WordPress 5.2 arriva la firma digitale per attacchi supply chain
- On Maggio 7, 2019
- By Fabrizio S.
- In Wordpress Italia
- No comments
Classifica Articoli e Pagine
- Come abilitare Gpedit Group Policy Editor di Windows Home Edition
- Lezioni di Elettrotecnica 2.1 Il Metodo del Potenziale ai Nodi
- Lezioni di Elettrotecnica 3.4. Sistemi Trifase a Stella e Triangolo
- Lezione 2 Metodi Matematici Ingegneria. La trasformata di Laplace
- Porta Logica e Tavole di Verità AND, OR, NAND, XNOR, NOT
Privacy e cookie: Questo sito utilizza cookie. Continuando a utilizzare questo sito web, si accetta l’utilizzo dei cookie.
Per ulteriori informazioni, anche su controllo dei cookie, leggi qui: Informativa sui cookie
Per ulteriori informazioni, anche su controllo dei cookie, leggi qui: Informativa sui cookie
Analisi SEO
Geo IP Site
Htaccess
- Redirec Nuova Directory vecchia directory
- Redirect Vecchio Url nuovo url
- Redirect Nuovo Dominio Vecchio Dominio
WORDPRESS TUTORIAL LEZIONI
Wordpress Lezione 1 Introduzione al Wordpress
Lezione 2 Differenza Post e Pagine e categorie e tags
Wordpress Lezione 3 I template
Wordpress Lezione 4 I Plugins cosa sono
- Wordpress Lezione 4.1 Il plugins Jetpack
- Wordpress Lezione 4.2. Il plugins WP-Cache
- Wordpress Lezione 4.3 Il plugins Wordfence
- Wordpress Lezione 4.4. Il plugins Yoast
- Wordpress Lezione 4.5. Il plugins BBpress
- Wordpress Lezione 4.6. Il plugins WooCommerce
- Wordpress Lezione 4.7 Il plugins WP-ECommerce
- Wordpress Lezione 4.8 i plugins indispensabili
- Wordpress Lezione 4.9 Creare una Web Directory
- Wordpress Lezione 4.10 I Plugins per Monetizzare
- add_option()
- add_post_meta()
- aggiungere tramite il metodo delle taxonomy
- tabelle e funzione dbDelta() per creare, inizializzare e salvare dati nel database
Tipi di articoli
Categorie
Categorie
Tag
Anno
Creare Blog Modello Wordpress
Qui abbiamo creato una guida a lezioni dove vi spieghiamo come creare un blog modello wordpress utilizzando come linguaggio di programmazione il PHP e il database Mysql.
Creare un Blog Lezione 1
Creare un Blog Archivio Lezione 2
Creare un Blog Gestione Post Lezione 3
Creare un Blog Fogli di Stile CSS Lezione 4
Creare il Database Lezione 5
Creare un Blog Conclusione Lezione 6
Articoli Recenti
- Problema Collegamento HP Smart Stampante Offline Canon Office Jet 8830 Risolto
- Ubuntu Desktop o Server quale versione Linux utilizzare?
- PHP differenze mysqli_fetch_row mysqli_fetch_assoc mysqli_fetch_array
- Problema scanner Canon mp495 Code internal error occurred Scanner driver will be closed 5,202,54 risolto
- Condominio senza Amministratore obbligo di Codice fiscale e adempimenti fiscali.
Guida Turorial su Wordpress1
Wordpress Lezione 1 Introduzione al Wordpress Lezione 2 Differenza Post e Pagine e categorie e tags Wordpress Lezione 3 I template Wordpress Lezione 4 I Plugins cosa sono
- Wordpress Lezione 4.1 Il plugins Jetpack
- Wordpress Lezione 4.2. Il plugins WP-Cache
- Wordpress Lezione 4.3 Il plugins Wordfence
- Wordpress Lezione 4.4. Il plugins Yoast
- Wordpress Lezione 4.5. Il plugins BBpress
- Wordpress Lezione 4.6. Il plugins WooCommerce
- Wordpress Lezione 4.7 Il plugins WP-ECommerce
- Wordpress Lezione 4.8 i plugins indispensabili
- Wordpress Lezione 4.9 Creare una Web Directory
- Wordpress Lezione 4.10 I Plugins per Monetizzare
- add_option()
- add_post_meta()
- aggiungere tramite il metodo delle taxonomy
- tabelle e funzione dbDelta() per creare, inizializzare e salvare dati nel database
Guida su Action Script
Tipi di articoli
Categorie
Categorie
Tag
Anno
Legge sui Cookies
Utilizziamo i cookie sul nostro sito Web per offrirti l'esperienza più pertinente ricordando le tue preferenze e ripetendo le visite. Cliccando su "Accetta" acconsenti all'uso di TUTTI i cookie. Puoi visionare la nostra politica sui Cookie alla Pagina sulla Cookie Policy . Nella pagina potrai trovare tutti i cookie che il sito utilizza e il trattamento che viene effettuato sui cookie stessi , sul sito dove vengono immagazzinati e sul trattamento a cui sono sottoposti.Per ogni dubbio o approfondimento ti invitiamo a contattarci grazie al nostro modulo di contatto
Privacy & Cookies Policy
Privacy
Questo sito Web utilizza i cookie per migliorare la tua esperienza durante la navigazione nel sito Web. Di questi cookie, i cookie classificati come necessari vengono memorizzati nel browser in quanto sono essenziali per il funzionamento delle funzionalità di base del sito Web. Utilizziamo anche cookie di terze parti che ci aiutano ad analizzare e capire come utilizzi questo sito web. Questi cookie verranno memorizzati nel tuo browser solo con il tuo consenso. Hai anche la possibilità di disattivare questi cookie. Ma la disattivazione di alcuni di questi cookie potrebbe avere un effetto sulla tua esperienza di navigazione.
I cookie necessari sono assolutamente essenziali per il corretto funzionamento del sito web. Questa categoria include solo i cookie che garantiscono funzionalità di base e caratteristiche di sicurezza del sito web. Questi cookie non memorizzano alcuna informazione personale.
Tutti i cookie che potrebbero non essere particolarmente necessari per il funzionamento del sito Web e vengono utilizzati specificamente per raccogliere dati personali dell\'utente tramite analisi, pubblicità, altri contenuti incorporati sono definiti come cookie non necessari. È obbligatorio ottenere il consenso dell\'utente prima di eseguire questi cookie sul tuo sito web.
%d blogger hanno fatto clic su Mi Piace per questo:
Fabrizio S.
Share post:
E adesso veniamo a paralrvi del nuovo build aggiornato alla versione WordPress 5.2. E’ stato rilasciato nel mese di maggio. Quindi è anche possibile che non abbiate ancora fatto l’aggiornamento alla nuova versione. Vi dico subito che è fondamentale che aggiorniate la vostra versione di WordPress alla 5.2 in quanto verranno introdotte per la prima volta le firme digitali offline per tutti gli aggiornamenti di base come misura di difesa contro possibili attacchi della supply chain, inoltre è stato introdotto il supporto per i temi, e per i plug-in , mentre le traduzioni saranno consegnate in un secondo momento. Tipicamente dopo qualche mese.
Con questo aggiornamento si introduce l’aggiornamento automatico al fine di impedire che venga manipolato il codice nativo. La cosa era possibile prima di questo aggiornamento WordPress 5.2,in quanto non era presente un meccanismo di verifica della firma disponibile per i pacchetti rilasciati dal server di aggiornamento. L’attacco che si può veicolare in queesto caso di chiama supply chain. Vediamo un attimo meglio di iniziare a comprendere meglio il tutto.
Attacco a catena supply chain alla piattaformaWordPress
Vediamo dal diagramma lo schema di attacco alla supply chain di WordPress (Immagine: WordFence)
La Wordfence è molto preoccupata infatti che la piattaforma wordpress che distribuisce i pacchetti di aggiornamento e plugins possa essere oggetto di questi attacchi e in una recente dichiarazione hanno riferito che in caso di attacco alla piattaforma in questione si avrebbe
Per questo motivo l’organizzazione che gestisce il CMS è corsa al riparo con l’introduzione della firma.
Cambiamenti introdotti nella versione WordPress 5.2
Infatti la funzionalità di firma digitale offline inclusa nel build di WordPress 5.2 si presenta come un “primo vero livello di difesa contro un’infrastruttura di aggiornamento che sia stata compromessa da un attacco esterno, come ha brillantemente spiegato da Scott Arciszewski, della Paragon Initiative Enterprises.
Spiega infatti Arciszewski :
Prima di WordPress 5.2, se volevi infettare um qualsiasi sito originario della piattofrma CMS WordPress su Internet (ossia facendo una facile stima vi stiamo parlando di circa il 33,8% dei siti web ), dovevi semplicemente hackerare il loro server di aggiornamento. In questa maniera, potevi ingannare la funzione di aggiornamento automatico per scaricare e installare non il codice che dovevi installare, ma uno arbitrario. Naturalmente anche se non ve lo diciamo in questo codice arbitrario aveva presente al suo interno ogni genere di schifezza come ad esempio, botnet DDoS….
Dopo l’upgrade alla versione WordPress 5.2, sarà sempre possibile farlo ma occorrerà prima conoscere la chiave di firma dal team di sviluppo principale di WordPress che ha rilasciato l’aggiornamento stesso.
Al momento solo gli aggiornamenti core di WordPress sono firmati crittograficamente, in futuro lo stesso trattamento verrà quindi riservato anche a plugins e template.
È inoltre prevista una funzionalità di firma del codice per gli sviluppatori, che consente loro di “firmare le proprie versioni e pubblicare queste firme (e relativi metadati) in un registro crittografico solo in append .. Una volta fatto, l’aggiornamento automatico di WordPress sarà finalmente sicuro. “
Ovviamente si tratta solamente di un primo passo. Ma insomma se hanno iniziato a metterci le mani è perchè hanno compreso che il problema stava iniziando a diventare fin troppo complesso…
Condividi:
Mi piace:
Correlati