Solo 3 giorni dopo il rilascio di WordPress 4.2, un ricercatore di sicurezza ha trovato una vulnerabilità XSS zero-day che colpisce WordPress 4.2, 4.1.2, 4.1.1, 4.1.3 e 3.9.3. Questo consente a un aggressore di iniettare JavaScript nei commenti e hackerare il tuo sito. Il team di WordPress ha risposto rapidamente e ha risolto il problema di sicurezza in WordPress 4.2.1, e raccomandiamo vivamente di aggiornare immediatamente i tuoi siti.
Jouko Pynnönen, un ricercatore di sicurezza presso Klikki Oy, che ha segnalato il problema, lo ha descritto come:
Se attivato da un amministratore connesso, con le impostazioni predefinite l'aggressore può sfruttare la vulnerabilità per eseguire codice arbitrario sul server tramite gli editor di plugin e temi.
In alternativa, l'aggressore potrebbe cambiare la password dell'amministratore, creare nuovi account amministratore o fare qualsiasi altra cosa che l'amministratore attualmente connesso può fare sul sistema di destinazione.
Questa particolare vulnerabilità è simile a quella segnalata da Cedric Van Bockhaven, che è stata corretta nel rilascio di sicurezza di WordPress 4.1.2.
Sfortunatamente, non hanno utilizzato una corretta divulgazione della sicurezza e invece hanno pubblicato l'exploit pubblicamente sul loro sito. Ciò significa che coloro che non aggiornano il proprio sito saranno in serio pericolo.
Aggiornamento: Abbiamo appreso che hanno tentato di contattare il team di sicurezza di WordPress ma non sono riusciti a ottenere una risposta tempestiva.
Se non hai disabilitato gli aggiornamenti automatici, il tuo sito si aggiornerà automaticamente.
Ancora una volta, ti consigliamo vivamente di aggiornare il tuo sito a WordPress 4.2.1. Assicurati di effettuare un backup del tuo sito prima di aggiornare.
Rajnish Tyagi
ciao,
il mio sito è andato giù 2 volte la scorsa settimana, sto usando il server AWS, per il database sto usando RDS, ma oggi il mio database si è bloccato e ci sono volute 2 ore per recuperarlo, sto usando l'ultima versione di WordPress 4.2.2
per favore, consigliami alcuni buoni suggerimenti per la sicurezza
Grazie
Rajnish
Paul
Grazie per il post. Aggiornerò subito i miei siti!
Mike
Se hai Akismet in esecuzione, è molto probabile che i commenti vengano contrassegnati come spam, quindi non controllare la coda dello spam.
Bernhard
Si prega di dare un'occhiata a http://klikki.fi/adv/wordpress2.html dove è chiaramente spiegato come hanno cercato di contattare wordpress.com e non hanno ricevuto risposta DA NOVEMBRE 2014 (Vulnerabilità confermata: WordPress 4.2, 4.1.2, 4.1.1, 3.9.3.):
"WordPress ha rifiutato tutti i tentativi di comunicazione riguardo ai nostri casi di vulnerabilità di sicurezza in corso da novembre 2014. Abbiamo cercato di contattarli via email, tramite l'autorità nazionale (CERT-FI) e tramite HackerOne. Nessuna risposta di alcun tipo è stata ricevuta dal 20 novembre 2014. Per quanto ne sappiamo, il loro team di risposta alla sicurezza ha anche rifiutato di rispondere all'autorità di regolamentazione delle comunicazioni finlandese che ha cercato di coordinare la risoluzione dei problemi che abbiamo segnalato, e al personale di HackerOne, che ha cercato di chiarire lo stato dei nostri ticket di bug aperti."
Se ciò è corretto, divulgare il problema è stata l'unica cosa responsabile da fare, e i siti sono vulnerabili non a causa della divulgazione, ma a causa del fallimento da parte di WordPress nell'affrontare questo problema per quasi 6 mesi.
Capisco che la sicurezza sia una questione complessa, ma per favore, attieniti ai fatti.
Supporto WPBeginner
Le nostre più sincere scuse. Abbiamo aggiornato l'articolo.
Amministratore
Bilal Bin Amar
ma dopo l'aggiornamento, il mio CMS (wordpress) e il mio sito sono diventati molto lenti, sotto il CMS quando clicco su aggiungi un plugin mi dà un errore
William Charles
Sono stato aggiornato automaticamente e ora mi chiede di aggiornare il mio database, quando aggiorno il mio database ricevo il seguente errore: Catchable fatal error: Object of class WP_Error could not be converted to string in /home/doctorof/public_html/wp-admin/includes/upgrade.php on line 1459
Qualche idea su come risolvere? Ho provato i soliti metodi (disattivare plugin, tema predefinito, ecc.).
Staff editoriale
Si prega di contattare il proprio provider di hosting. Questo potrebbe essere dovuto a una tabella del database corrotta. È successo anche al nostro sito List25 e il nostro host è stato in grado di risolverlo subito.
Amministratore
kunwar
Basta visitare la pagina di accesso all'amministratore /wp-admin e quindi premere il pulsante di aggiornamento del database, questo dovrebbe risolvere il problema.
pmisun
Dopo l'aggiornamento automatico applicato ha completamente rovinato le nostre istanze e non abbiamo ricevuto risposte dal server. Stiamo indagando da 6 ore, senza risultati positivi. Il server è a posto, i provider di rete / ISP sono a posto...
raja babu
Voglio sapere come posso proteggere il mio sito, come posso interrompere l'aggiornamento automatico del sito??? per favore aiutatemi
Supporto WPBeginner
Si raccomanda vivamente di aggiornare il proprio sito WordPress non appena è disponibile un nuovo aggiornamento. Non farlo rende il tuo sito vulnerabile. Tuttavia, se per qualche motivo desideri aggiornare manualmente, puoi disabilitare gli aggiornamenti automatici in WordPress
Amministratore
Elaine Maul
Thank you for the alert! Although I have automatic updates set, it hadn’t got round to doing it yet for some reason, so I have actioned it myself
Thank you
ha manh bui
Come posso sapere se il mio sito http://homelytips.com/ è interessato, si è semplicemente aggiornato automaticamente alla versione 4.1.4
Staff editoriale
L'aggiornamento automatico viene eseguito dal team di WordPress se non li hai disabilitati.
4.1.4 risolve anche il problema.
Amministratore