Segurtasuna

Lortu informazio gehiago WordPress muin softwarearen segurtasunari buruzko doako liburu zuri honetan. PDF formatuan ere, deskarga dezakezu.

Gainbegirada

Dokumentu hau WordPress-en muin softwarearen garapenaren eta horri lotutako segurtasun-prozesuen azterketa eta azalpena da, baita softwarean zuzenean sortutako berezko segurtasunaren azterketa ere. WordPress-en edukiak kudeatzeko sistema edo web aplikazioen esparru gisa ebaluatzen duten erabakitzaileek, analisian eta erabakiak hartzerakoan, dokumentu hau erabili beharko lukete, eta garatzaileek, softwarearen segurtasun osagaiak eta praktika onak ezagutzeko.

Dokumentu honetako informazioa softwarearen azken argitalpen egonkorrerako, WordPress 4.7, argitaratzen den unean eguneratuta dago, baina softwarearen bertsio berrienetarako ere garrantzitsutzat jo beharko litzateke, atzeranzko bateragarritasuna ardatza baita WordPress garapen taldearentzat. Segurtasun neurri eta aldaketa zehatzak sumatuko dira, bertsio argitalpen jakin batzuetan muin softwarera gehitu baitira. Biziki gomendagarria da WordPress-en azken bertsio egonkorra exekutatzea beti, ahalik eta esperientziarik seguruena ziurtatzeko.

Laburpen Exekutiboa

WordPress milioika webgune, web aplikazio eta blog elikatzeko erabiltzen den kode irekiko edukiak kudeatzeko sistema dinamikoa da. Gaur egun, Interneteko onenen arteko 10 milioi webgune baino gehiago43% hornitzen ditu. WordPress-en erabilgarritasuna, hedagarritasuna eta garapen helduen komunitateak tamaina guztietako webguneetarako aukera ezaguna eta segurua bihurtzen dute.

2003an sortu zenetik, WordPress-ek etengabeko gogortzea jasan du; hori dela eta, bere muinezko softwareak segurtasun mehatxu arruntak zuzendu eta arindu ditzake, dokumentu honetan eztabaidatzen diren The Open Web Application Security Project-ek (OWASP) segurtasun ahultasun arrunt gisa identifikatutako 10 zerrenda nagusiak barne.

WordPress Segurtasun Taldeak, WordPress Core Leadership Team-ekin lankidetzan eta WordPress komunitate globalaren babesarekin, WordPress.org webgunean banatzeko eta instalatzeko eskuragarri dagoen muinezko softwarean segurtasun arazoak identifikatzen eta konpontzen lan egiten du, baita hirugarrenen plugin eta itxura-egileentzako segurtasun praktika onenak gomendatu eta dokumentatu ere.

Guneen garatzaileek eta administratzaileek arreta berezia eskaini behar diete ahultasun arrunten iturri izan diren muineko APIen eta azpiko zerbitzariaren konfigurazioen erabilera zuzenari, baita erabiltzaile guztiek WordPress-era sartzeko pasahitz sendoak erabiltzen dituztela ere.

WordPress-en Ikuspegi Orokorra

WordPress doako eta kode irekiko edukiak kudeatzeko sistema (CMS) da. Munduan gehien erabiltzen den CMS softwarea da, eta43% onenen arteko 10 milioi webgune baino gehiago¹ elikatzen ditu, eta CMS erabiltzen duten gune guztien62% merkatua partekatzen duela estimatzen da.

WordPress Lizentzia Publiko Orokorraren (GPLv2 edo berriagoak) lizentziapean dago, lau askatasun muinak eskaintzen dituen eta WordPress-en eskubide-adierazpen gisa har daitekeena:

1. Edozein helburuetarako programa exekutatzeko askatasuna.
2. Programaren funtzionamendua aztertzeko askatasuna, nahi duzuna egin dezan lortzeko aldaketak egitekoa .
3. Birbanatzeko askatasuna.
4. Aldatutako bertsioen kopiak besteei banatzeko askatasuna.

WordPress Core Leadership Team

WordPress proiektua meritokrazia bat da; muin talde nagusi batek zuzentzen du proiektua, eta Matt Mullenweg bere sortzaile eta garatzaile nagusiak zuzentzen du taldea. Taldeak proiektuaren alderdi guztiak zuzentzen ditu, besteak beste, muinaren garapena, WordPress.org eta komunitatearen ekimenak.

Core Leadership Team osatzen dute Matt Mullenweg-ek, bost garatzaile nagusik eta behin betiko konpromiso sarbidea duten dozena bat muin garatzailek baino gehiagok. Garatzaile hauek azken aginpidea dute erabaki teknikoetarako, eta arkitektura eztabaidak eta inplementazio ahaleginak zuzentzen dituzte.

WordPress-ek garatzaile laguntzaile ugari ditu. Horietako batzuk lehengo edo oraingo komisarioak dira, eta beste batzuk, etorkizunekoak. Garatzaile laguntzaile hauek WordPress-en laguntzaile fidagarriak eta beteranoak dira, beren ikaskideen artean errespetu handia lortu baitute. Behar izanez gero, WordPress-ek baditu gonbidatu-komisarioak ere, konpromiso-sarbidea ematen dutenak, osagai jakin baterako batzuetan, aldi baterako edo proba moduan besteetan.

Batez ere, muin nagusiek eta laguntzen dutenek garatzen dute WordPress. Bertsio guztietan, ehunka garatzailek WordPress-i ematen diote kodea. Muin laguntzaile hauek muin kodebasean, nolabait, laguntzen duten boluntarioak dira.

WordPress Argitalpen Zikloa

WordPres-en argitalpen-ziklo bakoitza muineko WordPres-en garatzaileetako batek edo gehiagok gidatzen dute. Normalean, argitalpen-ziklo batek 4 hilabete inguru irauten du hasierako irismeneko bileratik bertsioa abiarazi arte.

Argitalpen ziklo batek eredu hau jarraitzen du²:

• 1. Fasea: Taldea planifikatzea eta ziurtatzea. Hau Slack kaleko #muin txat gelan egiten da. Argitalpenaren buruak WordPress-en hurrengo argitalpenaren ezaugarriak aztertzen ditu. WordPress-en ekarleek eztabaida horretan parte hartzen dute. Argitalpen-buruak, ezaugarri bakoitzerako, taldeko buruak identifikatuko ditu.
• 2. Fasea: Garapen lanak hasten dira. Taldeak gidatzen ditu, eta esleitutako ezaugarriak lantzen ditu. Ohiko txatak programatuta daude garapenak aurrera egiten jarraitzeko.
• 3. Fasea: Beta. Betak argitaratzen dira, eta beta probatzaileei akatsen berri ematen hasteko eskatzen zaie. Fase honetatik aurrera, ez da hobekuntza edo ezaugarri berrietarako konpromiso gehiagorik eskatzen. Hirugarrenen pluginak eta itxura-egileak datozen aldaketen aurka beren kodea probatzera animatzen dira.
• 4. Fasea: Hautagaia Argitalpena. Une honetatik aurrera, kate itzulgarriak izozteko aukera dago. Lana erregresioetara eta blokeatzaileetara soilik dago bideratuta
• 5. Fasea: Abian jartzea. WordPress bertsioa abian, eta eskuragarri jarri da WordPress Adminen eguneratzeetarako.

Bertsioen Zenbakiketa eta Segurtasun Argitarapenak

WordPress-en bertsio nagusi bat lehen bi sekuentziek diktatua da. Adibidez, 3.5 argitalpena handia da, 3.6, 3.7 edo 4.0 bezala. Ez dago WordPress 3 edota WordPress 4, eta argitalpen nagusi bakoitza bere zenbakiaren bidez aipatzen da, adibidez:

Argitalpen nagusiek erabiltzailearentazat ezaugarri berriak eta garatzaileentzat APIak gehitu ditzakete. Nahiz eta ohikoa den softwarearen munduan bertsio "nagusi" bat izatea atzeranzko bateragarritasuna hautsi dezakeenaren ustea ontzat hartzea, WordPress bertsio zaharrekiko edo atzeranzko bateragarritasuna inoiz ez hausten saiatzen da. Bertsio zaharrekiko bateragarritasuna proiektuaren filosofiarik garrantzitsuenetako bat da, erabiltzaile eta garatzaileei eguneratzeak errazteko helburuarekin.

WordPress-en bertsio txiki bat hirugarren sekuentziak diktatua da. 3.5.1 bertsioa argitalpen txiki bat da, 3.4.2³ bezala. Argitalpen txikia segurtasun ahultasunak eta akats larriak konpontzeko soilik gordetzen da. WordPres-en argitalpen berriak hain sarri kaleratzen direnez, helburua 4-5 hilabetero argitalpen nagusi bat lortzea da, eta bidalketa txikiak gertu egongo dira beharren arabera; argitalpen handiak eta txikiak soilik behar dira.

Atzeranzko Bertsioekiko Bateragarritasuna

WordPress proiektuak konpromiso sendoa du atzeranzko bateragarritasunarekin. Konpromiso honek esan nahi du itxurek, pluginek eta pertsonalizazioa funtzionatzen jarraitzen dutela WordPress muin softwarea eguneratzen denean, kokalekuaren jabeek WordPress azken argitalpen segurua eguneratu dezaten bultzatuz.

WordPress eta Segurtasuna

WordPress Segurtasun Taldea

WordPress Segurtasun Taldea, gutxi gorabehera, 50 adituk osatzen dute, horien artean, garatzaile nagusiak eta segurtasun ikertzaileen &mdash erdia inguru Automattic-eko langileak dira (WordPress.com-eko sortzaileak; WordPress, webguneko ostatatze plataforma zaharrena eta handiena), eta webgunearen segurtasun arloan lan egiten dute. Taldeak segurtasuneko ikertzaile eta konfiantzazko ikertzaile eta ³ enpresa ezagunekin kontsultatzen du.

WordPress Segurtasun Taldea lankidetzan aritzen da, beste segurtasun talde batzuekin, mendekotasun arruntetako arazoei aurre egiteko, adibidez, PHPren XML analizatzailearen ahultasuna konpontzeko, zeina erabilia baita API XML-RPCn WordPress-ekin WordPress 3.9.2n.⁴. Ahultasun ebazpen hau, WordPress eta Drupal segurtasun taldeek egindako ahalegin bateratuaren emaitza izan zen.

WordPress Segurtasun Arriskuak, Prozesua eta Historia

WordPress Segurtasun Taldeak Dibulgazio Arduratsuan sinesten du balizko ahultasunen aurrean segurtasun taldearen berehalako ohartarazpenerako. Segurtasun ahultasun potentzialak Segurtasun Taldeari adierazi ahal zaizkioWordPress HackerOne⁵ bidez. Segurtasun Taldea Slack kanal pribatu baten bidez komunikatzen da, eta Trac pribatu baten bitartez lan egiten du akatsak eta segurtasun arazoak jarraitzeko, probatzeko eta konpontzeko.

Segurtasun-txosten bakoitza jaso ondoren, erantzun egiten da, eta taldeak ahultasuna egiaztatzeko eta haren larritasuna zehazteko lan egiten du. Berretsiz gero, segurtasun taldeak konponketa bat planifikatuko du WordPress softwarearen hurrengo argitalpenean konprometituta egon daitekeen arazoa moldatzeko, edo, bestela, berehalako segurtasun argitalpen gisa bultza daiteke, baldin arazoaren larritasuna nolakoa den.

Segurtasun-argitalpen bat berehala lortzeko, Segurtasun Taldeak ohar bat argitaratzen du WordPress.org webgunean⁶ argitalpena iragarri eta aldaketak zehaztuz. Etorkizunean txosten arduratsuak egiten jarraitzeko eta indartzeko, ahultasun bat modu arduratsuan ezagutzera ematea eskertuko da.

WordPress-en softwarearen administratzaileek webguneko arbelean jakinarazpen bat ikusten dute argitalpen berria eskuragarri dagoenean, eta eskuz egindako bertsio-berritzeen ondoren, aldaketen xehetasunak dituen Honi buruz WordPress pantailara berbideratzen dira erabiltzaileak. Administratzaileek, atzeko planoko eguneratze automatikoak gaituta badituzte, e-posta bat jasoko dute bertsio-berritzea amaitu ondoren.

Segurtasun Argitalpenen Atzeko Eguneraketa Automatikoak

3.7 bertsiotik hasita, WordPress-ek atzeko planoko eguneratze automatikoak aurkeztu ditu⁷ argitalpen txikientzako, hala nola 3.7.1 eta 3.7.2 argitalpenentzako. Izan ere, WordPress Segurtasun Taldeak WordPress-erako segurtasun hobekuntza automatizatuak identifikatu, konpondu eta bultzatu ditzake gunearen jabeak ezer egin beharrik izan gabe, eta segurtasun eguneratzea automatikoki instalatuko da.

WordPress-en uneko bertsio egonkorrerako segurtasun-eguneratzea bultzatzen denean, muin taldeak segurtasun-eguneratzeak bultzatuko ditu atzeko planoko eguneratzeak egiteko gai diren bertsio guztietarako (WordPress 3.7tik aurrera); beraz, WordPress-en bertsio zaharragoak, baina oraindik berriak direnak, segurtasun hobekuntzak jasoko dituzte.

Gune bakoitzaren jabeek, konfigurazio fitxategian aldaketa sinple baten bidez, atzeko planoko eguneratze automatikoak kentzea aukera dezakete, baina muin taldeak dioenez funtzionaltasuna gordetzea oso gomendagarria da, baita WordPress-en azken argitalpen egonkorra exekutatzea ere.

2013ko OWASP Top 10

Web Aplikazio Irekietarako Segurtasun Proiektua/Open Web Application Security Project (OWASP) web aplikazioen segurtasunari eskainitako lineako komunitatea da. OWASP Top 10⁸ zerrenda erakunde ugariren aplikazioen segurtasun arriskurik larrienak identifikatzean oinarritzen da. Top 10 elementuak ustiapenaren, antzemanaren eta inpaktuaren kalkuluen adostasun estimazioekin konbinatuta hautatu eta lehenesten dira.

WordPress-ek muin softwarea eta hirugarrenen pluginak eta balizko arrisku horien aurkako atalak sendotzeko erabiltzen dituen APIak, baliabideak eta politikak aztertzen dira ondorengo ataletan.

A1 - Injekzioa

WordPress-en ezarpen eta API multzo bat dago eskuragarri, garatzaileei baimenik gabeko kodea ezin dela injektatu ziurtatzen laguntzeko eta datuak balioztatzen eta garbitzen laguntzeko. Badago eskuragarri, HTML, URL, HTTPn goiburuetan, praktika onak eta dokumentazioa⁹ API hauek nola erabili ikasteko, baita datu-basearekin eta fitxategi sistemarekin, elkarreraginean sartzeko eta irteerako datuak babesteko, balioztatzeko edo garbitzeko ere. Administratzaileek iragazki bidez igo daitezkeen fitxategi motak ere murriztu ditzakete.

A2 - Hautsitako Benetakotza egiaztatu eta Saioaren Kudeaketa

WordPress-en muin softwareak, erabiltzaileen kontuak eta egiaztaketak kudeatzen ditu eta erabiltzailearen IDa, izena eta pasahitza bezalakoak xehetasunak, berriz, zerbitzariaren aldetik kudeatzen dira, baita egiaztaketa cookieak ere. Pasahitzak datu-basean babesten dira gatz eta dilatazio teknika estandarrak erabiliz. Alabaina, 4.0 bertsioaren ondorengoak WordPress bertsioetarako saioa amaitzean suntsitu egiten dira lehendik dauden saioak.

A3 - Cross Gune Scripting (XSS)

WordPress-ek, erabiltzaileak emandako datuak ¹⁰ seguruak direla ziurtatzeko, funtzio ugari eskaintzen ditu. Konfiantzazko erabiltzaileek, hau da WordPress instalazio bakarreko administratzaile eta editoreak, eta sareko administratzaileek WordPress Gune-anitzean soilik, iragazi gabeko HTML edo Javascript-a bidal dezakete behar duten moduan, hala nola mezu edo orri baten barruan. Fidagarriak ez diren erabiltzaileak eta horiek bidalitako edukia, entitate arriskutsuak kentzeko, lehenespenez iragazten dira KSES liburutegia wp_kses funtzioaren bidez.

Adibide gisa, WordPress-en muin taldea, WordPress 2.3 argitaratu aurretik, gai honen egile gehienek funtzioa gaizki erabiltzen zutelathe_search_query() ohartu zen, ez baitzuten funtzio horretatik ihes egiten HTML erabiltzean. Atzeranzko bateragarritasuna apur bat hausten den kasu oso arraro bat eman da honetan, eta aldez aurretik ihes egiteko, funtzioaren irteera aldatu egin da WordPress 2.3n.

A4 - Segurua ez den Objektu Zuzenaren Erreferentzia

WordPress-ek, askotan, objektuetarako erreferentzia zuzena eskaintzen du, hala nola erabiltzaileen kontuen zenbakizko identifikatzaile bakarrak edo URL zehin inprimaki eremuetan eskuragarri dagoen edukia. Identifikatzaile horiek sistemaren informazio zuzena erakusten badute ere, WordPress-en baimen eta sarbidea kontrolatzeko sistema aberatsak baimenik gabeko eskaerak ekiditen ditu.

A5 - Segurtasun Okerreko Konfigurazioa

WordPress-en segurtasun konfigurazio eragiketa gehienak baimendutako administratzaile bakar batera mugatzen dira. WordPress-en ezarpen lehenetsiak etengabe ebaluatzen dira muin talde mailan, eta WordPress-en muin taldeak, zerbitzariaren konfigurazioaren segurtasuna estutzeko, dokumentazioa eta jardunbide egokiak eskaintzen ditu WordPress gunea¹¹ exekutatzeko unean.

A6 - Datu Sentikorren Esposizioa

WordPress-en, erabiltzaile kontuaren pasahitzak Portable PHP Password Hashing Framework¹²-ean oinarrituz salt-eatu eta hash-eatzen dira. WordPress baimen sistema informazio pribaturako sarbidea kontrolatzeko erabiltzen da, izena emandako erabiltzaileen PII (informazio Pribatu Pertsonala) iruzkinlarien e-posta helbideak, modu pribatuan argitaratutako edukia, etab. WordPress 3.7ren muin softwarean, pasahitzen indar-neurgailu bat sartu zen oinarrizko erabiltzaileei informazio gehigarria eskainiz eta pasahitzaren ezarpenak handitzeko aholkuak ezarriz. WordPress-ek HTTPS eskatzeko aukerako konfigurazio ezarpena ere badu.

A7 - Funtzio Maila Sarbide Kontrola falta da

WordPress-ek funtzio-mailako sarbide-eskaeretarako ekintza burutu aurretik baimenak egiaztatzen ditu. Administrazio URLak, menuak eta orrialdeak benetakotze egiaztapen egokirik gabe atzitzea edo bistaratzea estuki integratuta dago benetakotze egiaztapen sistemarekin baimenik gabeko erabiltzaileen sarbidea ekiditeko.

A8 - Cross Gune Request Forgery (CSRF)

WordPress-ek, baimendutako erabiltzaileek CSRF balizko mehatxuen aurka babesteko ekintza eskaerak balioztatzeko, nonces¹³ izeneko token kriptografikoak erabiltzen ditu. WordPress-ek, token horiek sortzeko, API bat eskaintzen du token bakarrak eta aldi baterakoak sortzeko eta egiaztatzeko, eta tokena erabiltzaile zehatz, ekintza zehatz, objektu zehatz eta denbora-tarte jakin batera mugatzen da, inprimakiei eta URLei beharren arabera gehi dakiekeena. Gainera, saioa amaitzean, nonce balio guztiak baliogabetzen dira.

A9 - Ezagutzen diren Ahultasunak dituzten Osagaiak Erabiltzea

WordPress-en muin taldeak gertutik kontrolatzen ditu barnean dituen liburutegi eta WordPress-ek funtzionalitate muinerako integratzen dituen esparru gutxi batzuk. Iraganean, muin taldeak, seguruagoak izan zitezen, hirugarrenen hainbat osagairi ekarpenak egin zizkien; esate baterako, eguneratu TinyMCEn WordPress 3.5.2ren¹⁴ guneen arteko ahultasuna konpontzekoa.

Beharrezkoa izanez gero, muin taldeak kanpoko osagai kritikoak adarkatzea edo ordezkatzea erabaki dezake, adibidez, SWFUpload liburutegia Plupload 3.5.2 liburutegiak ofizialki ordezkatu zuenean eta segurtasun-taldeak SWFUpload erabiltzen jarraitzen zuten plugin horientzat, epe laburrean, SWFUpload-en adarkatze segurua <¹⁵ eskuragarri jarri zuenean.

A10 - Balio gabeko Birzuzenketak eta Birbidalketak

WordPress-en egiaztatze eta sarbide kontrolak erabiltzailea nahi ez duen lekuetara edo birzuzenketa automatikoetara bidaltzearen auka babestuko du. Funtzionalitate hau plugin-garatzaileentzat eskuragarri dago API baten bidez,wp_safe_redirect()¹⁶.

Segurtasun Arrisku eta Arazo Gehiago

XXE (XML eXternal Entity) prozesatzeko erasoak

XML prozesatzean, kanpoko entitatea zein entitatearen hedapen erasoak ekiditeko, WordPress-ek XML entitate pertsonalizatuak kargatzea desgaitzen du. PHPren muineko funtzionaltasunaz haratago, WordPress-ek ez du XML prozesatzeko API segururik eskaintzen plugin egileentzat.

SSRF (Server Side Request Forgery) Erasoak

WordPress-ek igorritako HTTP eskaerak atzera-begizta eta IP helbide pribatuetara sarbidea ekiditeko iragazi egiten dira. Gainera, sarbidea HTTP portu estandar batzuetara soilik onartzen da.

WordPress-en Plugin eta Itxuraren Segurtasuna

Itxura Lehenetsia

WordPress-ek erabiltzaile-interfazean edukia ikusgai bihurtzeko itxura bat gaitu behar du. Segurtasun arrazoiengatik, bai garatzaileen taldeak, bai garapeneko taldeak berrikusi, eta probatu dute WordPress muinarekin (gaur egun "Twenty Twenty-Four") bidalitako itxura lehenetsia.

Itxura lehenetsia itxura pertsonalizatuak garatzeko abiapuntua izan daiteke, eta guneen garatzaileek pertsonalizazio batzuk barne hartzen dituen haur-itxura bat sor dezakete, funtzio eta segurtasun gehiena lortzeko itxura lehenetsian oinarritzen dena. Administratzaile batek itxura lehenetsia, beharrezkoa ez bada, erraz kendu dezake.

WordPress.org-en Itxura eta Plugin Biltegiak

WordPress.org gunean, 50.000+ plugin eta5.000+ itxura daude zerrendatuta, gutxi gorabehera. Itxura eta plugin hauek sartzeko bidaltzen dira, eta boluntarioek eskuz berrikusten dituzte biltegian eskuragarri jarri aurretik.

Pluginak eta itxurak biltegian sartzeak ez du segurtasun ahultasunik ez dutenik bermatzen. Plugin egileei,¹⁷ biltegian sartu aurretik, jarraideak ematen zaizkie kontsultak egin ahal izateko, eta WordPress itxura-garapena ¹⁸ nola egin jakiteko, dokumentazio zabala eskaintzen da WordPress.org gunean.

Plugin edo itxuraren jabeak, etengabe, plugin eta itxura bakoitza garatzeko gaitasuna du, eta ondorengo konponketa edo ezaugarrien garapena biltegira kargatu eta aldaketa horren deskribapenarekin instalatutako plugin edo itxura hori duten erabiltzaileen eskura jarri dezake. Guneetako administratzaileei, beren administrazio arbelaren bidez, eguneratu behar diren pluginen berri ematen zaie.

WordPress Segurtasun Taldea, pluginaren ahultasuna aurkitzen duenean, pluginaren egilearekin harremanetan jartzen da, eta elkarrekin lan egiten dute pluginaren bertsio segurua konpontzeko eta argitaratzeko. Pluginaren egilearen erantzunik ez badago edo ahultasuna larria bada, plugin/itxura karpeta publikotik ateratzen da, eta, zenbait kasutan, Segurtasun Taldeak zuzenean konpondu eta eguneratzen du.

Itxura Berrikusteko Taldea

Itxura Berrikusteko Taldea, izan ere, WordPress komunitateko kide garrantzitsu eta finkatuak zuzentzen eta WordPress Itxura karpeta ofizialean sartzeko bidalitako itxurak aztertu eta onartzen dituen boluntario talde bat da. Itxura Berrikusteko Taldeak¹⁹, Itxura Berrikusteko Jarraibide Ofizialak²⁰, Itxuren Unitateen Probako Datuak eta Itxura Egiaztatzeko Pluginak²¹ mantentzen ditu, eta WordPress-en Itxura-garatzaileen komunitatea erakartzen, eta hezten saiatzen da garapen praktika onen inguruan. Talderen sarbidea WordPress garapen taldeko muin committers-ek moderatzen du.

Ostatatze Hornitzailearen Rola WordPress-en Segurtasunean

WordPress plataforma ugaritan instalatu daiteke, eta nahiz WordPress muin softwareak dokumentu honetan jasotako web aplikazio seguru bat ustiatzeko xedapen ugari eskaini, sistema eragilearen eta softwarea ostatatzen duen azpiko web zerbitzariaren konfigurazioa oso garrantzitsua da WordPress aplikazioak seguru mantentzeko.

WordPress.com eta WordPress-en segurtasunari buruzko oharra

WordPress.com munduko WordPress instalaziorik handiena da, eta Automattic, Inc. enpresa da jabea eta kudeatzen duena. Enpresa Matt Mullenweg-ek sortu zuen, eta WordPress proiektuaren sortzaileetakoa ere bada. WordPress.com-ek oinarrizko WordPress-en muin softwarean funtzionatzen du, eta bere segurtasun prozesuak, arriskuak eta²² irtenbideak ditu. Dokumentu honek deskargatu eta ostatatu daitekeen iturburu irekiko WordPress softwarearen segurtasunari egiten dio erreferentzia; WordPress.org-en eskuragarri dago, eta munduko edozein zerbitzaritan instala daiteke.

Eranskina

Core WordPress-en APIak

WordPress-en Core Application Programming Interface-a (API)²³ banakako APIek osatzen dute, bakoitzak funtzionalitate multzo jakin batean parte hartu eta erabiltzen dituen funtzioak biltzen dituena. Denak batera, proiektuaren interfazea osatzen dute, eta pluginei eta itxurei, WordPress muin funtzionalitatearekin elkarreragiteko, aldatzeko eta WordPress-en funtzionalitatea modu seguruan eta arriskurik gabe hedatzeko aukera ematen diote.

Nahiz WordPress-en API bakoitzak praktika onenak eta WordPress-en muineko softwarearekin elkarreragiteko eta hedatzeko modu estandarrak eskaintzen dituen WordPress API hauek dira WordPress-en segurtasuna indarrean jartzeko eta gogortzeko egokienak:

Datu-base APIa

WordPress 0.71n gehitutako ²⁴ Datu-basearen APIak, datu basearen geruzan izendatutako balio gisa, gordetako datuak eskuratzeko metodo zuzena eskaintzen du.

Fitxategi-sistemaren APIa

Fitxategi Sistemaren APIa²⁵, WordPress 2.6n²⁶ gehitua, jatorriz, WordPress-erako sortutako eguneratze automatikoaren ezaugarria izan zen. Filesystem APIak fitxategi lokalak irakurtzeko eta idazteko beharrezkoak diren funtzionalitateak laburbiltzen ditu, fitxategi-sistemara modu seguruan joan ahal izateko, ostalari mota desberdinetan.

Hori WP_Filesystem_Base klasearen bidez egiten du, eta fitxategi-sistema lokalera konektatzeko modu desberdinak ezartzen dituzten azpiklaseak, berriz, ostatatzearen banakako euskarriaren arabera. Fitxategiak modu lokalean idatzi behar dituen itxura edo plugin orok WP_Filesystem klaseen familia erabiliz egin beharko luke.

HTTP API

²⁷ HTTP APIak, WordPress 2.7n²⁸ gehituta eta WordPress 2.8n gehiago hedatuta, Word Press-erako HTTP eskaerak normalizatzen ditu. APIak cookieak, gzip kodetzea eta deskodetzea, zatien deskodetzea (HTTP 1.1 baldin bada) eta beste HTTP protokolo inplementazioak kudeatzen ditu. APIak eskaerak normalizatu, metodo bakoitza bidali aurretik probatu eta, zure zerbitzariaren konfigurazioan oinarrituta, metodo egokia erabiltzen du eskaera egiteko.

Baimenak eta uneko erabiltzailearen APIa

Baimenak eta uneko erabiltzailearen APIa²⁹ eskatzen ari den edozein zeregin edo eragiketa egiteko, uneko erabiltzailearen baimenak eta autoritatea egikaritzen lagunduko duen funtzio multzoa da, eta baimenik gabeko erabiltzaileek egikaritutako gaitasunetatik haratago dauden funtzioak atzitu edo egiten dituztenen aurka babes dezake.

Paper zuriaren eduki Lizentzia

Dokumentu honetako testua (WordPress logotipoa edo marka erregistratua barne) CC0 1.0 Universal (CC0 1.0) lizentziapean dago, Jabari Publikoaren Dedikazioa . Kopiatu, aldatu, banatu eta lana egikaritu dezakezu, baita helburu komertzialetarako ere, dena baimenik eskatu gabe.

Eskerrik beroenak Drupal-en segurtasun liburu zuriari , inspirazio pitin bat eman baitzuen.

Irakurketa Osagarria

• WordPress Berriak https://wordpress.org/news/
• WordPress Security argitalpenak: https://wordpress.org/news/category/security/
• WordPress Garatzailearen Baliabideak https://developer.wordpress.org/

Egilea: Sara Rosso

Barry Abrahamson, Michael Adams, Jon Cave, Helen Hou-Sand, Dion Hulse, Mo Jangda eta Paul Maiorana-ren ekarpenak

1.0 bertsioa, 2015eko Martxoa

Oin-oharrak

• [1] https://w3techs.com/, as of December 2019
• [2] https://make.wordpress.org/core/handbook/about/release-cycle/
• [3] https://make.wordpress.org/core/handbook/about/release-cycle/version-numbering/
• [4] https://wordpress.org/news/2014/08/wordpress-3-9-2/
• [5] https://hackerone.com/wordpress
• [6] https://wordpress.org/news/
• [7] https://wordpress.org/news/2013/10/basie/
• [8] https://www.owasp.org/index.php/Top_10_2013-Top_10
• [9] https://developer.wordpress.org/plugins/security/
• [10] https://codex.wordpress.org/Data_Validation#HTML.2FXML
• [11] https://wordpress.org/support/article/hardening-wordpress/
• [12] https://www.openwall.com/phpass/
• [13] https://developer.wordpress.org/plugins/security/nonces/
• [14] https://wordpress.org/news/2013/06/wordpress-3-5-2/
• [15] https://make.wordpress.org/core/2013/06/21/secure-swfupload/
• [16] https://developer.wordpress.org/reference/functions/wp_safe_redirect/
• [17] https://wordpress.org/plugins/developers/
• [18] https://developer.wordpress.org/themes/getting-started/
• [19] https://make.wordpress.org/themes/handbook/review/
• [20] https://codex.wordpress.org/Theme_Unit_Test
• [21] https://wordpress.org/plugins/theme-check/
• [22] https://automattic.com/security/
• [23] https://codex.wordpress.org/WordPress_APIs
• [24] https://developer.wordpress.org/apis/handbook/database/
• [25] https://codex.wordpress.org/Filesystem_API
• [26] https://wordpress.org/support/wordpress-version/version-2-6/
• [27] https://developer.wordpress.org/plugins/http-api/
• [28] https://wordpress.org/support/wordpress-version/version-2-7/
• [29] https://developer.wordpress.org/reference/functions/current_user_can/