La biblioteca criptográfica Sodium Compat también ha sido adoptada por Joomla! y magento
Ya está disponible WordPress 5.2 y trae una serie de mejoras funcionales, pero la gran noticia para aquellos que están preocupados por la seguridad de su instalación es la implementación de la firma digital de los paquetes de actualización.
Seguridad incrementada
WordPress proporcionó la opción para la implementación automática de actualizaciones en 2013 pero, hasta ahora, estas actualizaciones no se firmaron digitalmente, lo que significa que un compromiso exitoso de los servidores de actualización de WordPress permitiría a los atacantes entregar actualizaciones maliciosas a todos aquellos que usan el popular sistema de administración de contenido (CMS).
(De acuerdo con los últimos números disponibles, WordPress potencia el 33.8 por ciento de los sitios web que usan un CMS, es decir, decenas de millones de sitios web).
La nueva característica hace que sea más difícil este tipo de ataque a la cadena de suministro: incluso si los atacantes comprometen los servidores de actualización, no podrán entregar actualizaciones maliciosas sin robar la clave de firma del equipo de desarrollo central de WordPress y usarla para firmarla.
Una nueva biblioteca criptográfica
La verificación de la firma se llevará a cabo mediante la instalación de WordPress, a través de la biblioteca criptográfica Sodium Compat recientemente implementada, que es "un polyfill puro de PHP para la biblioteca de criptografía de Sodium (libsodium)". Sodium Compat también ha sido adoptado por Joomla! y magento.
“Además de las mejoras de seguridad del núcleo de WordPress, la inclusión de sodium_compat en WordPress 5.2 significa que los desarrolladores de plugins pueden comenzar a migrar su código de criptografía personalizado desde mcrypt (en desuso en PHP 7.1, eliminado en PHP 7.2) y hacia libsodium (introducido en PHP 7.2, polyfilled por sodium_compat)", señaló Scott Arciszewski, Director de Desarrollo de Paragon Initiative Enterprises, la compañía que desarrolló la biblioteca.
También señaló que esta función de firma digital solo cubre las actualizaciones principales de WP y que trabajarán para implementar un sistema que les permita a los proveedores firmar temas y plugins, y publicar estas firmas y metadatos relacionados en un libro de contabilidad criptográfico de solo anexos.
"Una vez hecho esto, la actualización automática de WordPress finalmente será segura", agregó.
