WordPress 4.2'nin yayınlanmasından sadece 3 gün sonra, bir güvenlik araştırmacısı WordPress 4.2, 4.1.2, 4.1.1, 4.1.3 ve 3.9.3'ü etkileyen bir Sıfır gün XSS Açığı buldu. Bu, bir saldırganın yorumlara JavaScript enjekte etmesine ve sitenizi hacklemesine olanak tanır. WordPress ekibi hızlı yanıt vererek WordPress 4.2.1'de güvenlik sorununu düzeltti ve sitelerinizi hemen güncellemenizi şiddetle tavsiye ederiz.
Sorunu bildiren Klikki Oy'dan bir güvenlik araştırmacısı olan Jouko Pynnönen, durumu şöyle tanımladı:
Giriş yapmış bir yönetici tarafından tetiklenirse, varsayılan ayarlarda saldırgan, eklenti ve tema düzenleyicileri aracılığıyla sunucuda rastgele kod yürütmek için güvenlik açığından yararlanabilir.
Alternatif olarak saldırgan, yönetici şifresini değiştirebilir, yeni yönetici hesapları oluşturabilir veya hedef sistemde oturum açmış olan yönetici tarafından yapılabilecek herhangi bir şeyi yapabilir.
Bu özel güvenlik açığı, Cedric Van Bockhaven tarafından bildirilen ve WordPress 4.1.2 güvenlik sürümünde yamalanan güvenlik açığına benzer.
Ne yazık ki, uygun güvenlik bildirimini kullanmadılar ve bunun yerine açığı kendi sitelerinde herkese açık olarak yayınladılar. Bu, sitelerini yükseltmeyenlerin ciddi risk altında olacağı anlamına gelir.
Güncelleme: WordPress güvenlik ekibiyle iletişime geçmeye çalıştıklarını ancak zamanında yanıt alamadıklarını öğrendik.
Eğer otomatik güncellemeleri devre dışı bırakmadıysanız, siteniz otomatik olarak güncellenecektir.
Bir kez daha, sitenizi WordPress 4.2.1'e güncellemenizi önemle tavsiye ederiz. Güncellemeden önce sitenizi yedeklediğinizden emin olun.
Rajnish Tyagi
merhaba,
sitem geçen hafta 2 kez çöktü, aws sunucusu kullanıyorum, veritabanı için RDS kullanıyorum, ancak bugün veritabanım çöktü, kurtarılması 2 saat sürdü, en son wprdress 4.2.2 sürümünü kullanıyorum
lütfen bana bazı iyi güvenlik ipuçları tavsiye edin
Teşekkürler
Rajnish
Paul
Gönderi için teşekkürler. Sitemi hemen güncelleyeceğim!
Mike
Akismet çalışıyorsa, yorumların spam olarak işaretlenme olasılığı yüksektir, bu nedenle spam kuyruğunuzu kontrol etmeyin.
Bernhard
Lütfen http://klikki.fi/adv/wordpress2.html adresine göz atın; burada wordpress.com ile iletişime geçme girişimlerinin ve KASIM 2014'TEN BERİ yanıt alamadıklarının açıkça açıklandığını göreceksiniz (Doğrulandı: WordPress 4.2, 4.1.2, 4.1.1, 3.9.3. sürümleri savunmasızdır):
“WordPress, Kasım 2014'ten beri devam eden güvenlik açığı vakalarımızla ilgili tüm iletişim girişimlerini reddetti. E-posta yoluyla, ulusal otorite (CERT-FI) aracılığıyla ve HackerOne aracılığıyla onlara ulaşmaya çalıştık. 20 Kasım 2014'ten beri hiçbir şekilde yanıt alamadık. Bildiğimiz kadarıyla, güvenlik yanıt ekipleri de bildirdiğimiz sorunları çözmek için koordinasyon sağlamaya çalışan Finlandiya iletişim düzenleme otoritesine ve açık hata biletlerimizin durumunu netleştirmeye çalışan HackerOne personeline yanıt vermeyi reddetti.”
Eğer bu doğruysa, sorunu açıklamak tek sorumlu şeydi ve siteler açıklama yüzünden değil, WordPress'in bu sorunu neredeyse 6 Ay boyunca ele alamaması yüzünden savunmasız kalıyor.
Güvenliğin karmaşık bir konu olduğunu anlıyorum, ancak lütfen gerçekleri doğru öğrenin.
WPBeginner Desteği
En içten özürlerimizi sunarız. Makaleyi güncelledik.
Yönetici
Bilal Bin Amar
ancak güncellemeden sonra CMS'im (wordpress) ve sitem çok yavaşladı, CMS'in içinde bir eklenti ekle'ye tıkladığımda hata veriyor
William Charles
Otomatik olarak güncellendim ve şimdi veritabanımı güncellememi istiyor, veritabanımı güncellediğimde şu hatayı alıyorum: Yakalanabilir ölümcül hata: WP_Error sınıfı bir dizeye dönüştürülemedi /home/doctorof/public_html/wp-admin/includes/upgrade.php satır 1459'da
Bunu düzeltmek için herhangi bir fikriniz var mı? Her zamanki yöntemleri denedim (eklentileri kapatma, varsayılan tema vb.).
Yayın Kadrosu
Lütfen barındırma sağlayıcınızla iletişime geçin. Bu, bozuk bir veritabanı tablosundan kaynaklanıyor olabilir. Bizim sitemiz List25'te başımıza geldi ve barındırma hizmetimiz hemen düzeltti.
Yönetici
kunwar
Yalnızca yönetici giriş sayfanızı /wp-admin ziyaret edin ve ardından veritabanını güncelle düğmesine basın, bu sorunu çözmelidir.
pmisun
Otomatik güncelleme uygulandıktan sonra örneklerimizi tamamen bozdu ve sunucu yanıtı alamadık. 6 saattir olumlu sonuç alamadan araştırıyoruz. Sunucu iyi, ip sağlayıcıları / isp'ler iyi…
raja babu
Sitemi nasıl güvence altına alabilirim, sitenin otomatik güncellemesini nasıl durdurabilirim??? Lütfen yardım edin
WPBeginner Desteği
Yeni bir güncelleme mevcut olduğunda WordPress sitenizi güncellemeniz şiddetle tavsiye edilir. Bunu yapmamak sitenizi savunmasız bırakır. Ancak, bazı nedenlerden dolayı manuel olarak güncellemek isterseniz, WordPress'te otomatik güncellemeleri devre dışı bırakabilirsiniz.
Yönetici
Elaine Maul
Thank you for the alert! Although I have automatic updates set, it hadn’t got round to doing it yet for some reason, so I have actioned it myself
Thank you
ha manh bui
Sitemin http://homelytips.com/ etkilendiğini nasıl bilebilirim, kendi kendine 4.1.4'e güncellendi
Yayın Kadrosu
Otomatik güncelleme, devre dışı bırakmadıysanız WordPress ekibi tarafından yapılır.
4.1.4 ayrıca sorunu düzeltir.
Yönetici