PHP人们对WordPress新的死亡之白屏幕保护功能表示担忧

2019-02-05 14:54

PHP人们对WordPress新的死亡之白屏幕保护功能表示担忧



  安全研究人员警告称,下一版本的WordPress CMS附带的新功能可能会被滥用,以禁用安全插件,并使WordPress网站和博客面临风险。

  该功能在“ WSOD(白屏死机)保护 ” 中具有非常酷的名称,被认为相当于WordPress安全模式,计划在WordPress 5.1发布时首次亮相,预计今年春天。

  正如WordPress核心开发人员Felix Arntz所描述的,该功能允许WordPress识别何时发生致命的PHP错误以及导致它的插件或主题。

PHP人们对WordPress新的死亡之白屏幕保护功能表示担忧

  WSOD保护功能将暂停插件或主题代码,并允许站点管理员访问后端面板,他们可以调查和禁用导致错误的罪魁祸首。

  几个月前,WordPress团队开始研究WSOD保护功能。该功能是一个宏大计划的一部分,旨在帮助网站所有者从使用过时的PHP 5.x服务器更新到使用更新的7.x分支。

  首先创建WSOD保护功能,以允许站点所有者在PHP 7.x迁移后从站点崩溃中恢复,但WordPress开发人员意识到这也可用于在更新WordPress插件或主题后捕获错误,这有时也会导致站点崩溃以类似的方式。

  在本周早些时候发布的一篇博客文章中,bug猎人Slavco Mihajloski指出,攻击者可以在WordPress插件中使用低端且有时无害的攻击来触发一个致命的PHP错误,该错误将被WSOD保护功能捕获。

  由于WSOD保护功能旨在暂停故障插件的执行,Mihajloski认为攻击者可以滥用它来禁用防火墙,双因素身份验证,暴力保护以及安装在WordPress站点上的其他安全集中插件。