Zaledwie 3 dni po wydaniu WordPress 4.2, badacz bezpieczeństwa odkrył lukę Zero-day XSS, która dotyczy WordPress 4.2, 4.1.2, 4.1.1, 4.1.3 i 3.9.3. Pozwala to atakującemu na wstrzyknięcie kodu JavaScript do komentarzy i zhakowanie Twojej strony. Zespół WordPress zareagował szybko i naprawił problem bezpieczeństwa w WordPress 4.2.1, dlatego zdecydowanie zalecamy natychmiastową aktualizację Twoich stron.
Jouko Pynnönen, badacz bezpieczeństwa w Klikki Oy, który zgłosił problem, opisał go jako:
Jeśli zostanie wyzwolony przez zalogowanego administratora, przy domyślnych ustawieniach atakujący może wykorzystać lukę do wykonania dowolnego kodu na serwerze za pośrednictwem wtyczek i edytorów motywów.
Alternatywnie atakujący mógłby zmienić hasło administratora, utworzyć nowe konta administratorów lub zrobić cokolwiek innego, co zalogowany administrator może zrobić w docelowym systemie.
Ta konkretna luka jest podobna do tej zgłoszonej przez Cedrica Van Bockhaven, która została załatana w wydaniu bezpieczeństwa WordPress 4.1.2.
Niestety, nie zastosowali odpowiedniej procedury ujawniania luk w zabezpieczeniach i zamiast tego opublikowali exploit publicznie na swojej stronie. Oznacza to, że ci, którzy nie zaktualizują swojej strony, będą w poważnym niebezpieczeństwie.
Aktualizacja: Dowiedzieliśmy się, że próbowali skontaktować się z zespołem ds. bezpieczeństwa WordPress, ale nie udało im się uzyskać szybkiej odpowiedzi.
Jeśli nie wyłączyłeś automatycznych aktualizacji, Twoja strona zostanie automatycznie zaktualizowana.
Jeszcze raz zdecydowanie zalecamy aktualizację witryny do wersji WordPress 4.2.1. Pamiętaj, aby wykonać kopię zapasową witryny przed aktualizacją.
Rajnish Tyagi
cześć,
moja strona była 2 razy w zeszłym tygodniu, używam serwera aws, do bazy danych używam RDS, ale dzisiaj moja baza danych uległa awarii, odzyskanie zajęło 2 godziny, używam najnowszej wersji wprdress 4.2.2
proszę o poradę w kwestii dobrych wskazówek dotyczących bezpieczeństwa
Dziękuję
Rajnish
Paul
Dzięki za post. Natychmiast zaktualizuję swoje strony!
Mike
Jeśli używasz Akismet, istnieje duże prawdopodobieństwo, że komentarze zostaną oznaczone jako spam, więc nie sprawdzaj kolejki spamu.
Bernhard
Proszę zapoznać się z http://klikki.fi/adv/wordpress2.html, gdzie jasno wyjaśniono, jak próbowali skontaktować się z wordpress.com i nie otrzymali odpowiedzi OD LISTOPADA 2014 R. (Potwierdzono podatność: WordPress 4.2, 4.1.2, 4.1.1, 3.9.3.):
„WordPress od listopada 2014 roku odrzuca wszelkie próby kontaktu w sprawie naszych bieżących spraw dotyczących luk w zabezpieczeniach. Próbowaliśmy skontaktować się z nimi e-mailem, za pośrednictwem krajowego organu (CERT-FI) i za pośrednictwem HackerOne. Od 20 listopada 2014 roku nie otrzymaliśmy żadnej odpowiedzi. Według naszej wiedzy, ich zespół ds. reagowania na incydenty bezpieczeństwa odmówił również odpowiedzi fińskiemu organowi regulacyjnemu ds. komunikacji, który próbował koordynować rozwiązywanie zgłoszonych przez nas problemów, a także pracownikom HackerOne, którzy próbowali wyjaśnić status naszych otwartych zgłoszeń błędów.”
Jeśli tak jest, ujawnienie problemu było jedyną odpowiedzialną rzeczą do zrobienia, a strony są podatne nie z powodu ujawnienia, ale z powodu zaniedbania ze strony WordPressa w rozwiązaniu tego problemu przez prawie 6 miesięcy.
Rozumiem, że bezpieczeństwo to złożony problem, ale proszę, przedstaw fakty.
Wsparcie WPBeginner
Nasze najszczersze przeprosiny. Zaktualizowaliśmy artykuł.
Admin
Bilal Bin Amar
ale po aktualizacji mój CMS (wordpress) i moja strona stały się bardzo wolne, w CMS po kliknięciu w dodany plugin pojawia się błąd
William Charles
Zostałem automatycznie zaktualizowany i teraz prosi mnie o aktualizację mojej bazy danych, kiedy aktualizuję moją bazę danych, otrzymuję następujący błąd: Catchable fatal error: Object of class WP_Error could not be converted to string in /home/doctorof/public_html/wp-admin/includes/upgrade.php on line 1459
Czy macie jakieś pomysły, jak to naprawić? Próbowałem zwykłych metod (wyłączenie wtyczek, domyślny motyw itp.).
Personel redakcyjny
Skontaktuj się ze swoim dostawcą hostingu. Może to być spowodowane uszkodzoną tabelą w bazie danych. Zdarzyło się to naszej stronie List25, a nasz host był w stanie to naprawić od razu.
Admin
kunwar
Po prostu odwiedź swoją stronę logowania administratora /wp-admin, a następnie naciśnij przycisk aktualizacji bazy danych, powinno to rozwiązać problem.
pmisun
Po zastosowaniu automatycznej aktualizacji całkowicie zepsuło to nasze instancje i nie otrzymaliśmy odpowiedzi serwera. Badamy od 6 godzin, bez pozytywnych rezultatów. Serwer jest w porządku, dostawcy internetu / ISP są w porządku…
raja babu
Chcę wiedzieć, jak mogę zabezpieczyć moją stronę, jak mogę zatrzymać automatyczną aktualizację strony??? proszę o pomoc
Wsparcie WPBeginner
Zdecydowanie zaleca się aktualizację witryny WordPress, gdy tylko pojawi się nowa aktualizacja. Niewykonanie tego sprawia, że Twoja witryna jest podatna na ataki. Jednak jeśli z jakiegoś powodu chcesz zaktualizować ręcznie, możesz wyłączyć automatyczne aktualizacje w WordPressie.
Admin
Elaine Maul
Thank you for the alert! Although I have automatic updates set, it hadn’t got round to doing it yet for some reason, so I have actioned it myself
Thank you
ha manh bui
Skąd mogę wiedzieć, czy moja strona http://homelytips.com/ jest zainfekowana, sama zaktualizowała się do wersji 4.1.4
Personel redakcyjny
Automatyczna aktualizacja jest przeprowadzana przez zespół WordPress, jeśli jej nie wyłączyłeś.
4.1.4 również naprawia ten problem.
Admin