Команда WP-CLI приступила к работе над новым проектом, целью которого является обеспечение проверки контрольных сумм для плагинов и тем. Контрольные суммы – это метод проверки целостности файлов. Три года назад WP-CLI добавили возможность проверки контрольных сумм для ядра WordPress с помощью алгоритма MD5. Это очень полезная возможность в плане безопасности, позволяющая разработчикам легко увидеть, были ли какие-либо файлы изменены или скомпрометированы.
Контрольные суммы ядра WordPress обрабатываются через официальный API (https://api.wordpress.org/core/checksums/), и разработчики WP-CLI планируют расширить эту инфраструктуру, охватив плагины и темы, расположенные в каталоге WordPress.org.
“Такой функционал для плагинов и тем даст огромные преимущества в плане безопасности”, – отметил один из соавторов WP-CLI Ален Шлессер. – «Он позволит вам проверять целостность файлов по всему сайту, возможно даже автоматически. Тем не менее, у нас пока нет централизованного способа получения контрольных сумм для плагинов и тем. Скачивание плагинов и тем с официальных серверов только лишь для их проверки – это достаточно расточительный процесс с точки зрения ресурсов и пропускной способности сети».
Участники в настоящее время изучают различные варианты имплементации процесса проверки контрольных сумм в обсуждении на GitHub, которое было вдохновлено уже существующим проектом wp-checksum от Эрика Торснера.
«Самая простая возможная инфраструктура для этого – плоские файлы (без базы данных)», – отметил участник WP-CLI Дэниэл Баххубер. – «Я разговаривал с людьми из WordPress.org про хостинг. Если наше промежуточное приложение (middleware) сможет генерировать плоские файлы под управлением некоторого API, то в таком случае понадобится синхронизировать эти плоские файлы с сервером WordPress.org (с помощью rsync или чего-то подобного)».
Команда рассматривает возможность создания API под отдельным URL-адресом для тестирования и последующего итеративного улучшения, после чего, как только API будет готов, он будет включен в инфраструктуру WordPress.org. Однако реальный размер SVN проверок и CPU-мощностей, требуемых для синхронизации файлов, пока остается неясным. Хостинг DreamHost бесплатно выделил сервер для команды, чтобы они могли запустить свой генератор контрольных сумм в процессе совершенствования инфраструктуры.
Проверка контрольных сумм для тем и плагинов, разработанная Торснером, в настоящее время работает только с решениями, расположенными в каталоге WordPress.org, однако он также экспериментирует и с механизмами получения контрольных сумм для некоторых коммерческих поставщиков, таких как Gravity Forms и Easy Digital Downloads. Торснер надеется, что проект сохранит эти возможности для коммерческих плагинов после того, как будет внедрен в WordPress.org.
Проект Plugin and Themes Checksums в данный момент находится на стадии запуска. Официальная встреча WP-CLI прошла 3 октября.
«Этот проект будет иметь огромное влияние на воспринимаемую и эффективную безопасность WordPress-установок», – отметил Шлессер. – «Это позволит кардинально снизить количество сайтов, зараженных вредоносным ПО, и, благодаря огромной доле WordPress на рынке CMS, это в целом улучшит общий процесс просмотра сайтов в сети для всех пользователей».
Источник: wptavern.com