Mësoni më tepër mbi sigurinë në software-in bazë WordPress nga ky dokument i lirë. Mund ta shkarkoni edhe në format PDF.

Përmbledhje

Ky dokument është një analizë dhe shpjegim i zhvillimit të software-it bazë WordPress dhe proceseve të sigurisë të lidhura me të, si dhe një shqyrtim i sigurisë mishëruar drejt e në software si pjesë e tij. Ata që kanë në dorë zgjedhjen dhe po peshojnë WordPress-in si një sistem administrimi lënde ose platformë aplikacionesh web, do të duhej ta përdornin këtë dokument në analizat e tyre dhe në vendim-marrje, ndërsa zhvilluesit t’i referohen për t’u familjarizuar me përbërësit dhe praktikat më të mira të sigurisë të software-it.

Informacioni në këtë dokument është i përditësuar për hedhjen më të re në qarkullim të software-it, WordPress 4.7, në ditën e botimit, por do të duhej të vlente edhe për versionet më të fundit të software-it, ngaqë përputhshmëria me versione më të hershëm është një fill i fuqishëm për ekipin e zhvillimit të WordPress-it. Masa dhe ndryshime specifike lidhur me sigurinë do të bëhen të ditura dora-dorës që shtohen te software-i bazë në hedhje të caktuara në qarkullim. Ju nxisim me forcë të xhironi përherë versionin më të ri të qëndrueshëm të WordPress-i, për të garantuar funksionimin më të sigurt të mundur.

Përmbledhje Ekzekutive

WordPress-i është një sistem dinamik, me burim të hapur, administrimi lënde që është përdorur për të ngritur miliona sajte, aplikacione web dhe blogje. Aktualisht mbi bazohet më shumë se 42% e 10 milionë sajteve kryesuese në Internet. Lehtësia e përdorimi, mundësia e zgjerimit dhe bashkësia e pjekur e zhvillimit të tij e bëjnë WordPress-in një zgjedhje popullore dhe të sigurt për sajte të cilësdo madhësi.

Që prej ngjizjes së tij më 2003-shin, WordPress-i ka kaluar nën forcim të vazhdueshëm, që software-i i tij bazë të mund të trajtojë dhe zbusë efektet e kërcënimeve të shpeshta ndaj sigurisë, përfshi ato prej listës së 10 Kryesueseve të identifikuara nga The Open Web Application Security Project (OWASP) si cenueshmëri të shpeshta ndaj sigurisë, të cilat diskutohet në këtë dokument.

Ekipi i Sigurisë në WordPress, në bashkëpunim me Ekipi Bazë Drejtues i WordPress-it dhe i mbështetur nga bashkësi globale WordPress, punon të gjejë dhe zgjidhë problemet e sigurisë në software-in bazë, i gatshëm për shpërndarjen dhe instalim që nga WordPress.org, si dhe të rekomandojë dhe dokumentojë, për autorë shtojcash dhe temash nga palë të treta, praktikat më të mira mbi sigurinë.

Zhvilluesit dhe përgjegjësit e sajteve duhet t’i kushtojnë vëmendje të posaçme përdorimi të saktë të API-ve bazë dhe formësimit bazë të shërbyesit, të cilat kanë qenë burimi i cenueshmërive të zakonshme, si dhe të arrijnë që krejt përdoruesit të përdorin fjalëkalime të fuqishëm për hyrjen në WordPress.

Një Përmbledhjeje WordPress-i

WordPress-i një sistem i lirë dhe me burim të hapur administrimi lënde (CMS). Është software-i CMS më i përdorur në botë dhe mban në punë më shumë se 42% të 10 milionë sajteve kryesues¹, duke pasur kështu përafërsisht 62% të tregut për krejt sajtet që përdorin një CMS.

WordPress-i licencohet sipas licencës General Public License (GPLv2 ose të mëvonshëm) e cila jep katër liri themelore, dhe mund të shihet si “deklarata e të drejtave” në WordPress:

1. Liria për ta xhiruar programin, për çfarëdo qëllimi.
2. Liria për të studiuar se si funksionon programi dhe për ta ndryshohet që ta bëni të kryejë ç’të doni.
3. Liria për të rishpërndarë kopje.
4. Liria për t’u shpërndarë të tjerëve kopje të versioneve tuaja të modifikuara.

Ekipi Bazë Drejtues i WordPress-it

Projekti WordPress është një meritokraci, e drejtuar nga ekipi bazë drejtues, dhe udhëhequr nga bashkëkrijuesi dhe programuesi udhëheqës, Matt Mullenweg. Ekipi udhëheq krejt aspektet e projektit, përfshi zhvillimin bazë, WordPress.org, dhe nisma të bashkësisë.

Ekipi Drejtues Bazë përbëhet nga Matt Mullenweg, pesë programues drejtues, dhe më shumë se një duzinë programues me leje të përhershme depozitimi. Këta zhvillues kanë autoritetin përfundimtar mbi vendime teknike, si dhe në diskutime arkitekturës udhëheqëse dhe përpjekjet për sendërtim.

WordPress-i ka një numër zhvilluesish me kontribut. Disa prej tyre janë depozitues të dikurshëm ose të tanishëm kodi, dhe disa ka gjasa të jenë depozitues të ardhshëm kodi. Këta programues me kontribut janë të kontribues të besuar dhe veteranë te WordPress-i, që kanë fituar goxha respekt mes kolegëve të tyre. Sipas nevojës, WordPress-i ka edhe depozitues mysafirë, individë të cilëve u akordohet leje depozitimi kodi, ndonjëherë për një përbërës specifik, përkohësisht ose për t’u provuar.

Zhvillimi i WordPress-it drejtohet pikësëpari nga programuesit bazë dhe ata ndihmës. Për çdo version, qindra zhvillues kontribuojnë kod te WordPress-i. Këta kontribues bazë janë vullnetarë që kontribuojnë në një farë mënyre kontribuojnë te kodi bazë.

Cikël Hedhjesh Në Qarkullim të WordPress-it

Çdo cikël hedhjesh në qarkullim e WordPress-it drejtohet nga një ose më tepër zhvillues të bazës së WordPress-it. Një cikël hedhjesh në qarkullim zakonisht zgjat gati 4 muaj, nga takimi i parë për caktimin e objektivave e deri te hedhja në qarkullim e versionit.

Një cikël hedhjeje në qarkullim ndjek rregullsinë vijuese²:

• Faza 1: Planifkim dshe sigurim i drejtuesve të ekipeve. Kjo bëhet në dhomën #core të bisedave në Slack. Drejtuesi i hedhjes në qarkullim diskuton veçori për hedhjen pasuese në qarkullim të WordPress-it. Kontribuesit në WordPress përfshihen në këtë diskutim. Drejtuesi i hedhjes në qarkullim do të identifikojë drejtuesit e ekipeve për secilën nga veçoritë.
• Faza 2: Fillon puna zhvillimore. Drejtuesit e ekipeve mbledhin ekipet dhe punojnë për veçoritë që u janë caktuar. Janë planifikuar biseda të rregullta, për të garantuar se zhvillimi vazhdon të shkojë përpara.
• Faza 3: Beta. Hidhen në qarkullim versione Beta, dhe testuesve beta u kërkohet të fillojnë të njoftojnë të meta. Nga kjo fazë e tutje, nuk kryhen më depozitime kodi për zgjerime të reja apo kërkesa për veçori të reja. Autorët e shtojcave dhe temave prej palësh të treta ftohen të testojnë kodin e tyre kundrejt ndryshimeve të afërta.
• Faza 4: Versioni Kandidat për Hedhje Në Qarkullim. Nga kjo pikë e tutje hyn në fuqi një ngrirje vargjesh për vargje të përkthyeshëm. Vëmendja përqendrohet vetëm në çështje që shkaktojnë kthim prapa dhe bllokim.
• Faza 5: Hedhje në qarkullim. Versioni i WordPress-it hidhet në qarkullim dhe është gati për t’u përdorur për përditësim, që nga zona Përgjegjës WordPress-i e instancës.

Numra Versionesh dhe Hedhje Në Qarkullim Versionesh Sigurie

Një hedhje e rëndësishme në qarkullim e WordPress-it tregohet nga dy sekuencat e para. Për shembull, 3.5 është një hedhje e rëndësishme në qarkullim, siç janë edhe 3.6, 3.7, apo 4.0. Nuk ka “WordPress 3” apo “WordPress 4” dhe çdo hedhje e rëndësishme në qarkullim tregohet nga numri përkatës, p.sh., “WordPress 3.9.”

Hedhjet e rëndësishme në qarkullim mund të shtojnë veçori të reja përdoruesi dhe API për zhvilluesit. Edhe pse e zakonshme në botën e software-it - një hedhje “e rëndësishme” në qarkullim do të thotë që mund të cenoni përputhshmërinë me versione të mëparshëm - WordPress-i përpiqet fort të mos cenojë kurrë përputhshmërinë me versione të mëparshëm. Përputhshmëria me versione të mëparshëm është një nga filozofitë më të rëndësishme të projektit, me synimin e bërjes së përditësimit shumë më të kollajtë, për përdoruesit dhe për zhvilluesit.

Një version i vockël i WordPress-it shprehet nga sekuenca e tretë. Versioni 3.5.1 është një hedhje e vockël në qarkullim, siç është edhe 3.4.2³. Hedhjet e vockla në qarkullim rezervohen vetëm për ndreqje cenueshmërish sigurie dhe për trajtim të metash kritike. Ngaqë versione të rinj të WordPress-it hidhen në qarkullim kaq shpesh — synimi është çdo 4-5 muaj për një hedhje të rëndësishme në qarkullim, dhe hedhjet e vockla në qarkullim vijnë kur nevojitet — të nevojshme janë vetëm hedhjet e rëndësishme dhe ato të vockla në qarkullim.

Përputhshmëri Me Versione të Mëparshëm

Projekti WordPress përmban një përkushtim të fuqishëm ndaj përputhshmërisë me versione të dikurshëm. Ky përkushtim do të thotë se temat, shtojcat dhe kodet vetjake vazhdojnë të funksionojnë, kur software-i bazë i WordPress-it përditësohet, duke përbërë kështu një shtysë për të zotët e sajteve ta mbajnë të përditësuar versionin e tyre të WordPress-it me hedhjen më të re në qarkullim të lidhur me sigurinë.

WordPress-i dhe Siguria

Ekipi i Sigurisë i WordPress-it

Ekipi i Sigurisë së WordPress-it përbëhet nga afërsisht 50 ekspertë, përfshi zhvillues kryesorë dhe studiues të sigurisë — thuajse gjysma janë të punësuar të Automattic-it (krijuesit e WordPress.com, platforma më e hershme dhe më e madhe e strehimit nën WordPress në internet), dhe një sasi tjetër punon në fushën e sigurisë në web. Ekipi këshillohet me kërkues të njohur dhe të besuar të fushës së sigurisë dhe shoqëri strehimi³.

Ekipi i Sigurisë në WordPress shpesh bashkëpunon me ekipe të tjera sigurie për të trajtuar probleme në varësi të përbashkëta, bie fjala, për zgjidhjen e cenueshmërisë në përtypësin PHP XML, përdorur nga API XML-RPC që vjen me WordPress-in, në WordPress 3.9.2⁴. Zgjidhja e kësaj cenueshmërie qe rrjedhojë e një përpjekjeje të përbashkët të ekipeve të sigurisë së WordPress-it dhe Drupal-it.

Rreziqe, Proces dhe Historik Sigurie në WordPress

Ekipi i Sigurisë në WordPress beson në Deklarimin e Përgjegjshëm përmes sinjalizimit të menjëhershëm të ekipit të sigurisë për çfarëdo cenueshmërie potenciale. Cenueshmëri potenciale të sigurisë mund t’i sinjalizohen Ekipit të Sigurisë përmes WordPress HackerOne⁵. Ekipi i Sigurisë, brenda vetes komunikon përmes një kanali privat në Slack dhe, për ndjekje, testim dhe ndreqje të metash dhe problemesh sigurie, punon nën një instancë Trac private dhe të fortifikuar.

Pas marrjes, çdo raportim mbi sigurinë pasohet nga njohja e tij si i tillë, dhe ekipi punon për të verifikuar cenueshmërinë dhe për të përcaktuar se sa e rëndë është. Në u ripohoftë, ekipi i sigurisë mandej planifikon një arnim që do të ndreqë problemin, i cili mund të parashtrohet në hedhjen e ardhshme në qarkullim të software-it WordPress ose mund të hidhen menjëherë në qarkullim, në varësi të shkallës se sa serioze është cenueshmëria.

Për hedhje të menjëhershme në qarkullim të lidhura me sigurinë, te sajti WordPress.org News botohet një rekomandim⁶ që njofton hedhjen në qarkullim dhe hollësi mbi ndryshimet. Te rekomandimi jepen falënderime për atë që gjeti cenueshmërinë, për të nxitur dhe përforcuar raportimin e përgjegjshëm, të vazhdueshëm, edhe në të ardhmen.

Përgjegjësit për software-in WordPress shohin në pultin e sajteve të tyre një njoftim për përditësim, kur është gati një hedhje e re në qarkullim dhe, në vijim të përditësimit dorazi, përdoruesit ridrejtohen te skena Mbi WordPress-in, ku jepen hollësi mbi ndryshimet. Nëse përgjegjësit kanë aktivizuar përditësimet e vetvetishme në prapaskenë, do të marrin një email, pasi të jetë plotësuar përditësimi.

Përditësime të Vetvetishme Në Prapaskenë për Hedhje Në Qarkullim të Lidhura Me Sigurinë

Duke filluar me versionin 3.7, WordPress-i futi në lojë përditësime të vetvetishme në prapaskenë për krejt hedhjet e vola në qarkullim⁷, bie fjala, 3.7.1 dhe 3.7.2. Ekipi i Sigurisë në WordPress mund të gjejë, ndreqë dhe hedhë në qarkullim thellime të vetvetishme të sigurisë për WordPress-in pa qenë nevojë që i zoti i sajtit të bëjë ndonjë gjë,dhe përditësimi i sigurisë do të instalohet vetvetiu.

Kur del një përditësim sigurie për version aktual të qëndrueshëm të WordPress-it, ekipi i bazës do të hedhë në qarkullim edhe përditësime sigurie për krejt hedhjet në qarkullim që janë të afta të marrin përditësime në prapaskenë (që prej WordPress 3.7), kështu që këto versione të vjetër, por ende të pavjetëruar të WordPress-it do të përfitojnë përmirësime sigurie.

Të zotët e sajteve mund të zgjedhin heqjen e përditësimeve të vetvetishme në prapaskenë përmes një ndryshimi të thjeshtë në kartelën e formësimit të tyre, por mbajtja në punë e funksionit këshillohet me forcë nga ekipi i bazës, tok me xhirimin e versionit më të ri të qëndrueshëm të WordPress-it.

10 Kryesuesit OWASP për 2013-n

Open Web Application Security Project (OWASP) është një bashkësi internetore që merret me sigurinë e aplikacioneve web. Lista OWASP e 10 Kryesuesve përqendrohet në identifikimin e rreziqeve më serioze ndaj sigurisë në aplikacione, për një gamë të gjerë entesh. 10 zërat kryesues përzgjidhen dhe u jepet përparësi në ndërthurje me vlerësime me konsensus mbi shkallën e shfrytëzimit, pikasjes dhe ndikimit për secilin.

Në ndarjet vijuese diskutohen API-t, burime, dhe rregulla që përdor WordPress-i për të forcuar software-in bazë dhe shtojca dhe tema nga palë të treta përballë këtyre rreziqeve potenciale.

A1 - Injektime

Në WordPress ka një grup funksionesh dhe API-sh të gatshme për t’i ndihmuar zhvilluesit të garantojnë se nuk mund të injektohet dot kod i paautorizuar, dhe për t’i ndihmuar ata të vleftësojnë dhe sanitarizojnë të dhëna. Ofrohen shembuj nga praktikat më të mira, si dhe dokumentim se si të përdoren këto API për të mbrojtur vleftësuar, ose sanitarizuar të dhëna që i jepen programit dhe të dhëna që përftohen prej programit, në kod HTML, në URL, në krye HTTP, si dhe kur ndërveprohet me bazën e të dhënave dhe me sistemin e kartelave. Përmes filtrash, përgjegjësit mund të kufizojnë më tej llojet e kartelave që mund të ngarkohen.

A2 - Mirëfilltësim dhe Administrim Sesionesh të Dëmtuar

Software-i WordPress bazë administron llogaritë dhe mirëfilltësimin, dhe hollësi të tilla si, ID, emër dhe fjalëkalim përdoruesi administrohen nga ana e shërbyesit, si edhe cookie-t e mirëfilltësimeve. Fjalëkalimet te baza e të dhënave mbrohen duke përdorur teknika standarde <em>salting</em> dhe <em>stretching</em>. Për versione WordPress-i pas atij 4.0, sesionet ekzistuese asgjësohen gjatë daljes nga llogaria.

A3 - <em>Cross Site Scripting</em> (XSS)

WordPress-i ofron një gamë funksionesh të cilët mund të ndihmojnë që të dhënat e furnizuara nga përdoruesit të jenë të parrezik¹⁰. Përdoruesit e besuar, që në një instalim WordPress njësh janë përgjegjësi dhe redaktorët, dhe në një instalim WordPress Shumësajtësh janë përgjegjësit e rrjetit, mund të postojnë HTML ose JavaScript të pafiltruar, kur u duhet, bie fjala, brenda një postimi apo faqeje. Lënda e përdoruesve jo të besuar dhe ajo e parashtruar nga përdoruesit, si parazgjedhje, filtrohet për të hequr njësi të rrezikshme, duke përdorur librarinë KSES përmes funksionit wp_kses.

Si shembull, përpara hedhjes në qarkullim të WordPress 2.3, ekipi bazë i WordPress-it vuri re se funksioni the_search_query() keqpërdorej nga shumica e autorëve të temave, të cilët nuk e bënin të përshtatshëm për përdorim nën HTML përfundimin e funksionit. Me WordPress 2.3-shin, përfundimi i funksionit u ndryshua për ta zgjidhur problemin, rast shumë i rrallë ky i prekjes së përputhshmërisë me versione më të hershëm.

A4 - Referencë e Pasiguruar Objekti të Drejtpërdrejtë

WordPress-i shpesh furnizon referenca të drejtpërdrejta objekti, të tilla si identifikues numerikë unikë llogarish përdoruesish ose lëndë që është pjesë te fusha URL-sh apo formularësh. Ndërkohë që këta identifikues përmbajnë informacion të drejtpërdrejtë mbi sistemin, lejet e shumta dhe sistemi i kontrollit të hyrjeve në WordPress i pengojnë kërkesat e paautorizuara.

A5 - Keqfomërsim Sigurie

Shumica e veprimeve për formësim të sigurisë së WordPress-it janë të kufizuara për një përgjegjës të vetëm të autorizuar. Rregullimet parazgjedhje për WordPress-in merren vazhdimisht në shqyrtim nga ekipi bazë, dhe ky ekip i WordPress-it furnizon dokumentimin dhe praktikat më të mira për forcimin e sigurisë për formësim shërbyesi për xhirimin e një sajti WordPress¹¹.

Ekspozim të Dhënash të Rezervuara

Fjalëkalimet e llogarive të përdoruesve të WordPress-it trajtohen sipas platformës Portable PHP Password Hashing¹². Sistemi i lejeve në WordPress përdoret për të kontrolluar hyrjen në të dhëna private, të tilla si PII e një përdoruesi të regjistruar, adresa email të komentuesve, lëndë e botuar privatisht, etj. Pas WordPress 3.7-s, te programi bazë qe përfshirë një matës fortësie fjalëkalimi, që jep për përdoruesit të dhëna shtesë gjatë caktimit të fjalëkalimit dhe këshilla për rritjen e fortësisë. WordPress-i ka gjithashtu një rregullim opsional formësimi për kërkim përdorimi të HTTPS-ës.

A7 - Mungon Kontroll Hyrjeje Në Shkallë Funksioni

WordPress-i kontrollon për autorizim dhe leje të duhura për çfarëdo kërkese aksesi në nivel funksioni, përpara se veprimi të kryhet. Përdorimi apo shfaqja e URL-ve, menuve dhe faqeve administrative, pa mirëfilltësimin e duhur, është e integruar fort me sistemin e mirëfilltësimeve, për të parandaluar hyrje nga përdorues të paautorizuar.

A8 - Cross Site Request Forgery (CSRF)

Për të vlerësuar synimin e kërkesave për veprim nga përdorues të autorizuar, në mbrojtje kundër kërcënimesh CSRF potenciale, WordPress-i përdor token-ë kriptografikë, të quajtur nonces¹³. WordPress-i furnizon një API për prodhimin e këtyre token-ëve, që të krijohen dhe verifikohen token-ë unikë dhe të përkohshëm, dhe token-i është i kufizuar ndaj një përdoruesi specifik, një veprimi specifik, një objekti specifik, dhe një periudhe kohore specifike, që mund të shtohet në formularë dhe URL, në u dashtë. Për më tepër, krejt <em>nonces</em> zhvleftësohen gjatë daljes nga llogaria.

A9 - Përdorim Përbërësish me Cenueshmëri të Njohura

Ekipi bazë i WordPress-it mbikëqyr ato pak librari dhe platforma që WordPress-i integron me pjesën bazë. Në të kaluarën, ekipi bazë ka dhënë kontribut në disa përbërës nga palë të treta, për t’i bërë më të sigurt, si, për shembull, përditësimi që ndreqte një cenueshmëri <em>cross-site</em> të TinyMCE-së në WordPress 3.5.2¹⁴.

Në qoftë e nevojshme, ekipi bazë mund të vendosë të përfshijë ose zëvendësojë përbërës të jashtëm të rëndësishëm, si në rastin kur libraria SWFUpload u zëvendësua nga libraria Plupload në versionin 3.5.2, apo kur një degëzim (fork) i sigurt i SWFUpload-it u dha nga ekipi i sigurisë<¹⁵ për ato shtojca që vazhdonin të përdornin SWFUpload edhe për pak.

A10 - Ridrejtime dhe Përcjellje të Pavleftësuara

Sistemi i brendshëm i WordPress-it për kontrollim hyrjesh dhe mirëfilltimet do të ofrojnë mbrojtje përballë përpjekjesh për t’i drejtuar përdoruesit në destinacione të padëshiruara apo ridrejtime automatike. Kjo veçori u ofrohet edhe zhvilluesve të shtojcave, përmes një API, wp_safe_redirect()¹⁶.

Rreziqe dhe Shqetësime të Mëtejshme Sigurie

Sulme përpunimi XXE (XML eXternal Entity - Njësi XML e Jashtme)

Kur përpunon XML, WordPress-in çaktivizon ngarkimin e njësive XML të përshtatura, për të parandaluar sulme Njësi e Jashtme dhe Zgjerim Njësie. WordPress-i nuk furnizon API përpunimi ekstra XML-je të sigurt për autorë shtojcash, tej funksionit bazë të vetë PHP-së.

Sulme SSRF (Server Side Request Forgery - Sajesë Kërkesë Më Anë të Shërbyesit)

Kërkesat HTTP të emetuara nga WordPress filtrohen për të parandaluar hyrje te <em>loopback</em> dhe adresa IP private. Veç kësaj, lejohet hyrje vetëm për disa porta standarde HTTP.

Siguri Shtojcash dhe Temash në WordPress

Tema Parazgjedhje

Që të mund të shfaqë lëndën te pjesa e dukshme e sajtit, WordPress-i lyp një temë grafike. Tema parazgjedhje, e cila vjen me paketën bazë të WordPress-it (aktualisht "Twenty Twenty-One") është shqyrtuar dhe testuar fuqimisht për arsye sigurie, si nga ekipi i zhvilluesve të temave, ashtu edhe nga ekipi bazë i zhvillimit.

Tema parazgjedhje mund të shërbejë si një pikënisje për zhvillim temash të përshtatura, dhe zhvilluesit e sajteve mund të krijojnë një temë pjellë që përmban disa përshtatje, por që përdor gjëra të temës parazgjedhje për shumicën e punës dhe për siguri. Tema parazgjedhje mund të hiqet lehtazi nga një përgjegjës, nëse nuk hyn në punë.

Depo Temash dhe Shtojcash WordPress.org

Te sajti WordPress.org, ka afërsisht 50 000+ shtojca dhe 5 000+ tema. Këto tema dhe shtojca janë parashtruar për përfshirje dhe janë shqyrtuar dorazi nga vullnetarët, përpara se të bëhen pjesë e listës.

Përfshirja e temave dhe shtojcave te depoja nuk është garanci që ato janë pa cenueshmëri sigurie. Për autorët e shtojcave, te sajti WordPress.org jepen udhëzime për t’i parë para parashtrimesh për përfshirje te depoja¹⁷, dhe dokumentim i thelluar se si të zhvillohen tema për WordPress¹⁸.

Çdo shtojcë dhe temë ka aftësinë të zhvillohet vazhdimisht nga i zoti, dhe çfarëdo ndreqjesh të mëpasshme apo shtim veçorish mund të ngarkohet te depoja për t’ua dhënë përdoruesve që kanë instaluar atë temë apo shtojcë, me një përshkrim të atij ndryshimi. Përmes pultit të administrimit, përgjegjësit e sajtit njoftohen rreth shtojcash që lypin përditësim.

Kur zbulohet një cenueshmëri shtojce nga Ekipi i Sigurisë së WordPress-it, ata lidhen me autorin e shtojcës dhe punojnë tok për ta ndrequr dhe për të hedhur në qarkullim një version të sigurt të shtojcës. Nëse nga autori i shtojcës nuk vjen reagim, ose nëse cenueshmëria është e rëndë, shtojca/tema hiqet nga drejtoria publike, dhe në disa raste, ndreqet dhe përditësohet nga Ekipi i Sigurisë.

Ekipi i Shqyrtimit të Temave

Ekipi i Shqyrtimit të Temave është një grup vullnetarësh, të drejtuar nga anëtarë kyç dhe të njohur të bashkësisë WordPress, që shqyrton dhe miraton temat e parashtruara për t’u përfshirë në listën zyrtare të Temave për WordPress. Ekipi i Shqyrtimit të Temave mirëmban Udhëzimet zyrtare mbi Shqyrtimin e Temave¹⁹, Të dhënat për Testim Temash²⁰, dhe Shtojcat për Kontroll Temash²¹, dhe përpiqet të tërheqë dhe mësojë bashkësinë e zhvilluesve të Temave për WordPress lidhur me praktikat më të mira. Përfshirja në grup administrohet nga depozituesit kryesorë të ekipit të zhvillimit të WordPress-it.

Roli i Furnizuesit të Strehimit në Sigurinë e WordPress-it

WordPress-i mund të instalohet në një larmi platformash. Edhe pse software-i bazë WordPress plotëson mjaft kërkesa për përdorimin e një aplikacioni web të sigurt, të cilat janë mbuluar në këtë dokument, formësimi i sistemit operativ dhe i software-it të strehimit të shërbyesit është po aq i rëndësishëm për ta mbajtur të pacenuar aplikacionin WordPress.

Një Shënim rreth sigurisë në WordPress.com dhe WordPress

WordPress.com-i është instalimi më i madh i WordPress-it në botë, dhe është pronë dhe administrohet nga Automattic, Inc., e cila qe themeluar nga Matt Mullenweg, bashkë-krijues i projektit WordPress. WordPress.com xhiron mbi software-in bazë WordPress, dhe ka proceset e veta të sigurisë, rreziqet dhe zgjidhjet e veta²². Ky dokument i referohet sigurisë lidhur me software WordPress me burim të hapur, që e strehoni ju vetë, i shkarkueshëm që prej WordPress.org-ut dhe i instalueshën në çfarëdo shërbyesi në botë.

Pasthënie

API Funksionesh Bazë WordPress

API Bazë e WordPress-it përbëhet nga një sërë API-sh individuale²³, secila mbulon funksionet në të cilat përfshihet, dhe përdor një grup të dhënë funksionesh. Të tëra tok, këto formojnë ndërfaqen e projektit, e cila u lejon shtojcave dhe temave të bashkëveprojnë, ndryshojnë dhe zgjerojnë funksionet bazë të WordPress-it, pa rreziqe dhe në mënyrë të sigurt.

Teksa çdo API WordPress furnizon praktikat më të mira dhe rrugë të standardizuara për ndërveprim dhe zgjerim të software-it bazë WordPress, API-t WordPress vijuese janë ato që kanë më shumë lidhje me zbatimin dhe përshkallëzimin e sigurisë në WordPress:

API Baze të dhënash

API për Bazë të Dhënash²⁴, shtuar me WordPress 0.71, furnizon metodën e saktë për t’i përdorur të dhënat si vlera të emërtuara të cilat janë depozituar te shtresa e bazës së të dhënave.

API Sistemi kartelash

API për Sisteme Kartelash²⁵, shtuar me WordPress 2.6²⁶, qe krijuar fillimisht për mekanizmin e përditësimeve të vetë WordPress-it. API për Sisteme Kartelash ofron një shtresë abstrakte për lexim dhe shkrim kartelash vendore te sistemi i kartelave, bërë në mënyrë të sigurt, në një larmi llojesh strehuesish.

Këtë e kryen përmes klasës WP_Filesystem_Base, dhe disa nënklasash të tjera që sendërtojnë rrugë të ndryshme lidhjeje me sisteme kartelash vendore, në varësi të mbulimit nga strehë individuale të këtyre aftësive. Çfarëdo teme apo shtojcë që ka nevojë të shkruajë kartela lokalisht do të duhej ta bënte këtë duke përdorur familjen e klasave WP_Filesystem.

API HTTP

API HTTP²⁷, shtuar me WordPress 2.7²⁸ dhe zgjeruar më tej me WordPress 2.8, standardizon kërkesat HTTP përr WordPress-in. API trajton <em>cookies</em>, kodime dhe shkodime gzip, shkodim copash (nëse versioni është HTTP 1.1), dhe të tjera sendërtime të ndryshme HTTP. API standardizon kërkesat, teston paraprakisht çdo metodë para dërgimi, dhe, bazuar në formësimin e shërbyesit tuaj, përdor metodën e duhur për të bërë kërkesën.

Leje dhe API e tanishme e përdoruesit

Lejet dhe API i tanishëm i përdoruesit është një grup funksionesh që do të ndihmojnë të verifikohen lejet e tanishme të përdoruesit dhe autoritetin për të kryer çfarëdo akti apo veprimi që kërkohet, dhe mund të mbrojë më tej kundër përdoruesish të paautorizuar që hyjnë ose kryejnë veprime tej aftësive që u janë lejuar.

Licencë lënde artikulli

Teksti në këtë dokument (pa përfshirë stemën apo shenjën tregtare të WordPress-it) licencohet sipas CC0 1.0 Universal (CC0 1.0) Public Domain Dedication. Mund ta kopjoni, ndryshoni, shpërndani dhe ekzekutoni veprën, madje edhe për qëllime komerciale, pa kërkuar leje.

Një falënderim të posaçëm për dokumentin mbi sigurinë nga Drupal-i, që na dha ca frymëzim.

Lexime Shtesë

• Lajme WordPress-i https://wordpress.org/news/
• Hedhje Në Qarkullim Versionesh WordPress Sigurie https://wordpress.org/news/category/security/
• Burime Programuesish WordPress Developer https://developer.wordpress.org/

Shkruar nga Sara Rosso

Ndihmesë nga Barry Abrahamson, Michael Adams, Jon Cave, Helen Hou-Sandí, Dion Hulse, Mo Jangda, Paul Maiorana

Version 1.0 Mars 2015

Poshtëshënime

• [1] https://w3techs.com/, as of December 2019
• [2] https://make.wordpress.org/core/handbook/about/release-cycle/
• [3] https://make.wordpress.org/core/handbook/about/release-cycle/version-numbering/
• [4] https://wordpress.org/news/2014/08/wordpress-3-9-2/
• [5] https://hackerone.com/wordpress
• [6] https://wordpress.org/news/
• [7] https://wordpress.org/news/2013/10/basie/
• [8] https://www.owasp.org/index.php/Top_10_2013-Top_10
• [9] https://developer.wordpress.org/plugins/security/
• [10] https://codex.wordpress.org/Data_Validation#HTML.2FXML
• [11] https://wordpress.org/support/article/hardening-wordpress/
• [12] https://www.openwall.com/phpass/
• [13] https://developer.wordpress.org/plugins/security/nonces/
• [14] https://wordpress.org/news/2013/06/wordpress-3-5-2/
• [15] https://make.wordpress.org/core/2013/06/21/secure-swfupload/
• [16] https://developer.wordpress.org/reference/functions/wp_safe_redirect/
• [17] https://wordpress.org/plugins/developers/
• [18] https://developer.wordpress.org/themes/getting-started/
• [19] https://make.wordpress.org/themes/handbook/review/
• [20] https://codex.wordpress.org/Theme_Unit_Test
• [21] https://wordpress.org/plugins/theme-check/
• [22] https://automattic.com/security/
• [23] https://codex.wordpress.org/WordPress_APIs
• [24] https://developer.wordpress.org/apis/handbook/database/
• [25] https://codex.wordpress.org/Filesystem_API
• [26] https://wordpress.org/support/wordpress-version/version-2-6/
• [27] https://developer.wordpress.org/plugins/http-api/
• [28] https://wordpress.org/support/wordpress-version/version-2-7/
• [29] https://developer.wordpress.org/reference/functions/current_user_can/