La doar 3 zile după lansarea WordPress 4.2, un cercetător de securitate a descoperit o vulnerabilitate XSS Zero Day care afectează WordPress 4.2, 4.1.2, 4.1.1, 4.1.3 și 3.9.3. Aceasta permite unui atacator să injecteze JavaScript în comentarii și să vă spargă site-ul. Echipa WordPress a răspuns rapid și a remediat problema de securitate în WordPress 4.2.1 și recomandăm cu tărie să vă actualizați site-urile imediat.
Jouko Pynnönen, un cercetător în securitate la Klikki Oy, care a raportat problema, a descris-o astfel:
Dacă este declanșată de un administrator conectat, în setările implicite, atacatorul poate exploata vulnerabilitatea pentru a executa cod arbitrar pe server prin intermediul editorilor de pluginuri și teme.
Alternativ, atacatorul ar putea schimba parola administratorului, crea noi conturi de administrator sau face orice altceva ce administratorul conectat în prezent poate face pe sistemul țintă.
Această vulnerabilitate particulară este similară cu cea raportată de Cedric Van Bockhaven, care a fost remediată în lansarea de securitate WordPress 4.1.2.
Din păcate, nu au folosit o divulgare adecvată a securității și, în schimb, au postat exploit-ul public pe site-ul lor. Acest lucru înseamnă că cei care nu își actualizează site-ul vor fi în pericol serios.
Actualizare: Am aflat că au încercat să contacteze echipa de securitate WordPress, dar nu au reușit să obțină un răspuns prompt.
Dacă nu ați dezactivat actualizările automate, site-ul dvs. se va actualiza automat.
Din nou, vă sfătuim cu tărie să vă actualizați site-ul la WordPress 4.2.1. Asigurați-vă că faceți o copie de rezervă a site-ului înainte de a actualiza.
Rajnish Tyagi
salut
site-ul meu a fost de 2 ori în ultima săptămână, folosesc server AWS, pentru baza de date folosesc RDS, dar astăzi baza mea de date s-a defectat, a durat 2 ore pentru a se recupera, folosesc cea mai recentă versiune de wprdress 4.2.2
vă rog să-mi recomandați câteva sfaturi bune de securitate
Mulțumesc
Rajnish
Paul
Mulțumesc pentru postare. Îmi voi actualiza site-urile imediat!
Mike
Dacă aveți Akismet activ, există o șansă bună ca comentariile să fie marcate ca spam, așa că nu verificați coșul de spam.
Bernhard
Vă rugăm să aruncați o privire la http://klikki.fi/adv/wordpress2.html unde este explicat clar cum au încercat să contacteze wordpress.com și nu au primit niciun răspuns DE NOIEMBRIE 2014 (Vulnerabil confirmat: WordPress 4.2, 4.1.2, 4.1.1, 3.9.3.):
„WordPress a refuzat toate încercările de comunicare referitoare la cazurile noastre continue de vulnerabilități de securitate începând cu noiembrie 2014. Am încercat să îi contactăm prin e-mail, prin intermediul autorității naționale (CERT-FI) și prin HackerOne. Nu am primit niciun răspuns de niciun fel din 20 noiembrie 2014. Conform cunoștințelor noastre, echipa lor de răspuns la securitate a refuzat, de asemenea, să răspundă autorității de reglementare a comunicațiilor din Finlanda, care a încercat să coordoneze rezolvarea problemelor pe care le-am raportat, și personalului HackerOne, care a încercat să clarifice stadiul tichetelor noastre deschise de erori.”
Dacă acest lucru este corect, dezvăluirea problemei a fost singurul lucru responsabil de făcut, iar site-urile sunt vulnerabile nu din cauza dezvăluirii, ci din cauza eșecului WordPress de a aborda această problemă timp de aproape 6 luni.
Înțeleg că securitatea este o problemă complexă, dar vă rog să vă informați corect.
Suport WPBeginner
Ne cerem scuzele cele mai sincere. Am actualizat articolul.
Admin
Bilal Bin Amar
dar după actualizare, CMS-ul meu (wordpress) și site-ul meu au devenit foarte lente, sub CMS când dau clic pe adăugarea unui plugin, acesta dă eroare
William Charles
Am fost actualizat automat și acum îmi cere să-mi actualizez baza de date, când îmi actualizez baza de date primesc următorul eroare: Catchable fatal error: Object of class WP_Error could not be converted to string in /home/doctorof/public_html/wp-admin/includes/upgrade.php on line 1459
Aveți vreo idee cum să o rezolv? Am încercat metodele obișnuite (dezactivarea plugin-urilor, tema implicită etc.).
Personal editorial
Vă rugăm să contactați furnizorul dvs. de găzduire. Acest lucru s-ar putea întâmpla din cauza unei tabele corupte în baza de date. Ni s-a întâmplat și nouă cu site-ul nostru List25, iar gazda noastră a reușit să o remedieze imediat.
Admin
kunwar
Pur și simplu accesați pagina de conectare la administrator /wp-admin și apoi apăsați butonul de actualizare a bazei de date, acest lucru ar trebui să remedieze problema.
pmisun
După ce actualizarea automată s-a aplicat, ne-a stricat complet instanțele și nu am mai primit răspunsuri de la server. Investigăm de 6 ore, fără rezultate pozitive. Serverul este în regulă, furnizorii de IP / ISP-urile sunt în regulă…
raja babu
Vreau să știu cum îmi pot securiza site-ul, cum pot opri actualizarea automată a site-ului??? Vă rog să mă ajutați
Suport WPBeginner
Se recomandă cu tărie să vă actualizați site-ul WordPress imediat ce este disponibilă o nouă actualizare. Nerespectarea acestui lucru face site-ul dvs. vulnerabil. Cu toate acestea, dacă din anumite motive doriți să actualizați manual, atunci puteți dezactiva actualizările automate în WordPress
Admin
Elaine Maul
Thank you for the alert! Although I have automatic updates set, it hadn’t got round to doing it yet for some reason, so I have actioned it myself
Thank you
ha manh bui
Cum pot ști dacă site-ul meu http://homelytips.com/ este afectat, pur și simplu s-a actualizat singur la versiunea 4.1.4
Personal editorial
Actualizarea automată este făcută de echipa WordPress dacă nu le-ați dezactivat.
4.1.4 remediază, de asemenea, problema.
Admin