Află mai multe despre securitatea software-ului nucleului WordPress din acest raport oficial gratuit. Îl poți descărca în format PDF.
Prezentare generală
Acest document este o analiză și o explicație a dezvoltării software-ului nucleului WordPress și a proceselor sale de securitate conexe, precum și o examinare a securității intrinseci construită direct în software. Factorii de decizie care evaluează WordPress ca un sistem de management al conținutului sau ca suport pentru aplicații web ar trebui să folosească acest document în analiza și luarea deciziilor, iar dezvoltatorii să-l consulte pentru a se familiariza cu componentele de securitate și cu cele mai bune practici ale software-ului.
Informațiile din acest document sunt actualizate pentru ultima lansare stabilă a software-ului, WordPress 4.7 în momentul publicării, dar ar trebui să fie considerate relevante și pentru cele mai recente versiuni ale software-ului, deoarece compatibilitatea cu versiunile anterioare este o linie de bază pentru echipa de dezvoltare WordPress. Măsurile specifice și modificările de securitate vor fi remarcate deoarece ele au fost adăugate în software-ul nucleului în lansările specifice. Este recomandat cu prisosință să se ruleze întotdeauna cea mai recentă versiune stabilă a WordPress pentru a asigura cea mai sigură experiență posibilă.
Rezumat management
WordPress este un sistem open-source, dinamic, de management al conținutului care este folosit pentru a propulsa milioane de situri web, aplicații web și bloguri. În prezent, propulsează mai mult de 38% din primele 10 milioane de situri web de pe Internet. Ușurința în utilizare, extensibilitatea și comunitatea matură de dezvoltare fac din WordPress o alegere populară și sigură pentru situri web de toate dimensiunile.
De la înființarea sa în 2003, WordPress a fost supus unei întăriri continue, prin urmare software-ul nucleului poate aborda și atenua amenințările comune de securitate, inclusiv cele din lista primelor 10 identificate de Open Web Application Security Project (OWASP) ca vulnerabilități comune de securitate, care sunt discutate în acest document.
Echipa de securitate WordPress, în colaborare cu echipa de conducere a nucleului WordPress și susținută de comunitatea globală WordPress, lucrează pentru a identifica și rezolva problemele de securitate în software-ul nucleului disponibil pentru distribuire și instalare la WordPress.org și totodată recomandă și documentează cele mai bune practici de securitate autorilor de module și teme.
Dezvoltatorii și administratorii de situri ar trebui să acorde o atenție deosebită utilizării corecte a API-urilor nucleului și configurării de bază a serverului, care au fost sursa unor vulnerabilități comune și totodată să se asigure că toți utilizatorii folosesc parole puternice pentru a accesa WordPress.
O prezentare generală a WordPress
WordPress este un sistem de management al conținutului (CMS) gratuit și open-source. Este cel mai utilizat software de CMS din lume și propulsează mai mult de 38% din primele 10 milioane de situri web1, oferind o cotă de piață estimată de 62% din toate siturile care folosesc un CMS.
WordPress este licențiat sub Licența publică generală (GPLv2 sau ulterioară), care îi oferă patru libertăți fundamentale ce pot fi considerate drept „Carta drepturilor” WordPress:
- Libertatea de a rula programul, în orice scop.
- Libertatea de a studia cum funcționează programul și de a-l modifica pentru a-l face să lucreze cum vrei.
- Libertatea de a redistribui.
- Libertatea de a distribui copii ale versiunilor tale modificate altora.
Echipa de conducere a nucleului WordPress
Proiectul WordPress este o meritocrație, guvernată de o echipă de conducere a nucleului, condusă de co-creatorul și dezvoltatorul principal, Matt Mullenweg. Echipa conduce toate aspectele proiectului, inclusiv dezvoltarea nucleului, WordPress.org și inițiativele comunității.
Echipa de conducere a nucleului este formată din Matt Mullenweg, cinci dezvoltatori șefi și mai mulți dezvoltatori pentru nucleu cu acces permanent la contribuții. Acești dezvoltatori au autoritatea finală asupra deciziilor tehnice și conduc discuțiile despre arhitectură și eforturile de implementare.
WordPress are mai mulți dezvoltatori care contribuie. Unii dintre ei sunt contributori fondatori sau actuali, iar alții sunt probabil viitori contributori. Acești dezvoltatori sunt contributori de încredere și veterani la WordPress, care și-au câștigat un mare respect în rândul colegilor. În funcție de nevoi, WordPress are și contributori invitați, persoane cărora li se acordă acces să contribuie, uneori pentru o anumită componentă, pentru o perioadă scurtă sau de probă.
Dezvoltatorii nucleului și cei care contribuie călăuzesc în primul rând dezvoltarea WordPress-ului. La fiecare versiune, sute de dezvoltatori contribuie la codul WordPress. Acești contributori la nucleu sunt voluntari care contribuie, într-un fel sau altul, la codul de bază al nucleului.
Ciclul de lansare WordPress
Fiecare ciclu de lansare WordPress este condus de unul sau mai mulți dezvoltatori ai nucleului WordPress. Un ciclu de lansare durează de obicei în jur de 4 luni de la întâlnirea inițială pentru stabilirea scopului și până la lansarea versiunii.
Un ciclu de lansare respectă modelul următor2:
- Faza 1: Planificarea și stabilirea conducerii echipei. Asta se face în camera de discuții #core pe Slack. Conducătorul lansării discută funcționalitățile următoarei versiuni a WordPress. Contributorii WordPress se implică în această discuție. Conducătorul lansării va identifica conducătorii echipelor pentru fiecare funcționalitate.
- Faza 2: Începe munca de dezvoltare. Conducătorii echipelor formează echipele și lucrează la funcționalitățile repartizate. Sunt programate discuții regulate pentru a asigura continuitatea dezvoltării.
- Faza 3: Beta. Sunt lansate versiunile beta, iar cei care le testează sunt rugați să înceapă raportarea erorilor. Din această fază, nicio contribuție pentru cereri de îmbunătățire sau funcționalități noi nu mai este luată în considerare. Autorii modulelor și temelor terțe sunt încurajați să-și testeze codul în condițiile viitoarelor modificări.
- Faza 4: Candidat de lansare. Din acest punct sunt înghețate șirurile care se pot traduce. Munca se axează numai pe stadiile anterioare de dezvoltare și pe eliminarea blocajelor.
- Faza 5: Lansare. Versiunea WordPress este lansată și devine disponibilă pentru actualizări în administrarea WordPress.
Numerotarea versiunilor și lansări de securitate
O versiune WordPress importantă este dictată de primele două cifre din succesiune. De exemplu, 3.5 este o versiune importantă, ca și 3.6, 3.7 sau 4.0. Nu există o versiune „WordPress 3” sau „WordPress 4” și fiecare lansare importantă este menționată prin numerotarea sa, de exemplu „WordPress 3.9”.
Versiunile importante pot adăuga funcționalități noi pentru utilizatori și API-uri pentru dezvoltatori. Deși, de obicei, în lumea software-ului, o versiune „importantă” înseamnă că poți întrerupe compatibilitatea cu versiunile anterioare, WordPress se străduiește să nu întrerupă niciodată compatibilitatea cu versiunile anterioare. Compatibilitatea cu versiunile anterioare este una dintre cele mai importante filozofii ale proiectului, cu scopul de a facilita actualizările atât pentru utilizatori cât și pentru dezvoltatori.
O versiune WordPress minoră este dictată de a treia cifră din succesiune. Versiunea 3.5.1 este o versiune minoră, ca și 3.4.23. O versiune minoră este rezervată pentru a corecta unele vulnerabilități de securitate și pentru a aborda numai erorile critice. Deoarece versiunile WordPress noi sunt lansate atât de frecvent — obiectivul este la fiecare 4-5 luni pentru o lansare importantă, iar lansările minore se fac când sunt necesare — este nevoie doar de lansări importante și minore.
Compatibilitate cu versiunile anterioare
Proiectul WordPress are un angajament durabil pentru compatibilitatea cu versiunile anterioare. Acest angajament înseamnă că temele, modulele și codul personalizat continuă să funcționeze când software-ul nucleului WordPress este actualizat, încurajând proprietarii de situri să-și mențină versiunea de WordPress actualizată prin ultima lansare de securitate.
WordPress și securitate
Echipa de securitate WordPress
Echipa de securitate WordPress este formată din aproximativ 50 de experți, inclusiv dezvoltatori șefi și cercetători din domeniul securității — cam jumătate sunt angajați la Automattic (factori de decizie la WordPress.com, prima și cea mai mare platformă de găzduire WordPress de pe web) și din cei care lucrează în domeniul securității pe web. Echipa se consultă cu cercetători de securitate și companii de găzduire bine-cunoscute și de încredere3.
Echipa de securitate WordPress colaborează adesea cu alte echipe de securitate pentru a aborda problemele generale, cum ar fi rezolvarea vulnerabilității în interpretorul PHP XML, folosit de API-ul XML-RPC livrat cu WordPress, în WordPress 3.9.24. Această rezolvare a vulnerabilității a fost rezultatul unui efort comun al echipelor de securitate de la WordPress și Drupal.
Riscuri, procese și istoria securității WordPress
Echipa de securitate WordPress crede în divulgarea responsabilă prin alertarea imediată a echipei de securitate cu privire la orice eventuală vulnerabilitate. Eventualele vulnerabilități de securitate pot fi semnalate echipei de securitate la WordPress HackerOne5. Membrii echipei de securitate comunică între ei pe un canal privat pe Slack și lucrează pe un Trac privat, izolat, pentru urmărirea, testarea și corectarea erorilor și problemelor de securitate.
Fiecare raport de securitate este recunoscut în momentul primirii și echipa lucrează să verifice vulnerabilitatea și să determine gravitatea ei. Dacă este confirmată, echipa de securitate planifică o corectură pentru a remedia problema, care poate fi atribuită unei versiuni viitoare a software-ului WordPress sau poate fi lansată imediat o versiune de securitate, în funcție de gravitatea problemei.
Pentru o versiune imediată de securitate, echipa de securitate publică o înștiințare pe situl de știri WordPress.org News6 anunțând lansarea și detaliind modificările. În înștiințare va fi nominalizată persoana care a divulgat vulnerabilitatea pentru a încuraja și consolida în viitor continuarea raportărilor responsabile.
Administratorii software-ului WordPress văd în panoul lor de control o notificare de actualizare când o nouă versiune este disponibilă, iar în urma actualizării manuale utilizatorii sunt redirecționați la ecranul Despre din WordPress în care se detaliază modificările. Dacă administratorii au activate actualizările automate în culise, ei vor primi un email după ce o actualizare a fost finalizată.
Actualizări automate în culise pentru versiuni de securitate
Începând de la versiunea 3.7, WordPress a introdus actualizările automate în culise pentru toate versiunile minore7, cum ar fi 3.7.1 și 3.7.2. Echipa de securitate WordPress poate identifica, corecta și împinge automat îmbunătățirile de securitate pentru WordPress fără ca proprietarul sitului să facă ceva, actualizarea de securitate instalându-se automat.
Când este publicată o actualizare de securitate pentru versiunea curentă stabilă de WordPress, echipa nucleului va împinge, de asemenea, actualizările de securitate pentru toate versiunile care sunt capabile de actualizări în culise (începând cu WordPress 3.7), deci aceste versiuni mai vechi, dar încă versiuni recente de WordPress, vor primi îmbunătățiri de securitate.
Proprietarii de situri personale pot opta pentru a înlătura actualizările automate în culise printr-o simplă modificare în fișierul lor de configurare, dar păstrarea acestei funcționalități este recomandată cu prisosință de echipa nucleului și, de asemenea, rularea celei mai recente versiuni stabile a WordPress.
Prime 10 din OWASP (2013)
Proiectul pentru securitatea aplicațiilor web deschise (Open Web Application Security Project - OWASP) este o comunitate online dedicată securității aplicațiilor web. Lista primelor 10 din OWASP8 se concentrează pe identificarea celor mai serioase riscuri de securitate ale aplicațiilor pentru o gamă largă de organizații. Primele 10 elemente sunt selectate și ierarhizate într-o combinație de estimări consensuale privind exploatarea, detectarea și impactul lor.
Următoarele secțiuni pun în discuție API-urile, resursele și politicile pe care WordPress le folosește pentru a întări software-ul nucleului și modulele și temele terțe în vederea unor posibile riscuri.
A1 - Injecție
În WordPress sunt disponibile un set de funcții și API-uri pentru a-i sprijini pe dezvoltatori să se asigure că nu poate fi injectat un cod neautorizat și pentru a-i ajuta să valideze și sanitizeze datele. Sunt disponibile documentații și cele mai bune practici9 despre cum se folosesc aceste API-uri pentru a proteja, valida sau sanitiza datele de intrare sau ieșire în HTML, URL-uri, antete HTTP și când interacționează cu baza de date și sistemul de fișiere. În plus, administratorii pot restricționa prin filtre tipurile de fișiere care pot fi încărcate.
A2 - Autentificare defectuoasă și management sesiuni
Software-ul nucleului WordPress administrează conturile și autentificarea utilizatorilor și detaliile, cum ar fi ID-ul utilizatorului, numele și parola, care sunt administrate pe partea de server, precum și cookie-urile de autentificare. Parolele sunt protejate în baza de date folosind tehnici standard de „sărare și întindere”. Sesiunile existente sunt distruse la dezautentificare începând cu versiunea WordPress 4.0.
A3 - Scripturi cross-site (XSS)
WordPress oferă o gamă de funcții care pot ajuta la garantarea siguranței datelor furnizate de utilizatori10. Utilizatorii de încredere, adică administratorii și editorii într-o instalare singulară de WordPress, și administratorii de rețea într-un multi-sit WordPress pot publica HTML sau JavaScript nefiltrat după necesități, cum ar fi în interiorul unui articol sau a unei pagini. Sunt filtrați implicit ceilalți utilizatori și conținutul trimis de ei pentru a înlătura entitățile periculoase, folosindu-se biblioteca KSES prin funcția wp_kses
.
Ca exemplu, echipa nucleului WordPress a observat înainte de lansarea versiunii WordPress 2.3 că funcția the_search_query()
a fost folosită greșit de majoritatea autorilor de teme, care n-au filtrat ieșirea funcției pentru utilizare în HTML. Într-un caz foarte rar de rupere ușoară a compatibilității cu versiunile anterioare, ieșirea funcției a fost modificată în WordPress 2.3 pentru a fi pre-filtrată.
A4 - Referință directă nesecurizată la obiect
WordPress furnizează de multe ori referințe directe la obiecte, cum ar fi identificatorii numerici unici ai conturilor de utilizator sau conținutul disponibil în URL ori în câmpurile formularelor. În timp ce acești identificatori divulgă informații directe despre sistem, permisiunile bogate și sistemul de control al accesului de la WordPress împiedică cererile neautorizate.
A5 - Configurarea greșită a securității
Majoritatea operațiunilor de configurare a securității WordPress sunt limitate la un singur administrator autorizat. Setările implicite pentru WordPress sunt evaluate continuu de membrii echipei nucleului și echipa furnizează documentația și cele mai bune practici pentru a întări securitatea pentru configurarea serverelor care rulează un sit WordPress11.
A6 - Expunere la date sensibile
Parolele conturilor de utilizator WordPress sunt „sărate și încurcate” și bazate pe cadrul de distribuire a parolelor din PHP-ul portabil (Portable PHP Password Hashing Framework)12. Sistemul de permisiuni al WordPress este folosit pentru a controla accesul la informații private, cum ar fi informațiile de identificare personală ale utilizatorilor înregistrați, adresele de email ale comentatorilor, conținutul publicat ca privat etc. În WordPress 3.7, a fost inclus în software-ul nucleului un indicator de putere al parolei care să ofere informații suplimentare utilizatorilor care își setează parolele și sugestii pentru a le face mai puternice. De asemenea, WordPress are o setare opțională de configurare pentru a solicita HTTPS.
A7 - Lipsă de control la accesul la nivel funcțiilor
WordPress verifică autorizarea și permisiunile corespunzătoare pentru orice cereri de acces la nivel funcțiilor înainte de executarea acțiunii. Accesul sau vizualizarea unor URL-uri administrative, meniuri și pagini, fără o autentificare corespunzătoare este integrată strâns cu sistemul de autentificare pentru împiedica accesul unor utilizatori neautorizați.
A8 - Cereri falsificate cross-site (CSRF)
WordPress folosește tokeni criptografici, numiți nunici13, pentru a valida intenția unor cereri de acțiune de la utilizatori autorizați pentru a asigura protecția împotriva potențialelor amenințări CSRF. WordPress oferă un API pentru generarea acestor tokeni, pentru a crea și verifica tokeni unici și temporari; tokenul este limitat la un anumit utilizator, o acțiune specifică, un obiect specific și la o anumită perioadă de timp, putând fi adăugat în formulare și URL-uri, după nevoie. În plus, toți nunicii sunt invalidați la dezautentificare.
A9 - Folosirea componentelor cu vulnerabilități cunoscute
Echipa nucleului WordPress monitorizează îndeaproape câteva biblioteci și baze de lucru incluse în WordPress pentru a le integra cu funcționalitatea nucleului. În trecut echipa nucleului a contribuit la mai multe componente terțe pentru a le face mai sigure, precum actualizarea pentru a repara o vulnerabilitate cross-site în TinyMCE în WordPress 3.5.214.
Dacă este necesar, echipa nucleului poate decide să ramifice sau să înlocuiască componentele externe critice, de exemplu, când biblioteca SWFUpload a fost înlocuită oficial cu biblioteca Plupload în 3.5.2, echipa de securitate a pus la dispoziție o ramificare securizată a SWFUpload15 pentru modulele care au continuat să folosească SWFUpload pe termen scurt.
A10 - Redirecționări și trimiteri nevalidate
Sistemul WordPress de control intern al accesului și a autentificării va proteja împotriva încercărilor de a direcționa utilizatorii spre destinații nedorite sau redirectărilor automate. Această funcționalitate este, de asemenea, pusă la dispoziția dezvoltatorilor de module printr-un API, wp_safe_redirect()
16.
Alte riscuri și preocupări de securitate
Atacuri la procesarea XXE (XML eXternal Entity - entități externe XML)
La procesarea XML, WordPress dezactivează încărcarea entităților XML personalizate pentru a împiedica atât atacurile entităților externe cât și atacurile de extindere a entității. Dincolo de funcționalitatea nucleului PHP, WordPress nu furnizează pentru autorii de module un API suplimentar pentru procesarea XML securizată.
Atacuri SSRF (Server Side Request Forgery - Cereri falsificate către server)
Cererile HTTP lansate de WordPress sunt filtrate pentru a împiedica accesul la adrese IP de retur sau private. În plus, accesul este permis numai pentru anumite porturi HTTP standard.
Securitatea modulelor și temelor WordPress
Tema implicită
WordPress cere să fie activată o temă pentru a face vizibil conținutul în partea din față a sitului. Tema implicită, livrată cu nucleul WordPress (în prezent „Twenty Twenty”), a fost revizuită viguros și testată din punctul de vedere al securității atât de echipa dezvoltatorilor de teme cât și de echipa de dezvoltare a nucleului.
Tema implicită poate servi ca punct de plecare pentru dezvoltarea unei teme personalizate, iar dezvoltatorii de situri pot crea o temă copil care include unele personalizări, dar se reîntoarce la tema implicită pentru multe funcționalități și pentru securitate. Tema implicită poate fi înlăturată cu ușurință de un administrator dacă nu este necesară.
Depozitare de teme și module pentru WordPress.org
Există peste 50.000 de module și peste 5.000 de teme listate pe situl WordPress.org. Temele și modulele care sunt trimise pentru includere sunt verificate manual de către voluntari înainte de a deveni disponibile în depozitar.
Includerea modulelor și temelor în depozitar nu garantează că ele nu au vulnerabilități de securitate. Pentru dezvoltatorii de module există instrucțiuni care pot fi consultate înainte de trimiterea unui modul pentru includerea în depozitar17, iar pe situl WordPress.org se oferă o documentație extensivă despre cum se dezvoltă o temă WordPress18.
Fiecare modul și temă are posibilitatea de a fi dezvoltat în mod continuu de către proprietarul modulului sau temei și toate corecțiile ulterioare sau dezvoltarea unei funcționalități pot fi încărcate în depozit și puse la dispoziția utilizatorilor care au instalat acel modul sau acea temă, împreună cu o descriere a modificărilor. Administratorii de situri sunt notificați despre modulele care trebuie să fie actualizate prin panoul control de administrare.
Când echipa de securitate WordPress descoperă un modul cu vulnerabilități, membrii ei contactează autorul modulului și lucrează împreună pentru a-l corecta și lansa o versiune sigură a modulului. Dacă răspunsul autorului modulului întârzie sau dacă vulnerabilitatea este severă, modulul/tema este scos/scoasă din directorul public; în unele cazuri, modulele/temele sunt corectate și actualizate de către echipa de securitate.
Echipa de revizuire a temelor
Echipa de revizuire a temelor este un grup de voluntari, conduși de membri cheie consacrați ai comunității WordPress, care revizuiesc și aprobă temele trimise pentru a fi incluse în directorul oficial de teme WordPress. Echipa de revizuire a temelor ține la zi reglementările oficiale pentru revizuirea temelor19, datele unității de testare pentru teme20 și modulul Verificare temă21 și încearcă să angreneze și să educe comunitatea dezvoltatorilor de teme WordPress cu privire la cele mai bune practici de dezvoltare. Includerea în grup e moderată de contributorii la nucleul din echipa de dezvoltare WordPress.
Rolul furnizorului de găzduire în securitatea WordPress
WordPress poate fi instalat pe o mulțime de platforme. Cu toate că software-ul nucleul WordPress oferă multe posibilități pentru operarea unei aplicați web în siguranță, ele au fost menționate în acest document, configurarea sistemului de operare și a serverului web de bază care găzduiește software-ul este la fel de importantă pentru a menține aplicațiile WordPress securizate.
O notă despre WordPress.com și securitatea WordPress
WordPress.com este cea mai mare instalare WordPress din lume, deținută și administrată de compania Automattic Inc., care a fost fondată de Matt Mullenweg, co-creatorul proiectului WordPress. WordPress.com rulează pe software-ul nucleului WordPress și are propriile procedee de securitate, riscuri și soluționări22. Acest document se referă la securitatea software-ului WordPress open-source disponibil la WordPress.org, auto-găzduit, care se poate descarcă și instala pe orice server din lume.
Anexă
API-uri nucleu WordPress
API-ul (interfața de programare a aplicației) nucleului WordPress este alcătuit din mai multe API-uri individuale23, fiecare acoperind funcțiile implicate și utilizate într-un set de funcționalități date. Împreună, acestea formează interfața proiectului care permite modulelor și temelor să modifice, să extindă sau să interacționeze cu funcționalitatea nucleului WordPress în siguranță și securizat.
În timp ce fiecare API de la WordPress oferă cele mai bune practici și modalități standardizate de a extinde și interacționa cu software-ul nucleului WordPress, următoarele API-uri sunt cele mai relevante pentru a impune și întări securitatea WordPress:
API bază de date
API-ul bazei de date24, adăugat în WordPress 0.71, oferă metoda corectă pentru accesarea datelor ca valori numite ce sunt stocate la nivelul bazei de date.
API sistem de fișiere
API-ul sistemului de fișiere25, adăugat în WordPress 2.626, a fost inițial creat pentru funcționalitatea de actualizări automate din WordPress. API-ul sistemului de fișiere rezumă funcționalitatea necesară pentru citirea și scrierea fișierelor locale în sistemul de fișiere ca să fie făcută în siguranță, pe o varietate de tipuri de gazde.
Aceasta se face prin clasa WP_Filesystem_Base
și prin alte câteva subclase care implementează diferite moduri de conectare la sistemul de fișiere, în funcție de suportul fiecărei gazde. Toate temele sau modulele care trebuie să scrie fișiere la nivel local ar trebui s-o facă folosind familia de clase WP_Filesystem.
API HTTP
API-ul HTTP27, adăugat în WordPress 2.728 și extins apoi în WordPress 2.8, standardizează cererile HTTP pentru WordPress. API-ul gestionează cookie-urile, codarea și decodarea gzip, decodarea pe bucăți (pentru HTTP 1.1) și diverse alte implementări ale protocolului HTTP. API-ul standardizează cererile, testează fiecare metodă înainte de trimitere, și, pe baza configurării serverului, folosește metoda corespunzătoare pentru a face o cerere.
Permisiuni și API utilizatori actuali
Permisiunile și API-ul utilizatorilor actuali29 este un set de funcții care va ajuta la verificarea permisiunilor utilizatorilor actuali și competențelor de a efectua orice sarcină sau operație solicitată și poate proteja suplimentar împotriva utilizatorilor neautorizați care accesează sau execută funcții dincolo de capabilitățile lor permise.
Licență pentru conținutul raportului oficial
Textul din acest document (fără a include logoul sau marca comercială WordPress) este licențiat sub CC0 1.0 Universal (CC0 1.0) Public Domain Dedication. Poți copia, modifica, distribui și folosi textul, chiar și în scopuri comerciale, fără a cere permisiunea.
Mulțumiri speciale pentru raportul oficial de securitate de la Drupal, care ne-a oferit inspirație.
Lectură suplimentară
- Știri WordPress https://wordpress.org/news/
- Versiuni de securitate WordPress https://wordpress.org/news/category/security/
- Resurse pentru dezvoltatori WordPress https://developer.wordpress.org/
Scris de Sara Rosso
Au contribuit Barry Abrahamson, Michael Adams, Jon Cave, Helen Hou-Sandí, Dion Hulse, Mo Jangda, Paul Maiorana
Versiunea 1.0, martie 2015
Note de subsol
- [1] https://w3techs.com/, as of December 2019
- [2] https://make.wordpress.org/core/handbook/about/release-cycle/
- [3] https://make.wordpress.org/core/handbook/about/release-cycle/version-numbering/
- [4] https://wordpress.org/news/2014/08/wordpress-3-9-2/
- [5] https://hackerone.com/wordpress
- [6] https://wordpress.org/news/
- [7] https://wordpress.org/news/2013/10/basie/
- [8] https://www.owasp.org/index.php/Top_10_2013-Top_10
- [9] https://developer.wordpress.org/plugins/security/
- [10] https://codex.wordpress.org/Data_Validation#HTML.2FXML
- [11] hhttps://wordpress.org/support/article/hardening-wordpress/
- [12] https://www.openwall.com/phpass/
- [13] https://developer.wordpress.org/plugins/security/nonces/
- [14] https://wordpress.org/news/2013/06/wordpress-3-5-2/
- [15] https://make.wordpress.org/core/2013/06/21/secure-swfupload/
- [16] https://developer.wordpress.org/reference/functions/wp_safe_redirect/
- [17] https://wordpress.org/plugins/developers/
- [18] https://developer.wordpress.org/themes/getting-started/
- [19] https://make.wordpress.org/themes/handbook/review/
- [20] https://codex.wordpress.org/Theme_Unit_Test
- [21] https://wordpress.org/plugins/theme-check/
- [22] https://automattic.com/security/
- [23] https://codex.wordpress.org/WordPress_APIs
- [24] https://developer.wordpress.org/apis/handbook/database/
- [25] https://codex.wordpress.org/Filesystem_API
- [26] https://wordpress.org/support/wordpress-version/version-2-6/
- [27] https://developer.wordpress.org/plugins/http-api/
- [28] https://wordpress.org/support/wordpress-version/version-2-7/
- [29] https://developer.wordpress.org/reference/functions/current_user_can/