরিস্থিতি উত্থাপন করার পরে সংস্করণ 5.2 এ বিলম্বিত হয়েছিল যেখানে হ্যাকাররা ওয়ার্ডপ্রেস সিকিউরিটি প্লাগইনগুলি নিষ্ক্রিয় করতে এবং ওয়ার্ডপ্রেস সাইটগুলিতে আক্রমণ শুরু করতে WSOD সুরক্ষা ব্যবস্থার অপব্যবহার করতে পারে।

ভবিষ্যৎ পরিকল্পনা

ওয়ার্ডপ্রেস নিরাপত্তা উন্নত করার কাজ সংস্করণ 5.2 প্রকাশের সাথে সাথে বন্ধ হবে না। অন্যান্য প্রকল্পের মধ্যে রয়েছে গোসামার প্রকল্প, ওয়ার্ডপ্রেস 5.4 এর জন্য পরিকল্পনা করা হয়েছে। Gossamer প্রকল্পের লক্ষ্য হল প্রধান ওয়ার্ডপ্রেস আপডেটের জন্য ব্যবহৃত একই কোড-সাইনিং সিস্টেমকে একটি কাঠামোর মধ্যে আনা যা ডেভেলপাররা ওয়ার্ডপ্রেস থিম এবং প্লাগইনগুলির জন্য কোড-সাইনিং আপডেটের জন্য ব্যবহার করতে পারে।