WordPress’ning yangi xavfsizlik funksiyasi veb-saytlar va bloglarni xavf ostiga qo‘yishi mumkin
Ushbu funksiya tajovuzkorlarga xavfsizlik devorlarini, ikki faktorli autentifikatsiyani va qo’pol kuch hujumidan himoyani o’chirib qo’yish imkonini berishi mumkin.
WordPress 5.1 uchun rejalashtirilgan va bahorda chiqarilishi rejalashtirilgan yangi xavfsizlik xususiyati platformadagi veb-saytlar va bloglarni xavf ostiga qo’yishi mumkin, deb ogohlantirmoqda xavfsizlik mutaxassislari. «WSOD (o’limning oq ekranidan himoya)» deb nomlangan xususiyat foydalanuvchilarni halokatli PHP xatolari va ularga sabab bo’lgan plaginlar va mavzular haqida ogohlantirish uchun mo’ljallangan. Agar bunday xatolik yuzaga kelsa, WSOD Protection mavzu yoki plaginni to’xtatib qo’yadi va sayt administratoriga muammoni tekshirish uchun vaqt beradi.
WordPress jamoasi ushbu yangi funksiya ustida bir necha oy oldin saytlarni PHP 5.x ning eski versiyalaridan PHP 7.x ning so’nggi versiyalariga ko’chirish strategiyasining bir qismi sifatida ishlay boshladi.
Biroq, ba’zi mutaxassislarning fikriga ko’ra, tajovuzkorlar ushbu funksiyadan foydalanishlari mumkin. Xususan, xavfsizlik bo’yicha mutaxassis Slavko Mixayloski tajovuzkorlar WordPress plaginlarida past darajadagi ekspluatatsiyalardan foydalanib, halokatli PHP xatolarini keltirib chiqarishi mumkinligini ta’kidladi. Bu holda, WSOD Protection plaginni to’xtatib qo’yadi, bu esa tajovuzkorga veb-saytlardagi xavfsizlik devorlari, ikki faktorli autentifikatsiya, qo’pol kuch bilan himoya qilish va boshqa xavfsizlik plaginlarini o’chirib qo’yish imkoniyatini beradi.
WordFence mutaxassisi Matt Rusnak Mihayloski bilan rozi. U funksionallikdan foydalanish mumkin bo’lgan bir nechta hujum stsenariylarini tasvirlab berdi. Masalan, boshqa plaginlar juda ko’p xotiradan foydalanishi sababli plagin to’xtatib qo’yilishi mumkin, bu esa xavfsizlik muammolariga olib kelishi mumkin. Ikkinchi stsenariyda, tajovuzkorlar plaginlar/mavzulardagi mahalliy fayllarni kiritish zaifliklaridan foydalanib, plaginlarni kerakli vaqtda ommaviy ravishda to’xtatishlari mumkin.
WordPress ishlab chiquvchilari wp-config.php konfiguratsiya fayliga WP_DISABLE_FATAL_ERROR_HANDLER opsiyasini qo’shish niyatida, bu sayt egalariga yangi himoya funksiyasini o’chirib qo’yish imkonini beradi. Hozirda WordPress 5.1 da WSOD himoyasi sukut bo’yicha yoqiladimi yoki yo’qmi noma’lum.
Mutaxassislar ushbu funksiyani faqat PHP serveri, WordPress yadrosi yoki plaginlarini yangilashda vaqtincha yoqish va qolgan vaqtlarda o’chirib qo’yishni tavsiya qiladilar.
