Apenas 3 dias após o lançamento do WordPress 4.2, um pesquisador de segurança encontrou uma Vulnerabilidade XSS Zero Day que afeta WordPress 4.2, 4.1.2, 4.1.1, 4.1.3 e 3.9.3. Isso permite que um invasor injete JavaScript em comentários e invada seu site. A equipe do WordPress respondeu rapidamente e corrigiu o problema de segurança no WordPress 4.2.1, e recomendamos fortemente que você atualize seus sites imediatamente.
Jouko Pynnönen, um pesquisador de segurança da Klikki Oy, que relatou o problema, descreveu-o como:
Se acionada por um administrador logado, sob configurações padrão, o invasor pode alavancar a vulnerabilidade para executar código arbitrário no servidor através dos editores de plugins e temas.
Alternativamente, o invasor poderia alterar a senha do administrador, criar novas contas de administrador ou fazer qualquer outra coisa que o administrador atualmente logado possa fazer no sistema alvo.
Esta vulnerabilidade em particular é semelhante à relatada por Cedric Van Bockhaven, que foi corrigida no lançamento de segurança do WordPress 4.1.2.
Infelizmente, eles não usaram a divulgação de segurança adequada e, em vez disso, postaram o exploit publicamente em seu site. Isso significa que aqueles que não atualizarem seus sites estarão em sérios riscos.
Atualização: Soubemos que eles tentaram contatar a equipe de segurança do WordPress, mas não conseguiram uma resposta em tempo hábil.
Se você não desativou as atualizações automáticas, seu site será atualizado automaticamente.
Mais uma vez, recomendamos fortemente que você atualize seu site para o WordPress 4.2.1. Certifique-se de fazer backup do seu site antes de atualizar.
Rajnish Tyagi
Olá,
meu site caiu 2 vezes na semana passada, estou usando o servidor AWS, para o banco de dados estou usando RDS, mas hoje meu banco de dados travou, levou 2 horas para recuperar, estou usando a versão mais recente do WordPress 4.2.2
por favor, me aconselhe algumas boas dicas de segurança
Obrigado
Rajnish
Paul
Obrigado pela postagem. Atualizarei meus sites imediatamente!
Mike
Se você tiver o Akismet em execução, há uma boa chance de os comentários serem marcados como spam, portanto, não verifique sua fila de spam.
Bernhard
Por favor, dê uma olhada em http://klikki.fi/adv/wordpress2.html onde é claramente explicado como eles tentaram contatar o wordpress.com e não receberam resposta DESDE NOVEMBRO DE 2014 (Vulnerável confirmado: WordPress 4.2, 4.1.2, 4.1.1, 3.9.3.):
“O WordPress recusou todas as tentativas de comunicação sobre nossos casos contínuos de vulnerabilidade de segurança desde novembro de 2014. Tentamos contatá-los por e-mail, através da autoridade nacional (CERT-FI) e através do HackerOne. Nenhuma resposta de qualquer tipo foi recebida desde 20 de novembro de 2014. De acordo com nosso conhecimento, sua equipe de resposta de segurança também se recusou a responder à autoridade reguladora de comunicações finlandesa que tentou coordenar a resolução dos problemas que relatamos, e aos funcionários do HackerOne, que tentaram esclarecer o status de nossos tickets de bug abertos.”
Se isso estiver correto, divulgar o problema foi a única coisa responsável a fazer, e os sites estão vulneráveis não por causa da divulgação, mas por causa da falha do WordPress em resolver esse problema por quase 6 meses.
Entendo que segurança é uma questão complexa, mas por favor, apresente os fatos corretamente.
WPBeginner Support
Nossas mais sinceras desculpas. Atualizamos o artigo.
Admin
Bilal Bin Amar
mas depois da atualização, meu CMS (wordpress) e meu site ficaram muito lentos, dentro do CMS quando clico em adicionar um plugin, ele está dando erro
William Charles
Fui atualizado automaticamente e agora está me pedindo para atualizar meu banco de dados, quando atualizo meu banco de dados recebo o seguinte erro: Catchable fatal error: Object of class WP_Error could not be converted to string in /home/doctorof/public_html/wp-admin/includes/upgrade.php on line 1459
Alguma ideia de como consertar isso? Tentei os métodos usuais (desativar plugins, tema padrão etc).
Equipe Editorial
Por favor, entre em contato com seu provedor de hospedagem. Isso pode estar acontecendo devido a uma tabela corrompida no banco de dados. Aconteceu com nosso site List25, e nosso host conseguiu consertar imediatamente.
Admin
kunwar
Basta visitar sua página de login de administrador /wp-admin e depois pressionar o botão de atualização do banco de dados, isso deve corrigir o problema.
pmisun
Após a atualização automática aplicada, ela bagunçou completamente nossas instâncias e não tivemos respostas do servidor. Investigando por 6 horas agora, sem resultados positivos. O servidor está bem, os provedores de IP / ISPs estão bem…
raja babu
quero saber como posso proteger meu site, como posso parar a atualização automática do site??? por favor me ajude
WPBeginner Support
É altamente recomendado que você atualize seu site WordPress assim que uma nova atualização estiver disponível. Não fazer isso torna seu site vulnerável. No entanto, se por algum motivo você quiser atualizar manualmente, você pode desativar as atualizações automáticas no WordPress
Admin
Elaine Maul
Thank you for the alert! Although I have automatic updates set, it hadn’t got round to doing it yet for some reason, so I have actioned it myself
Thank you
ha manh bui
Como posso saber se meu site http://homelytips.com/ foi afetado, ele apenas se atualizou automaticamente para 4.1.4
Equipe Editorial
A atualização automática é feita pela equipe do WordPress se você não as desativou.
4.1.4 também corrige o problema.
Admin